SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine Day Special

2024年10月16日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZineニュース

Tenable、脆弱性「クラウドインポーザー」を発見 GCPなどに「依存関係かく乱」の危険性があったと判明

 Tenable(テナブル)は、同社のTenable Researchチームが、「クラウドインポーザー」と称する危険なリモートコード実行(RCE)脆弱性を発見したことを公開した。

 悪意のある者がこの脆弱性を悪用すれば、数百万にのぼるGoogle Cloud Platform(GCP)のサーバーや利用顧客のシステムで、コードが実行される可能性があるという。この脆弱性の検出によって、Google Cloudサービスにセキュリティギャップがあることが明らかになったとしている。特に影響を受けているのは、App Engine、Cloud Function、Cloud Composerとのことだ。

 GCPおよびPython Software Foundationの文書の分析が解明したこの脆弱性によって、これらのサービスが「依存関係かく乱」と呼ばれるサプライチェーンの攻撃を受けやすい状態であったことが判明。「依存関係かく乱」という攻撃のテクニックは数年前から知られていたものの、Tenableの調査によれば、特にGoogleのような大手のテクノロジープロバイダーでさえ、この問題に対する認識と予防対策が不足していることが示されたという。

この問題が重要な理由

 クラウド環境におけるサプライチェーンの攻撃は、オンプレミス環境に対する攻撃よりも指数関数的に損害が拡大する可能性があるという。悪意のあるパッケージが一つでもクラウドサービスの中にあれば、大規模なネットワークに広がって、何百万のユーザーに影響を与える可能性があるとのことだ。

ポイント

 クラウドセキュリティは、サービス提供者と利用者双方の協力が必要だという。Tenableは、「依存関係かく乱」のリスクを軽減させるために、クラウド利用者が自社環境を分析し、パッケージのインストール手順、特にPythonの--extra-index-url引数を確認することを推奨している。

 Googleは、Tenableによる開示を受け入れて問題を解決したとのことだ。

【関連記事】
シチズン時計、脆弱性管理にTenableを採用 オンプレミス資産の監視と管理を簡単に
中部電力パワーグリッド、Tenable OT Securityを導入 資産監視と管理状況の可視化へ
慶應義塾大学SFC、セキュリティ強化に向けTenableのデジタル資産可視化ソリューション導入

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
この記事の著者

EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/news/detail/20491 2024/10/02 08:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング