政府が今後調達する「安全な」クラウドサービスのリスト、IPAが公開
政府が調達する民間企業のクラウドサービスについて、セキュリティーを担保しながら円滑に導入できるようにする「政府情報システムのためのセキュリティ評価制度(ISMAP、イスマップ)」が2021年3月12日に始まった。運用を担う情報処理推進機構(IPA)は審査を経て登録した10個のクラウドサービスのリストを公開した。具体的なサービスと事業者は次の通り。 OpenCanvas(IaaS)(NTTデータ) FUJITSU Hybrid IT Service FJcloud(富士通) Apigee Edge(米Google) Google Cloud Platform(米Google) Google Workspace(米Google) Salesforce Services(セールスフォース・ドットコム) Heroku Services(セールスフォース・ドットコム) Amazon Web Serv
About · Container Security Book
Container Security Book ⚠️この文書は製作中のものです About これから Linux コンテナのセキュリティを学びたい人のための文書です。 普段からコンテナを扱っているが、コンテナの基礎技術やセキュリティについては分からないという人が、それらを理解できる足がかりになるように書かれています。 誤字脱字や間違いなどあれば https://github.com/mrtc0/container-security-book に Issue もしくは Pull Request を立ててください。 ご意見、ご感想等は Twitter ハッシュタグ #container_security でツイートをお願いします。 License この書籍に記述されているすべてのソースコードは MIT ライセンスとします。 また、文章は Creative Commons Attribution
CIS(Center for Internet Security)を活用しよう | 猫とセキュリティ
先日の以下の勉強会で発表した内容について記事にしていきます。 第28回ゼロから始めるセキュリティ入門 勉強会 CIS自体を知らない方も多かったので、興味がある方は読んでいっていただければと思います。 なお、内容については個人的な見解を多く含みますので予めご了承ください。 CIS(Center for Internet Security)をどう活用するか CIS(Center for Internet Security)については以前の記事に記載していますので、そちらをご覧ください。 社会人をやっていると以下のような事象に遭遇することはないでしょうか? パターンA 上司:A君、今度うちでAWSでアプリケーションを作ろうと思っているんだけど、セキュリティ関係を良い感じにしたいので、よろしくね! A君:・・・・ いわゆる丸投げですね。 またこんなこともあったりすることもあるでしょう。 パターンB
「バグの影響で特定のサーバー証明書を失効させる」とLet’s Encryptが発表、影響を受けるのは全体の2.6%
by Sean MacEntee HTTPS通信に必要なサーバー証明書を無料で発行する認証局「Let's Encrypt」が、ソフトウェアのバグによって安全に証明書が発行できていなかったとして、バグの影響を受けたと考えられる証明書を2020年3月4日(水)に失効させることを発表しました。 2020.02.29 CAA Rechecking Bug - Incidents - Let's Encrypt Community Support https://community.letsencrypt.org/t/2020-02-29-caa-rechecking-bug/114591 Revoking certain certificates on March 4 - Help - Let's Encrypt Community Support https://community.letsen
【セキュリティ ニュース】10大脅威の影響や対策は? - IPAが解説資料を公開(1ページ目 / 全1ページ):Security NEXT
情報処理推進機構(IPA)は、1月に発表した「情報セキュリティ10大脅威2020」の解説資料を公開した。 「情報セキュリティ10大脅威2020」は、2019年に「個人」や「組織」にとって影響が大きかったセキュリティ上の脅威をセキュリティ研究者や実務者によって選出、決定したもの。 ランキングそのものは1月に発表済みだが、それぞれの脅威について解説する資料をPDFファイルにてあらたに用意。同機構のウェブサイトで公開した。 各脅威において想定される攻撃者や手口、被害者、被害による影響、実際に生じた事例、対策など、イラストをまじえながらわかりやすく説明している。 (Security NEXT - 2020/02/28 ) ツイート
新型コロナウイルスに便乗した攻撃メールに注意 「マスク無料送付」「保健所の通知」をかたるワナ(ねとらぼ) - Yahoo!ニュース
新型コロナウイルスがもたらした不安に便乗し、「マスクを無料送付」「保健所の通知」などと称する攻撃メールが相次いで確認されたと、トレンドマイクロが注意喚起しています。 【他の画像】攻撃メールの例 手口の1つは「新型コロナウイルスによる肺炎が広がっている問題で、マスクを無料送付」といった内容で、2月3日ごろから携帯電話のSMSで確認されているそうです。記載されたURLにアクセスすると、Android端末の場合は、不正アプリ「Xloader」のダウンロードをはかる偽装サイトへ。iOS端末の場合は、Apple IDやクレジットカード情報などの詐取を狙うサイトへ誘導されるとのことです。 もう1つの手口は保健所をかたる電子メールで、1月28日前後から拡散。文面にはいくつかバリエーションがあるものの、「中国武“感”市」という特徴的な誤字や、「別添通知」の確認を指示して添付ファイルを開かせようとするといっ
iOS 13 および macOS 10.15 における信頼済み証明書の要件
iOS 13 および macOS 10.15 では、TLS サーバ証明書に対するセキュリティ要件が新しくなります。詳しくご説明します。 iOS 13 および macOS 10.15 では、以下に紹介する新たなセキュリティ要件がすべての TLS サーバ証明書に課されます。 RSA 鍵を利用する TLS サーバ証明書および発行元の CA は、鍵長 2048 ビット以上の鍵を用いる必要がある。2048 ビット未満の鍵長の RSA 鍵を用いた証明書は、TLS 通信において信頼されなくなります。 TLS サーバ証明書および発行元の CA は、SHA-2 ファミリーのハッシュアルゴリズムを署名アルゴリズムに用いる必要がある。SHA-1 で署名された証明書は、TLS 通信では信頼されなくなります。 TLS サーバ証明書は、証明書の SAN (Subject Alternative Name) 拡張領域に
無料ウイルス対策ソフトのアバスト、ユーザーのウェブ閲覧データを販売か
ウィルス対策ソフトウェアメーカーAvastが、Jumpshotという子会社を通して「機密性の高い」ウェブ閲覧データを販売していると報じられている。MotherboardとPCMagが米国時間1月27日に公開した調査結果によると、同社のソフトウェアは、ユーザーのクリック操作やウェブでの動きを追跡し、「Google」や「Googleマップ」での検索内容や、訪問した具体的な「LinkedIn」ページ、「YouTube」動画、ポルノサイトなどのデータを収集しているようだ。Avastの無料ウイルス対策ソフトは世界中で多くのユーザーに使用されている。 収集されたデータは、Jumpshotによって再パッケージされ、販売されているという。Jumpshotのウェブサイトでは、「インターネットの最も貴重なウォールドガーデン」内のユーザーの行動に関するデータを提供できると説明されている。記事によると、Jumps
Dockerコンテナを特権モードで実行することが危険な理由
オンプレミスからクラウドへの移行をはじめ、ハイブリッドクラウド環境をシームレスに保護しながら、クラウドの利点を実現します。 詳しくはこちら
【セキュリティ ニュース】OSSプロクシ「Envoy」に深刻な脆弱性 - 「Istio」にも影響(1ページ目 / 全1ページ):Security NEXT
オープンソースのプロクシソフトウェア「Envoy」に深刻な脆弱性が明らかとなった。同ソフトを利用する「Istio」にも影響があり、それぞれアップデートがリリースされている。 同ソフトウェアに3件の脆弱性が明らかとなったもの。「Kuberenetes」でマイクロサービスを提供する「Istio」についても、同ソフトをコアコンポーネントとして利用しており、脆弱性の影響を受ける。 「CVE-2019-18801」は、「HTTP/1」へ対応した構成でヒープオーバーフローが生じる脆弱性。共通脆弱性評価システムである「CVSSv3」のスコアは「9.8」。脆弱性の重要度はもっとも高い「クリティカル(Critical)」とレーティングされている。 さらにNULLポインタを参照する脆弱性「CVE-2019-18838」やポリシーのバイパスが生じる「CVE-2019-18802」になど、重要度「高(High)」
【コンテナセキュリティてんこ盛り】クリエーションライン主催のAquaセミナーに参加してきた | DevelopersIO
コンテナセキュリティに特化した稀有なセミナーに参加してきました。Aquaの最新情報に加え、いろんなこの界隈の四方山話も聞けてすっごい楽しかった一日の様子をお届けします。 先日、日比谷公園にほど近い会場でクリエーションライン株式会社様主催のAqua Securityコンテナセミナーに参加してきました。 2019年11月20日 Aqua Securityコンテナセミナー を開催します - クリエーションライン株式会社 基本は、弊社でも扱っているAqua Container Securityについての話が主だったのですが、製品仕様以外にもカカクコム様でのKubernetes運用のGitOpsの話であったり、決済サービスPaidyにおけるコンテナ運用の話であったり、最近話題のOSSな脆弱性スキャンツールのTrivyの作者、福田さんがイスラエルからオンラインセミナーやったり、コンテナ界隈の幅広い話題
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
政府情報システムのためのセキュリティ評価制度(ISMAP):IPA 独立行政法人 情報処理推進機構
情報セキュリティ10大脅威 2020年版 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
Windowsの暗号化機能に致命的な脆弱性、証明書偽装の恐れ ~米国家安全保障局が警告/Windows 10とWindows 2016以降のサーバーOSに影響、今月のセキュリティパッチで解決
【セキュリティ ニュース】前澤氏10億円お年玉企画で「偽当選通知」(1ページ目 / 全1ページ):Security NEXT
DockerAPI を標的とした探索行為の増加等について | 警察庁 @police
TechCrunch
「Google Chrome 79」にセキュリティアップデート ~深刻度“High”の脆弱性を1件修正/メディアピッカーにメモリ解放後使用の欠陥
「Git」に複数の脆弱性、Windowsユーザーはとくに注意/修正版のv2.24.1などへ更新を
【セキュリティ ニュース】フルリゾルバ「Unbound」に任意のコードを実行されるおそれ(1ページ目 / 全1ページ):Security NEXT