Googleは2023年5月に、パスワードではなく顔や指紋などの生体情報やPINでアカウント認証を可能にする「パスキー」に対応しました。そして、2023年10月10日から、個人のGoogleアカウントでパスキーをデフォルトオプションとして提供することを発表しました。 Passkeys are now enabled by default for Google users https://blog.google/technology/safety-security/passkeys-default-google-accounts/ パスキーは、パスワードレス認証技術「FIDO」を推進するFIDOアライアンスとウェブ技術の標準化団体であるW3Cが共同で定めたパスワードレス認証技術です。認証資格情報をクラウド経由で同期し、スマートフォンの顔認証や指紋認証でアカウント認証を進めることができます。A
多くの日本企業でセキュリティ被害が増えている昨今、企業や組織はどう対応していくべきなのか。イー・ガーディアングループCISO 兼 EGセキュアソリューションズ取締役CTOである徳丸浩氏が、日本の「セキュリティのイマ」をわかりやすく徹底解説する連載企画第7弾。今回のテーマは「実は今も昔も変わらないセキュリティの原則、ベンダーを頼る前に行うべき5つのこと」です。EDRやゼロトラストといった、近年生まれたセキュリティワードを用いたソリューションが増えている昨今ですが、それでもセキュリティ被害は後を絶ちません。徳丸氏はこれに関して、EDRやゼロトラストといった言葉が生まれる以前から、そういった考え方やセキュリティ対策はあったと指摘し、新たなソリューションに頼る以前に古来から続く原則的な対策が重要だと説きます。そこで今回は、本質的なセキュリティ強化のポイントについて詳しく解説します。 はい、対策の話
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます TXOne Networks Japanは10月5日、産業制御システム(OT)向けのセキュリティ脅威・対応のコンセプト「サイバーフィジカルシステム ディテクション & レスポンス(CPSDR)」と、これに基づくセキュリティ製品を発表した。 同社は、工場や重要インフラなどのOTシステムに特化したサイバーセキュリティソリューションを手掛けるトレンドマイクロと台湾Moxaとの合弁企業。日本では2022年8月から事業を展開している。 今回発表したCPSDRは、ITシステムで提供されている脅威検知・対応のEDR(エンドポイント向け)やNDR(ネットワーク向け)、XDR(拡張型脅威検知・対応)などの目的や機能などをOTシステムでも実現するものになる
複数のブラウザが実装している画像処理ライブラリに脆弱性「CVE-2023-5217」が明らかとなった問題で、脆弱性の悪用が確認されていることから米政府が注意喚起を行った。 ライブラリ「libvpx」において動画コーデック「vp8」の処理に脆弱性「CVE-2023-5217」が明らかとなったもの。 「Chrome」を標的としたゼロデイ攻撃が確認されており、Googleでは同ブラウザのアップデートをリリースした。「CVE-2023-5217」の判明を受けて、「Microsoft Edge」や「Firefox」なども更新を実施している。 脆弱性の悪用が発生していることから、米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)では、「悪用が確認された脆弱性カタログ(KEV)」に同脆弱性を追加し、関係者に対応を促した。 同リストに追加された脆弱性は、米行政機関において一定期間内に対応
WS_FTPの脆弱性、悪用の試み始まった可能性 PoCも公開済みMOVEitの提供元としても知られるプログレス・ソフトウェアは9月27日、ファイル転送ツール「WS_FTP Server」の脆弱性8件のパッチをリリースしたが、研究者は早くも9月30日に「大量悪用の可能性がある活動」を観測したという。研究者は8件のうちどの脆弱性が悪用の対象となった恐れがあるのかを明言していないが、CVE-20233-40044に関しては開示から2日後にPoCコードが出回り始めていたとされる。 WS_FTPの脆弱性、2件は「Critical」:CVE-2023-40044、CVE-2023-426579月27日にセキュリティアドバイザリの公開とともにパッチがリリースされた脆弱性8件のうち、CVE-2023-40044とCVE-2023-42657はCVSSスコアがそれぞれ10、9.9と高く、深刻度は「Criti
ritouです。 サービス、ブラウザ、OSそれぞれのパスキー対応が日々進んでいます。 その中で、パスキーを利用してみて認証要素についてふと考えてしまう人がいるでしょう。 パスキー簡単!けどこれ指紋認証だけ?弱くなってない? SMS OTPを2FAに設定し、パスワードマネージャーも使ってたから使い勝手はあまり変わらない。むしろSMS OTPがないぶんだけ弱くなった? この辺りについて整理します。 認証要素というと、次の3つです。 SYK: Something You Know. パスワード、PIN SYH: Something You Have. 認証アプリ、TOTP生成アプリ、バックアップコード、 SYA: Something You Are. 生体認証 前にこんな記事を書きました。 この内容を説明すると、「うん、わかってる」って人は多いです。 でも、実際に使ってみると心許なく感じたりする
66%の組織には専任部門がない。48%の組織ではSOC(セキュリティオペレーションセンター)やCSIRT(Computer Security Incident Response Team)、セキュリティ専任者、専任部門の全てが存在しない 58%の組織でセキュリティインシデント発生時の対応計画とインシデント対応計画に対応する体制が確立できていない。88%の組織はセキュリティ人材を十分に確保できていない 92%の組織はセキュリティインシデント対応の体制面について「不安だ」と回答し、92%の組織が「組織内のセキュリティ教育が不安だ」と回答している。96%の組織は社内のセキュリティ人材を十分に確保できていないことに不安や悩みを抱えている 90%の回答者はXDRを「知っている」と回答したが、EDR(Endpoint Detection and Response)との違いを「説明できる」と回答した人は
国立研究開発法人情報通信研究機構(NICT(エヌアイシーティー)、理事長: 徳田 英幸)サイバーセキュリティネクサスは、日本のサイバーセキュリティ分野における産学官の結節点となることを目指して2021年4月に設立され、各種活動の準備を進めてきました。この度、国内の産学官の組織が参画する“CYNEXアライアンス”を発足し、CYNEXの活動を本格始動しました。これにより、国内にサイバーセキュリティの産学官連携拠点を形成し、日本のサイバー攻撃対処能力とセキュリティ自給率の向上を目指します。 本アライアンスの発足を記念して、2023年10月12日(木)に、CYNEXアライアンス発足シンポジウムを東京日本橋のNICTイノベーションセンターで開催します。 日本のサイバーセキュリティ分野は、海外のセキュリティ技術への依存度が高く、コア技術に係るノウハウ・知見を蓄積できないことで研究開発が停滞し、セキュリ
「PDF」を処理するため広く利用されているインタプリタ「Ghostscript」「GhostPDL」に脆弱性が明らかとなった。アップデートにて修正されている。 細工されたドキュメントを処理すると、IJSデバイスによってリモートよりコードを実行されるおそれがある脆弱性「CVE-2023-43115」が明らかとなったもの。 米国立標準技術研究所(NIST)の脆弱性データベース「NVD」において、共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」、重要度は4段階中もっとも高い「クリティカル(Critical)」とレーティングされている。 CVE番号の割り当ては9月18日に行われたが、同脆弱性については9月13日に公開された「同10.02.0」にて修正済みだという。 (Security NEXT - 2023/10/02 ) ツイート PR
2023年9月28日、警視庁は双日の元従業員の男が前職の兼松から営業機密を不正に持ち出したとして不正競争防止法違反の容疑で逮捕したと発表しました。ここでは関連する情報をまとめます。 元同僚から認証情報を聞き出し不正入手か 不正競争防止法違反’(管理侵害行為)の容疑で逮捕されたのは双日元従業員の男。2022年7月16日21時から17日1時5分頃、自宅のPCから男の前職である兼松のデータベースに元同僚の認証情報を使用してログインし、一部の社員しかアクセスのできない3点の営業秘密情報(海外の自動車メーカーとの取引台帳、自動車新製品開発に関連する提案書、採算表)をダウンロードしPCに保存した疑い。男は容疑を否認している。*1 *2 *3 男は前職の兼松で自動車部品の取引部門に所属。転職先の双日でも自動車関連の担当をしていたが、完成車の担当となる取引が多かったことから前職との業務内容は重複していなか
SMS傍受: サイバー攻撃者は携帯通信会社のネットワークの脆弱(ぜいじゃく)性を悪用してSMSのメッセージを傍受できる可能性がある。SMSには暗号化がないため、二要素認証コードやパスワード、クレジットカード番号といった機密情報を含んだSMSのメッセージが盗み見られる可能性がある SMSスプーフィング: サイバー攻撃者はSMSをスプーフィングしてフィッシング攻撃を開始して正当な送信者からのものであるかのように見せかけられる。通信事業者ネットワークは長年にわたってSMSのテキストを独自に展開してきたため、通信事業者間で不正メッセージの特定に役立つレピュテーションシグナルの交換などを実施することができず、悪意あるメッセージの特定が困難になっている サイバー攻撃に対する防御機能の一つに多要素認証(MFA)がある。ここ最近、MFAにおいてSMSを使わないことを推奨するプラクティスが増えている。SMS
1Passwordが、パスワードレスでログインできる業界標準のパスキーへの正式対応を開始。1Passwordがパスキーの認証機器となり、パスキーの生成、保存、管理、パスキーによるサインインが可能になる。 代表的なパスワードマネージャの1つである1Passwordが、パスワードレスでログインできる業界標準のパスキーへの正式対応を開始しました。 1Passwordによって、これまで可能だったパスワードの保存や管理、パスワードによるサインインだけでなく、1Passwordがパスキーの認証機器となり、パスキーの生成、保存、管理、パスキーによるサインインが可能になります。 Ready to unlock the web without passwords? Create, save, and sign in with passkeys using 1Password in the browser a
Hello,World! gonowayです。 弊社がご支援するお客様とお話するなかで、多要素認証のためにIDaaSが提供しているアプリケーション(以降、認証アプリ)を私物モバイル端末にいれていいのか?という疑問に、わたしたちが普段お客様にご案内していることをざっくりまとめてみました。 3行まとめ 現代では外部の不正ログインから守るために多要素認証が必須になってきている。 多要素認証の実現のため、会社モバイル端末であれ私物モバイル端末であれ認証アプリはインストールしてほしい。 私物モバイル端末にインストールしてもらう場合、エンドユーザーへの説明を行うことが必要。また、ガラケーしか持っていないような例外措置への対処を考えることも必要。 前提 認証要素について 認証要素は下記の3種類です。NIST SP800-63を参考にしています。 記憶によるもの:記憶(Something you know
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く