この記事はSmartBank Advent Calendar 2024の17日目の記事です。 昨日はmaayaさんの「リサーチデータの資産化 N1インタビューDBのアップデート」でした! こんにちは!スマートバンクでSREをしている @maaaato です。 スマートバンクではVisaプリペイドカードを発行しています。その中で PCI DSS(Payment Card Industry Data Security Standard) というクレジットカード業界のセキュリティ基準を取得しており、2024年8月31日付けでPCI DSS v4.0に準拠しています。 PCI DSSとは? PCI DSSを制定したのはPCI SSC(PCI Security Standards Council)で国際カードブランド5社(JCB、Visa、Mastercard、 American Express、
ICTイノベーション推進室アドバンストグループの谷口です。 いわゆる情シスでラック社内のセキュリティ強化を行っています。ゼロトラストアーキテクチャをベースに自組織に合わせて実装・運用していますが、取り巻く環境の変化も早く、意図した通りに動作しないソリューションもあり、試行錯誤の連続です。実際に運用をして効果的と判断した対策を中心に情報発信していきたいと考えています。 今回は、フィッシングサイトで多要素認証(MFA:Multi-Factor Authentication)が突破されてしまった後の対策について解説します。 フィッシングサイトが正規サイトの中継役になる フィッシング攻撃は正規のID・パスワードを窃取する手法の一つです。対策としてMFAがありますが、利用者を騙してMFAの承認をさせる攻撃が観測されています。そのような攻撃は、フィッシングサイトがプロキシサーバ(中継サーバ)として動作
「いくつもある認証方式のどれを採用したら良いのかわからない…」「Eメールアドレスとパスワードだけでは足りないの?」といった疑問を持たれている方は多いのではないかと思います。 そんな方に向けて、メジャーもしくは少しマイナーだけど知っているとアイデアの可能性を広げてくれるかもしれない認証方式をまとめてご紹介します。 想定読者 – 企業のDXの活動において、社内もしくは顧客向けのウェブサービスを展開しようと推進/企画されている方 ユーザーIDとパスワードによる認証 ユーザーID(e.g. ランダムな文字列, Eメールアドレス, ニックネーム)とパスワードを入力する方式。 ウェブサイトにユーザーがログインして情報を更新したりする機能が広く普及し始めた1990年代には、通信径路上のパスワードが第三者に見えていたり、データベース上に平文(もしくは簡易なハッシュ化)で保存されていたり、現在では考えられな
いまや、クラウドサービスは「百花繚乱」の様相を呈してます。ネットでCRM(顧客管理システム)のクラウドサービスを探そうとすると、40余りのサービスが比較検討可能な状態です。 同じ用途でこれだけサービスがあると、クラウドサービスの事業者は相当なしのぎを削って、自社のプロダクトを競争優位に導こうとしてることが想像つきます。 すこしまえに、CRMシステム を選択する際、何がキーポイントになるかのアンケートを複数の法人に行ったことがあります。 そこで得た回答は、第一に「情報セキュリティ」で、第二に「操作性」でした。情報セキュリティについては、6割を超える法人が「非常に重視している」と、みているようです。 ひとくちに「情報セキュリティ」や「操作性」といっても、多数の仕組みがありますが、CRMのクラウドサービスを利用する際に、あえて3つ重視することをあげるなら、以下がポイントになると考えます。 情報セ
概要 AWS IAM Identity Center 昔はAWS SSOと呼ばれていたました これを使うことで、複数AWSアカウントのIAMを統一的に管理することができます 複数アカウントのIAM管理手法はいくつかあります スイッチロールによる管理との比較、メリットについては 株式会社PLAN-Bさんがまとめてくれています 下記記事がとても分かりやすいと思います IAM Identity Centerは既存のIAMユーザーと競合しないので、段階的に一部のユーザーだけ試してみるといった運用も可能です 同じユーザー名でも問題ありません 今回は以下のようにaccountA、accountBに存在するyamasitaアカウントをIAM Identity Centerのyamasitaに移行するまでの設定をやってみます 以下のようにログインのURLが変わりますが、ログイン後の使用感は変わりません 実
新たにカーネルでTCPオプションヘッダに書き込んだ情報をTCPセッション確立時にユーザランドでどう取得すべきか - 人間とウェブの未来
追記:2020-06-05 このエントリの背景が雑だったので以下に補足記事を書きました。先にこちらに目を通していただいた方が良いかもしれません。 https://hb.matsumoto-r.jp/entry/2020/06/05/110709 speakerdeck.com 今tcprivというソフトウェアを開発しているのだが、細かい内容については上記のスライドを見てもらうとして、やりたいことは、TCPセッションを確立するプロセスのオーナ情報を接続先のプロセスで透過的に検証するという処理である。 github.com 以下ではその実装の概要を紹介しつつ、今検討していることについてお話したい。 接続元プロセスは一般ユーザを想定しており、脆弱性などによって悪意のあるユーザにのっとられることもありうるし、とあるプロセスが利用する認証情報も漏れることがあることを想定している。 しかし、情報が漏れ
This post is also available in: English (英語) 概要 ここ数カ月、ランサムウェアやRaaS(Ransomware-as-a-Service)による攻撃がサイバーセキュリティ業界の話題の中心となっていますが、犯罪者やハッカーは、金銭的な利益を得るために企業やビジネス、個人の電子メールも侵害し続けています。これらの詐欺、つまりビジネスメール詐欺(BEC)と個人用のメールアカウント侵害(EAC)は、日々ユーザーに報告されるサイバー脅威の中でもとくに広くみられるもので、対応コストも非常に高いものになっています。米国連邦捜査局(FBI)は最新の年次レポートで「BECおよびEACは、2020年に米国国内において少なくとも18億6,000万ドルの損失要因となっており、これは2019年に報告された損失との比較で5%の増加である」と報告しています。米国で報告された2
去る2020年1月24日に、OpenID ファウンデーション・ジャパン主催で「OpenID Summit Tokyo 2020」が開催されました。本イベントは、日本におけるOpenIDおよびその周辺技術・ビジネスのイベントです。 今回は、SalesforceのVice President, Identity Product Managementの Ian Glazer氏や、デジタル・アイデンティの父と呼ばれたKim Cameron氏、 MicrosoftのIdentity Architect の Michael B. Jones氏 がキーノートに登壇し、日本からも、経済産業省 CIO補佐官 満塩尚史氏や、国立情報学研究所の山地一禎氏など多くの著名人が登壇されました。 NRIセキュアは、技術セッションにて、新たなユーザー体験を支える新しい認証・認可の技術仕様「OpenID Connect C
Penteraは2024年11月21日(現地時間)、Fortinetが提供する「FortiClient VPN」サーバにおいて認証成功ログが適切に記録されない問題を発見したと伝えた。 FortiClient VPNサーバは「認証」と「承認」の2段階のプロセスを経てVPN接続を実行する。しかし2段階目の承認に成功した場合のみログイン成功を記録することが判明したという。Penteraの研究者がFortiClient VPNサーバの自動認証システムを構築するため通信プロトコルを解析している間にこの挙動を発見した。 研究者が「重大なリスク」と警告 この問題はどう悪用されるのか? FortiClient VPNサーバは認証にHTTPSプロトコルを使用する。本来は認証に成功すると「ret=1」を含む文字列を返す仕様で、これを読み取ることで承認プロセスへの移行前に認証情報の正確性を検証できる。研究者が認
サイバー空間における脅威の概況2023
Overview of Threats in Cyberspace 2023 公安調査庁 サ 脅 イ 威 バ の ー 概 空 況 間における 公安調査庁は、 破壊活動防止法及び団体規制法に基づいて、 我が国の 公共の安全の確保を図ることを任務としており、 我が国の情報コミュニ ティのコアメンバーとして、 サイバー攻撃のほか、 国際テロや周辺国情 勢、 国内諸団体の動向など、 我が国の公共の安全に影響を及ぼし得る国 内外の諸動向について情報を収集・分析し、 それらを関係機関に適時・ 適切に提供することで、 政府の安全で安心な社会を目指す施策の推進に 貢献しています。 サイバー空間における脅威が増大する中、 その脅威について周知する ため、 公安調査庁では、 2020年、 「サイバー攻撃の現状2020」 を作成 しました。 2021年以降は、 サイバー空間における脅威をより網羅的に 記載した内
未経験者がLaravelでポートフォリオを作成した話【学習開始〜AWSデプロイまで】 - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? 簡単に自己紹介 ・東京で構造設計をやっている30代前半 ・健康好きで趣味はアンチエイジング ・転職活動1ヶ月で自社開発企業に内定 どんなアプリ? 何ができる? ひとことで言うと 「パレオダイエッター(という健康法をやってる人)向けのコミュニティ+計算機能ツール」 です。 基本的なユースケースとしては、 ・「ユーザー登録/ログイン/プロフィール編集」 ・「文字や画像を投稿・編集/いいね/コメントで交流」 ・「筋肉をつける・腹筋を割るための目標カロリー算出→マイページ登録」 という感じになります。 もう少し機能を細分化すると、 ・ユーザー登
2. 自己紹介 後日スライド公開予定 名前: 日比野 恒 (ひびの ひさし) 業務: ログ分析プラットフォームの設計と構築 好きなツール: Logstash モチベ: ログの活用、分析の敷居を下げること セキュリティログ分析基盤活用入門(@IT) https://www.atmarkit.co.jp/ait/series/16525/ クラウド環境のログをどう活かす?先駆者の知見から学ぶ https://ascii.jp/elem/000/001/697/1697672/ 5. 実現したかったセキュリティ要件 1. 送信元IPアドレスによるアクセス権制御 2. 仮想MFAによる多要素認証ログインの強制 3. 不要なSSH鍵の配布防止 4. スイッチロールを用いたAWS環境の操作制御 5. EC2の操作ログ取得とログの改ざん防止 6. ConsoleLoginとStartSessionのイベ
はじめに TL;DR システム概要図 フロントエンド TypeScript Next.js Chakra UI Jest × Firebase Local Emulator Suite バックエンド Firebase Firebase Authentication GCP (Google Cloud Platform) GKE を採用していない理由 悩んでいること データ分析基盤 / BigQuery 開発/コミュニケーションツール おわりに はじめに こんにちは、キカガク CTO の祖父江です。本記事ではキカガクの技術スタックとその選定理由を書いていこうと思います。これまで他社の記事を拝見し、大変参考にさせてもらっているので私たちも次の方へ貢献しようという想いで執筆しています。 これから技術選定フェーズの方が少しでも参考になれば嬉しいですし、キカガクに興味を持っていただけるキッカケになっ
「パスキー」とパスワードの違いって何?
IT業界はパスワードを廃止し、より優れた認証方式へと移行しようとしている。パスワードの安全性は十分ではないからだ。パスワードに代わる認証方法として、AppleやGoogle、Microsoftは「パスキー」を選択した。パスキーはなぜパスワードよりも「強い」のだろうか。 パスキーとパスワードは何が違うのか パスキーは従来のパスワードとはそもそも何が違うのだろうか。 パスワード管理ソリューションを提供する1Passwordは、数回に分けてパスキーと従来のソリューションの違いを解説した。前編ではパスキーとパスワードの違い、パスキーと多要素認証の違いを紹介しよう。 Webアプリケーションにサインインする場合を考えてみよう。パスワードを使う場合、アカウント作成時にまず短い文字列を決めておく。これがパスワードだ。サインイン時に文字列を入力して、これが元の文字列と一致すればアクセスが可能になる。 パスキ
それが一番大事 - 叡智の三猿
情報セキュリティは大事だから個人情報の流出は絶対だめだよね。情報セキュリティは「個人情報が流出しないようにする対策を立てること」という声をよく聞きます。確かに個人情報を適切に保護することは情報セキュリティの肝です。ただ、それは情報セキュリティに求める要素の一部です。 情報セキュリティは以下のように定義されています。 情報セキュリティとは 情報セキュリティは、機密性、完全性、可用性(この3つをまとめて、情報セキュリティの3要素といいます)を維持すること。さらに、真正性、責任追及性、否認防止、信頼性などの特性を維持すること。 情報セキュリティにはたくさんの要素や特性があります。「個人情報の流出を防ぐ」のは機密性の要素です。これが出来ただけで、情報セキュリティすべての要求を満たしていることにはなりません。 ただ、数多くある情報セキュリティの要素や特性をあらゆるシステムに同レベルで維持することは現
時系列で見る:WordPressを運用中のサーバが丸ごとPHPマルウェアに感染する流れ - Qiita
/wordpress/ /wp/ /blog/ /new/ /old/ /backup/ /oldsite/ /back/ /2017/ /2018/ /div/ /temp/ 1巡目:レスポンスを見て何らかの目星をつけている雰囲気 2巡目:HEADとGETで /各ドメイン/xmlrpc.php 3巡目:GET /各ドメイン/wp-login.php もうこの辺でWordPressがあるかどうかはわかっていそう。 ※リダイレクト(302)で、ドメインAのWordPress管理画面URLが割れる。 2巡目の途中で、おそらくドメインB/xmlrpc.phpに複数回POSTがあり、 最後に APIでユーザー一覧 を参照してしばらく来なくなる。 ※この時にユーザアカウントの何らかの情報を取得された可能性があるのかも… セキュリティプラグインのXMLRPC防御機能があれば防げた可能性がある。 16時
多要素認証 (MFA) のような機能は、組織をセキュリティで保護する優れた方法ですが、多くの場合、ユーザーはパスワードを覚えておく必要があるのに加え、セキュリティ層が増えることに不満を感じます。 パスワードが削除され、ユーザーが持っているものとユーザー自身または知っているものに置き換えられるため、パスワードレスの認証はより便利な方法です。 認証 ユーザーが持っているもの ユーザー自身またはユーザーが知っているもの 認証については、組織ごとにさまざまなニーズがあります。 Microsoft Entra ID および Azure Government は、次のパスワードレス認証オプションを統合しています。 Windows Hello for Business macOS プラットフォーム資格情報 スマート カード認証を使用した macOS プラットフォーム シングル サインオン (PSSO)
出張版「セキュリティのアレ」〜情報セキュリティワークショップin越後湯沢2022 ナイトセッション参加レポート part.1〜 | SBテクノロジー (SBT)
ホーム 特集・ブログ ブログ SBTのスベテ 2022年 出張版「セキュリティのアレ」〜情報セキュリティワークショップin越後湯沢2022 ナイトセッション参加レポート part.1〜 広報の馬場です。10月7日〜8日開催「情報セキュリティワークショップin越後湯沢2022」のナイトセッションに、弊社セキュリティリサーチャーの辻伸弘が登壇したため、その取材を兼ねて参加しました。 今回23回目となる越後湯沢での情報セキュリティワークショップは、国内でも歴史のある情報セキュリティイベントの一つです。本ワークショップは「今こそ見直す、サイバー攻撃被害の情報共有とリスク対策」と題し、サイバー攻撃の被害が拡大する中、どのように社会全体で協調して立ち向かうか、必要な情報共有とリスク対策はどうあるべきなのかをテーマに、各専門分野の第一人者による登壇や、各ベンダーによるセッションが行われました。3年ぶりに
2月に入り、2023年の「サイバーセキュリティ月間」がスタートしました。これは内閣サイバーセキュリティセンター(NISC)をはじめとした政府機関や各種団体がサイバーセキュリティの啓発を目的とし、毎年2月に集中的に実施するイベントです。 これに合わせて内閣官房からもメッセージが公開されていますが、そこで触れられている通り、サイバー攻撃は社会や経済にも大きな影響を与えるようになりました。今後、組織と個人にはますますセキュリティ対策が求められるようになるでしょう。 NISCはサイバーセキュリティ月間のスタートに併せて、個人や組織向けに「サイバーセキュリティ対策9カ条」という基本的なセキュリティ対策を公開しています。以下の9つのチェックポイント(9カ条)を見直し、セキュリティをいま一度、「自分ごと」として考えてみましょう。 OSやソフトウェアは最新の状態にしておこう パスワードは長く複雑にして、他
トヨタフィナンシャルサービスは12月5日(現地時間)、「Text - Aktualisiertes Statement Toyota Financial Services Germany/ Toyota Kreditbank GmbH - Toyota Deutschland Media-Website」において、ドイツのトヨタクレディットバンクを含む複数の拠点のシステムにおいて不正な活動を検出したと発表した。 このサイバー攻撃により個人情報にアクセスされたとしており、情報漏洩を認めたものとみられる。これは先月報じた「トヨタファイナンシャルサービスにランサムウェア被害、身代金要求 | TECH+(テックプラス)」の続報となる。 Text - Aktualisiertes Statement Toyota Financial Services Germany/ Toyota Kreditba
実戦闘でもサイバー攻撃でも、民間軍事会社が活躍 古くから民間傭兵は戦争の場面で活用され、軍のさまざまな業務を委託されている。しかし、ロシアによるウクライナ侵攻では、ワグネルをはじめとする民間軍事会社が、武器や食料の輸送といった非戦闘任務だけではなく、実際に前線で戦闘そのものをおこなうことも浮き彫りとなった。しかも正規軍より成果をあげていたことも、私たちの目を驚かせた。さらにワグネルの創設者であるプリゴジン氏が、ロシア軍傘下に編入するのを拒んで乱をおこすなど、民間傭兵と正規軍とのパワーバランスが注目されている。 そんな中、サイバー空間においても、サイバーの民間ハッカーがアンダーグラウンドで作り上げたエコシステムが華麗に進化し、正規軍ともいえるAPT(Advanced Persistent Threat: 国家を後ろ盾にするハッカーグループ)を支えている。民間軍事会社が軍を支える構図は、リアル
フィードバックを送信 VPC Service Controls の概要 コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。 このトピックでは、VPC Service Controls の概要と、そのメリット、機能について説明します。 VPC Service Controls を使用する必要があるユーザー 組織は、機密性の高いデータという形で知的財産を所有している場合や、PCI DSS などの追加のデータ保護規制の対象となる機密データを処理している場合があります。意図しない機密データの損失や開示は、ビジネスに重大な悪影響を及ぼす可能性があります。 オンプレミスからクラウドに移行する場合、目標の一つは、データを Google Cloud に移行する際にオンプレミス ネットワーク ベースのセキュリティ アーキテクチャを複製することであることが考えられます。機密性の高
セキュリティ研究者でありMicrosoft技術に詳しいJeffrey Appel氏は2022年8月8日(現地時間)、自身のWebサイトのブログ記事において、二要素認証(2FA: Two-Factor Authentication)を含む多要素認証(MFA: Multi-Factor Authentication)を回避するサイバーセキュリティ攻撃「AiTM(Adversary-in-The-Middle)フィッシング攻撃」が今後長期にわたって継続する可能性があると伝えた。 多要素認証や二要素認証はセキュリティを強化する方法として強く推奨されることが多い。今後こうした状況が続けば、多要素認証や二要素認証を使っているからといって、これまでのように安心してはいられないといった状況が当たり前になる可能性がある。
関連キーワード Windows 10 | Windows | OS | Microsoft(マイクロソフト) Microsoftは企業にとっての「Windows 11」の最大のメリットはセキュリティだと述べている。多要素認証(MFA)、ハードウェアレベルの分離、セキュリティチップ「TPM」(Trusted Platform Module)などのセキュリティ設定が、同OSでは既定でオンになるという。 企業のIT担当者は、こうしたセキュリティ設定を現状でもオンにすることができる。だがポッドキャスト「Business of Tech」を運営するITアナリストのデビッド・ソーベル氏は「実際にオンにしている人は多くない」と指摘する。Microsoftによると、MFAを有効にしている企業は約18%にとどまる。 併せて読みたいお薦め記事 「Windows 11」を深堀り 「Windows 11」が「Wi
こんにちは、Azure Identity サポート チームの 高田 です。 本記事は、2023 年 11 月 6 日に米国の Microsoft Entra (Azure AD) Blog で公開された Emphasizing Security by Default with Advanced Microsoft Authenticator Features の抄訳です。ご不明点等ございましたらサポート チームまでお問い合わせください。 弊社では、これまで多要素認証 (MFA) の重要性を強調し、MFA の方法によって認証の強度に違いがあること、特に Microsoft Authenticator は電話認証 (そろそろ使うのやめましょう!) よりもかなり安全性が高いことを繰り返し申し上げてきました。またこれまでの取り組みとして、Microsoft Authenticator における番号
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Google Cloudは1月28日、ゼロトラスト型セキュリティサービスとなる「BeyondCorp Enterprise」の一般提供を開始した。デバイスや場所を問わず安全なアプリケーションへの接続や利用を実現する次世代のセキュリティ基盤と位置付けている。 ゼロトラスト型セキュリティは、2012年に米調査会社のForrester Researchが提唱したセキュリティ対策の概念。組織内ネットワークとインターネットの境界を基準にして内部ネットワークを中心にセキュリティ対策を講じる現在主流の「境界防御」の仕組みとは異なり、ネットワークやシステム、アプリケーションを利用するユーザーの環境(場所やデバイス、OS、ソフトウェアなど)や利用中の振る
ウェブサイトへのログイン状態を維持してくれたり、サイトの設定を保存してくれたりする「Cookie」は、便利だからこそ悪意を持った攻撃者にとっては格好の標的であり、Cookieを盗み出すマルウェアによって、アカウントに不正アクセスされる事例は後を絶ちません。こうした事例を防ぐため、GoogleがCookieを盗まれても安全な状態を保つための新機能「DBSC(Device Bound Session Credentials)」を開発していることがわかりました。 Chromium Blog: Fighting cookie theft using device bound sessions https://blog.chromium.org/2024/04/fighting-cookie-theft-using-device.html New Chrome feature aims to sto
2020/07/29 に開催された 夏のAWSコンテナ祭り with Amazon ECS のイベントレポートです。 ●イベント概要 みなさん、コンテナサービスをお使いですか? 多くの人がコンテナを使うようになった今だからこそ、「ここでつまってしまった」「ここがわからない」など課題や疑問が顕在化してきていることでしょう。当セミナーでは、AWSコンテナサービス、特にAmazon ECSをお使いのお客様の活用事例と、AWSソリューション アーキテクトによるECS活用のための徹底解説を展開します。 ■Capacity Provider をもっと身近に 松田 和樹さん [アマゾン ウェブ サービス ジャパン] ●ECS Capacity Providers ・Capacity タスクを配置する先のリソース EC2やFargate ・Provide コンテナの実行費必要な量を調達 ・配置先を決定する
Auth0️で実装する|ユーザー体験を向上するEmailのみでのシンプルなパスワードレス認証 - TC3株式会社|GIG INNOVATED.
はじめに 認証によるセキュリティの担保が大事だということは言うまでもないですが、セキュリティを万全にしようとすればするほど認証が終わるまでのハードルは高くなり、必然的にユーザー体験が落ちてしまうという結果に陥りがちです。 安全を優先するかユーザ利便性を重視するかサービス開発者にとっては悩ましいところですね。 安全性が高い認証のやり方としてMFA(Multi-factor Authentication:多要素認証)が広く使われています。ユーザー名とパスワードだけでなく、さらにもう1つ追加の検証要素を要求することで、万が一ユーザー名とパスワードが漏洩したとしても認証を突破される可能性を小さく出来る手軽な方法として普及しているようです。 ただ、このMFAも一部の人にとってはハードルが高いように思います。 と言うのはGoogle Authenticatorアプリなどを使ったMFA認証はスマホなどの
TPM: 情報セキュリティを確保するハードウエア!キー管理、改ざん防止、デジタル署名! #TPM #情報セキュリティ - 叡智の三猿
TPM(Trusted Platform Module)は、情報セキュリティを確保するため、機密情報を保護するハードウエア(ICチップ)です。TPMの主な機能は以下の通りです。 キー管理:TPMは暗号鍵の生成、保管、管理を行います。これにより、重要な鍵情報をハードウェアレベルで保護し、ソフトウェアからの不正アクセスを防ぎます。 改ざん防止:TPMはコンピューターの起動時にセキュアブートプロセスをサポートします。勝手にシステムの重要が情報が変更されていないことを検証します。 デジタル署名:TPM はデジタル署名を生成し、検証します。デジタル署名により、通信の信頼性が高まります。 セキュアストレージ:TPMはセキュアなストレージ領域を提供し、機密情報(証明書、パスワード、秘密鍵)を安全に保管できます。 認証:TPMは多要素認証をサポートし、ユーザーの認証プロセスを強化します。 TPM は 20
わたし達が会社のコンピュータシステムを利用する際、ログイン認証のためにパスワードを要求されるのが普通です。 パスワード認証はシステムを利用する人の記憶を使ってます。記憶のほか、認証する要素としては、所持 と 属性 があります。この3つを「認証の3要素」と呼びます。 要 素 認証方式の例 記 憶 パスワード認証/暗証番号(PINコード)等 所 持 端末認証/ICカード認証 等 属 性 生体認証(指紋認証/顔認証 等) 昨今は多要素認証といって、ここに挙げた3要素のうち、2つ以上を使って認証するシステムも多いと思います。 ところで、認証に関わるITエンジニアが、認証方式として、いちばんの理想に掲げるが、FIDO(ファイド)と呼ばれる方式です。 FIDOは、いまの認証システムでは当たり前のように使っている、パスワードを使わずに認証サービスをする仕組みです。 FIDOの登録と実行は以下の流れです。
認証方式の整理とNIST SP800-63での認証方法決定
NECサイバーセキュリティ戦略本部セキュリティ技術センターの山田です。現在、キャッシュレス決済のように個人の資産に関わる情報をインターネット上で扱うことが一般的になりつつあります。テレワークの普及、クラウドサービスの活用など業務を行う際にも、従来のように組織の管理するイントラネット外から機密情報へのアクセスが必要な場面も増えています。 それに伴い、不正アクセスによるクレジットカードの不正利用や、情報漏洩などのインシデントも報告されています。 今回は、こういったインシデントを防ぐための第一歩であり、重要な要素である認証方式についてメリット・デメリットの整理をします。この記事では、認証についてのガイドラインであるNIST SP800-63を参考に、モデルケースにて必要な認証要素を考えてみたいと思います。 まず初めに、3つの認証要素についてご紹介します。NIST(米国国立標準技術研究所)より発行
Microsoft Intune とは
✅ アプリ管理の簡略化 Intune には、アプリの展開、更新、削除など、組み込みのアプリ エクスペリエンスがあります。 次の操作を行うことができます: プライベート アプリ ストアに接続してアプリを配布できます。 Microsoft Teams など、Microsoft 365 アプリを有効にできます。 Win32 アプリと基幹業務 (LOB) アプリを展開できます。 アプリ内のデータを保護するアプリ保護ポリシーを作成できます。 アプリとそのデータへのアクセスを管理できます。 詳細については、「Microsoft Intune を使用したアプリの管理」を参照してください。 ✅ ポリシーの展開を自動化する アプリ、セキュリティ、デバイス構成、コンプライアンス、条件付きアクセスなどのポリシーを作成できます。 ポリシーの準備ができたら、これらのポリシーをユーザー グループやデバイス グループに
パスワードの保管方法 7つの手法からベストを選ぶ
パスワードを安全に使うには主に3つの段階がある。「作成」「保管」「漏えい評価」だ。作成は連載第1回で、漏えい評価は連載第2回で紹介した。 今回はパスワードを安全に保管する方法を紹介しよう。 パスワードの保管方法 7つの手法からベストを選ぶ パスワードを保管する際には安全性の他にも、利便性や可用性、コストを考慮しなければならない。以下では7つの手法を順に紹介する。 (1)頑張って暗記する パスワードを暗記だけに頼った場合、インターネットからその情報にアクセスすることはできないため、安全性は特に高い。ブルートフォース攻撃やソーシャルエンジニアリングの利用以外の方法では奪われにくい。利便性や可用性、コストにも問題がない。 問題はパスワードの物量だ。1人が管理するパスワードは連載2回で紹介したように平均100個に達する。これら全てを暗記するのは現実的ではない。特に重要なパスワードに限って暗記すると
IT製品やサービスにおけるセキュリティ対策の責任をメーカーやベンダーに移すという意欲的な取り組みが、2023年4月13日に大きく盛り上がった。米国と英国、カナダ、ドイツ、オランダ、オーストラリア、ニュージーランドのサイバー当局が製品の設計と初期設定において安全性を確保するための推奨事項と戦術を同日発表した(注1)。 設計上の脆弱性をどうなくす? 合計20項目の施策を紹介 米国サイバーセキュリティ社会基盤安全保障庁(以下、CISA)と英国をはじめとする6カ国がまとめたセキュア・バイ・デザインの原則は、バイデン米政権が最近明らかにした「国家サイバーセキュリティ戦略」の裏付けとなるものであり(注2)、より具体的な行動指針となっている。 セキュア・バイ・デザインの原則には、ソフトウェアやインフラの設計に関する技術的な推奨事項や既定のセキュリティ対策のベストプラクティスなど、CISAや他のサイバー当
Fortinet 社製 FortiOS の SSL VPN 機能の脆弱性 (CVE-2018-13379) の影響を受けるホストに関する情報の公開について
HOMECyberNewsFlashFortinet 社製 FortiOS の SSL VPN 機能の脆弱性 (CVE-2018-13379) の影響を受けるホストに関する情報の公開について (1) 概要 JPCERT/CC は、2020年11月19日以降、Fortinet 社製 FortiOS の SSL VPN 機能の脆弱性の影響を受けるホストに関する情報が、フォーラムなどで公開されている状況を確認しています。当該情報は、FortiOS の既知の脆弱性 (CVE-2018-13379) の影響を受けるとみられるホストの一覧です。この一覧は、攻撃者が脆弱性を悪用可能であることを確認した上で作成したものとみられ、ホストの IP アドレスに加え、SSL VPN 接続を利用するユーザーアカウント名や平文のパスワードなどの情報が含まれているとのことです。 JPCERT/CC は、当該情報に日本の
さまざまなクラウドサービスでシングルサインオン(SSO)の利用が増加してきています。その認証として用いられるものにSAML認証という標準規格があります。このSAML認証について説明します。 SAML認証のしくみSAMLとは、Security Assertion Markup Languageの略で、シングルサインオン(SSO)を実現する仕組みのひとつです。 SAMLは、OASISによって策定された異なるドメイン間でユーザー認証を行うための認証情報の規格です。つまり、SAMLはユーザーの認証情報をやり取りするルール・プロトコルを指しています。 SAML認証は、IdPとSPの2つの間で認証情報をやりとりする認証方式です。まずはそれぞれが何かを見ていきます。 IdPは、Identify Providerの略で、ユーザの認証情報の登録や管理を行っています。SAML認証では、認証情報(Identif
AWS初心者がAmazon S3 Glacier Deep Archiveで格安でバックアップしてみた(2020年版)|小村大樹
Amazon S3は、通販・クラウド大手Amazonのクラウドサービス「AWS」で提供されるストレージサービスです。ネット上にデータを保存してくれます。その中でも、格安でデータをバックアップできるAmazon S3 Glacier Deep Archiveを利用してみました。 ※ 使用するのはパソコンのブラウザだけです ※ AWS初心者なので、このノートには恐らく間違った内容が含まれています 【Amazon S3とは】 ・安い 従量制で柔軟な料金体系 ・安全 分散保存と周期的な冗長性チェックで99.999999999%の耐久性 ・便利 ブラウザから操作可能 コマンドラインやAPIを利用したり、アクセス設定やセキュリティーのオプションも豊富。ライフサイクルルールやバージョニングなど様々な機能も利用できます。 【用語】ふわっとした認識なので、詳しくは別途ご確認下さい。 ・ストレージクラス ―
(初心者向け) AWSのアカウントを守るために最低限やっておきたいことまとめ ( IAMメイン ) - Qiita
はじめに これまで業務でAWSを触る機会もあったのですが、1からアカウントを運用するなどは経験がなく基本的な部分が抜けているなと感じたので、自身の知識の確認も含めて、AWSアカウントを安全に利用するためのセキュリティの基礎中の基礎をまとめてみました。 対象読者 AWSアカウントを開設してばかりの方 AWS IAMの設定内容に自信がない方 IAM ベストプラクティスで推奨されている内容をさくっと確認したい方 AWSにおけるセキュリティの考え方 AWSはさまざまな便利なサービスをクラウドサービスとして提供してくれていますが、クラウドサービスだからといってセキュリティのあらゆる部分をAWSが担保してくれるわけではありません。 セキュリティに関してAWSがどの範囲は責任を持ってくれるのか、また利用者側がどの範囲のセキュリティを検討しなくてはいけないのかは「責任共有モデル」という形で明示されています
三越伊勢丹は9月11日、ECサイト「三越伊勢丹オンラインストア」と傘下のクレジットカード事業者エムアイカードの会員が不正ログイン被害に遭った件で、新たに約3万件の会員情報が盗み見られた可能性があると明らかにした。8月の発表時点では約1万9000件と報告していた。 改めて第三者機関による調査を行った結果、三越伊勢丹オンラインストアで新たに3万1366件の不正ログインを受けた可能性のある会員アカウントが判明した。不正に閲覧された可能性があるのは、会員の氏名や住所、電話番号、メールアドレス、生年月日、クレジットカード番号の下4桁や有効期限などで、クレジットカードやポイントの不正利用は確認していない。 同社は「ご迷惑とご心配をお掛けいたしましたことを心よりおわび申し上げます」と改めて謝罪。不正ログインを受けた可能性のある会員には、メールでパスワード変更を呼び掛けている。 関連記事 三越伊勢丹ECサ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
PCI DSS v4.0準拠までの道のりとこれからについて - inSmartBank
多要素認証(MFA)だけでは守れないフィッシング攻撃の対策 | LAC WATCH
企業のDXを支えるウェブサービスの認証(ログイン)方式まとめ - TC3株式会社|GIG INNOVATED.
クラウドサービスの競争から「ゲームの理論」 - 叡智の三猿
AWS IAM Identity CenterでIAMアカウントを統一する
マルウェアを使わない大規模クレデンシャルハーベスティング(認証情報詐取)
OpenID Connect CIBA 実装の具体例と考慮すべきポイント
FortiClient VPNサーバに見つかった“ヤバい問題” Fortinetは脆弱性と認めず
【ログ分析勉強会】セッションアクティビティログは使えるのか
キカガクの技術スタックと選定理由 - キカガク プラットフォームブログ
Microsoft Entra のパスワードレス サインイン - Microsoft Entra ID
代わり映えしない10大脅威から、筆者が読み解いた“悪い兆候”
トヨタフィナンシャルサービス、ランサムウェア被害と個人情報の流出発表
世界で最もランサムウェア身代金を支払わない国ニッポン | Proofpoint JP
VPC Service Controls の概要 | Google Cloud
もう安心できない? 多要素認証や二要素認証を回避する「AiTMフィッシング攻撃」が流行する可能性
「Windows 11」への早急な移行をやめるべき“納得の理由”
Microsoft Authenticator の新機能によるセキュリティの改善
グーグル、ゼロトラストセキュリティの「BeyondCorp Enterprise」提供
Chromeに搭載される新機能「DBSC」は盗まれたCookieの悪用を防ぐ
2020-07-29 夏のAWSコンテナ祭り with Amazon ECS #ECSMatsuri|諏訪真一
理想的な認証方式と情報セキュリティの要求レベル - 叡智の三猿
「セキュア・バイ・デザイン」と「セキュア・バイ・デフォルト」の“戦術”とは? 全20項目を紹介
SAML認証について - Admina by Money Forward
三越伊勢丹、新たに約3万件の会員情報漏えい明らかに ECサイトに不正ログイン