ITmedia Security Week 2022 秋 コロナ禍と新冷戦でサイバー攻撃も激化「新常態」でもブレないサイバーセキュリティ対策の基本
ウィズコロナ、そして新たな冷戦という「新常態」では、ビジネスのデジタルへの依存度はますます高まり、脅威も高まっていきますが、企業が打つことができるサイバーセキュリティ対策の基本は変わりません。自社のリスクを洗い出し、防止策を打つとともに、事件・事故が起こった際にはその影響を最小限に抑え、いち早く回復させるためには、どうすればいいのでしょうか。 ITmedia Security Week 2022 秋では、急ぎ対応してきたコロナ禍のサイバーセキュリティ対策を再点検するとともに、DXのアクセルをさらに踏み込んでいく上で、これからの対策はどうあるべきか、より実戦的で投資対効果の高いセキュリティ対策とは何か、について議論していきます。 開催概要 名称ITmedia Security Week 2022 秋 ~コロナ禍と新冷戦でサイバー攻撃も激化「新常態」でもブレないサイバーセキュリティ対策の基本~
正規のユーザーになりすました不正アクセスが後を絶たない。攻撃者はフィッシング詐欺などでユーザーのIDとパスワードを盗み、それを使ってクラウドサービスや企業ネットワークなどにログインする。このような不正アクセスを防ぐのに有効な対策の1つが「多要素認証」だ。多要素認証とは、ユーザーの認証時に複数の情報(認証要素)を使う方法である。例えば、パスワードとスマートフォンの認証アプリを使う方法があり、多
多要素認証は、ユーザがシステムへのアクセスを許可する際に、複数の要素を組み合わせて認証するセキュリティ手法です。 認証は、以下3つのタイプの要素があります: 要 素 認証方式の例 記 憶 パスワード認証/暗証番号(PINコード)等 所 持 端末認証/ICカード認証 等 属 性 生体認証(指紋認証/顔認証 等) 多要素認証は、1つだけの認証より、セキュリティを高めることができます。例えば、パスワードを知っているだけではアクセスできないよう、さらにスマートフォンで生成されたワンタイムパスコードを要求するなどです。 これにより、不正アクセスを困難にし、セキュリティを強化することができます。 2要素認証に該当するものはどれか。 ア 2本の指の指紋で認証する。 イ 虹彩とパスワードで認証する。 ウ 異なる2種類の特殊文字を混ぜたパスワードで認証する。 エ 異なる2つのパスワードで認証する。 ~「基本
Roblox - Wikipedia
Roblox(ロブロックス)は、ユーザーがゲームを作成、共有し、他のユーザーが作成したゲームをプレイできるオンラインゲーミングプラットフォームおよびゲーム作成システム。2004年にデイビット・バシュッキとEric Cassel(エリック・カッセル)が開発し、2006年にリリースされた。このプラットフォームは、プログラミング言語のLuaでコード化された様々なジャンルのユーザー作成ゲームを管理できる。 Robloxはサービス開始以来、長らくプラットフォームとしても会社としても比較的小規模だった。しかし、2010年代後半に急速に成長し始め、さらにCOVID-19パンデミックがこの成長を助長した[2][3]。 基本は無料でプレイでき、ゲーム内購入は「Robux(ロバックス)」と呼ばれる仮想通貨を通じて利用できる。2020年8月の時点で、月間のアクティブユーザー数は1億6400万人を超えており、米国
PowerPoint Presentation
© 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS 公式 Webinar https://amzn.to/JPWebinar 過去資料 https://amzn.to/JPArchive Solutions Architect 辻 義一 2020/06/30 Amazon Cognito サービスカットシリーズ [AWS Black Belt Online Seminar] © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 自己紹介 辻 義一(つ
こんにちは、Azure & Identity サポート チームの長谷川です。 Microsoft Entra 条件付きアクセスは、Microsoft Entra ID が提供する主要機能であり、非常に多くのお客様にご利用いただいています。一方で、条件付きアクセスについて誤解されている方が意外と多いと感じており、弊社サポートにはこの誤解により生じる問題や質問が多く寄せられます。 そこで本記事では、条件付きアクセスとはどういったものであるか、またどのようなコンセプトで提供されているかをイメージできるような情報をお届けします。後半では簡単なシナリオをベースに条件付きアクセスの動作を説明していきますので、本記事が条件付きアクセスへの理解の助けとなればうれしく思います。 条件付きアクセスとはどんな機能か条件付きアクセスを一言でいうと、Microsoft 365 のサービスや Salesforce な
国際的ハッカーグループの「LAPSUS$」は、NVIDIAやSamsung、Microsoftといった企業にハッキングを仕掛けたことで知られ、2022年1月には企業向けのアクセス管理サービスを提供するOktaにハッキングを仕掛けたことも判明しています。Oktaの対応については、「被害を軽視している」といった非難も寄せられていましたが、ついにOktaがこの件に関して最終的な調査結果を報告しました。 Okta Concludes its Investigation Into the January 2022 Compromise | Okta https://www.okta.com/blog/2022/04/okta-concludes-its-investigation-into-the-january-2022-compromise/ Okta says Lapsus$ breach l
どうも、temmaです。プログラミングを始めて3ヶ月で、何故かセキュリティ・キャンプ全国大会2019の応募に受かったので、5日間受講してどう感じたかを書きます。 セキュリティキャンプとは 参加まで Day 0 (開会式前日) Day 1 (開会式 + 全体講義) 開会式 特別講演(倫理)「転ばぬ先の法律入門(サイバー空間編)」 セキュリティ基礎 夕食+LT大会 グループワーク 就寝!!! Day 2 (必修講義) 健康起床(a.m.6:00) "B1~3: クラウド時代における大規模分散Webシステムの信頼性制御" 夕食 就寝!!! Day 3 (選択講義) "B4 認証の課題とID連携の実装" "B5 体系的に学ぶモダン Web セキュリティ" 夕食 就寝!!! Day 4 (選択講義) "B6 つくって学ぶ、インターネットのアーキテクチャと運用" "B7 ユーザー企業における情報システ
クラウドでのセキュリティー事故を防ぐために企業は何に注意すべきか。ユーザーID管理や設定管理、セキュリティー運用など、今すぐ点検すべき12項目をまとめた。 「ボタン1つですぐに設定できるクラウドは、1つのミスが大きな事故につながる」。サイバーセキュリティーに詳しい立命館大学の上原哲太郎教授は、クラウドを利用する上での「怖さ」をこう強調する。 クラウドを活用するメリットとして、システム開発をスピードアップできる点がある。しかし裏を返せば、クラウドでは設定を誤ると、重要なデータなどが超高速で危険な状態にさらされてしまうことを意味する。オンプレミスよりも便利である一方、クラウドならではの怖さがあるわけだ。 そこで今回、日経クロステックは上原教授の指摘の下、クラウドセキュリティーに関してユーザー企業が今すぐ点検すべき12項目をまとめた。 クラウド利用を棚卸し、領収書チェックも 最優先すべき項目は、
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 米サイバーセキュリティ・インフラセキュリティ庁(CISA)と米連邦捜査局(FBI)は米国時間11月16日、「Apache Log4j」に存在する脆弱性「Log4Shell」に関する共同アドバイザリーを発表した。「VMware Horizon」のサーバーインスタンスにパッチを適用していない組織や、緩和策を講じていない組織は、ネットワークが侵害されていると想定し、それに応じた行動をとるよう注意喚起している。 この警告は、両者が「連邦一般行政部」(FCEB)と言及する組織で、サイバー攻撃が発生したことに起因している。調査から、攻撃者はパッチが適用されていないVMware HorizonのLog4Shellを悪用して、ネットワークに侵入したこと
MITREはなぜ侵入されたか? 調査結果 今回の攻撃は、攻撃者がWebシェルを展開し、多要素認証を回避、セッションハイジャックやRDP over HTML5を使って内部システムに接続し、VMware vCenter Serverと通信し複数のESXiホストとの接続を確立している。 MITREはこれらの脅威に対処するための具体的な防衛策を示した他、潜在的な脅威の検出する方法などを説明した。今回のサイバーセキュリティインシデントはどの組織も最新の情報と対策を継続的に講じる必要性を示している。 MITREの調査結果および防衛策によれば、情報窃取が行われたことは伝えられているが、窃取された情報の詳細については明らかにされていない。また、2024年2月から3月にかけて行われた不正アクセスに関しては成功していないことも報じられている。 MITREは2024年4月に同組織の研究・開発・プロトタイピング用
米Microsoftは11月19日午後3時ごろ、日本やインド、オーストラリアなどで、「Office 365」のメール機能に障害が発生していることを発表した。導入している企業では、外部から送られてくるメールや、社内でやりとりをしているファイル付きのメールが受け取りづらい状況という。 Office 365のメール障害が復旧 スパム対策システムの更新が原因か 関連記事 Office 365のメール障害が復旧 スパム対策システムの更新が原因か Microsoftが、11月19日昼から障害が起きていた「Office 365」のメール機能が復旧したと発表。導入企業ではメールが受信しにくい状況だった。スパムメール対策用のアップデートが原因の可能性があるという。 AWS障害、“マルチAZ”なら大丈夫だったのか? インフラエンジニアたちはどう捉えたか、生の声で分かった「実情」 AWSの障害に、各社はどのよう
米Google(グーグル)はゼロトラストネットワークを実践するに当たって、どのようなアーキテクチャーを採用し、どのように実装を進めていったかを自ら解説している。ここでは、その論文「BeyondCorp」を基に、同社がどのようにしてゼロトラストネットワークを実践したかを見てみよう。 BeyondCorpに関して、グーグルは2014年から2018年にかけて6本の論文を公開した。2011年の時点で境界防御モデルの限界に気づき、ゼロトラストモデルの導入が必要と判断したという。 BeyondCorpでも情報収集、アクセスレベルの決定、アクセス制御という3つの要素を満たす構造は同じだ。情報収集の結果に応じてアクセスレベルを決定し、アクセス制御を実施する。 このうちBeyondCorpにおいて注目したいのは、(1)デバイスインベントリーサービス、(2)信頼度推論エンジン、(3)アクセスプロキシーだ。デバ
Firebaseでサービスを公開するときに、最低限必要なセキュリティーのポイントをまとめています。 Firebaseは、現在もすごい勢いで開発が進んでいるので、セキュリティーに関するポイントやノウハウも日々更新されます。最新のドキュメントや、変更点を調べることをおすすめします。この記事を含め、ネットの記事は古い可能性があります。2022年前後でも、App Check導入、Cross service Rulesの導入、AuthenticationのIdentity Platform導入、Workload Identity連携の導入など、日々更新されています。 公式のFirebaseのセキュリティチェックリストは必ず目を通しましょう。 GCPインフラ Firebaseで使うGoogle Accountは個人のアカウントを使わないでGoogle Workspace/Cloud Identityの
「Active Directory」(AD)と「Azure AD」の違い クラウド版だけの機能とは
関連キーワード Microsoft Azure | Office 365 | Active Directory オフィススイート「Microsoft 365」(Office 365)などのクラウドサービスに業務アプリケーションを移行する動きが広がっている。クラウドサービスへの移行は、一般的に運用管理の負担が軽減するメリットがあるが、反対に負担が増えてしまうこともある。どのユーザーがどのシステムにアクセスできるのか、といったアクセス権限の管理が煩雑になる問題もある。 オンプレミスのADとAzure ADは“ここ”が違う 併せて読みたいお薦め記事 「Microsoft 365」のセキュリティ対策 「Microsoft 365」で多要素認証(MFA)を利用するMicrosoft推奨の方法とは? 「Microsoft 365」のパスワード同期に潜む“意外な危険”と対策は? 「Microsoft 3
小学生でも多要素認証の今、企業の認証/ID管理は使いにくい、不自由にもほどがある 未来は変容するのか:ITmedia Security Week 2024 冬 2024年2月27日、アイティメディアが主催するセミナー「ITmedia Security Week 2024 冬」の「多要素認証から始めるID管理・統制」ゾーンで、パロンゴ 取締役 兼 最高技術責任者 林達也氏が「デジタルアイデンティティー時代のID管理・認証/認可の変容と社会受容」と題して講演した。産官学でデジタルアイデンティティーをウオッチし、策定にまで関わる同氏が、ゼロトラスト時代に重要な認証、認可の現在を、「社会受容」というキーワードを絡めて解説するセッションだ。
日経クロステックでも既に幾つか記事が出ているが、NTTドコモが運用する電子決済サービス「ドコモ口座」において見知らぬ第三者が勝手に出金してしまうという被害が相次いでいる。 そもそもの原因は、提携する地方銀行の口座から、バーチャルウォレットであるドコモ口座へ送金する仕組みにある。今回の場合、銀行口座とドコモ口座をひも付けるための本人認証確認に関しては、提携する各地方銀行に任されている。そのため今回の事件では、提携する全ての銀行において被害が確認されているわけではない。 被害が確認された銀行には、例えば、口座番号や口座暗証番号、名前、電話番号などの情報で本人確認が行われたケースがある。口座番号や電話番号は普段から決して秘密の情報として扱われているものではない。例えば、どこかの会員登録する際などに書類に記載するものだ。よって、今回暗証番号以外の情報に関しては、攻撃利用のためにダークウェブなどで売
サーバーレスアーキテクチャにおけるセキュリティの2つの質問 清水崇之氏(以下、清水):では3つ目の相談にいきたいと思います。いただいた質問・相談が「サーバーレスアーキテクチャにおけるセキュリティについて」という非常にざっくりしたものになっているんですが、今回はサーバーレスのセキュリティというテーマなので、AWSの考えるサーバーレスのセキュリティについてまずはお話ししようと思います。 下川賢介氏(以下、下川):(スライドを示して)「AWS Lambda/責任共有モデル」とタイトルに書いてありますが、実はこの前にEC2とかVMベースの責任共有モデルも公開されています。それと見比べてもらうと、黄色のAWSが管理している範囲がLambdaの場合は多くなっています。 例えばプラットフォームの管理とか、オペレーティングシステムやネットワークの設定の管理、そういった黄色で着色されている部分は、AWSのマ
「ゼロトラストは信頼しないから絶対安全」は誤解――「7つの脅威」とその防御策:働き方改革時代の「ゼロトラスト」セキュリティ(9) デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、ゼロトラストアーキテクチャにおける7つの脅威について。 コロナ禍において人と人とのディスタンスが求められたことで、テレワーク(リモートワーク)やオンライン会議、クラウドの活用、印鑑レス化など働く環境のデジタル化が急激に進んでいます。これらのデジタルな働き方は、過去に「働き方改革」として取り組まれてきた、働き方の多様性といった枠組みを超え、新しい生活様式=ニューノーマルとして定着しつつあります。 これまで組織が守ってきた「社内ネットワーク」や「プライベートネットワーク」といった境界を保護する考え方は、クラウドへのデータ蓄積やテレワークの常態化によって境界があいまいになり、
Okta環境を狙うサイバー攻撃をセキュリティ企業2社はどう回避したか?:Cybersecurity Dive BeyondTrustとCloudflareは2023年10月に発生した「Okta」環境に対する侵害について、サイバー攻撃者がシステムや顧客に損害を与える前に食い止めたという。 サイバーセキュリティサービスを営むBeyondTrustとCloudflareのセキュリティリーダーは2023年10月に発生した「Okta」環境に対する侵害について(注1)、サイバー攻撃者がシステムや顧客に損害を与える前に食い止めたと確信している。しかし、経営陣がこれらの攻撃について抱く懸念には未解決の部分が多く残っている。 BeyondTrustとCloudflareが、Oktaのサポートスタッフに送ったログファイルには、サイバー攻撃者がOktaのサポートシステムの管理者アカウントから盗んだセッショントー
週刊Railsウォッチ: Ruby 3.1のエラー表示改善、言語の「プリミティブ」を探る、Amazon Redshift Serverlessほか(20211215後編)|TechRacho by BPS株式会社
こんにちは、hachi8833です。明日はRubyWorld Conference 2021ですね。 RubyWorld Conference 2021 いよいよ明日開催です! https://t.co/sDklVFyV6h — 株式会社万葉 (@everyleaf) December 15, 2021 週刊Railsウォッチについて 各記事冒頭には🔗でパーマリンクを置いてあります: 社内やTwitterでの議論などにどうぞ 「つっつきボイス」はRailsウォッチ公開前ドラフトを(鍋のように)社内有志でつっついたときの会話の再構成です👄 お気づきの点がありましたら@hachi8833までメンションをいただければ確認・対応いたします🙏 TechRachoではRubyやRailsなどの最新情報記事を平日に公開しています。TechRacho記事をいち早くお読みになりたい方はTwitterに
IAM Identity Center(AWS SSO)に移行して1年たったので使い方などまとめる | 株式会社PLAN-B
AWS SSOは現在「IAM Identity Center」に引き継がれています。本記事は2020年10月に公開されたもので、名称や機能などは当時の記載のままにしていますご了承ください。 AWSアカウントが複数ある時、みなさんは認証・認可の管理をどうしていますか? PLAN-Bでは2019年に全面的にAWS SSOを使い始め、1年以上が経ちました。以下の点で特にメリットを感じており、利用を継続しています。 アカウントごとにIAMを管理する必要がなくなるクレデンシャルが長期に渡ってローカルマシンに保持されることがない基本的には無料いずれも運用次第なので例外がありますが、マルチアカウントの管理に辟易していてゆるく始めるのであれば上記の認識で良いかと思います。きっちりかっちり管理が必要な場合もそれはそれで対応できるので、AWS SSOを導入した上で組織のポリシーと相談して合わせれば良いです。
どうも、情シスやってますアノテーションの徳道です。 2020年からPCのMDM管理に絡んで、Azure Active Directory関係の導入事例ブログをくらめその情シスシリーズで書いてきました。 その集大成として2021年の12月にクラスメソッドグループの基幹システムへAzureAD条件付きアクセスを適用し、本番運用を開始しました。 今回は本番に導入した条件の設定の事例を紹介したいと思います。 【これまでの関連ブログはこちら】 くらめその情シス:【まとめ】AzureADとIntuneを使ってPC管理を効率化してみた くらめその情シス:社内基幹のIdPをAzureADに切り替えたおはなし くらめその情シス:MDMでのPC管理運用のBefore/Afterとよもやま話 くらめその情シス:Azure AD 条件付きアクセスをMDMの条件でテストしてみる 条件付アクセスの構成概要 クラスメソ
セキュリティトークンのメーカーであるYubicoが、Lightning端子からでも接続できる世界で初めてiPhone・iPadにも対応した物理セキュリティキー「YubiKey 5Ci」を発表しました。 Say Hello to Simple, Secure Login on iOS with the YubiKey 5Ci | Yubico https://www.yubico.com/2019/08/yubico-launches-yubikey-5ci/ Yubico releases the first Lightning security key for iPhones - The Verge https://www.theverge.com/2019/8/20/20813129/yubico-first-security-key-for-iphones-works-with-us
開発本部 MIXI M事業部の ritou です。 MIXI M|ミクシィエム - 決済やアカウント認証、個人データを管理する統合プラットフォームサービス MIXI Mは、認証から決済までワンストップで提供できる基盤システムおよびWALLETサービスです。 認証に関しては、MIXI Mとして提供しているサービスのID管理だけでなく、社内外のサービスにID連携機能を提供するIdentity Providerでもあります。決済に関しては最近、PCI 3DSの準拠認定についての記事が公開されていますので、こちらもぜひご覧ください。 MIXI MにおけるPCI 3DS準拠のための道のり | by k-asm | Sep, 2023 | MIXI DEVELOPERS この投稿では、MIXI Mのパスキー対応について紹介します。 これまでのユーザー認証 MIXI Mでは、サービス開始当初からパスワー
「いくつもある認証方式のどれを採用したら良いのかわからない…」「Eメールアドレスとパスワードだけでは足りないの?」といった疑問を持たれている方は多いのではないかと思います。 そんな方に向けて、メジャーもしくは少しマイナーだけど知っているとアイデアの可能性を広げてくれるかもしれない認証方式をまとめてご紹介します。 想定読者 – 企業のDXの活動において、社内もしくは顧客向けのウェブサービスを展開しようと推進/企画されている方 ユーザーIDとパスワードによる認証 ユーザーID(e.g. ランダムな文字列, Eメールアドレス, ニックネーム)とパスワードを入力する方式。 ウェブサイトにユーザーがログインして情報を更新したりする機能が広く普及し始めた1990年代には、通信径路上のパスワードが第三者に見えていたり、データベース上に平文(もしくは簡易なハッシュ化)で保存されていたり、現在では考えられな
Microsoftは、同社のパスワードレスログインソリューションの月間ユーザー数が1億5000万人に達したことを明らかにした。同社が2019年11月の年次カンファレンス「Microsoft Ignite」で発表した際のユーザー数は1億人だった。 World Password Day(世界パスワードの日)を祝う同社のブログ投稿には、職場のアカウントでの生体認証の使用が1年で倍増するだろうという予測が記されている。 Microsoftは「Microsoft Azure」や「GitHub」「Microsoft Office」「Xbox」といった同社の製品とサービスでパスワードレス認証をサポートしているため、IT管理者が「Azure Active Directory」(Azure AD)のシングルサインオン(SSO)機能を有効にしておくことで、ユーザーは「Windows Hello」のネイティブ機
弊社が運営する「Peatix( https://peatix.com/ )」への不正アクセス事象に関する 第三者調査機関による調査結果のご報告と今後の対応について
2020年12月16日 お客様各位 Peatix Inc. 弊社が運営する「Peatix( https://peatix.com/ )」への不正アクセス事象に関する 第三者調査機関による調査結果のご報告と今後の対応について 弊社が運営する「Peatix( https://peatix.com/ )」におきまして、第三者による不正アクセス を受け、お客様情報が不正に引き出されたことが判明したことを、2020年11月17日にご報告させてい ただきましたが、この度、第三者調査機関による調査が完了しましたので、これまでの経緯ならびに 再発防止策等につきまして、改めてご報告申し上げます。この度は、お客様をはじめ関係者の皆様に 多大なるご迷惑、ご心配をおかけする事態となりましたことを深くお詫び申し上げます。 記 1.問題の発生日時、経緯 弊社は、2020年11月9日、弊社が保有しているデータから由来す
ロシアのハッキンググループが企業のテクニカルサポートを装いMicrosoft Teams経由でフィッシング攻撃を行っていたことが判明
ロシアのハッキンググループが中小企業のテクニカルサポートのふりをしてMicrosoft Teams経由でメッセージを送信し、ユーザーにログインを認証させる悪事を働いていたことが分かりました。この行為により、40社未満の組織に影響が及んだとMicrosoftは指摘しています。 Midnight Blizzard conducts targeted social engineering over Microsoft Teams | Microsoft Security Blog https://www.microsoft.com/en-us/security/blog/2023/08/02/midnight-blizzard-conducts-targeted-social-engineering-over-microsoft-teams/ Microsoft says Russia-link
by Ben Scholzen ソフトウェア開発のオンラインプラットフォームであるGitHubは2019年8月21日付けで、多要素セキュリティ認証をブラウザ上で行うためのウェブ標準であるWebAuthnに対応したことを発表しました。GitHubはこれまで部分的に物理セキュリティキーによる二段階認証をサポートしていましたが、WebAuthnへの対応によって物理セキュリティキーや生体認証によるログインが正式にサポートされます。 GitHub supports Web Authentication (WebAuthn) for security keys - The GitHub Blog https://github.blog/2019-08-21-github-supports-webauthn-for-security-keys/ WebAuthnは、FIDO2と呼ばれるオンライン認証技術
Windows 11対応!セキュリティ・コスパ重視のパスワードマネージャー4選【今日のワークハック】 | ライフハッカー・ジャパン
Bitwardenは、Windows向け無料パスワードマネジャーのなかではベストと言ってもいいでしょう。 オープンソースで、Windows、MacOS、ブラウザとモバイルで利用可能です。 Bitwardenでは、ほかのパスワードマネージャーと同様の機能が標準装備されていて、データは、ゼロ知識、エンドツーエンドのAES-256ビット暗号化によって保護。また、擬似ランダム関数のベースには、ソルト付きパスワードハッシュとPBKDF2(Password-based Key Derivation Function 2、鍵導出関数)が使用されています。 Bitwardenのメイン機能多要素認証、パスワード共有、複数のユーザーが使える無制限のパスワード保存にも対応。50を超える各種パスワードマネージャーからパスワードをインポートしたり、Bitwardenのデータ保管庫からJSON、JSON(暗号化)、お
MFA デバイスが故障または紛失した場合のセルフサービスによるリセットの方法 | Amazon Web Services
Amazon Web Services ブログ MFA デバイスが故障または紛失した場合のセルフサービスによるリセットの方法 みなさんこんにちは、アマゾン ウェブ サービス ジャパン、プロダクトマーケティング シニアエバンジェリストの亀田です。 今日はサポートに多くお問い合わせをいただく、MFA(多要素認証トークン)紛失時のリセット方法をお伝えします。 AWS リソースのセキュリティを確保するため、ログインID(メールアドレス)とパスワードによるログイン認証に加えて、もう1つの認証要素であるMFA (多要素認証トークン) を組み合わせて認証(ログイン)することで、よりセキュアにアカウントを管理いただけます。 今回は、MFAをアカウント設定後に、ルートユーザーで設定された MFA デバイスが故障または紛失した場合の対処方法についてご案内します。昔はこの場合サポートへの問い合わせが必須でしたが
EvilProxyを用いたクラウドアカウントを乗っ取る攻撃キャンペーンが100以上のグローバル組織の経営陣を狙う | Proofpoint JP
主なポイント プルーフポイントのリサーチャーによると、過去6ヶ月の間に、大手企業の上級管理職のクラウドアカウントの乗っ取りに成功したインシデントが100%以上劇的に急増しました。 全世界で100以上の組織が標的となり、合わせて150万人の従業員が被害に遭いました。 攻撃者は、リバースプロキシアーキテクチャに基づくフィッシングツールであるEvilProxyを利用し、MFAで保護された認証情報とセッションクッキーを盗み出しました。 多要素認証の導入が進む中、これをかいくぐるための巧妙なAdversary-in-the-Middleフィッシングと高度なアカウント乗っ取り手法を組み合わせた脅威が急増しています。 多要素認証(MFA)の利用は、ここ数年、組織で増加しています。しかし残念ながら、MFAを導入しているテナントでのアカウント侵害が増加しています。プルーフポイントのデータによると、過去1年間
ネットバンキングや電子商取引(EC)サイト、メールサービスへの不正ログイン被害が増加の一途をたどっている。警察庁が2019年12月、ネットバンキングの不正送金被害が過去最多を更新したと発表した。 不正ログインの攻撃手法としてよく知られるのが「リスト型攻撃」だ。攻撃者が別のサービスから流出したIDとパスワードを使って、不正ログインを試みる攻撃。ユーザーが同じIDとパスワードを使い回していると不正ログインされてしまう。 これに対抗するため、IDとパスワードの組み合わせに加えて、スマートフォンにSMSで送る認証コードや、スマホアプリやトークンを使ったワンタイムパスワード(OTP)を認証に利用するサービスが増えている。 ところが、そうした多要素認証を突破する不正ログイン被害が発生した。2019年12月以降、NTTデータやトレンドマイクロがフィッシングによって認証コードやOTPを詐取されると注意を呼
関連キーワード Microsoft(マイクロソフト) | Microsoft Office | セキュリティ対策 Microsoftは、オフィススイート「Microsoft Office」の一部アプリケーションの標準設定を変更することを2022年2月に発表した。エンドユーザーがインターネットで入手した「VBA」(Visual Basic Application)マクロを標準でブロックするようにする。VBAはOfficeファイル用のマクロを記述するためのプログラミング言語だ。 ここにきてMicrosoftがVBAマクロを標準で無効にすることを決めたきっかけは明らかになっていない。それでも複数のセキュリティ専門家がこの変更を歓迎している。 VBAマクロの原則ブロック 歓迎する声の中に“苦言”も 併せて読みたいお薦め記事 連載:「VBAマクロ」の抑え込み 前編:“怪しいVBAマクロ”を原則ブロッ
サイバーセキュリティ対策9か条!最新の状態をキープしよう #サイバーセキュリティ #セキュリティ対策 - 叡智の三猿
サイバーセキュリティ月間は、国民がサイバーセキュリティについての関心を高め、理解を深めるため、政府が主導し、サイバーセキュリティに関する様々な取り組みを集中的に行うことを目的にしています。 毎年、2月1日から3月18日までをサイバーセキュリティ月間として定めています。 2024年サイバーセキュリティ月間 - NISC NISC(内閣サイバーセキュリティセンター)では、下記を「サイバーセキュリティ対策9か条」として、国民への理解を促進しています。 OSやソフトウェアは常に最新の状態にしておこう パスワードは長く複雑にして、他と使い回さないようにしよう 多要素認証を利用しよう 偽メールや偽サイトに騙されないように用心しよう メールの添付ファイルや本文中のリンクに注意しよう スマホやPCの画面ロックを利用しよう 大切な情報は失う前にバックアップ(複製)しよう 外出先では紛失・盗難・覗き見に注意し
Amazon Web Services ブログ 【寄稿】サイバーレジリエンスとはなにか? この投稿はネットアップ合同会社 岩井 陽太郎 氏に、サイバーレジリエンスの解説と AWS における実装ポイントについて寄稿いただいたものです。 皆様はサイバーレジリエンスという言葉に聞き覚えはありますか?企業のデジタル化が進む中、ビジネスにおける IT 部門の担う責任は日々重くなってきています。これまではサイバーセキュリティの考え方に則った、被害をどう防いでいくかに焦点を当てた「防御」の考え方に大きく注目が集まっていましたが、際限のない投資が必要なことから「セキュリティ疲れ」とも呼ばれる反動が起きています。そこで昨今では「防御」だけではなく、被災することを前提としてそこからいかに迅速に「回復」・「復旧」するかという「サイバーレジリエンス」という考え方が注目を集めています。 本ブログシリーズでは、サイバ
そこで、Azure ADを活用した開発に携わり、2020年からMicrosoftより「Microsoft MVP Award」の「Microsoft MVP Office Development」を受賞した内田洋行ITソリューションズの大川貴志氏に開発するエンジニア目線の話を聞いた。 また、長年にわたり自治体、教育委員会のITシステム構築・運用サービスの提供に携わり、直近では埼玉県鴻巣市教育委員会の教育ICT基盤のフルクラウド化やAzure AD導入などを担当した内田洋行の永山達也氏に、導入するエンジニア目線の話を聞いた。 前編となる本記事ではActive DirectoryとAzure ADの違いやライセンス選定のポイントを、後編ではAzure ADの強力な機能やオンプレミスからの移行ポイント、運用負荷を減らすコツを解説する。 安全なクラウド認証で求められるAzure AD 2013年に
認証アーキテクチャの更新について検討してみた - RAKUS Developers Blog | ラクス エンジニアブログ
こんにちは。 株式会社ラクスで先行技術検証をしたり、ビジネス部門向けに技術情報を提供する取り組みを行っている「技術推進課」という部署に所属している鈴木(@moomooya)です。 ラクスの開発部ではこれまで社内で利用していなかった技術要素を自社の開発に適合するか検証し、ビジネス要求に対して迅速に応えられるようにそなえる 「技術推進プロジェクト」というプロジェクトがあります。 このプロジェクトで「認証」にまつわる検証を行ったので、その成果を共有しようかと思います。 なお半年前に書いた以下の記事の続きになりますので併せて御覧ください。 tech-blog.rakus.co.jp 認証関連の標準について OpenID Connect (OIDC) FIDO 2.0 認証サーバー(OP)ミドルウェア 現状ではKeycloakが最有力候補 OpenAM, Keycloakの比較 Keycloakの必
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
スマホ認証を破る「爆撃」 午前1時のプッシュ通知 - 日本経済新聞
セキュリティを強化する多要素認証の魅力とは? #セキュリティ #多要素認証 - 叡智の三猿
改めて知る Microsoft Entra 条件付きアクセス
国際的ハッカー集団「LAPSUS$」によるハッキング被害の調査結果をアクセス管理企業のOktaが報告
セキュリティ初心者がセキュリティ・キャンプ全国大会2019に参加してきた。 - にっっきっっっっっき
自社のクラウドセキュリティーは大丈夫か、今すぐ点検すべき12項目
「Log4j」パッチ未適用の組織はネットワーク侵害を想定すべき--CISAとFBIが警告
「最高レベルセキュリティ備える」はずのMITREはなぜ侵入されたか? 調査結果が発表
Office 365で障害発生 メールの受信しづらい状況
グーグル流ゼロトラスト「BeyondCorp」を読み解く
Firebaseでサービスを公開するときに気を付けるセキュリティポイント
小学生でも多要素認証の今、企業の認証/ID管理は使いにくい、不自由にもほどがある 未来は変容するのか
ドコモ口座の不正引き出しが防げない理由 足りない攻撃者の視点
Cognito×API Gatewayで認証・認可を実現 ロール管理と不正なアクセスを防止するアーキテクチャ
【海外ITトピックス】 多要素認証破る「MFA Bombing」攻撃 Uberなどにセキュリティ侵害
「ゼロトラストは信頼しないから絶対安全」は誤解――「7つの脅威」とその防御策
Okta環境を狙うサイバー攻撃をセキュリティ企業2社はどう回避したか?
くらめその情シス:Azure AD条件付アクセスを全社導入したおはなし | DevelopersIO
iPhoneに物理的に挿入するだけで二段階認証が可能なセキュリティトークン「YubiKey 5Ci」
パスワードレス認証をより安全便利に - MIXI Mがパスキーに対応しました
企業のDXを支えるウェブサービスの認証(ログイン)方式まとめ | TC3株式会社|GIG INNOVATED.
マイクロソフトのサービスでパスワードレス認証を利用するユーザーが大幅に増加
GitHubがWebAuthn対応で物理セキュリティキーによる二段階認証を正式にサポート
多要素認証すら破る、威力が増すフィッシング技術に「チート」が有効な理由
Microsoftの「VBAマクロ」原則ブロックを専門家が称賛 中には“苦言”も
【寄稿】サイバーレジリエンスとはなにか? | Amazon Web Services
Azure ADの基礎を解説 オンプレとの違いやライセンス選定のポイントとは