European Identity and Cloud Conference 2024に参加してきました! NRI OSSソリューションマガジン 2024.7.10発行 Vol.211
1.European Identity and Cloud Conference 2024に参加してきました!
European Identity and Cloud Conference 2024(EIC2024)にOpenStandiaのメンバー2名で参加してきました。
EICは欧州で毎年開催されている、デジタルID関連の世界的なカンファレンスです。
今年はドイツのベルリンで2024年6月4日~7日に開催され、1500人以上が参加しました。
参考: EIC 2024 (外部サイト)
https://www.kuppingercole.com/events/eic2024
EIC2024では、分散型ID/ウォレット、認証・認可、IGA、セキュリティの各分野でさまざまなセッションが開催されました。
分散型ID(※1)/ウォレット分野(※2)では、欧州各国の取り組みが大きく紹介されていました。
例えば運転免許証を電子的に偽造不可能な形で発行し、ユーザはお酒の購入時にはお店に20歳以上であることだけを提示し、住所や氏名は非公開とすることが可能になるなど、セキュリティとプライバシーを大きく向上できるようになります。
また、このウォレットを用いて各Webサイトへのログインを行えるようになる仕組みも紹介されており、最初は欧州中心に対応していくものと思われますが、その後世界的に標準的なログイン方式となる可能性も大いにあります。
我々も動向をウォッチし、OpenStandia KAID(※3)での対応を検討するべきと考えております。
認証・認可分野では、パスキー認証(※4)を社内システムに導入した事例が紹介されていました。
我々がご提供しているOpenStandia KAIDでもパスキー認証は対応済みですが、お客様へより良いご提案をするための知見を収集できました。
IGA分野では、AIを活用した権限管理の仕組みや、分散型IDをユーザー登録に活用する方向性が紹介されていました。OpenStandia KAIDでも分散型IDへの対応を動向を見据えながら検討していきたいと思いました。
また、参加者同士の交流でも、多くの方と親交を深められました。特に、認証関連の標準化団体に参加されている方に直接質問や議論ができ、大変有意義な時間を過ごせました。
今後もカンファレンスに参加した時には、その内容を共有していきたいと思いますので、引き続きOpenStandiaをよろしくお願いいたします。
※1 分散型ID:特定の組織・企業下でID情報を集中管理するのではなく、ユーザ各々が自分自身でID情報を管理するID管理方式。
※2 ウォレット:ユーザに対して発行された証明書を安全に管理する仕組み(アプリケーションなど)
※3 OpenStandia KAID:IDを適切に管理・統制し、認証・認可を実現するソリューション
https://openstandia.jp/solution/openstandiakaid/
※4 パスキー認証:従来のFIDO2などの技術を応用した、パスワード認証を置き換えセキュリティとユーザビリティを向上させる新しい認証方式。
2.OSS紹介ページ 今月のアップデート(新規:1件、更新:12件)
(新規)
Argo Workflows (https://openstandia.jp/oss_info/argoworkflow/)
(更新)
Apache Axis (https://openstandia.jp/oss_info/apacheaxis/)
Cassandra (https://openstandia.jp/oss_info/cassandra/)
CentOS (https://openstandia.jp/oss_info/centos/)
ClamAV (https://openstandia.jp/oss_info/clamav/)
Docker (https://openstandia.jp/oss_info/docker/)
Jaspersoft (https://openstandia.jp/oss_info/jaspersoft/)
Keycloak (https://openstandia.jp/oss_info/keycloak/)
sendmail (https://openstandia.jp/oss_info/sendmail/)
Spring Security (https://openstandia.jp/oss_info/spring-security/)
Spring Session (https://openstandia.jp/oss_info/spring-session/)
Squid (https://openstandia.jp/oss_info/squid/)
Vue.js (https://openstandia.jp/oss_info/vuejs/)
3.OSS紹介ページ 今月のアクセスランキングTOP10
オープンソース情報ページ「OpenStandia OSS紹介」のアクセスTOP10をご紹介
↑ 1位 (3位) Keycloak (https://openstandia.jp/oss_info/keycloak/)
↑ 2位 (5位) Apache HTTP Server (https://openstandia.jp/oss_info/apache/)
↓ 3位 (1位) PHP (https://openstandia.jp/oss_info/php/)
↓ 4位 (2位) Apache Tomcat (https://openstandia.jp/oss_info/tomcat/)
↓ 5位 (4位) PostgreSQL (https://openstandia.jp/oss_info/postgresql/)
→ 6位 (6位) MySQL (https://openstandia.jp/oss_info/mysql/)
→ 7位 (7位) Nginx (https://openstandia.jp/oss_info/nginx/)
→ 8位 (8位) Spring Framework (https://openstandia.jp/oss_info/spring/)
↑ 9位 (ランク外) Red Hat Enterprise Linux (https://openstandia.jp/oss_info/redhatenterpriselinux/)
↓ 10位 (9位) Rocky Linux (https://openstandia.jp/oss_info/rocky-linux/)
※( )内は前月の順位
◆OSS総合情報ページ「OpenStandia OSS紹介」はこちら
https://openstandia.jp/oss_info/
4.今月注目のバグ&セキュリティ情報
【Node.js-ws】 多数の HTTP ヘッダーを持つリクエストを処理する際の DoS
ws は、Node.js 用のオープンソースの WebSocket クライアントおよびサーバーです。
server.maxHeadersCount 閾値を超えるヘッダー数を持つリクエストは、ws サーバーをクラッシュさせるために使用される可能性があります。
この脆弱性は ws@8.17.1 (e55e510) で修正され、ws@7.5.10 (22c2876)、ws@6.2.3 (eeb76d3)、および ws@5.2.4 (4abd8f6) にバックポートされました。
脆弱なバージョンの ws では、次の方法で問題を軽減できます。
1. --max-http-header-size=size および/または maxHeaderSize オプションを使用して、リクエストヘッダーの最大許容長を減らし、server.maxHeadersCount 制限を超えるヘッダーが送信されないようにします。
2. 制限が適用されないように server.maxHeadersCount を 0 に設定します。
本脆弱性の影響を受ける環境は下記となります。
・Red Hat Enterprise Linux 9
ceph(*)
dotnet6.0(*)
dotnet7.0(*)
dotnet8.0(*)
gjs(*)
polkit(*)
*詳細バージョンについては、Red Hat 社の今後のアナウンスをご確認ください。
関連情報
・National Vulnerability Database
https://nvd.nist.gov/vuln/detail/CVE-2024-37890
・Common Vulnerabilities and Exposures (CVE)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-37890
◆OpenStandiaオープンソース年間サポートサービスのご紹介
https://openstandia.jp/services/