リモートワークを見据えた社内インフラ|吉田航
新型コロナウイルスが国内で一気に感染拡大の兆しを見せはじめ、感染拡大を避けるためにリモートワークなど会社としての対応が必要となるケースが急増しています。 noteでも #リモートオフィス というタグで、リモートワークに関する知見や事例の共有をしようという試みが始まったので、私も情シス観点から記事を書いてみました。 なお、リモートワークを実現するためには、それを見据えた社内インフラを事前に構築しておく必要があり、一朝一夕で実現することは難しいということをご了承ください(セキュリティを一切考慮しないのであれば、強引に実現できるかもしれませんが)。 ■なぜ出社しなければ仕事ができないのかサービス業や医療関係など、対面でサービスを提供する必要がある職種を除き、「出社しなければ仕事ができない」という環境面での理由は以下のようなものが考えられます。 (生産性についての話は今回は割愛します) 1.会社の
Googleの脅威分析グループ(以下TAG)は2024年1月18日(米国時間)、ロシアの脅威グループであるCOLDRIVER(UNC4057、Star Blizzard、Callistoとしても知られる)による、NGO(Non-Governmental Organization)、元情報機関や軍の将校、NATO加盟国の政府要人に対するクレデンシャルフィッシング活動の新しい動きを報告した。 TAGは長年、ロシア政府の利益に沿ってスパイ活動をしているCOLDRIVERなどの取り組みに対抗し、脅威活動の分析と報告を続けてきた。 TAGによると、COLDRIVERはウクライナ、NATO諸国、学術機関、NGOに対してクレデンシャルフィッシング攻撃を繰り返している。標的からの信頼を得るため、COLDRIVERはなりすましアカウントを利用して特定分野の専門家であるかのように装ったり、標的の関係者を装った
この記事では、Teams と SharePoint が連携する方法について説明します。 Teams と SharePoint の基本的な部分 Teams と SharePoint の基本的な部分と、それらが相互にどのように関連しているかを次に示します。 Teams - Teams は、特定の件名またはタスクについて他のユーザーとチャットできるコラボレーション ツールです。 各チームは、他のチームとの共同作業に使用できる他のツールに接続されています。 SharePoint - SharePoint は、Web サイトの作成、コンテンツの公開、ファイルの保存を行うためのツールです。 SharePoint サイト - SharePoint サイトは SharePoint の Web サイトであり、Web ページを作成し、ファイルに保存して共同作業することができます。 SharePoint サイト
TPM: 情報セキュリティを確保するハードウエア!キー管理、改ざん防止、デジタル署名! #TPM #情報セキュリティ - 叡智の三猿
TPM(Trusted Platform Module)は、情報セキュリティを確保するため、機密情報を保護するハードウエア(ICチップ)です。TPMの主な機能は以下の通りです。 キー管理:TPMは暗号鍵の生成、保管、管理を行います。これにより、重要な鍵情報をハードウェアレベルで保護し、ソフトウェアからの不正アクセスを防ぎます。 改ざん防止:TPMはコンピューターの起動時にセキュアブートプロセスをサポートします。勝手にシステムの重要が情報が変更されていないことを検証します。 デジタル署名:TPM はデジタル署名を生成し、検証します。デジタル署名により、通信の信頼性が高まります。 セキュアストレージ:TPMはセキュアなストレージ領域を提供し、機密情報(証明書、パスワード、秘密鍵)を安全に保管できます。 認証:TPMは多要素認証をサポートし、ユーザーの認証プロセスを強化します。 TPM は 20
ソーシャルネットワークサービスのTwitterが、ユーザーから収集した電話番号とメールアドレスを不正に広告に利用して利益を得たとして、アメリカ連邦取引委員会(FTC)から下された1億5000万ドル(約190億円)の罰金支払い命令に合意したことが明らかにされました。 Twitter to pay $150 million penalty for allegedly breaking its privacy promises – again | Federal Trade Commission https://www.ftc.gov/business-guidance/blog/2022/05/twitter-pay-150-million-penalty-allegedly-breaking-its-privacy-promises-again Twitter Settles Charges
はじめに おはようございます、もきゅりんです。 昨今の状況もあって、ここしばらく AWS Client VPN を触れていました。 その中で見えてきた段取りというか、準備について個人的な備忘録的に整理しておこうと思った次第です。 実際の構築や設定についてはこの稿では触れません。 大きな段取りとしては下記の通りです。 どのようなシナリオを想定しているか ネットワーク設計 認証・認可をどうするか モニタリングをどうするか 注 本稿で記載されているクォータなどは既に更新されています! 最新情報を必ず確認の上、利用、設計するようにしましょう。 AWS クライアント VPN クォータ - AWS クライアント VPN 1 どのようなシナリオを想定しているか シナリオと例 にもあるように、まずはどのような用途となるかを明確にする必要があります。 それによって、2 ネットワーク設計 につながることになり
Google Workspace と Azure AD を統合して、 Google Workspace にシングル サインオン (SSO) できる環境を一から構成する - Qiita
Google Workspace と Azure AD を統合して、 Google Workspace にシングル サインオン (SSO) できる環境を一から構成するAzureSSOAzureADGSuiteGoogleWorkspace はじめに 本記事は Microsoft Azure Tech Advent Calendar 2020 の 12 日目の記事です。 また、この記事は「G Suite と Azure AD を統合して、G Suite にシングル サインオン (SSO) する環境を一から構成する」という私が昨年書いた既存の Qiita の記事を Google Workspace 用に記事を見直しブラッシュ アップしたものになります。 (最終的には画面ショットが異なるのでほぼすべて書き直しました) G Suite から Google Workspace にサービス名称が変わっ
シスコシステムズ合同会社/WiBiz技術調査委員会 前原 朋実 2021/01/22 iOS 14/Android 10,11/Windows 10 MAC認証や位置情報が使えなくなる!? Private MACアドレス説明と影響について ※本資料に記載の各社社名、製品名は、各社の商標または登録商標です © 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 2 • 現在わかっている情報に基づいての説明となります。 • 今後、内容について追加・修正される可能性があります。 注意 © 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 3 © 2020 Cisco and/or its affiliates. All righ
世界最大のコンピューターネットワーク機器開発会社であるCiscoのネットワーク機器に存在する脆弱(ぜいじゃく)性を悪用する「ArcaneDoor」と呼ばれるサイバー攻撃が検出されています。ハッカーはArcaneDoorを用いて世界中の政府ネットワークに侵入しているそうです。 ArcaneDoor - New espionage-focused campaign found targeting perimeter network devices https://blog.talosintelligence.com/arcanedoor-new-espionage-focused-campaign-found-targeting-perimeter-network-devices/ Cisco Adaptive Security Appliance and Firepower Threat D
マイナンバー収集を、スマートに。 デジタルIDアプリ「xID」が「マイナンバー要求API」の提供を開始年末調整の資料収集や金融機関へのマイナンバー届出を、デジタルIDでスマートに。 xID株式会社(本社:東京都千代田区、CEO:日下光、以下「当社」)は、当社が運営するマイナンバーカードと連携が可能なデジタルIDソリューション「xID」にて、新たに「マイナンバー要求API」の提供を開始しました。同APIを実装することで、マイナンバーを低コスト、安全かつ簡単に収集することが可能になります。 ◆マイナンバー要求API提供の背景 マイナンバー制度が開始されて以降、金融機関や人材派遣会社におけるマイナンバー収集や企業における年末調整など、あらゆる場面でマイナンバーの収集手続きが要求されています。一方で、対面手続きや書類の郵送などの従来の収集プロセスは煩雑で、マイナンバーを収集する事業者、マイナンバー
マスタリングOkta
IDaaS(クラウドベースの認証サービス)として急速にシェアを拡大しつつあるOktaについて、主に管理者の視点から各種機能の具体的な使用方法について解説した書籍です。Oktaが有する機能の基本となる「UD(Universal Directory)」、「SSO(Single Sign-On)」、「AMFA(Adaptive Multi-Factor Authentication)」、「LCM(Life Cycle Managemant)」などはもちろん、APIアクセス管理やAdvanced Server Access(ASA)など高度な機能についても触れ、網羅的に解説しています。個別の機能に関する具体的な設定方法について実際の画面のスクリーンショットも豊富でわかりやすく、またOktaがどのような機能を有しているかを俯瞰する上でも役立ちます。 訳者まえがき はじめに 第1部 Okta入門 1章
変化するニーズに素早く対応し、新しいサービスを迅速にリリースしたくても、オンプレミスで環境を調達・設定するのに時間がかかって足を引っ張ってしまう――。そんな状況を変え、デジタルトランスフォーメーション(DX)を実現しようと考える企業の間で、新規サービスはもちろん、基幹システムもクラウドへの移行が進んできた。 だがセキュリティ企業のラックによると、それに伴って、クラウドのセキュリティに関する相談もまた増加傾向にあるという。 一般的には、クラウドよりもオンプレミス環境の方が安全だと考えられがちだ。だが実は、インフラからアプリケーションまでの全てを自らの責任で運用しなければならないオンプレミス環境に比べ、事業者と利用企業の間で責任を分け合うクラウド環境のほうが、デフォルトならばセキュアな状態にあるという。では一体何が問題なのか。ラックの「サイバー救急センターレポート 第8号」をまとめたメンバーに
開発トップが考えるwithコロナでのチーム開発 成瀬允宣氏(以下、成瀬):GMOインターネットグループのサービス開発における技術や取り組みをご紹介するGMO Developers Day 2020。大トリとなるこちらのセッションでは、『開発トップが考えるwithコロナでのチーム開発』と題しまして、規模の大きな開発組織を置く3社からマネジメント陣をお招きして、このwithコロナという状況下におけるチーム開発の現状と、そこから見える未来についてお話ししようと思っています。 さっそくですが、本日のパネリストの御三方に、自己紹介と所属する組織を紹介してもらいましょう。まずはGMOペイメントゲートウェイ常務執行役員の三谷さんです。よろしくお願いします。 三谷隆氏(以下、三谷):ペイメントゲートウェイの三谷です。よろしくお願いします。 成瀬:よろしくお願いします。ペイメントゲートウェイというと、ネット
ChatGPTによる「多要素認証」をテーマとした物語 ジェイクは大手ソフトウェア企業のセキュリティエンジニアで、彼の仕事は会社のデータを守ることでした。 最近、サイバー攻撃が増加しており、ジェイクは新しいセキュリティプロトコルを導入することを提案しました。 その新しいプロトコルは「多要素認証(MFA)」で、パスワードだけでなく追加の認証要素が必要です。ジェイクはMFAの導入に熱心で、会社の経営陣を覚悟しました。 導入後、社内の従業員は初めは違和感を思い出しました。毎回、アプリで生成されるセキュリティコードを入力する手間がかかりましたが、ジェイクはセキュリティの重要性を強調し、みんなが安心してサポートまでしました。 やがて、ジェイクは不審な活動を検出しました。誰かが社内システムに侵入しようとしていました。パスワードは既知のものでしたが、MFAが攻撃者を阻止しました。ジェイクとセキュリティチー
2020年、コロナのまん延によって、会社は在宅ワークを勧めざるを得ない状況となりました。 テレワークの普及により、クライドサービスの利用が拡大しました。 クラウドサービスを利用すると、インターネットに接続できる場所なら、どこからでも業務に必要なデータにアクセスできます。自宅やカフェなど、オフィス以外の場所でも効率的に仕事を進められます。 一方、ログイン認証の視点から、クラウドサービスの利用は致命的な弱点があります。 サービスの利用にあたって、簡単に推測できるパスワード(例:123456、passwordなど)を使用すると、不正アクセスのリスクが高まります。攻撃者はネットを経由し、辞書攻撃やブルートフォース攻撃を仕掛けることで、利用者のパスワードを容易に盗むことができます。 テレワーク下で期待された防御策が「多要素認証」です。 多要素認証は、ユーザがシステムへのアクセスを許可する際に、複数の
グループメールの設定ミスによるAWSアカウントの乗っ取りと対策 | セキュリティブログ | 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ
はじめに オフェンシブセキュリティ部ペネトレーションテスト課の安里 悠矢です。 普段は組織内の社内ITインフラやクラウド環境上に構築されたインフラに対するペネトレーションテストをしています。 皆様はAWSやGoogle Workspaceなどのクラウドサービスは活用されているでしょうか。弊社で実施するペネトレーションテストでも、「AWSアカウントの乗っ取りが可能か」ということを目的に様々なスコープでテストを行うことがあります。 AWSにおけるrootユーザは、AWS上に展開されたすべてのリソースへのアクセス権を所有し追加のリソースの作成も可能です。攻撃者にとってみてもrootユーザを奪取することは、企業・組織が所有する重要な資産に対してアクセスを行うための攻撃目標になります。 そして、攻撃者にrootユーザの奪取がなされないためにも、多要素認証(MFA)の設定等を行い、AWSアカウント全体
世界初の「国家中央銀行発行のデジタル通貨」が誕生
カリブ海に浮かぶバハマ諸島を領有するバハマで、世界初の「中央銀行が支援するデジタル通貨(CBDC)」となる「Sand Dollar」が、2020年10月20日に発行されました。 Project Sand Dollar- Central Bank of the Bahamas https://www.centralbankbahamas.com/news/press-releases/project-sand-dollar-the-central-bank-identifies-preferred-technology-solutions-provider-for-bahamas-digital-currency World's First Central Bank Digital Currency Launches In Bahamas: What's 'Sand Dollar'? htt
いまや、クラウドサービスは「百花繚乱」の様相を呈してます。ネットでCRM(顧客管理システム)のクラウドサービスを探そうとすると、40余りのサービスが比較検討可能な状態です。 同じ用途でこれだけサービスがあると、クラウドサービスの事業者は相当なしのぎを削って、自社のプロダクトを競争優位に導こうとしてることが想像つきます。 すこしまえに、CRMシステム を選択する際、何がキーポイントになるかのアンケートを複数の法人に行ったことがあります。 そこで得た回答は、第一に「情報セキュリティ」で、第二に「操作性」でした。情報セキュリティについては、6割を超える法人が「非常に重視している」と、みているようです。 ひとくちに「情報セキュリティ」や「操作性」といっても、多数の仕組みがありますが、CRMのクラウドサービスを利用する際に、あえて3つ重視することをあげるなら、以下がポイントになると考えます。 情報セ
新たにカーネルでTCPオプションヘッダに書き込んだ情報をTCPセッション確立時にユーザランドでどう取得すべきか - 人間とウェブの未来
追記:2020-06-05 このエントリの背景が雑だったので以下に補足記事を書きました。先にこちらに目を通していただいた方が良いかもしれません。 https://hb.matsumoto-r.jp/entry/2020/06/05/110709 speakerdeck.com 今tcprivというソフトウェアを開発しているのだが、細かい内容については上記のスライドを見てもらうとして、やりたいことは、TCPセッションを確立するプロセスのオーナ情報を接続先のプロセスで透過的に検証するという処理である。 github.com 以下ではその実装の概要を紹介しつつ、今検討していることについてお話したい。 接続元プロセスは一般ユーザを想定しており、脆弱性などによって悪意のあるユーザにのっとられることもありうるし、とあるプロセスが利用する認証情報も漏れることがあることを想定している。 しかし、情報が漏れ
アカウントを守るには何をすればいい?Microsoftは、2019年のかなりの期間、アカウントを強制的にリセットしてきました。 新しいパスワードの作成や設定を要求されたかどうかに関わらず、Microsoftのセキュリティ機関の最近の報告では自分のアカウントの保護をさらに進めたいと思っている人に、次のような提案をしています。 複数のユーザーがパスワードを再利用する頻度を考えると、何らかの強力な認証形式でパスワードを保護することが重要です。 多要素認証(Multi-Factor Authentication=MFA)は、セキュリティに対する(各ユーザーの)心構えを劇的に上げる、重要なセキュリティの仕組みです。 MFAを有効にすることで、IDに対する攻撃の99.9%が阻止されたことが証明されています。MicrosoftのAzure MFAに関してはここで学ぶことができます。 Microsoftは
By Brady Stout October 5, 2021 at 6:08 PM Category: Ransomware, Unit 42 Tags: Business Email Compromise, Cybercrime, ransomware This post is also available in: English (英語) 概要 ここ数カ月、ランサムウェアやRaaS(Ransomware-as-a-Service)による攻撃がサイバーセキュリティ業界の話題の中心となっていますが、犯罪者やハッカーは、金銭的な利益を得るために企業やビジネス、個人の電子メールも侵害し続けています。これらの詐欺、つまりビジネスメール詐欺(BEC)と個人用のメールアカウント侵害(EAC)は、日々ユーザーに報告されるサイバー脅威の中でもとくに広くみられるもので、対応コストも非常に高いものになってい
去る2020年1月24日に、OpenID ファウンデーション・ジャパン主催で「OpenID Summit Tokyo 2020」が開催されました。本イベントは、日本におけるOpenIDおよびその周辺技術・ビジネスのイベントです。 今回は、SalesforceのVice President, Identity Product Managementの Ian Glazer氏や、デジタル・アイデンティの父と呼ばれたKim Cameron氏、 MicrosoftのIdentity Architect の Michael B. Jones氏 がキーノートに登壇し、日本からも、経済産業省 CIO補佐官 満塩尚史氏や、国立情報学研究所の山地一禎氏など多くの著名人が登壇されました。 NRIセキュアは、技術セッションにて、新たなユーザー体験を支える新しい認証・認可の技術仕様「OpenID Connect C
サイバー空間における脅威の概況2023
Overview of Threats in Cyberspace 2023 公安調査庁 サ 脅 イ 威 バ の ー 概 空 況 間における 公安調査庁は、 破壊活動防止法及び団体規制法に基づいて、 我が国の 公共の安全の確保を図ることを任務としており、 我が国の情報コミュニ ティのコアメンバーとして、 サイバー攻撃のほか、 国際テロや周辺国情 勢、 国内諸団体の動向など、 我が国の公共の安全に影響を及ぼし得る国 内外の諸動向について情報を収集・分析し、 それらを関係機関に適時・ 適切に提供することで、 政府の安全で安心な社会を目指す施策の推進に 貢献しています。 サイバー空間における脅威が増大する中、 その脅威について周知する ため、 公安調査庁では、 2020年、 「サイバー攻撃の現状2020」 を作成 しました。 2021年以降は、 サイバー空間における脅威をより網羅的に 記載した内
はじめに アカウントサービスチームとは 最近の課題改善 さいごに はじめに こんにちは! メンバーシップサービス部 アカウントサービスチームの今井です。 現在はアカウントサービスチームのプロダクトオーナーとして、チームが持つプロダクトの価値の最大化に務めています。 今回は、私たちのチームでの取り組みについて紹介したいと思います。 アカウントサービスチームとは DMM会員の認証と顧客情報に関連するプロダクト(認証基盤と顧客情報基盤)を開発・運用・保守するチームです。 チームメンバーはプロダクトオーナー1名、スクラムマスター2名、開発メンバー8名(Aチーム4名、Bチーム4名ずつ)の計11名です。 「安心・安全・シームレスに利用できる会員サービスを提供する」ことをミッションに、2019年度下期は「多要素認証の導入」「OAuth 2.0 デバイスフローの導入」「セッション管理の改善」などの施策を通
はじめに TL;DR システム概要図 フロントエンド TypeScript Next.js Chakra UI Jest × Firebase Local Emulator Suite バックエンド Firebase Firebase Authentication GCP (Google Cloud Platform) GKE を採用していない理由 悩んでいること データ分析基盤 / BigQuery 開発/コミュニケーションツール おわりに はじめに こんにちは、キカガク CTO の祖父江です。本記事ではキカガクの技術スタックとその選定理由を書いていこうと思います。これまで他社の記事を拝見し、大変参考にさせてもらっているので私たちも次の方へ貢献しようという想いで執筆しています。 これから技術選定フェーズの方が少しでも参考になれば嬉しいですし、キカガクに興味を持っていただけるキッカケになっ
はじめに こんにちは、エンジニアのogadyです。 うちの会社では、IAMユーザーのMFAをマストとしています。そうすると、AWS CLIからMFAする手順がめんどくさい。 aws cliからMFA認証通す時って、クソめんどい。皆さんどうやってるんだろう。そもそもcli用ユーザー作ってmfa無効にするのが正解なのか? — ogady@アニオタエンジニア (@gadyma) October 11, 2019 公式の手順はこれ AWS CLI 経由で MFA を使用してアクセスを認証する 自分で作ろうかとも思ったのですが、良さげなツールを見つけたので試してみました。 aws-mfa を使えば、簡単に期限付きのAWSアクセスキーを発行して、AWS CLIからリソースにアクセスできます。 こんな人向け AWS CLIのMFAを毎回公式の方法でやっている MFA使うべきなのはわかってるけど運用がめん
「パスキー」とパスワードの違いって何?
IT業界はパスワードを廃止し、より優れた認証方式へと移行しようとしている。パスワードの安全性は十分ではないからだ。パスワードに代わる認証方法として、AppleやGoogle、Microsoftは「パスキー」を選択した。パスキーはなぜパスワードよりも「強い」のだろうか。 パスキーとパスワードは何が違うのか パスキーは従来のパスワードとはそもそも何が違うのだろうか。 パスワード管理ソリューションを提供する1Passwordは、数回に分けてパスキーと従来のソリューションの違いを解説した。前編ではパスキーとパスワードの違い、パスキーと多要素認証の違いを紹介しよう。 Webアプリケーションにサインインする場合を考えてみよう。パスワードを使う場合、アカウント作成時にまず短い文字列を決めておく。これがパスワードだ。サインイン時に文字列を入力して、これが元の文字列と一致すればアクセスが可能になる。 パスキ
未経験者がLaravelでポートフォリオを作成した話【学習開始〜AWSデプロイまで】 - Qiita
簡単に自己紹介 ・東京で構造設計をやっている30代前半 ・健康好きで趣味はアンチエイジング ・転職活動1ヶ月で自社開発企業に内定 どんなアプリ? 何ができる? ひとことで言うと 「パレオダイエッター(という健康法をやってる人)向けのコミュニティ+計算機能ツール」 です。 基本的なユースケースとしては、 ・「ユーザー登録/ログイン/プロフィール編集」 ・「文字や画像を投稿・編集/いいね/コメントで交流」 ・「筋肉をつける・腹筋を割るための目標カロリー算出→マイページ登録」 という感じになります。 もう少し機能を細分化すると、 ・ユーザー登録・ログイン機能・ゲストログイン機能 ・プロフィール編集機能(自己紹介文とアバター画像) ・投稿作成機能(モーダル画面,文字数カウント,画像投稿) ・コメント機能 ・投稿とコメントの編集・削除機能 ・いいね機能(Ajax利用,リレーション数取得) ・効率よく
多要素認証 (MFA) のような機能は、組織をセキュリティで保護する優れた方法ですが、多くの場合、ユーザーはパスワードを覚えておく必要があるのに加え、セキュリティ層が増えることに不満を感じます。 パスワードが削除され、ユーザーが持っているものとユーザー自身または知っているものに置き換えられるため、パスワードレスの認証はより便利な方法です。 認証 ユーザーが持っているもの ユーザー自身またはユーザーが知っているもの 認証については、組織ごとにさまざまなニーズがあります。 Microsoft Azure および Azure Government には、Microsoft Entra ID と統合される次の 4 つのパスワードレス認証オプションが用意されています。 Windows Hello for Business Microsoft Authenticator パスキー (FIDO2) 証明
時系列で見る:WordPressを運用中のサーバが丸ごとPHPマルウェアに感染する流れ - Qiita
/wordpress/ /wp/ /blog/ /new/ /old/ /backup/ /oldsite/ /back/ /2017/ /2018/ /div/ /temp/ 1巡目:レスポンスを見て何らかの目星をつけている雰囲気 2巡目:HEADとGETで /各ドメイン/xmlrpc.php 3巡目:GET /各ドメイン/wp-login.php もうこの辺でWordPressがあるかどうかはわかっていそう。 ※リダイレクト(302)で、ドメインAのWordPress管理画面URLが割れる。 2巡目の途中で、おそらくドメインB/xmlrpc.phpに複数回POSTがあり、 最後に APIでユーザー一覧 を参照してしばらく来なくなる。 ※この時にユーザアカウントの何らかの情報を取得された可能性があるのかも… セキュリティプラグインのXMLRPC防御機能があれば防げた可能性がある。 16時
それが一番大事 - 叡智の三猿
情報セキュリティは大事だから個人情報の流出は絶対だめだよね。情報セキュリティは「個人情報が流出しないようにする対策を立てること」という声をよく聞きます。確かに個人情報を適切に保護することは情報セキュリティの肝です。ただ、それは情報セキュリティに求める要素の一部です。 情報セキュリティは以下のように定義されています。 情報セキュリティとは 情報セキュリティは、機密性、完全性、可用性(この3つをまとめて、情報セキュリティの3要素といいます)を維持すること。さらに、真正性、責任追及性、否認防止、信頼性などの特性を維持すること。 情報セキュリティにはたくさんの要素や特性があります。「個人情報の流出を防ぐ」のは機密性の要素です。これが出来ただけで、情報セキュリティすべての要求を満たしていることにはなりません。 ただ、数多くある情報セキュリティの要素や特性をあらゆるシステムに同レベルで維持することは現
出張版「セキュリティのアレ」〜情報セキュリティワークショップin越後湯沢2022 ナイトセッション参加レポート part.1〜 | SBテクノロジー (SBT)
ホーム 特集・ブログ ブログ SBTのスベテ 2022年 出張版「セキュリティのアレ」〜情報セキュリティワークショップin越後湯沢2022 ナイトセッション参加レポート part.1〜 広報の馬場です。10月7日〜8日開催「情報セキュリティワークショップin越後湯沢2022」のナイトセッションに、弊社セキュリティリサーチャーの辻伸弘が登壇したため、その取材を兼ねて参加しました。 今回23回目となる越後湯沢での情報セキュリティワークショップは、国内でも歴史のある情報セキュリティイベントの一つです。本ワークショップは「今こそ見直す、サイバー攻撃被害の情報共有とリスク対策」と題し、サイバー攻撃の被害が拡大する中、どのように社会全体で協調して立ち向かうか、必要な情報共有とリスク対策はどうあるべきなのかをテーマに、各専門分野の第一人者による登壇や、各ベンダーによるセッションが行われました。3年ぶりに
2月に入り、2023年の「サイバーセキュリティ月間」がスタートしました。これは内閣サイバーセキュリティセンター(NISC)をはじめとした政府機関や各種団体がサイバーセキュリティの啓発を目的とし、毎年2月に集中的に実施するイベントです。 これに合わせて内閣官房からもメッセージが公開されていますが、そこで触れられている通り、サイバー攻撃は社会や経済にも大きな影響を与えるようになりました。今後、組織と個人にはますますセキュリティ対策が求められるようになるでしょう。 NISCはサイバーセキュリティ月間のスタートに併せて、個人や組織向けに「サイバーセキュリティ対策9カ条」という基本的なセキュリティ対策を公開しています。以下の9つのチェックポイント(9カ条)を見直し、セキュリティをいま一度、「自分ごと」として考えてみましょう。 OSやソフトウェアは最新の状態にしておこう パスワードは長く複雑にして、他
トヨタフィナンシャルサービスは12月5日(現地時間)、「Text - Aktualisiertes Statement Toyota Financial Services Germany/ Toyota Kreditbank GmbH - Toyota Deutschland Media-Website」において、ドイツのトヨタクレディットバンクを含む複数の拠点のシステムにおいて不正な活動を検出したと発表した。 このサイバー攻撃により個人情報にアクセスされたとしており、情報漏洩を認めたものとみられる。これは先月報じた「トヨタファイナンシャルサービスにランサムウェア被害、身代金要求 | TECH+(テックプラス)」の続報となる。 Text - Aktualisiertes Statement Toyota Financial Services Germany/ Toyota Kreditba
スマートフォンでは当たり前になった生体認証ですが、Windwos HelloのおかげでノートPCにも一般的に搭載されるようになってきました。特に指紋認証については、赤外線カメラを利用した顔認証よりもWindows Helloのハードウェア要件を満たしやすいからか、多くのノートPCに搭載済みです。今回はこの指紋リーダーを使って、Ubuntuログイン時の処理を「パスワードレス」にしてみましょう[1]。 Ubuntuで指紋認証ログイン 実はUbuntuには最初から指紋認証でログインする仕組みが備わっています。よって対応している指紋リーダーデバイスがあればすぐにでも使えるのです。まずはそちらの手順を紹介しましょう。最初に「設定」の「ユーザー」を開きます。もしサポートしている指紋リーダーが接続されていたら、そこに「指紋認証ログイン」が表示されるはずです。 図1 指紋リーダーが接続されているとパスワー
PGP (Pretty Good Privacy) の実装のひとつである GPG (GNU Privacy Guard) を使用して鍵を生成する方法をゼロから紹介します。 また、ファイルを暗号化・署名してやりとりする方法や、 Git のコミットに署名をつける方法、エンジニアフレンドリーなパスワードマネージャー Pass によるパスワード管理の方法なども紹介します。 メールでパスワードつき zip を送りたくない (送らせたくない) 人、クラウド型のパスワードマネージャーを信用できない人、自分の機密データは自分で守りたい人には多分おすすめの記事です。 PGP ・ GPG とは PGP (Pretty Good Privacy) は、公開鍵暗号方式で暗号化と署名ができるソフトウェアです。フィル・ジマーマンが開発し、その後 PGP の規格が OpenPGP として標準化されました。現代で PGP
「ネットワークをつなぐだけ」の時代は終わった シスコが約2億ドルの企業買収で挑む“ゼロトラストセキュリティ”とは
「ネットワークをつなぐだけ」の時代は終わった シスコが約2億ドルの企業買収で挑む“ゼロトラストセキュリティ”とは:新ソリューション「Cisco Duo Security」を日本で提供へ シスコが新たに統合型のゼロトラストセキュリティ戦略を発表した。その重要部分となるのが、同社が2億ドルを投じて買収したDuo Securityの多要素認証ソリューションだ。ネットワークを手掛けながらセキュリティベンダーを名乗る同社の新戦略の内容と、新ソリューションの役割とは。
実戦闘でもサイバー攻撃でも、民間軍事会社が活躍 古くから民間傭兵は戦争の場面で活用され、軍のさまざまな業務を委託されている。しかし、ロシアによるウクライナ侵攻では、ワグネルをはじめとする民間軍事会社が、武器や食料の輸送といった非戦闘任務だけではなく、実際に前線で戦闘そのものをおこなうことも浮き彫りとなった。しかも正規軍より成果をあげていたことも、私たちの目を驚かせた。さらにワグネルの創設者であるプリゴジン氏が、ロシア軍傘下に編入するのを拒んで乱をおこすなど、民間傭兵と正規軍とのパワーバランスが注目されている。 そんな中、サイバー空間においても、サイバーの民間ハッカーがアンダーグラウンドで作り上げたエコシステムが華麗に進化し、正規軍ともいえるAPT(Advanced Persistent Threat: 国家を後ろ盾にするハッカーグループ)を支えている。民間軍事会社が軍を支える構図は、リアル
今年のWWDCで発表された「Sign In with Apple」のWeb版(JavaScript版)を実装してみたいと思います。 今回、裏側はFirebaseを利用していますが、Authenticationは使っていませんので、一般的な環境でも参考になると思います。(執筆時点でまだFirebaseが未対応なので使いたくても使えないわけですがw) ※2019-09-23 「1.5 ユーザーを一意に特定するID」追記 developer.apple.com AppleIDでログイン サンプル ソースコード index.html callback CSRF対策 Appleから渡される値 ユーザーを一意に特定するID Appleサイトでの準備 デベロッパー登録 App IDの作成 Identifierの作成 ドメイン認証 雑感 参考ページ Apple その他 AppleIDでログイン サンプル
freee の二要素認証(ワンタイムパスワード)を仕組みから解説 - freee Developers Hub
はじめに こんにちは、freee で認証認可基盤の開発をしている okarin です。 freee のプロダクトでは二要素認証を有効にすると、メールアドレスとパスワードを入力した後、ワンタイムパスワードを求められるようになります。この二要素認証を利用することで、より安全に freee をご利用いただけるようになっています。本記事では二要素認証の仕組みを解説していきたいと思います。 ワンタイムパスワード入力画面 そもそも二要素認証とは? 「記憶情報」、「所持情報」、「生体情報」のうち、2つを組み合わせる認証方式を二要素認証と呼んでいます。これらの2つ以上を組み合わせた認証方式を多要素認証と呼ぶこともあります。 freee では、「記憶情報」であるパスワードと、「所持情報」であるワンタイムパスワード(OTP)を利用して二要素認証を実現しています。 OTP の仕組み では、どうやって OTP を
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Google、PDFで政府要人を狙うロシアの脅威グループ「COLDRIVER」の手口を報告
Teams と SharePoint の統合 - SharePoint in Microsoft 365
Twitterが個人情報不正利用で連邦取引委員会に190億円の罰金支払いへ
AWS Client VPN 構築で考えるべきだったこと(備忘録) | DevelopersIO
20210122_WiBiz技術セミナー_PrivateMACAddress_配布用
Cisco製品のゼロデイ脆弱性を悪用して政府ネットワークに侵入する「ArcaneDoor」
マイナンバー収集を、スマートに。 デジタルIDアプリ「xID」が「マイナンバー要求API」の提供を開始
「入れたら動いた、めでたしめでたし」とはならない、クラウドセキュリティの課題
withコロナでチーム開発はどう変わったか GMO3社の開発トップが考えるエンジニアのまとめ方
セキュリティエンジニア ジェイクが提案する「多要素認証」の導入と従業員の対応 - 叡智の三猿
ログイン認証の混乱(2) ~多要素認証とFIDO~ - 叡智の三猿
クラウドサービスの競争から「ゲームの理論」 - 叡智の三猿
脅威から自分のアカウント・ログイン情報を守るための3ステップ | ライフハッカー・ジャパン
マルウェアを使わない大規模クレデンシャルハーベスティング(認証情報詐取)
OpenID Connect CIBA 実装の具体例と考慮すべきポイント
DMMアカウントサービスチームの取り組み(レイテンシ改善) - DMM inside
キカガクの技術スタックと選定理由 - キカガク プラットフォームブログ
AWS CLIからのMFA(多要素認証)を楽にするツール(aws-mfa)を使ってみた - Qiita
Microsoft Entra のパスワードレス サインイン - Microsoft Entra ID
代わり映えしない10大脅威から、筆者が読み解いた“悪い兆候”
トヨタフィナンシャルサービス、ランサムウェア被害と個人情報の流出発表
第786回 Ubuntuでもあこがれの指紋認証を! | gihyo.jp
GPG で始める暗号・署名ライフ - blog.livewing.net
世界で最もランサムウェア身代金を支払わない国ニッポン | Proofpoint JP
Web版「Sign In with Apple」を実装する - ねこの足跡R