クラウドアプリケーションのセキュリティとコンプライアンスチェックを自動化するChefのInSpec 2.0

データのリポジトリをAmazonでロックすることを忘れて、機密データを露出した、なんて話を何度聞いたことか。それは、稀(まれ)ではなく、びっくりするほど多い。そこでChefは、devやopsの人びとがそんな事件を防ごうとするときの、お手伝いをしたいと考えた。今日同社がリリースしたInSpec 2.0は、クラウド上でアプリケーションのセキュリティとコンプライアンスを自動化する作業を助ける。

InSpecは無料のオープンソースツールで、開発チームはこれを使ってセキュリティとコンプライアンスのルールをコードで表現できる。前の1.0は、アプリケーションの正しいセットアップに主眼を置いた。今度のバージョンは、その能力を企業がアプリケーションを動かしているクラウドに拡張し、クラウドのセキュリティポリシーに合ったコンプライアンスのルールを書いてテストできるようにした。AWSとAzureをサポートし、Docker, IIS, NGINX, PostgreSQLなどなど30種のよく使われる構成が最初からある。

今日の継続的開発の環境では、複数のアプリケーションを複数のクラウドで動かすことが容易ではない。コンプライアンスを人間が継続的にモニタするためには、データベースを露出したままにしておく方が楽だ。

Chefはこの問題の解決を、コンプライアンスを自動化するツールで助ける。何をロックするかなどについて最初に開発とオペレーションが協議しなければならないが、合意に達したらInSpecを使って、クラウドの構成の正しさをチェックするためのルールを書ける。それには、InSpecのスクリプト言語を使う。

Chefのマーケティング部長Julian Dunnによると、スクリプト言語を使い慣れている人ならとっつきやすいだろう、と言う。“InSpecの言語はクラウドに特有のルールをカスタマイズして書くのに適している。クラウドのデプロイのチェックもね”、と彼は語る。

スクリプト言語の例。コードサンプル提供: Chef

“この言語は、読みやすくて書きやすいことを心がけて設計した。プログラミングの経験はないがスクリプトは書いているセキュリティの技術者が、想定ユーザーだ”、とDunnは言う。スクリプトを書いたら、それを自分のコードに対してテストする。そしてコンプライアンス違反が見つかったら、直す。

InSpecは、VulcanoSecを買収した結果として作れた。このドイツのコンプライアンスとセキュリティ企業をChefが買収したのは、2015年だ。InSpec 2.0はオープンソースで、Githubからダウンロードできる。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

特許紛争で合意―AppleはiPhoneを1台売るごとにEricssonにライセンス料を支払う

2015-12-22-ericsson

さきほど、テレコムのプラットフォームを提供するスウェーデンの巨大企業、Ericssonは、Appleとの間で係争中だった特許紛争が解決に至ったと発表した。今後7年間、AppleはiPhoneとiPadを1台売るごとにEricssonに特許のライセンス料を支払うことになる。

今年の2月、Ericssonは世界各国でAppleが特許権を侵害しているという訴訟を起こしていた。アメリカでは国際貿易委員会(ITC)、テキサス州東部地区連邦地裁、カリフォルニア州北部地区連邦地裁、イギリス、ドイツ、オランダの地方裁判所での訴訟が確認されていた。Ericssonによれば、Appleは数年前からiPhoneとiPadの製造に当たって、GSM,、UMTS、LTE関連で41件に上るEricssonの特許を侵害していたという。

大方の予想どおり、両社はこの件で和解し、Ericssonは訴訟を取り下げた。Ericssonが3万5000件の特許を保有していることを考えれば、今日(米国時間12/21)のニュースに特に新味があるとはいえない。特許の多くは携帯無線テクノロジーに関連しており、多くの携帯電話メーカーがEricssonに特許料を支払っている。どうやらAppleはEricssonの特許料金に納得できなかったらしい。

Appleは合意の代償としてかなりの額の2015年までのライセンス料金を支払い、さらに将来も毎年料金を支払うことになる。この契約で正確にいってどれほどの金額が動くことになるのかは明らかでない。しかしAppleの市場での地位を考えれば、相当の大金になることは間違いない。

Ericssonの2015年の特許料収入は15億ドルから16億ドルと見積もられている。Reutersの記事によれば、2014年には12億ドル程度であり、今年はかなり大きくアップしたことになる。.

念のため付け加えておけば、両社の関係は全般的にきわめて密接だ。EricssonとAppleは 5G、ビデオ、ネットワークのトラフィック最適化などの各分野のテクノロジー開発で良好な協力関係にある。「友は近くに置け。しかし敵はさらに近くに置け」とことわざにも言うとおりだ。

[原文へ]

(翻訳:滑川海彦@Facebook Google+

Amazon Inspectorは、あなたに代ってセキュリティー問題を見つけてくれる

screen-shot-2015-10-07-at-1-12-37-pm

今日(米国時間10/7)のAmazon re:inventで、Amazonは新しいサービス、Amazon Inspectorを発表した。ユーザーのAWSインスタンスを分析してセキュリティーあるいはコンプライアンスの問題があれば報告する。

これはセキュリティーを心配する、特にクラウドサービスを初めて使うAmazon顧客にとって価値あるサービスだ。ユーザーのAmazonクラウドを完全に検査し、セキュリティー、コンプライアンス等の問題を探す。

このサービスは、金融、医療等、データの保管および利用方法について政府の非常に厳格なガイドラインに準拠しなければならない規制の強い業界にとって、特に重要だろう。

システムはあらゆる脆弱性やサービスがコンプライアンスに反する部分を報告し、その問題を修正する方法のアドバイスも提供する。問題は重大度別にグループ分けされるので、顧客は何を最初に修正すべきかの優先順位を付けられる。

Inspectorは、”Cloud Trails” と呼ばれるものも提供する。これは監査追跡記録の一種で、何が発見され、どんな対応がなされたかを示すことで、実際に何が起きたかを監査員が知ることができる。

AWS担当SVPのAndy Jassyによると、これはAmazon顧客に事前予妨の基準を与え、問題の起き得る正確な場所を、実際に問題が起きる前に見られるようにする。こうした予妨的アプローチは、クラウドへの移行を躊躇している潜在顧客や、単にAWSインスタンス全体の問題を見つけたい顧客にアピールするかもしれない。

AWS re:Invent 2015

[原文へ]

(翻訳:Nob Takahashi / facebook