● 55 entries
クラウドセキュリティ
- AWS IMDSv1 攻撃通常は SSRF を介して、レガシーの IMDSv1 エンドポイントに未認証の GET リクエストを送ることで EC2 インスタンスロールの資格情報を盗む攻撃。
- BYOK(Bring Your Own Key)クラウド事業者が生成する鍵に頼らず、顧客自身が暗号鍵を生成または持ち込んで事業者の KMS にインポートする鍵管理モデル。
- CASB(クラウドアクセスセキュリティブローカー)利用者とクラウド/SaaS アプリケーションの間に位置し、可視化・データ保護・脅威対策を実施するポリシー適用点。
- CIEM(クラウドインフラ権限管理)クラウド環境に存在するアイデンティティと権限を可視化・分析し、適切な水準に絞り込むための分野およびツールカテゴリ。
- CiliumeBPF をベースとしたコンテナネットワークインターフェース(CNI)。Kubernetes ワークロードにカーネル速度でネットワーク・可観測性・セキュリティを提供する。
- CNAPP(クラウドネイティブアプリケーション保護プラットフォーム)CSPM・CWPP・CIEM・IaC スキャン・ランタイム検知を統合し、クラウドネイティブアプリをビルドから実行時まで包括的に保護する統合プラットフォーム。
- CSPM ファインディングクラウドリソースがセキュリティベンチマーク、ポリシー、または準拠ルールに違反した際に Cloud Security Posture Management ツールが生成するアラート。
- CSPM(クラウドセキュリティポスチャー管理)クラウドアカウントをベストプラクティスやコンプライアンス基準に対し継続的に評価し、構成ミスを検出・是正するためのツールカテゴリ。
- CWPP(クラウドワークロード保護プラットフォーム)仮想マシン・コンテナ・サーバーレス関数といったクラウドワークロードを、ビルドからランタイムまで全ライフサイクルで保護するプラットフォーム。
- FaaS(Function as a Service)イベントに応じて短命な関数をオンデマンドで実行するサーバーレスのクラウドモデル。サーバー、スケーリング、ランタイムはプロバイダーが管理する。
- gVisorgVisor は Google が公開するアプリケーションカーネルで、ユーザ空間でコンテナのシステムコールを横取りし、ホストカーネルの攻撃面を大幅に縮小します。
- HYOK(Hold Your Own Key)暗号鍵を顧客の HSM や鍵管理基盤から外に出さず、クラウドサービスがその基盤を呼び出して鍵を使う鍵管理モデル。
- IaaS(Infrastructure as a Service)クラウド事業者が仮想化された計算・ストレージ・ネットワークを提供し、OS・ミドルウェア・アプリケーションは顧客が管理するクラウドサービスモデル。
- IAM の誤設定(クラウド)クラウド上の ID とアクセス管理が安全でない、もしくは過剰に許可されており、ユーザー・ロール・サービスが必要以上の操作を行える状態。
- IAM 権限昇格既存のクラウド IAM 権限を悪用し、ポリシーの編集、ロールの引き受け、または自身への管理者権限付与によってより高い権限を獲得する手法。
- Istio セキュリティIstio サービスメッシュのセキュリティ機能群。SPIFFE によるワークロード ID、自動 mTLS、細粒度アクセス制御のための AuthorizationPolicy と RequestAuthentication を含む。
- Kata ContainersKata Containers は、各コンテナや Kubernetes Pod を軽量な仮想マシンで包み込み、ハードウェアレベルの隔離を提供するオープンソースランタイムです。
- kube-benchAqua Security が公開する OSS ツールで、Kubernetes クラスタの構成を CIS Kubernetes Benchmark に対して自動的にチェックする。
- Kubernetes NetworkPolicyKubernetes の NetworkPolicy は名前空間スコープのリソースで、IP・ポート・プロトコル単位でどの Pod がどの Pod や外部エンドポイントと通信できるかを制御します。
- Kubernetes アドミッションコントローラアドミッションコントローラは、Kubernetes API サーバのプラグインで、認証済み要求が永続化される前にオブジェクトを検証・変更・拒否します。
- Kubernetes クラスター攻撃公開された API、弱い RBAC、脆弱なワークロードを悪用して Kubernetes(K8s)クラスターのコントロールプレーンやワーカーノードを掌握する攻撃。
- Kubernetes セキュリティKubernetes クラスター(API サーバー、コントロールプレーン、ノード、ワークロード、ネットワーク)を構成ミス・侵害・横移動から守ること。
- KubescapeARMO 製の OSS Kubernetes セキュリティプラットフォーム。クラスタ、マニフェスト、コンテナイメージを対象に、設定ミス・脆弱性・ポリシー逸脱をスキャンする。
- KyvernoKyverno は CNCF の Kubernetes ポリシエンジンで、新しい DSL を使わずネイティブな YAML で記述したポリシによりリソースの検証・変更・生成を行います。
- OPA GatekeeperOPA Gatekeeper は CNCF のポリシコントローラで、Open Policy Agent と Rego を用いて Kubernetes リソースに対するアドミッションと監査ポリシを強制します。
- OPA(Open Policy Agent)CNCF Graduated の汎用ポリシーエンジン。Rego 言語を用いて、アプリや Kubernetes アドミッションから認可判定を分離する。
- PaaS(Platform as a Service)ランタイム・ミドルウェア・OS・インフラを事業者が管理し、顧客はアプリケーションコードとデータに集中するクラウドモデル。
- Pod Security StandardsPod Security Standards(PSS)は Kubernetes が定める Privileged・Baseline・Restricted の三段階セキュリティプロファイルで、安全な Pod 構成を体系化し、廃止された PodSecurityPolicy を置き換えます。
- S3 バケットの誤設定Amazon S3 バケット(または相当のオブジェクトストレージ)の設定ミスで、オブジェクトを公開したり、意図しない書き込みや過剰なクロスアカウント許可を許してしまう状態。
- SaaS(Software as a Service)ベンダーがアプリケーションを運用し、顧客がサブスクリプション形式でインターネット経由で利用するクラウド提供モデル。
- SPIFFEURI 形式の SPIFFE ID と短命な X.509・JWT SVID を用いて、ソフトウェアワークロードに暗号的かつ可搬な ID を付与するオープン標準。
- SPIRE ランタイムSPIFFE の公式リファレンス実装。サーバとノードエージェントから成り、ワークロードを証明して短命な X.509 または JWT SVID を発行する。
- SSPM(SaaS セキュリティポスチャー管理)SaaS の設定・ID・連携を継続的に監視し、構成ミスやリスクのある挙動を検出するためのツールカテゴリ。
- TEE(Trusted Execution Environment)プロセッサ内の安全で隔離された実行環境。コードとデータは、ホスト OS やハイパーバイザーからも機密性・完全性が守られる。
- TetragonCilium プロジェクトの eBPF ベース Kubernetes ランタイムセキュリティツール。プロセス・ファイル・通信を観測し、ポリシーを同期的に強制できる。
- クラウドキー漏えい長期有効のクラウドアクセスキーが公開リポジトリ、コンテナイメージ、ログ、クライアントコードに誤って露出し、しばしば数分以内に悪用される事象。
- クラウドクリプトジャッキング被害者のクラウド計算リソースを無断で使用して暗号資産を採掘し、高額な請求を被害者に負わせつつ攻撃者が報酬を得る攻撃。
- クラウドセキュリティパブリック・プライベート・ハイブリッドクラウド環境に置かれたデータ・アプリケーション・インフラを保護するための、ポリシー・統制・技術の総体。
- クラウドデータ流出クラウドアカウントから無許可でデータを複製・転送する行為で、オブジェクトストレージ API、スナップショット、レプリケーション、攻撃者のアカウントなどが利用される。
- クラウドトークン窃取クラウド ID サービスから OAuth、SAML、署名鍵といったトークンを盗み出し、再生して認証情報なしでユーザーやサービスになりすます攻撃。
- クラウドの誤設定公開されたストレージや脆弱な IAM ポリシー、開放された管理ポートなど、クラウドサービスの不適切な設定によって生じるセキュリティ上の欠陥。
- クラウドメタデータ SSRF脆弱なアプリを介してクラウド事業者のインスタンスメタデータサービスを問い合わせさせ、一時的な資格情報を盗むサーバーサイドリクエストフォージェリ攻撃。
- クラウド暗号化クラウドサービス上で保存・処理・伝送されるデータを暗号化し、正しい鍵を持つ認可された関係者だけが読めるようにする取り組み。
- コンテナエスケープコンテナとホスト間の分離境界を破る攻撃で、攻撃者が基盤ノードまたはカーネル上でコードを実行できるようにする。
- コンテナセキュリティコンテナイメージ・レジストリ・オーケストレーター、およびコンテナが実行されるランタイムを保護する一連の実践。
- コンフィデンシャルコンピューティングハードウェアベースの TEE 内でワークロードを動かし、ホストやクラウド運用者から隔離した状態で処理中のデータを保護する技術。
- サーバーレスセキュリティAWS Lambda、Azure Functions、Google Cloud Functions のように、基盤サーバーを事業者が管理するイベント駆動・関数ベースのワークロードを守る実践。
- サービスアカウントトークンKubernetes Pod にマウントされる JWT 形式の認証情報。API サーバや、クラスタの ID プロバイダを信頼する外部サービスに対してワークロードを認証する。
- サービスメッシュのセキュリティクラウドネイティブ環境におけるサービス間通信を保護するためにサービスメッシュが提供する、ID・暗号化・認可機能の集合。
- セキュアエンクレーブハードウェアで隔離され完全性が保護されたプロセッサまたは SoC 内の領域。機微なコードを動かし、メイン OS の手の届かない場所で鍵を保管する。
- セキュリティ・アズ・コードセキュリティ制御・テスト・インフラをソースコードとして表現し、バージョン管理・レビュー・自動化のうえアプリと一緒に継続的に配送する実践。
- テナント分離共有クラウドや SaaS プラットフォームで、あるテナントのデータ・ID・ワークロードに別のテナントがアクセスしたり影響を与えたりできないようにする統制群。
- ポリシー・アズ・コードセキュリティ・コンプライアンス・ガバナンスのルールを機械可読なコードとして定義し、バージョン管理・テスト・レビュー・自動適用できるようにする実践。
- ワークロード IDサービス・コンテナ・関数に割り当てられる暗号的 ID で、長期間の共有シークレットなしに他システムへ認証するために使われる。
- 責任共有モデルクラウド事業者(クラウドそのもののセキュリティ)と顧客(クラウド上のセキュリティ)で責務を分担する、クラウドセキュリティの基本枠組み。