不備のあるコンテナサービス構成とその公開によるリスクとは
コンテナ構成がデフォルトのままになっているコンテナ ホスティング デバイスは、個別に4万台以上存在し、これらのインスタンスは簡単に特定できる状況にあります。コンテナ プラットフォーム KubernetesとDocker については、それぞれやはり個別に2万以上のインスタンスが存在しています。ただしこれら4万以上の各プラットフォームが、必ずしもエクスプロイトや機密データの漏洩に対し脆弱ということではありません。この状況が浮き彫りにしているのは「どうも基本的構成手順に不備が見られるようだ」ということ、そして「それが原因で、企業が将来的に侵害インシデントの標的となり得るだろう」ということだけです。クラウド サービス内で、一見単純な構成不備があると、組織に対して重大な影響が及ぶ場合もあります。例えば、Docker Hubが19万アカウント分のキーとトークンを失った事件は、クラウド環境内のキーおよび
脆弱性診断を内製化してみてわかったこと/セキュア開発の始め方 | 株式会社神戸デジタル・ラボ Kobe Digital Labo(KDL)
KDLはシステムの要件定義、設計、開発段階から脆弱性を作りこまない「セキュア開発」に取り組んでいます。主に既存のシステムをターゲットとした脆弱性診断やさまざまな対策支援サービスを展開しているKDLが、なぜ「セキュア開発」に取り組むようになったのか? きっかけとなったのは、納品前の脆弱性診断を開発側で内製化したことでした。今回は脆弱性診断の内製化のメリットや気づきをご紹介します。 脆弱性診断とは 脆弱性診断とは、システムの脆弱性を見つける検査のことです。攻撃者の視点から様々な疑似攻撃をしかけ、潜在的な脆弱性を発見するものです。攻撃するには、ウェブアプリケーションに関する知識、攻撃する手法や最近の流行など、専門的な知識が必要になります。 経緯とわかったこと 従来KDLでは、開発したシステムの納品前にセキュリティ事業部が脆弱性診断を実施していました。しかし、もっと早いサイクルで診断を実施していく
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
