RSS_Virtulization

폴란드 회사 클론 로보틱스(Clone Robotics)가 합성 근육과 206개의 폴리머 골격으로 구성된 인간형 로봇인 프로토클론을 공개했다. 아래의 유튜브 영상은 프로토클론이 합성 근육을 사용하여 움직이는 모습을 보여준다. 500와트 전기 펌프를 심장으로, 4개의 카메라를 눈으로 가진 프로토클론은 320개의 압력 감지 센서와 70개의 관성 센서를 가지고 있다. 또 200도 이상의 자유도를 가진 1,000개의 근섬유 ‘근육’의 과열을 막기 위해 수분 기반의 생체 모방 냉각 시스템을 사용한다. 단 인공 근육을 이용해 인간과 유사한 걸음걸이를 보여주지만 안면 부위는 인간과 전혀 다른 상태로…

È qui che le PMI italiane possono crescere. Secondo il più recente Osservatorio Innovazione Digitale nelle PMI del Politecnico di Milano, almeno il 60% delle nostre piccole e medie imprese ritiene la formazione una priorità, sia per la transizione digitale sia per quella green. Ma il 37% non dispone di una programmazione delle attività formative e il 19% le programma ogni due o tre anni. Inoltre, per migliorare le competenze interne, il 30% delle PMI non…

앤트로픽은 새 모델과 별개로 이를 활용하는 커맨드 라인 도구 ‘클로드 코드(Claude Code)’를 출시했다. 클로드 코드는 전반적인 코딩 및 프론트엔드 웹 개발에 최적화되어 있으며, 개발자는 이 도구로 터미널에서 직접 클로드에게 복잡한 엔지니어링 작업을 지시할 수 있다. 단 클로드 코드는 아직 베타 단계로 사전 신청한 사용자에 한해 이용할 수 있다. 앤트로픽에 따르면, 클로드 3.7 소넷 버전은 높은 코딩 능력을 갖추어 코그니션, 버셀, 레플릿, 캔바 등 주요 고객사 평가에서 복잡한 코드베이스 처리, 코드 변경 계획, 풀스택 업데이트, 복잡한…

지침에 따르면, 호주 정부 기관은 오는 4월 1일까지 모든 정부 시스템과 기기에서 카스퍼스키랩 제품과 웹서비스의 모든 기존 인스턴스를 식별하고 제거해야 한다. 또한 카스퍼스키랩의 설치를 방지하고 내무부의 연방 보안 정책 부서에 작업을 완료했음을 보고해야 한다. 이번 조치는 2024년 6월 미국이 취한 조치와 유사하다. 당시 미국은 카스퍼스키의 소프트웨어 및 제품 판매를 금지했으며, 이미 사용 중인 제품에 대한 업데이트 발행도 중지시켰다. 카스퍼스키는 성명을 통해 이번 결정이 유감스럽다고 밝혔다. 카스퍼스키는 “이번 결정이 현재의 지정학적 상황에서 비롯됐으며, 당사가 지속적으로 요청해…

CSO는 바이비트에 추가 질문을 보냈으나, 기사 작성 시점까지 공식적인 응답을 받지 못했다. 그러나 바이비트는 공식 발표에서 블록체인 포렌식 전문가들과 협력해 도난당한 자금을 추적하고 있으며, 문제 해결을 위해 최선을 다하고 있다고 전했다. 현재 거래소의 서비스 및 출금은 정상적으로 운영되고 있으며, 거래 상품, 카드 서비스, P2P 거래 등도 문제없이 이용 가능하다. 폰티롤리는 “이번 사건은 암호화폐 산업이 직면한 지속적인 보안 문제를 여실히 보여준다”라며, “점점 정교해지는 사이버 공격에 대비해 보안 체계를 강화할 필요가 있다”라고 밝혔다. 그는 “이번 사건은 암호화폐…

急増するクラウドサービス クラウドサービスを導入する企業は年々、増加している。総務省の令和5年通信利用動向調査によると、「クラウドシステムの利用状況」は増加傾向にあり、2023年8月時点では77.8％の企業で利用されていることが明らかになった。 中でも「日本のパブリッククラウドサービス市場は、高い成長率を遂げ、日本のPaaS（Platform as a Service）市場、IaaS（Infrastructure as a Service）市場では、大手クラウドサービス（AWS（Amazon）、Azure（Microsoft）、GCP（Google））の利用率の高さが際立っている」（総務省の「令和6年（2024年）度版情報通信白書」）という。 クラウドサービスのセキュリティに詳しいCloudbaseのソフトウェアエンジニア、宮川竜太朗氏は次にように語る。 「AWS、Microsoft Azure、Google Cloudをはじめとした日本のパブリッククラウドの国内市場規模は2兆円を超え、今も急速に拡大を続けています。日本の大企業においても9割以上が何かしらの形で全社的にクラウドを導入しています」 2021年には1.7兆円だったパブリッククラウドの市場規模が2026年には5.1兆円に拡大していくと見られている。 「パブリッククラウドプロバイダーは、巨額の投資を行い、最新のセキュリティ技術を導入しています。24時間365日の監視を行い、脅威を早期に検知し、迅速に対応することができる。だからオンプレミスに比べてパブリッククラウドのセキュリティは堅牢なのです」（宮川氏） パブリッククラウドはプロバイダーと利用者の責任共有モデル ここで気になるのはセキュリティ面でのオンプレミスとパブリッククラウドの違いだ。 オンプレミスは、利用者（企業側）が全てのセキュリティ対策を自ら設定、管理、運用する仕組みだ。 一方でパブリッククラウドは、「責任共有モデル」が主流となっている。これは、パブリッククラウドサービスプロバイダー（PCSP）とクラウドサービスの利用者がそれぞれの責任を持ってセキュリティを確保するモデルだ。 PCSPはサービスを提供するために必要なデータセンターや物理的なハードウェア、仮想化を実現するための仕組みといったインフラストラクチャを保護することが求められ、一方で利用者はインフラストラクチャ上のオペレーティングシステム、アプリケーション、データの管理などが求められる。 PCSPサイドから見てみると、データセンターは高いセキュリティ基準を満たしている。これには物理的なセキュリティ、ネットワークセキュリティ、データ暗号化などが含まれている。 さらに、冗長性と可用性を高めるための設計がなされ、データは複数の地域に分散したデータセンターで管理されている。1つのデータセンターがダウンした場合でも、データやサービスの継続が可能だ。 クラウドプロバイダーは継続的にシステムの更新とパッチ適用を行い、最新のセキュリティリスクに対応している。これにより、システムは常に最新の状態で運用されるため、セキュリティ上の脆弱性が最小限に抑えられている。 ランサムウェアはシステムに侵入すると、サーバーに長期間滞在しながら脆弱性を探しながら感染を拡大していくが、クラウドネイティブ（クラウド環境を「前提」として設計され、クラウドの特性を最大限に活かしていくためのアプリケーション開発手法）を推進する大手のパブリッククラウドでは、定期的にサーバー内の新陳代謝が行われ、脆弱性をなくし、マルウェアも駆除される。 「サイバー攻撃によってパブリッククラウドから直接、情報が漏えいするとは、なかなか考えにくい。自社でセキュリティにあまり投資できてない会社は、パブリッククラウドを使った方が安全なのではないかと思います」（宮川氏） バブリッククラウドの弱点は利用者サイド しかしパブリッククラウドといえど万全ではない。それは利用者サイドの問題だ。 「ハッカーがMicrosoft Azure やAWSなどパブリッククラウドのデータベースに直接攻撃を仕掛けるということは考えにくい。しかし利用している人が、データを呼び出している過程で何かしらの瑕疵があれば話は別です。簡単に言うと『公開してはいけないものを公開した状態で置いていて、攻撃者に見つかって、流出してしまった』というパターンがほとんどです。そこを防ごうと思ったら、クラウドのやり方をしっかり理解し、そのようなミスが起こらないようにしていくということが大前提です」（宮川氏） 例えばAmazonS3「Amazon Simple Storage Service」というAWSストレージサービスがある。データをオブジェクト単位で取り扱うオブジェクトストレージで、容量制限がないことやデータアクセスに関する利便性の高さが評価され、急激にシェアを伸ばしているものだ。 「S3は本来であればサーバーから写真などのデータをやり取りしたときの保管をするために使っているのですが、設定によってはストレージを全世界に公開することができます。ここに免許証などを保管し、誤って公開状態にしてしまうと、個人情報の漏洩が起こる恐れがあります。最短数クリックで情報にたどり着けることもあります。クラウドは、全世界に公開する設定が簡単にできてしまう。オンプレミスであれば、物理的なマシンを操作して設定画面を変更しなければ、そのようなことは起こりません」（宮川氏） 実際セキュリティインシデントも起こっている。2017年7月12日、米通信大手のVerizonのS3が設定ミスによりデータ漏洩が起こっている。誤ったアクセス権の設定により、S3バケット内のデータが不正にアクセスを受けて、外部に漏洩した。セキュリティ設定が適切に行われていればこうした問題は起こらなかったわけだ。 「わかりやすいクラウドの事故としては、間違って公開されていたというケースが結構多い。最近はさすがに減ってはきていますが、これまで何度もそうした事故がありました。少し前の話になりますが、設定ミスで情報がインターネットに公開され、Google検索で検出できるようになっていたケースがありました。例えばとあるイベントへ応募したときに入力した住所がExcelに記載され、そのファイルがそのままGoogle検索にヒットした、というようなケースです」（宮川氏） トヨタコネクティッドは2023年5月、データの一部が公開状態になっていたことを明らかにした。 トヨタコネクティッドが管理する顧客約215万人分のデータが誤ってインターネット上で外部に10年近く、閲覧できる状態になっていたのだという。 対象となった情報は2012年から2023年にかけて契約した顧客の車両番号や位置情報などで、同社が設定を誤ったのが原因だという。 クラウド上でのデータ取り扱いの点検過程で判明した。同社は再発防止策としてクラウドの設定を監査するシステムを導入し、運用を監視する仕組みを取り入れている。 アクセス権限の流出が大きなリスクに クラウドのアクセス権限の流出などがあれば、情報漏洩や不正アクセスの原因となる。 クラウドへのアクセス権限を持っていれば、普通にクリックするだけで、個人情報が含まれたファイルをインターネット上に公開することができるからだ。そうした情報はマルウェアやランサムウェアに狙われる。 三菱電機では2020年11月16日、従業員のクラウドアクセス用アカウント情報が窃取され、クラウドサービス上の企業機密データが大量に流出する事態が発生した。 攻撃者は三菱電機の中国子会社に不正アクセスし、従業員のアカウント情報を窃取。この情報を使って、グループ全体で利用しているMicrosoftのクラウドサービス「Office 365（現Microsoft365）」に不正ログインを行い、保存された国内取引先の金融機関の口座151件（取引先の名称や住所、電話番号、代表者、金融機関、口座番号、口座名義など）や国内取引先の個人情報964件を入手したものと見られる。 三菱電機グループではOffice 365を活用していたため、一度不正ログインが成功すれば、各社が保存していた機密データにアクセス可能な状態にあった。クラウドサービスのセキュリティ管理が不十分であったことが、この重大な事故につながった。 「パブリッククラウドの情報漏えいという場合、自社のミスが原因であるケースが多いと思います。ランサムウェアの侵入など個人端末が一番狙われやすかった。その行き先がクラウドなのか、オンプレミスなのかは関係ありません」（宮川氏） 中でもAWSリソースへのアクセス権限を管理するためのサービスであるIAM（アイアム「Identity and Access Management」（アイデンティティ管理とアクセス管理）の認証情報流出は不正アクセスの温床となってしまう。 「IAMはログイン情報のようなものです。ログイン情報を持っていたら、基本的にどこの誰でも操作ができてしまう強いアクセス権限なんですが、その認証情報が漏れてしまうと不正アクセスの温床になってしまいます。オンプレミスだと、データセンターの入館用のICカードが盗用されたようなケースを想像していただければいいと思いますが、そんなことは通常考えにくい。ところが、クラウドだと比較的起こりやすく、そのデータが漏れてしまうと、クラウドを簡単に操作できるので、ビットコインのマイニングのために、サーバーをたくさん立てられて、発掘されるなんてことが起こり得ますし、データを簡単に見られるので、そのまま情報を抜かれるリスクもあります」（宮川氏） どのように対策を講じればいいのか ではパブリッククラウドでのセキュリティはどのようなことを考えなければならないのだろうか。 第一に、PCSPとユーザーの責任の範囲を定めた「責任分解点」をしっかりと理解することが求められる。クラウドサービスは、ソフトウェアアプリケーションをインターネット経由で提供する「SaaS（Software as a Service）」、アプリケーションの開発、実行、管理に必要なプラットフォームを提供する「PaaS（Platform as a Service）」、ネットワーク、ストレージ、サーバーなどのインフラストラクチャを提供する「IaaS（Infrastructure as a Service）」の3つのサービスに分類される。 SaaSではPCSP側はアプリケーション、ミドルウェア、OS、仮想環境、ハードウェア、ネットワーク、施設・電源を管理し、ユーザー側が管理するのはデータのみ。PaaSはデータとアプリケーションをユーザー側が管理し、残りはPCSP側が管理することになる。IaaSならユーザーはデータ、アプリケーション以外にもミドルウェア、OSまで管理しなければならない。 つまりSaaSならユーザーはメールサービスや顧客管理ソフトのデータ管理だけをしていればいいだけだが、PaaSならバックアップやデータ暗号化、ファイヤーウォールなど事業者が提供するセキュリティを正しく理解して設定する必要が生まれる。 IaaSは仮想環境やハードウェアなどの管理・責任を事業者が担い、仮想環境上で作動しているOSを含めたすべてのソフトウェアの管理をユーザーが行わなければならないため、アプリケーションやOSの障害対応や、ミドルウェアへのパッチ対応や脆弱性対応なども企業側の責任となる。 ユーザー側はこうしたすみわけをしっかりと理解し、セキュリティ対応に臨まなければならない。 さらに専門家の活用も有効だという。 「クラウドサービスはAPI（Application Programming Interface）で管理できます。そのため、内部の構成などを全部サードパーティ製品で管理することもできます。オンプレミスは、構成図を手書きでチェックしたり、PowerPointで書いたものをチェックしたりするぐらいしかできません。そうしたやり方では、本当に正しく設定されているのかどうかを外部から管理するのが難しいのです」（宮川氏）…

With more than 80,000 employees and serving more than 75% of the Fortune 100 and customers in more than 60 countries, Kyndryl is uniquely qualified to speak to the rapidly evolving infrastructure needs of enterprises. It’s a reality David Simpson, senior vice president of Cloud Practice growth at Kyndryl, knows well. “At Kyndryl, we have a long and extensive track record of designing, building, managing, and modernizing the complex, mission-critical information systems organizations around the…

A critical security vulnerability in Essential Addons for Elementor has been identified, potentially impacting over two million WordPress websites. The flaw, a reflected cross-site scripting (XSS) vulnerability, was discovered due to insufficient validation of the popup-selector query argument, allowing malicious scripts to be executed. The issue, tracked with CVE-2025-24752, was first uncovered by Patchstack Alliance researcher xssium on September 30, 2024. After notifying the plugin vendor, a fix was implemented in version 6.0.15. Understanding the Vulnerability…