「生体認証システムの導入・運用事例集」及び「バイオメトリクス・セキュリティ評価に関する研究会 調査報告書」:IPA 独立行政法人 情報処理推進機構
独立行政法人情報処理推進機構(略称:IPA、理事長:西垣 浩司)は、生体認証システムの適切な運用と管理、利用等を促進するため、「生体認証システムの導入・運用事例集」を含む「バイオメトリクス・セキュリティ評価に関する研究会 調査報告書」をとりまとめ、2008年8月25日(月)より、IPAのウェブサイトで公開しました。 本報告書は、「バイオメトリクス・セキュリティ評価に関する研究会」(座長:小松 尚久 早稲田大学教授、以下「研究会」)において、昨年10月から行われた検討の成果です。 近年、生体の特徴(指紋、顔、静脈、虹彩等)を利用した、生態認証システムが急速に普及し、銀行ATM(現金自動預け払い機)をはじめとした様々な場所で用いられています。このため、生体認証システムの運用・管理の正しい理解を深め、適切な利用の促進が重要となってきました。 そこでIPAは、研究会において生体認証システムを導入・
OpenID Provider のセキュリティ対策 (2) - return_to と realm のチェックを怠るな! - 日向夏特殊応援部隊
OpenID Provider のセキュリティ対策 (1) - まずは SSL を導入!話はそれからだ - Yet Another Hackadelicの続編です。 はじめに RP が認証アサーションリクエストである checkid_setup/checkid_immediate を行う際には通常は return_to と realm を指定します。 return_to とは OP から認証アサーションレスポンスを間接通信で受け取る際に戻って来るURLの事。RP が指定しておく。 realm とは return_to のパターンをワイルドカードを使って表現する。 return_to と realm の検証 基本的に return_to の先は http://openid.art-code.org/handler であるという前提で。便宜上番号振りました。 (1) 期待通りの組合せ real
OpenIDとプライバシー - snippets from shinichitomita’s journal
最近ずいぶんフィード消化してませんでした。で、久しぶりに見てみたら、こんな話がZIGOROuさんとこに。 Web+DBのOrenID特集を読みました。、教えて欲しい疑問点があります。素人なので初歩的な疑問点で申し訳ありませんが、よろしくお願い致します。 今、携帯電話の契約者固有IDのプライバシーの懸念が問題になっています。http://takagi-hiromitsu.jp/diary/20080710.html 問題点を以下に要約しますと、 a サイトで住所氏名Eメールアドレス等の個人特定情報を入力することによって、その個人特定情報と契約者固有ID(iモードID等)とが紐付けられ、ネット上での行動履歴情報が契約者固有IDを手掛かりに収集され(名寄せされ)、その収集情報と個人とが結び付けられる。 b 収集情報と個人とを結び付けた情報(以下「個人特定型ライフログ」という)が、悪徳業者の手に渡
[mixi] mixi OpenID
mixi OpenIDはオープンな認証技術であるOpenIDとSNS『mixi』を組み合わせた、mixiの認証サービスです。 mixiユーザーのみなさんは世界中の10,000以上のOpenID対応サイトを、mixiのIDだけで利用できます。さらに、外部のブログや動画共有サイトなどでも、mixiと同じように「友人まで公開」といった公開範囲を設定できるようになります。 OpenIDってなに? OpenIDは、共通のユーザーIDを複数のウェブサービスで使えるようにする技術です。OpenID対応サイト(OpenID プロバイダ)で一度IDを取得すれば、他の対応サイト(Relying Party)上で新規ユーザー登録することなく、同じIDでログインできるようになります。この技術により、ユーザーはIDを複数使い分ける必要がなく、個人情報の管理が容易になります。またインターネット事業者は、他の対応サイト
速報、1500万人が使える mixi OpenID の技術面を解説するでござるの巻 - Yet Another Hackadelic
と言う訳でついに来ましたね。 http://mixi.jp/openid.pl mixi OpenID << mixi Developer Center (ミクシィ デベロッパーセンター) 中の人、お疲れ様でした。 実はさっきまで mixi に行って技術的な意見交換などしてきました。mixi OpenID の技術的な側面なんかを簡単に紹介したいと思います。 ミクシィ認証 これは普通の OpenID Provider の挙動と同じです。僕のアカウントは http://mixi.jp/show_profile.pl?id=29704 なので僕の OP Local Identifier は、 https://id.mixi.jp/29704ここでお気づきの方も居るかと思いますが、OP Local Identifier 自体も https で提供されています。さて最初の html の内容を確認して
アクセス権は業務上の必要範囲に制限しなければならない
PCI DSSは,クレジットカードのカード情報および取引情報を保護するために,六つの目的と,それに関する12個のデータ・セキュリティ要件を定めている。各要件には,各要求事項を実現するための詳細な管理策が規定されている。今回は要件7,要件8,要件9の概要について述べる。この三つの要件は「アクセス制御」を目的とし,その目的を実現するためにそれぞれ,「アクセス制御」「アカウント管理」「物理アクセス」を定めている。 要件7 カード会員データへのアクセスを業務上の必要範囲内に制限すること 要件8 コンピュータにアクセスする利用者毎に個別のID を割り当てること 要件9 カード会員データへの物理的アクセスを制限すること ここでは「最小権限の原則」(「知る必要性」「Need to Know」と呼ばれる場合もある)を要求している。最小権限の原則とは「任命された業務を遂行するために必要な最小限のアクセス権の
第3回:パスワードの決まりが厳しすぎる
あなたの会社の「エンドユーザー」は,自社のセキュリティ対策に様々な不満や疑問を抱えている。エンドユーザーの声に,情報システム部門はどのように応えていけば良いだろうか。セキュリティ・コンサルタントの濱本常義氏と共に,その答えを考えてみよう。 エンドユーザーの不満 (不満その1) 私の職場では,三カ月に一度,パソコンのログイン・パスワードを変更する決まりがあります。一度設定した番号は再度使えないし,誕生日や電話番号など見破られやすいものも禁止。情報管理の担当者が毎回チェックに回るため,手を抜けません。最近は次第に覚えやすいパスワードがなくなってきて,困っています。 (不満その2) 我が社では,パスワードを求められる回数がとにかく多いことが不満です。パソコンにログインするときはもちろんのこと,どのソフトを使うにも,起動時に毎回パスワードを入力しなくてはなりません。ある程度の対策は必要ですが,ここ
日本経済新聞掲載の「DNSサーバ重大欠陥」に関する記事について - JPNIC
2008年8月22日 各位 社団法人日本ネットワークインフォメーションセンター 日本経済新聞掲載の「DNSサーバ重大欠陥」 に関する記事について 本日(2008年8月22日)、 インターネットの基幹インフラである DNSサーバに欠陥が見つかったという日本経済新聞による報道がありました。 報道によれば、DNSに新たに欠陥が見つかったとされていますが、 この脆弱性自体はDNSキャッシュポイズニング※1 として以前より存在が明らかになっています。 今回見つかったのは、その脆弱性を、より効率的に攻撃する手法です。 また、この攻撃に対しては、 DNSに適切なパッチをあてることで攻撃の成功率を下げることができるとともに、 DNSSEC※2を利用することで回避することが可能です。 当センターでは、 有限責任中間法人JPCERTコーディネーションセンター(JPCERT/CC) からの要請を受け、 株式会社
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
システム管理基準追補版(財務報告に係るIT統制ガイダンス)
http://blogs.sun.com/marginNotes/entry/opends_inside