シスコシステムズ合同会社/WiBiz技術調査委員会 前原 朋実 2021/01/22 iOS 14/Android 10,11/Windows 10 MAC認証や位置情報が使えなくなる!? Private MACアドレス説明と影響について ※本資料に記載の各社社名、製品名は、各社の商標または登録商標です © 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 2 • 現在わかっている情報に基づいての説明となります。 • 今後、内容について追加・修正される可能性があります。 注意 © 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 3 © 2020 Cisco and/or its affiliates. All righ
世界最大のコンピューターネットワーク機器開発会社であるCiscoのネットワーク機器に存在する脆弱(ぜいじゃく)性を悪用する「ArcaneDoor」と呼ばれるサイバー攻撃が検出されています。ハッカーはArcaneDoorを用いて世界中の政府ネットワークに侵入しているそうです。 ArcaneDoor - New espionage-focused campaign found targeting perimeter network devices https://blog.talosintelligence.com/arcanedoor-new-espionage-focused-campaign-found-targeting-perimeter-network-devices/ Cisco Adaptive Security Appliance and Firepower Threat D
マスタリングOkta
IDaaS(クラウドベースの認証サービス)として急速にシェアを拡大しつつあるOktaについて、主に管理者の視点から各種機能の具体的な使用方法について解説した書籍です。Oktaが有する機能の基本となる「UD(Universal Directory)」、「SSO(Single Sign-On)」、「AMFA(Adaptive Multi-Factor Authentication)」、「LCM(Life Cycle Managemant)」などはもちろん、APIアクセス管理やAdvanced Server Access(ASA)など高度な機能についても触れ、網羅的に解説しています。個別の機能に関する具体的な設定方法について実際の画面のスクリーンショットも豊富でわかりやすく、またOktaがどのような機能を有しているかを俯瞰する上でも役立ちます。 訳者まえがき はじめに 第1部 Okta入門 1章
変化するニーズに素早く対応し、新しいサービスを迅速にリリースしたくても、オンプレミスで環境を調達・設定するのに時間がかかって足を引っ張ってしまう――。そんな状況を変え、デジタルトランスフォーメーション(DX)を実現しようと考える企業の間で、新規サービスはもちろん、基幹システムもクラウドへの移行が進んできた。 だがセキュリティ企業のラックによると、それに伴って、クラウドのセキュリティに関する相談もまた増加傾向にあるという。 一般的には、クラウドよりもオンプレミス環境の方が安全だと考えられがちだ。だが実は、インフラからアプリケーションまでの全てを自らの責任で運用しなければならないオンプレミス環境に比べ、事業者と利用企業の間で責任を分け合うクラウド環境のほうが、デフォルトならばセキュアな状態にあるという。では一体何が問題なのか。ラックの「サイバー救急センターレポート 第8号」をまとめたメンバーに
xID株式会社(本社:東京都千代田区、CEO:日下光、以下「当社」)は、当社が運営するマイナンバーカードと連携が可能なデジタルIDソリューション「xID」にて、新たに「マイナンバー要求API」の提供を開始しました。同APIを実装することで、マイナンバーを低コスト、安全かつ簡単に収集することが可能になります。 ◆マイナンバー要求API提供の背景 マイナンバー制度が開始されて以降、金融機関や人材派遣会社におけるマイナンバー収集や企業における年末調整など、あらゆる場面でマイナンバーの収集手続きが要求されています。一方で、対面手続きや書類の郵送などの従来の収集プロセスは煩雑で、マイナンバーを収集する事業者、マイナンバーを提出するユーザー双方に様々な負担がかかる状況が続いていました。 その一例が、コストです。対面手続きであれば窓口の担当者の人件費、書類の郵送による手続きであれば郵送にかかる費用など、
システム関連で幅広い事業を展開しているサイオステクノロジーのプロフェッショナルサービスチームが、日々何を考え、どんな仕事をしているかを共有する「SIOS PS Live配信」。今回は、利用頻度の高いOAuthをテーマにシニアアーキテクトの武井氏が登壇しました。続いて、OAuthの認可の流れと、アクセストークン取得のためのフローについて紹介します。前回はこちらから。 OAuthの認可の流れ 武井宜行氏:次に、OAuthの登場人物を説明します。(スライドを指して)いろいろ書いてありますが、OAuthの登場人物をざっくり言うと、認可サーバー、リソースサーバー、クライアント、リソースオーナーです。 さっきの図をベースに説明すると、リソースオーナーはAさんにあたる、Facebookの中の投稿の一覧を保有している人です。認可サーバーは、Aさんを認証する人、認証を提供するサーバーです。リソースサーバーは
2020年、コロナのまん延によって、会社は在宅ワークを勧めざるを得ない状況となりました。 テレワークの普及により、クライドサービスの利用が拡大しました。 クラウドサービスを利用すると、インターネットに接続できる場所なら、どこからでも業務に必要なデータにアクセスできます。自宅やカフェなど、オフィス以外の場所でも効率的に仕事を進められます。 一方、ログイン認証の視点から、クラウドサービスの利用は致命的な弱点があります。 サービスの利用にあたって、簡単に推測できるパスワード(例:123456、passwordなど)を使用すると、不正アクセスのリスクが高まります。攻撃者はネットを経由し、辞書攻撃やブルートフォース攻撃を仕掛けることで、利用者のパスワードを容易に盗むことができます。 テレワーク下で期待された防御策が「多要素認証」です。 多要素認証は、ユーザがシステムへのアクセスを許可する際に、複数の
ChatGPTによる「多要素認証」をテーマとした物語 ジェイクは大手ソフトウェア企業のセキュリティエンジニアで、彼の仕事は会社のデータを守ることでした。 最近、サイバー攻撃が増加しており、ジェイクは新しいセキュリティプロトコルを導入することを提案しました。 その新しいプロトコルは「多要素認証(MFA)」で、パスワードだけでなく追加の認証要素が必要です。ジェイクはMFAの導入に熱心で、会社の経営陣を覚悟しました。 導入後、社内の従業員は初めは違和感を思い出しました。毎回、アプリで生成されるセキュリティコードを入力する手間がかかりましたが、ジェイクはセキュリティの重要性を強調し、みんなが安心してサポートまでしました。 やがて、ジェイクは不審な活動を検出しました。誰かが社内システムに侵入しようとしていました。パスワードは既知のものでしたが、MFAが攻撃者を阻止しました。ジェイクとセキュリティチー
グループメールの設定ミスによるAWSアカウントの乗っ取りと対策 | セキュリティブログ | 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ
はじめに オフェンシブセキュリティ部ペネトレーションテスト課の安里 悠矢です。 普段は組織内の社内ITインフラやクラウド環境上に構築されたインフラに対するペネトレーションテストをしています。 皆様はAWSやGoogle Workspaceなどのクラウドサービスは活用されているでしょうか。弊社で実施するペネトレーションテストでも、「AWSアカウントの乗っ取りが可能か」ということを目的に様々なスコープでテストを行うことがあります。 AWSにおけるrootユーザは、AWS上に展開されたすべてのリソースへのアクセス権を所有し追加のリソースの作成も可能です。攻撃者にとってみてもrootユーザを奪取することは、企業・組織が所有する重要な資産に対してアクセスを行うための攻撃目標になります。 そして、攻撃者にrootユーザの奪取がなされないためにも、多要素認証(MFA)の設定等を行い、AWSアカウント全体
世界初の「国家中央銀行発行のデジタル通貨」が誕生
カリブ海に浮かぶバハマ諸島を領有するバハマで、世界初の「中央銀行が支援するデジタル通貨(CBDC)」となる「Sand Dollar」が、2020年10月20日に発行されました。 Project Sand Dollar- Central Bank of the Bahamas https://www.centralbankbahamas.com/news/press-releases/project-sand-dollar-the-central-bank-identifies-preferred-technology-solutions-provider-for-bahamas-digital-currency World's First Central Bank Digital Currency Launches In Bahamas: What's 'Sand Dollar'? htt
いまや、クラウドサービスは「百花繚乱」の様相を呈してます。ネットでCRM(顧客管理システム)のクラウドサービスを探そうとすると、40余りのサービスが比較検討可能な状態です。 同じ用途でこれだけサービスがあると、クラウドサービスの事業者は相当なしのぎを削って、自社のプロダクトを競争優位に導こうとしてることが想像つきます。 すこしまえに、CRMシステム を選択する際、何がキーポイントになるかのアンケートを複数の法人に行ったことがあります。 そこで得た回答は、第一に「情報セキュリティ」で、第二に「操作性」でした。情報セキュリティについては、6割を超える法人が「非常に重視している」と、みているようです。 ひとくちに「情報セキュリティ」や「操作性」といっても、多数の仕組みがありますが、CRMのクラウドサービスを利用する際に、あえて3つ重視することをあげるなら、以下がポイントになると考えます。 情報セ
新たにカーネルでTCPオプションヘッダに書き込んだ情報をTCPセッション確立時にユーザランドでどう取得すべきか - 人間とウェブの未来
追記:2020-06-05 このエントリの背景が雑だったので以下に補足記事を書きました。先にこちらに目を通していただいた方が良いかもしれません。 https://hb.matsumoto-r.jp/entry/2020/06/05/110709 speakerdeck.com 今tcprivというソフトウェアを開発しているのだが、細かい内容については上記のスライドを見てもらうとして、やりたいことは、TCPセッションを確立するプロセスのオーナ情報を接続先のプロセスで透過的に検証するという処理である。 github.com 以下ではその実装の概要を紹介しつつ、今検討していることについてお話したい。 接続元プロセスは一般ユーザを想定しており、脆弱性などによって悪意のあるユーザにのっとられることもありうるし、とあるプロセスが利用する認証情報も漏れることがあることを想定している。 しかし、情報が漏れ
概要 AWS IAM Identity Center 昔はAWS SSOと呼ばれていたました これを使うことで、複数AWSアカウントのIAMを統一的に管理することができます 複数アカウントのIAM管理手法はいくつかあります スイッチロールによる管理との比較、メリットについては 株式会社PLAN-Bさんがまとめてくれています 下記記事がとても分かりやすいと思います IAM Identity Centerは既存のIAMユーザーと競合しないので、段階的に一部のユーザーだけ試してみるといった運用も可能です 同じユーザー名でも問題ありません 今回は以下のようにaccountA、accountBに存在するyamasitaアカウントをIAM Identity Centerのyamasitaに移行するまでの設定をやってみます 以下のようにログインのURLが変わりますが、ログイン後の使用感は変わりません 実
This post is also available in: English (英語) 概要 ここ数カ月、ランサムウェアやRaaS(Ransomware-as-a-Service)による攻撃がサイバーセキュリティ業界の話題の中心となっていますが、犯罪者やハッカーは、金銭的な利益を得るために企業やビジネス、個人の電子メールも侵害し続けています。これらの詐欺、つまりビジネスメール詐欺(BEC)と個人用のメールアカウント侵害(EAC)は、日々ユーザーに報告されるサイバー脅威の中でもとくに広くみられるもので、対応コストも非常に高いものになっています。米国連邦捜査局(FBI)は最新の年次レポートで「BECおよびEACは、2020年に米国国内において少なくとも18億6,000万ドルの損失要因となっており、これは2019年に報告された損失との比較で5%の増加である」と報告しています。米国で報告された2
アカウントを守るには何をすればいい?Microsoftは、2019年のかなりの期間、アカウントを強制的にリセットしてきました。 新しいパスワードの作成や設定を要求されたかどうかに関わらず、Microsoftのセキュリティ機関の最近の報告では自分のアカウントの保護をさらに進めたいと思っている人に、次のような提案をしています。 複数のユーザーがパスワードを再利用する頻度を考えると、何らかの強力な認証形式でパスワードを保護することが重要です。 多要素認証(Multi-Factor Authentication=MFA)は、セキュリティに対する(各ユーザーの)心構えを劇的に上げる、重要なセキュリティの仕組みです。 MFAを有効にすることで、IDに対する攻撃の99.9%が阻止されたことが証明されています。MicrosoftのAzure MFAに関してはここで学ぶことができます。 Microsoftは
去る2020年1月24日に、OpenID ファウンデーション・ジャパン主催で「OpenID Summit Tokyo 2020」が開催されました。本イベントは、日本におけるOpenIDおよびその周辺技術・ビジネスのイベントです。 今回は、SalesforceのVice President, Identity Product Managementの Ian Glazer氏や、デジタル・アイデンティの父と呼ばれたKim Cameron氏、 MicrosoftのIdentity Architect の Michael B. Jones氏 がキーノートに登壇し、日本からも、経済産業省 CIO補佐官 満塩尚史氏や、国立情報学研究所の山地一禎氏など多くの著名人が登壇されました。 NRIセキュアは、技術セッションにて、新たなユーザー体験を支える新しい認証・認可の技術仕様「OpenID Connect C
サイバー空間における脅威の概況2023
Overview of Threats in Cyberspace 2023 公安調査庁 サ 脅 イ 威 バ の ー 概 空 況 間における 公安調査庁は、 破壊活動防止法及び団体規制法に基づいて、 我が国の 公共の安全の確保を図ることを任務としており、 我が国の情報コミュニ ティのコアメンバーとして、 サイバー攻撃のほか、 国際テロや周辺国情 勢、 国内諸団体の動向など、 我が国の公共の安全に影響を及ぼし得る国 内外の諸動向について情報を収集・分析し、 それらを関係機関に適時・ 適切に提供することで、 政府の安全で安心な社会を目指す施策の推進に 貢献しています。 サイバー空間における脅威が増大する中、 その脅威について周知する ため、 公安調査庁では、 2020年、 「サイバー攻撃の現状2020」 を作成 しました。 2021年以降は、 サイバー空間における脅威をより網羅的に 記載した内
はじめに TL;DR システム概要図 フロントエンド TypeScript Next.js Chakra UI Jest × Firebase Local Emulator Suite バックエンド Firebase Firebase Authentication GCP (Google Cloud Platform) GKE を採用していない理由 悩んでいること データ分析基盤 / BigQuery 開発/コミュニケーションツール おわりに はじめに こんにちは、キカガク CTO の祖父江です。本記事ではキカガクの技術スタックとその選定理由を書いていこうと思います。これまで他社の記事を拝見し、大変参考にさせてもらっているので私たちも次の方へ貢献しようという想いで執筆しています。 これから技術選定フェーズの方が少しでも参考になれば嬉しいですし、キカガクに興味を持っていただけるキッカケになっ
未経験者がLaravelでポートフォリオを作成した話【学習開始〜AWSデプロイまで】 - Qiita
簡単に自己紹介 ・東京で構造設計をやっている30代前半 ・健康好きで趣味はアンチエイジング ・転職活動1ヶ月で自社開発企業に内定 どんなアプリ? 何ができる? ひとことで言うと 「パレオダイエッター(という健康法をやってる人)向けのコミュニティ+計算機能ツール」 です。 基本的なユースケースとしては、 ・「ユーザー登録/ログイン/プロフィール編集」 ・「文字や画像を投稿・編集/いいね/コメントで交流」 ・「筋肉をつける・腹筋を割るための目標カロリー算出→マイページ登録」 という感じになります。 もう少し機能を細分化すると、 ・ユーザー登録・ログイン機能・ゲストログイン機能 ・プロフィール編集機能(自己紹介文とアバター画像) ・投稿作成機能(モーダル画面,文字数カウント,画像投稿) ・コメント機能 ・投稿とコメントの編集・削除機能 ・いいね機能(Ajax利用,リレーション数取得) ・効率よく
2. 自己紹介 後日スライド公開予定 名前: 日比野 恒 (ひびの ひさし) 業務: ログ分析プラットフォームの設計と構築 好きなツール: Logstash モチベ: ログの活用、分析の敷居を下げること セキュリティログ分析基盤活用入門(@IT) https://www.atmarkit.co.jp/ait/series/16525/ クラウド環境のログをどう活かす?先駆者の知見から学ぶ https://ascii.jp/elem/000/001/697/1697672/ 5. 実現したかったセキュリティ要件 1. 送信元IPアドレスによるアクセス権制御 2. 仮想MFAによる多要素認証ログインの強制 3. 不要なSSH鍵の配布防止 4. スイッチロールを用いたAWS環境の操作制御 5. EC2の操作ログ取得とログの改ざん防止 6. ConsoleLoginとStartSessionのイベ
「パスキー」とパスワードの違いって何?
IT業界はパスワードを廃止し、より優れた認証方式へと移行しようとしている。パスワードの安全性は十分ではないからだ。パスワードに代わる認証方法として、AppleやGoogle、Microsoftは「パスキー」を選択した。パスキーはなぜパスワードよりも「強い」のだろうか。 パスキーとパスワードは何が違うのか パスキーは従来のパスワードとはそもそも何が違うのだろうか。 パスワード管理ソリューションを提供する1Passwordは、数回に分けてパスキーと従来のソリューションの違いを解説した。前編ではパスキーとパスワードの違い、パスキーと多要素認証の違いを紹介しよう。 Webアプリケーションにサインインする場合を考えてみよう。パスワードを使う場合、アカウント作成時にまず短い文字列を決めておく。これがパスワードだ。サインイン時に文字列を入力して、これが元の文字列と一致すればアクセスが可能になる。 パスキ
それが一番大事 - 叡智の三猿
情報セキュリティは大事だから個人情報の流出は絶対だめだよね。情報セキュリティは「個人情報が流出しないようにする対策を立てること」という声をよく聞きます。確かに個人情報を適切に保護することは情報セキュリティの肝です。ただ、それは情報セキュリティに求める要素の一部です。 情報セキュリティは以下のように定義されています。 情報セキュリティとは 情報セキュリティは、機密性、完全性、可用性(この3つをまとめて、情報セキュリティの3要素といいます)を維持すること。さらに、真正性、責任追及性、否認防止、信頼性などの特性を維持すること。 情報セキュリティにはたくさんの要素や特性があります。「個人情報の流出を防ぐ」のは機密性の要素です。これが出来ただけで、情報セキュリティすべての要求を満たしていることにはなりません。 ただ、数多くある情報セキュリティの要素や特性をあらゆるシステムに同レベルで維持することは現
多要素認証 (MFA) のような機能は、組織をセキュリティで保護する優れた方法ですが、多くの場合、ユーザーはパスワードを覚えておく必要があるのに加え、セキュリティ層が増えることに不満を感じます。 パスワードが削除され、ユーザーが持っているものとユーザー自身または知っているものに置き換えられるため、パスワードレスの認証はより便利な方法です。 認証 ユーザーが持っているもの ユーザー自身またはユーザーが知っているもの 認証については、組織ごとにさまざまなニーズがあります。 Microsoft Entra ID および Azure Government は、次のパスワードレス認証オプションを統合しています。 Windows Hello for Business macOS プラットフォーム資格情報 スマート カード認証を使用した macOS プラットフォーム シングル サインオン (PSSO)
時系列で見る:WordPressを運用中のサーバが丸ごとPHPマルウェアに感染する流れ - Qiita
/wordpress/ /wp/ /blog/ /new/ /old/ /backup/ /oldsite/ /back/ /2017/ /2018/ /div/ /temp/ 1巡目:レスポンスを見て何らかの目星をつけている雰囲気 2巡目:HEADとGETで /各ドメイン/xmlrpc.php 3巡目:GET /各ドメイン/wp-login.php もうこの辺でWordPressがあるかどうかはわかっていそう。 ※リダイレクト(302)で、ドメインAのWordPress管理画面URLが割れる。 2巡目の途中で、おそらくドメインB/xmlrpc.phpに複数回POSTがあり、 最後に APIでユーザー一覧 を参照してしばらく来なくなる。 ※この時にユーザアカウントの何らかの情報を取得された可能性があるのかも… セキュリティプラグインのXMLRPC防御機能があれば防げた可能性がある。 16時
2月に入り、2023年の「サイバーセキュリティ月間」がスタートしました。これは内閣サイバーセキュリティセンター(NISC)をはじめとした政府機関や各種団体がサイバーセキュリティの啓発を目的とし、毎年2月に集中的に実施するイベントです。 これに合わせて内閣官房からもメッセージが公開されていますが、そこで触れられている通り、サイバー攻撃は社会や経済にも大きな影響を与えるようになりました。今後、組織と個人にはますますセキュリティ対策が求められるようになるでしょう。 NISCはサイバーセキュリティ月間のスタートに併せて、個人や組織向けに「サイバーセキュリティ対策9カ条」という基本的なセキュリティ対策を公開しています。以下の9つのチェックポイント(9カ条)を見直し、セキュリティをいま一度、「自分ごと」として考えてみましょう。 OSやソフトウェアは最新の状態にしておこう パスワードは長く複雑にして、他
出張版「セキュリティのアレ」〜情報セキュリティワークショップin越後湯沢2022 ナイトセッション参加レポート part.1〜 | SBテクノロジー (SBT)
ホーム 特集・ブログ ブログ SBTのスベテ 2022年 出張版「セキュリティのアレ」〜情報セキュリティワークショップin越後湯沢2022 ナイトセッション参加レポート part.1〜 広報の馬場です。10月7日〜8日開催「情報セキュリティワークショップin越後湯沢2022」のナイトセッションに、弊社セキュリティリサーチャーの辻伸弘が登壇したため、その取材を兼ねて参加しました。 今回23回目となる越後湯沢での情報セキュリティワークショップは、国内でも歴史のある情報セキュリティイベントの一つです。本ワークショップは「今こそ見直す、サイバー攻撃被害の情報共有とリスク対策」と題し、サイバー攻撃の被害が拡大する中、どのように社会全体で協調して立ち向かうか、必要な情報共有とリスク対策はどうあるべきなのかをテーマに、各専門分野の第一人者による登壇や、各ベンダーによるセッションが行われました。3年ぶりに
トヨタフィナンシャルサービスは12月5日(現地時間)、「Text - Aktualisiertes Statement Toyota Financial Services Germany/ Toyota Kreditbank GmbH - Toyota Deutschland Media-Website」において、ドイツのトヨタクレディットバンクを含む複数の拠点のシステムにおいて不正な活動を検出したと発表した。 このサイバー攻撃により個人情報にアクセスされたとしており、情報漏洩を認めたものとみられる。これは先月報じた「トヨタファイナンシャルサービスにランサムウェア被害、身代金要求 | TECH+(テックプラス)」の続報となる。 Text - Aktualisiertes Statement Toyota Financial Services Germany/ Toyota Kreditba
IAM Identity Centerを使って複数アカウント管理する。(その1:IAM Identity Centerでのログイン) - Qiita
IAM Identity Centerを使って複数アカウント管理する。(その1:IAM Identity Centerでのログイン)AWSSSOaws-ssoIAM_Identity_Center はじめに 仕事で初めてIAM Identity Centerを使う機会があり、使ってみたらマルチアカウントの管理が想像以上にやりやすかったので、紹介しようと思います。 【次】IAM Identity Centerを使って複数アカウント管理する。(その2:CLIでのアクセスと管理の委任) IAM Identity Centerとは AWS Single Sign-onの後継サービスとなり、AWS Organizationsで複数アカウントを運用している環境で各ユーザを集約管理し、各アカウントへのログインを簡単に行えるようにするためのサービスです。 前提として、AWS Organizationsを使
スマートフォンでは当たり前になった生体認証ですが、Windwos HelloのおかげでノートPCにも一般的に搭載されるようになってきました。特に指紋認証については、赤外線カメラを利用した顔認証よりもWindows Helloのハードウェア要件を満たしやすいからか、多くのノートPCに搭載済みです。今回はこの指紋リーダーを使って、Ubuntuログイン時の処理を「パスワードレス」にしてみましょう[1]。 Ubuntuで指紋認証ログイン 実はUbuntuには最初から指紋認証でログインする仕組みが備わっています。よって対応している指紋リーダーデバイスがあればすぐにでも使えるのです。まずはそちらの手順を紹介しましょう。最初に「設定」の「ユーザー」を開きます。もしサポートしている指紋リーダーが接続されていたら、そこに「指紋認証ログイン」が表示されるはずです。 図1 指紋リーダーが接続されているとパスワー
「ネットワークをつなぐだけ」の時代は終わった シスコが約2億ドルの企業買収で挑む“ゼロトラストセキュリティ”とは
「ネットワークをつなぐだけ」の時代は終わった シスコが約2億ドルの企業買収で挑む“ゼロトラストセキュリティ”とは:新ソリューション「Cisco Duo Security」を日本で提供へ シスコが新たに統合型のゼロトラストセキュリティ戦略を発表した。その重要部分となるのが、同社が2億ドルを投じて買収したDuo Securityの多要素認証ソリューションだ。ネットワークを手掛けながらセキュリティベンダーを名乗る同社の新戦略の内容と、新ソリューションの役割とは。
フィードバックを送信 VPC Service Controls の概要 コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。 このトピックでは、VPC Service Controls の概要と、そのメリット、機能について説明します。 VPC Service Controls を使用する必要があるユーザー 組織は、機密性の高いデータという形で知的財産を所有している場合や、PCI DSS などの追加のデータ保護規制の対象となる機密データを処理している場合があります。意図しない機密データの損失や開示は、ビジネスに重大な悪影響を及ぼす可能性があります。 オンプレミスからクラウドに移行する場合、目標の一つは、データを Google Cloud に移行する際にオンプレミス ネットワーク ベースのセキュリティ アーキテクチャを複製することであることが考えられます。機密性の高
freee の二要素認証(ワンタイムパスワード)を仕組みから解説 - freee Developers Hub
はじめに こんにちは、freee で認証認可基盤の開発をしている okarin です。 freee のプロダクトでは二要素認証を有効にすると、メールアドレスとパスワードを入力した後、ワンタイムパスワードを求められるようになります。この二要素認証を利用することで、より安全に freee をご利用いただけるようになっています。本記事では二要素認証の仕組みを解説していきたいと思います。 ワンタイムパスワード入力画面 そもそも二要素認証とは? 「記憶情報」、「所持情報」、「生体情報」のうち、2つを組み合わせる認証方式を二要素認証と呼んでいます。これらの2つ以上を組み合わせた認証方式を多要素認証と呼ぶこともあります。 freee では、「記憶情報」であるパスワードと、「所持情報」であるワンタイムパスワード(OTP)を利用して二要素認証を実現しています。 OTP の仕組み では、どうやって OTP を
セキュリティ研究者でありMicrosoft技術に詳しいJeffrey Appel氏は2022年8月8日(現地時間)、自身のWebサイトのブログ記事において、二要素認証(2FA: Two-Factor Authentication)を含む多要素認証(MFA: Multi-Factor Authentication)を回避するサイバーセキュリティ攻撃「AiTM(Adversary-in-The-Middle)フィッシング攻撃」が今後長期にわたって継続する可能性があると伝えた。 多要素認証や二要素認証はセキュリティを強化する方法として強く推奨されることが多い。今後こうした状況が続けば、多要素認証や二要素認証を使っているからといって、これまでのように安心してはいられないといった状況が当たり前になる可能性がある。
by Soumil Kumar ディズニー独自のストリーミングサービスである「Disney+」は、2019年11月12日のサービス開始初日に登録者数が1000万人を突破したと報じられています。登録者数を見ると好調なスタートを切ったといえるDisney+ですが、なんとサービス開始からわずか数時間で大量のアカウントがハッキングされ、ダークウェブなどで販売されていることが判明しました。 Thousands of hacked Disney+ accounts are already for sale on hacking forums | ZDNet https://www.zdnet.com/article/thousands-of-hacked-disney-accounts-are-already-for-sale-on-hacking-forums/ まずはアメリカ・カナダ・オランダにお
こんにちは、Azure Identity サポート チームの 高田 です。 本記事は、2023 年 11 月 6 日に米国の Microsoft Entra (Azure AD) Blog で公開された Emphasizing Security by Default with Advanced Microsoft Authenticator Features の抄訳です。ご不明点等ございましたらサポート チームまでお問い合わせください。 弊社では、これまで多要素認証 (MFA) の重要性を強調し、MFA の方法によって認証の強度に違いがあること、特に Microsoft Authenticator は電話認証 (そろそろ使うのやめましょう!) よりもかなり安全性が高いことを繰り返し申し上げてきました。またこれまでの取り組みとして、Microsoft Authenticator における番号
関連キーワード Windows 10 | Windows | OS | Microsoft(マイクロソフト) Microsoftは企業にとっての「Windows 11」の最大のメリットはセキュリティだと述べている。多要素認証(MFA)、ハードウェアレベルの分離、セキュリティチップ「TPM」(Trusted Platform Module)などのセキュリティ設定が、同OSでは既定でオンになるという。 企業のIT担当者は、こうしたセキュリティ設定を現状でもオンにすることができる。だがポッドキャスト「Business of Tech」を運営するITアナリストのデビッド・ソーベル氏は「実際にオンにしている人は多くない」と指摘する。Microsoftによると、MFAを有効にしている企業は約18%にとどまる。 併せて読みたいお薦め記事 「Windows 11」を深堀り 「Windows 11」が「Wi
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Google Cloudは1月28日、ゼロトラスト型セキュリティサービスとなる「BeyondCorp Enterprise」の一般提供を開始した。デバイスや場所を問わず安全なアプリケーションへの接続や利用を実現する次世代のセキュリティ基盤と位置付けている。 ゼロトラスト型セキュリティは、2012年に米調査会社のForrester Researchが提唱したセキュリティ対策の概念。組織内ネットワークとインターネットの境界を基準にして内部ネットワークを中心にセキュリティ対策を講じる現在主流の「境界防御」の仕組みとは異なり、ネットワークやシステム、アプリケーションを利用するユーザーの環境(場所やデバイス、OS、ソフトウェアなど)や利用中の振る
ウェブサイトへのログイン状態を維持してくれたり、サイトの設定を保存してくれたりする「Cookie」は、便利だからこそ悪意を持った攻撃者にとっては格好の標的であり、Cookieを盗み出すマルウェアによって、アカウントに不正アクセスされる事例は後を絶ちません。こうした事例を防ぐため、GoogleがCookieを盗まれても安全な状態を保つための新機能「DBSC(Device Bound Session Credentials)」を開発していることがわかりました。 Chromium Blog: Fighting cookie theft using device bound sessions https://blog.chromium.org/2024/04/fighting-cookie-theft-using-device.html New Chrome feature aims to sto
Kibela キベラ|自律的な組織になるナレッジ共有ツール
インポート~情報蓄積 ・他のツールから簡単にインポート ・みんなでリアルタイム共同編集 ・文中にインラインコメント(リリース予定) ・編集履歴の確認とロールバック ・下書きレビューでワークフロー ・Markdown、リッチテキストエディタ、PlantUML ・Excel、CSV、スプレッドシートをコピー&ペーストで表作成 ・画像、動画をコピー&ペーストで貼り付け ・よく使う情報をテンプレート化 構造化~活用 ・グループでアクセスコントロール、フォルダで構造化 ・複数条件に対応した高度な検索 ・プレゼンテーション機能 ・記事を外部共有 ・いいね!でレスポンス、コメントで議論 ・迅速なチャットサポート ・API、Webhook、Zapierなど外部ツール連携 高度なセキュリティ ・SAML 2.0認証 SSO(Google Workspace、OneLogin、Azure Active Dir
Auth0️で実装する|ユーザー体験を向上するEmailのみでのシンプルなパスワードレス認証 - TC3株式会社|GIG INNOVATED.
はじめに 認証によるセキュリティの担保が大事だということは言うまでもないですが、セキュリティを万全にしようとすればするほど認証が終わるまでのハードルは高くなり、必然的にユーザー体験が落ちてしまうという結果に陥りがちです。 安全を優先するかユーザ利便性を重視するかサービス開発者にとっては悩ましいところですね。 安全性が高い認証のやり方としてMFA(Multi-factor Authentication:多要素認証)が広く使われています。ユーザー名とパスワードだけでなく、さらにもう1つ追加の検証要素を要求することで、万が一ユーザー名とパスワードが漏洩したとしても認証を突破される可能性を小さく出来る手軽な方法として普及しているようです。 ただ、このMFAも一部の人にとってはハードルが高いように思います。 と言うのはGoogle Authenticatorアプリなどを使ったMFA認証はスマホなどの
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
20210122_WiBiz技術セミナー_PrivateMACAddress_配布用
Cisco製品のゼロデイ脆弱性を悪用して政府ネットワークに侵入する「ArcaneDoor」
「入れたら動いた、めでたしめでたし」とはならない、クラウドセキュリティの課題
マイナンバー収集を、スマートに。 デジタルIDアプリ「xID」が「マイナンバー要求API」の提供を開始
OAuthの認可はどのような流れで進むのか? アクセストークン取得のための3つのフロー
ログイン認証の混乱(2) ~多要素認証とFIDO~ - 叡智の三猿
セキュリティエンジニア ジェイクが提案する「多要素認証」の導入と従業員の対応 - 叡智の三猿
クラウドサービスの競争から「ゲームの理論」 - 叡智の三猿
AWS IAM Identity CenterでIAMアカウントを統一する
マルウェアを使わない大規模クレデンシャルハーベスティング(認証情報詐取)
脅威から自分のアカウント・ログイン情報を守るための3ステップ | ライフハッカー・ジャパン
OpenID Connect CIBA 実装の具体例と考慮すべきポイント
キカガクの技術スタックと選定理由 - キカガク プラットフォームブログ
【ログ分析勉強会】セッションアクティビティログは使えるのか
Microsoft Entra のパスワードレス サインイン - Microsoft Entra ID
代わり映えしない10大脅威から、筆者が読み解いた“悪い兆候”
トヨタフィナンシャルサービス、ランサムウェア被害と個人情報の流出発表
第786回 Ubuntuでもあこがれの指紋認証を! | gihyo.jp
VPC Service Controls の概要 | Google Cloud
もう安心できない? 多要素認証や二要素認証を回避する「AiTMフィッシング攻撃」が流行する可能性
Disney+のサービス開始直後からアカウントがハッキングされ売りに出されていると判明
Microsoft Authenticator の新機能によるセキュリティの改善
「Windows 11」への早急な移行をやめるべき“納得の理由”
グーグル、ゼロトラストセキュリティの「BeyondCorp Enterprise」提供
Chromeに搭載される新機能「DBSC」は盗まれたCookieの悪用を防ぐ