最新記事一覧
AnyDesk Softwareは本番システムがセキュリティインシデントによって侵害されたと報じた。同社はセキュリティ証明書を更新し、ユーザーに対応を促している。
()
MacをはじめとしたAppleデバイスへの攻撃が活性化する中、セキュリティ対策の重要性が高まっている。Macを攻撃から保護するための、具体的な機能を取り上げる。
()
OpenSSL Projectは、クライアント側QUICやTLSハンドシェイクにおける証明書圧縮に対応した「OpenSSL 3.2.0」を公開した。
()
「Azure Key Vault」でSSLサーバ証明書を管理する場合、App ServiceによるWebサイトやWeb APIをデプロイする時に、Key Vaultから証明書を自動でインポートしたいところだ。そのためのARM(Azure Resource Manager)テンプレート(Bicep)を注意点とともに紹介する。
()
App ServiceによるWebサイトやWeb APIにAzure外で発行したSSLサーバ証明書を割り当てる場合、App Serviceに直接インポートすると更新時に手間が掛かりやすい。機密情報を安全に取り扱える「Azure Key Vault」を使って、効率良く証明書を更新できるようにしよう。
()
WebサイトやWeb APIが返すHTTPレスポンスヘッダを追加/変更しようとしても、設定が難しかったり、そもそも変更できなかったりすることがある。AzureのCDN/リバースプロキシである「Front Door」を利用すると、比較的簡単にレスポンスヘッダを改変できる。その方法と注意点は?
()
小型ボードコンピュータ「Raspberry Pi(ラズパイ)」を使って、低コストかつ現場レベルでIoT(モノのインターネット)を活用する手法について解説する本連載。第14回は、ラズパイのセキュリティとして暗号化通信を導入する方法を紹介します。併せて、不良実績入力の品質管理での応用も取り上げます。
()
セキュリティへの不安から、クラウド移行を推進できない中堅・中小企業は多い。本連載では、クラウドを利用することで享受できるセキュリティのメリットを紹介する。
()
Salesforceが「Heroku」の無償プランを廃止したことにより、これまで無償プランを使っていたHerokuユーザーは、代替手段を検討しなければならなくなった。選択肢となり得るのが「CapRover」「Fly.io」だ。
()
6月30日をもって、NTTドコモの「iコンシェル」のスマートフォン向けサービスの提供が終了します。主要なサービスは「my daiz」を通して引き続き利用できるのですが、iコンシェルに絡む“あの”キャラクターたちはどうなるのでしょうか……?
()
サイバーセキュリティ企業のEclypsiumは、GIGABYTE製マザーボードのUEFIファームウェアやソフトウェアを更新する機能でバックドアに類似した仕組みが採用されており、サイバー攻撃に悪用される恐れがあることを明らかにした。
()
ESETは、インターネットに接続されたデバイスやサービスを検索するツールを紹介した。それらのツールは脅威インテリジェンスの取り組みを強化する必要がある企業にとって「ユニークで価値のある機能を提供する」という。
()
富士通クラウドテクノロジーズは、同社が提供するレンタルサーバのサービスを2024年3月31日に終了することを発表した。2024年4月1日以降はWeb環境やメール環境、DNS情報、ドメインの全データが削除される。
()
デジサート・ジャパンは、米国本社CEOのアミット・シンハ氏の来日に合わせて東京都内で会見を開催。グローバル戦略を説明するとともに、認証局ベンダーに依存しない電子証明書管理とPKIサービスを一元管理する「DigiCert Trust Lifecycle Manager」を発表した。
()
2023年3月に開催された「ITmedia Security Week 2023 春」の「拡大するアタックサーフェス、“社内攻撃”を想定せよ」ゾーンにおいて、ニューリジェンセキュリティでCTO(最高技術責任者)を務める仲上竜太氏が「災害化するサイバー脅威とアタックサーフェス管理」と題して基調講演に登壇した。
()
Azureのリバースプロキシ/CDNなどのサービスである「Azure Front Door」で、配信元のサーバ/サイトからクライアントへコンテンツが正しく送られない場合がある。その原因の1つである、配信元へ送出される「Host」ヘッダの設定方法や設定上の注意点などを説明する。
()
JPCERT/CCと情報処理推進機構が、「一蘭公式アプリ」(iOS/Android)で、サーバ証明書の検証不備の脆弱性が見つかったと報告した。
()
フィッシング対策協議会から証明書の種類を確認する方法が説明された。最近のWebブラウザはEV(Extendit Validation)証明書であるかどうかの確認ができず、信頼度の確認が困難だ。増加するフィッシング詐欺の脅威へ対処するために、サーバ証明書の種類を確認する方法を把握しよう。
()
ドローンが社会実装となれば、いかにして空域の安全性を確保するかが新たな課題となってくる。数々のインターネット事業を手掛けるGMOインターネットグループは、ホワイトハッカー集団によるIoTセキュリティ診断と、通信暗号化、認証技術で空の「セキュリティ」を担保するという。
()
Cloud Operator Days Tokyo 2022のセッション「顧客影響に気付けるアラート設計と原因特定が素早くできるSREへ ヤプリが乗り越えてきた監視運用の失敗と改善」にてヤプリの望月真仁氏は、監視に関する失敗談とそれをどのように解決したのかについて紹介した。
()
HubSpotが「CMS Hub」の無料版を提供開始。CRMとの連携を活用したWebサイトの構築と運営管理を低コストで実現。
()
近年、Webサイトやメールを利用したフィッシングはますます高度化し、一見しただけでは本物と偽物の区別が付かないケースも出てきています。さらに自社のWebサイトが検索トップに表示されるなんてことも起きたらどうすればいいのでしょうか。
()
クラウドサービス「ニフクラ」「FJcloud-V」が不正アクセスを受け、ユーザーの認証情報などが盗まれた可能性がある件を巡り、脆弱性のあったロードバランサー内で任意のコマンドが実行できる状態だったことが分かった。
()
オープンソースPaaS製品には代表的な製品が幾つかある。その中から、「Cloud Foundry」「Dokku」「OKD」の機能と特徴を説明する。
()
PaaSの課題は「オープンソースPaaS」製品を利用することで解消できる場合がある。オープンソースPaaS製品のメリットと、その一つである「CapRover」を取り上げる。
()
Kubernetesやクラウドネイティブをより便利に利用する技術やツールの概要、使い方を凝縮して紹介する連載。今回は、Istioのセキュリティ機能に焦点を当て、通信の暗号化、認証/認可の機能を紹介する。
()
デジタル庁が12月20日に公開した「新型コロナワクチン接種証明書アプリ」で、通信内容のデータが見られてしまうというツイートが話題になった。投稿者は該当ツイートを削除しているが、同庁は触れられている内容については「問題ない」との認識を示した。
()
2021年8月、大手IT企業数社の製品に脆弱性が見つかった。各社は被害の報告は受けていないというが、セキュリティアップデートの実行を推奨している。脆弱性はどのようなものだったのか。
()
大手ドメイン登録事業者GoDaddyは顧客のWordPressのシステムにデータ侵害があったと発表。最大120万人分の個人データが流出した可能性がある。メールアドレス、管理者番号、sFTP、SSL秘密鍵などにアクセスされた。
()
「Apache HTTP Server」の脆弱性を悪用する攻撃を観測したという発表を受け、セキュリティ専門家は、利用者に対してパッチの適用を強く推奨している。その理由とは。
()
コンテナオーケストレーションツールとして知られる「Kubernetes」とHashiCorpが提供する「Nomad」を比較検証する本連載。第3回はNomadを用いたクラスタ構築の手順やNomadの内部構造、ジョブ管理を中心に解説します。
()
無料でSSLサーバ証明書を発行する「Let's Encrypt」に脆弱性が見つかった。不正発行を防ぐための仕組みにある落とし穴を、サイバー犯罪者はどう悪用しているのか。
()
ユーザーがさまざまな経路を通じて自社のWebサイトに流入することが多くなってきています。自社のドメイン管理を見直し、第三者の不正なWebサイトにアクセスさせないようにするにはどうすればいいのでしょうか。
()
インターネットの「100ns(ナノ秒)の違い」を検出する攻撃も:セキュリティカンファレンス「Black Hat USA 2021」と「DEF CON 29」の主要プレゼンまとめ PortSwigger
PortSwiggerは、セキュリティカンファレンス「Black Hat USA 2021」と「DEF CON 29」の主要なプレゼンテーションをまとめたブログ記事を公開した。
()
コロナ禍で緊急導入したテレワークの恒常化に取り組む際、必要なセキュリティ対策とは?
()
Microsoftは2021年5月12日(米国時間)、「Azure Static Web Apps」の一般提供開始を発表しました。Azure Static Web Appsは、静的なコンテンツのホスティングを動的なスケールとサーバレスのAPIを通じて提供するもので、無料で利用できるFreeプランが用意されています。
()
サイバートラストは、SSL/TLSサーバ証明書「SureServer Prime」のマルチドメイン証明書を2021年5月27日に提供開始する。認証レベルに応じて、「SureServer Prime MD」と「SureServer EV Prime MD」の2種類を用意した。
()
佐賀県の嬉野医療センターがNutanixのHCI製品を導入した事例や、新型コロナウイルス感染症の検査報告業務にUiPathのRPA製品を導入した信州大学医学部附属病院の事例など、医療ITの主要ニュースを紹介する。
()
大手ECサイトなどをかたるフィッシングメールが1年で5倍近く急増している。被害に遭わないためには何ができるのか、専門家に聞いた。
()
ゼットスケーラーは、同社の研究組織「ThreatLabZ」が作成した調査「暗号化された攻撃の現状(2020年版)」を発表した。
()
ネットワークを安全な内部と危険な外部に分けて対策する境界セキュリティ防御は、テレワークやクラウド利用が広がる現在、効力を失いつつある。ユーザーや機器が社内外の超分散環境に点在する状況に適した企業向けのITセキュリティとはどのようなものなのだろうか。エンドポイントセキュリティが必要なのではないか。
()
InfraCloudが、アプリケーションコンテナのセキュリティを確保するための10のベストプラクティスを解説した。
()
IPAセキュリティセンターは、WebサーバでのTLS暗号設定方法をまとめた「TLS暗号設定ガイドライン」の第3版を公開。暗号技術評価プロジェクトのCRYPTRECが記載内容を第2版から全面的に見直した。
()
有効期間が398日を超える場合は不正な証明書として扱われ、ネットワークやアプリが機能しなくなったり、Webサイトが読み込まれなくなったりする可能性がある。
()
暗号化通信に使用される代表的な鍵交換アルゴリズムが「Diffie-Hellman方式」(DH法)と「RSA方式」だ。それぞれの方式がどのような場面で使われているのかを紹介する。
()
Uptime.comは、企業Webサイトなどで2020年2月に発生した大規模なサービス停止事例をまとめたレポート「February 2020 Downtime Report」を発表した。「Microsoft Teams」「GitHub」「Google Nest」などの事例を扱っている。
()
「期限通りの失効は見送った方が、インターネットの健全性にとって最善」と判断したという。
()
DigiCertが2020年1月に年次カンファレンス「DigiCert 2020 Security Summit」を開催。DigiCert、そしてWebブラウザのベンダーや電子証明書発行サービスを提供する事業者からなる業界団体であるCA/Browser Forumの取り組みを聞いた。
()
影響を受けるのは、Let's Encrypが発行した証明書約1億1600万件のうち、2.6%に当たる300万件あまり。無効になる2020年3月4日までに更新しなければ、セキュリティ警告が表示される状態になる。
()
SSL/TLS向けのサーバ証明書を無料で発行している認証局「Let's Encrypt」は、BGPの乗っ取りのような攻撃に対抗するため、多視点ドメイン検証を開始した。証明書の不正発行につながる攻撃を抑え込む役に立つという。
()