IBMは2024年10月1日(現地時間)、クラウドインシデントを分析し、保護するための重要な洞察と実践的なストラテジーをまとめた「2024 IBM X-Force Cloud Threat Landscape Report」を公開した。 同レポートでは脅威インテリジェンスやインシデント対応を基に攻撃者がクラウドインフラストラクチャをどのように侵害するかについての詳細に分析している。 クラウドを狙ったサイバー攻撃で最も注意すべきものとは? 主な調査結果は以下の通りだ。 クラウド関連のインシデントの33%がフィッシング攻撃に関連しており、攻撃者はフィッシングを通じて中間者攻撃(AITM)を実施し、認証情報を収集している クラウドインフラへの攻撃の39%がビジネスメール詐欺(BEC)攻撃であり、攻撃者は企業のメールアカウントを乗っ取って不正行為を実行している ダークWeb市場でのクラウド認証情報
データストレージベンダーであるPure Storageは2024年6月11日(現地時間、以下同)、自社のセキュリティ速報で(注1)、顧客サポートサービスに使用しているテレメトリーデータを含むSnowflake環境に攻撃者がアクセスしたことを発表した。 同事案は脅威アクター「UNC5537」によるSnowflakeの顧客データをターゲットとする脅威キャンペーンに関連したものだ。UNC5537はインフォスティーラーマルウェアによって盗まれた資格情報を使用して顧客のSnowflakeインスタンスにアクセスしたとされている。 Snowflake事件の最初の被害者としてPure Storageが名乗り Pure Storageは「テレメトリー情報は顧客システムへの不正アクセスに使用できない」と述べている。今回の攻撃で公開された情報には、企業名やLDAP(Lightweight Directory A
Amazon Web Services ブログ 生成 AI をセキュアにする: 関連するセキュリティコントロールの適用 本ブログは「Securing generative AI: Applying relevant security controls」を翻訳したものとなります。 本ブログは、生成 AI をセキュアにするシリーズのパート 3 です。まずは、スコーピングマトリックスについての詳細を紹介したブログ「生成 AI をセキュアにする: 生成 AI セキュリティスコーピングマトリックスの紹介」の概要から始めましょう。本ブログでは、生成 AI アプリケーションを保護するためにセキュリティコントロールを実装する際の考慮事項について説明しています。 アプリケーションをセキュアにするための最初のステップは、アプリケーションのスコープを理解することです。本シリーズのパート 1 では、アプリケーショ
この日に同社が行った報道機関向けの説明会でプロフェッショナルサービス部 マネージャの加藤義登氏は、2023年の攻撃傾向として、マルウェアなどの不正プログラムを使わない攻撃者の侵入手口がより高度化していることや、攻撃者が標的の組織への侵入に成功して本格的に侵入範囲を広げる(ラテラルムーブメント)まで平均62分であるといった特徴を報告した。 加藤氏によると、攻撃者は初期侵入を図る上で、相手をだますソーシャルエンジニアリングや、システムの脆弱(ぜいじゃく)性の悪用といったさまざまな手口を用いる。これによる攻撃の割合は、2022年の71%から2023年は75%に増加した。地域別では北米が61%、欧州が11%を占め、業界別ではテクノロジーが23%、電気通信が15%、金融が13%を占めていた。 また、加藤氏は、攻撃者の初期侵入からラテラルムーブメント開始までの平均62分の間に、攻撃者の活動の検知と活動
関連キーワード 人工知能 | パスワード | セキュリティ 「生成AI」(エンドユーザーの指示を基にテキストや画像、音声などのデータを生成する人工知能技術)が台頭したことを背景にして、フィッシング攻撃が成功しやすくなっている。より巧妙なフィッシング攻撃に対抗するために、組織にはどのような対策が求められているのか。 有効な手段の一つになる可能性があるのが、パスワードを使わない「パスワードレス認証」だ。パスワードレス認証には「パスキー」(Passkey)という認証方法がある。パスワードを使った手法を置き換えていく可能性のあるパスワードレス認証の利点と可能性を探る。 「パスキー」を使う“パスワードレス認証”の利点とは? 併せて読みたいお薦め記事 連載:生成AIで変わる攻撃と対策 前編:「攻撃専用GPT」が生成する“見破れない詐欺メール” その恐ろし過ぎる現実 そもそも「パスワードレス認証」とは
Entra ID(旧名Azure AD)は企業での利用の割合が高く、社内システムを作る場合はこれを使って認証して欲しいという要件が積まれることがほとんどでしょう。とはいえ、現物を使ってテストを作るのは都合がよくないこともあったりします。例えば処理時間が延びる(大量のE2Eテストを走らせる場合)とか、たくさんのユーザーのバリエーションを作る場合にそれだけユーザーを登録しないといけないとか、多要素認証の認証をどうするかとか。そんな感じのウェブサービスの単体テストを簡略化する方法について検討して組み込んだので紹介します。 前提Entra IDを組み込む方法については以前のエントリーで紹介しています。 MSAL.jsを使ってウェブフロントエンドだけでAzureAD認証する AzureAD+MSAL for Goでバッチコマンドの認証 後者は他の認証基盤でもだいたい同じですが、前者は、MSAL.js
乗っ取られたアカウントには、「NFT」など怪しいアカウントでよくある単語が羅列されていて、完全に目的をもって乗っ取ってきた感じでした。 ご本人は、2要素認証してなかったと言っていましたが、個人情報がもれてたということに変わりなさそうです。 情報が漏れるとしたら、(素人目線ですが)フィッシングはもちろん、連携アプリやTwitterなどのIDからメールアドレスを把握しやすい場合などが多いかもしれません。Twitterに誕生日表示をしてる人も結構いますし、表示してなくても過去のツイートから誕生日は把握しやすいのでパスワードが容易に想像できてしまう場合も少なくないと思っています。 そこで、多要素認証が必要になってきます。(とはいっても、まだID・パスワードだけってところが圧倒的に多いですよね) また同じ多要素認証でも、SMS認証は危険性が訴えられていて、セキュリティに詳しい方から言わせるとSMS認
中小企業に推奨される5つのセキュリティ対策の詳細は クラウドストライクによると、中小企業は時代遅れのソフトウェアの使用や脆弱(ぜいじゃく)なパスワードポリシー、暗号化技術の不活用、従業員のセキュリティ意識の低さなどによって、サイバー攻撃者の標的となっているという。 同社は「中小企業には十分な人材や予算がないため満足に対策できないケースが多いが、AI(人工知能)を活用したアプローチを組み合わせることでセキュリティ体制を強化できる」と説明している。 中小企業が2024年に実施すべき主なセキュリティ対策は以下の通りだ。 AIを活用したセキュリティ防御を導入する。脅威インテリジェンスの収集と分析は多くの中小企業にとって困難だが、AIを活用した防御であればそのメリットを得られる。導入も簡単であり手間に比べて得られる効果が高い 多要素認証(MFA)を導入する。2023年は企業に侵入する際の手口としてI
関連キーワード VPN | セキュリティ | コンプライアンス | ネットワーク | ネットワーク管理 テレワークは働き方として広く普及しているが、セキュリティ上の懸念が生じる。例えばテレワーカーが自宅から社内リソースにアクセスする方法に注意が必要だ。従業員はBYOD(私物端末の業務利用)により、十分に保護されてない私用PCで社内ネットワークに接続する可能性がある。 企業がテレワークを認めるのであれば、ネットワークの使用や管理に関する規則を適切に定め、従業員はそれを順守しなければならない。具体的に守るべき項目を網羅したチェックリストを公開する。 ネットワーク担当者が確認すべき「テレワークチェックリスト20項目」 併せて読みたいお薦め記事 連載:テレワークのチェックリスト 前編:ネットワークのプロは「テレワークで起きる課題」をどう分析しているのか テレワークで“悩まない”ために 「ひきこもり
連日さまざまなサイバーセキュリティ犯罪のニュースが報じられる中、いまだに日本のセキュリティレベルは高いとは言えない状況にあります。一方で、企業がサイバーセキュリティ対策を進める上では、人材不足や経営層の意識・関心、コスト、導入による利便性の低下など、さまざまな壁が立ちはだかっています。 そこで今回は、株式会社網屋が主催する「Security BLAZE 2023」より、サイバーセキュリティのエキスパートによる講演をお届けします。本記事では、昨今のランサムウェア攻撃の傾向と、事業を継続できなくなるような甚大な被害の回避策について、2人の識者が解説しました。 日本企業の4つの経営課題に合わせたサービスを提供 大元隆志氏(以下、大元):それでは「正しく考えるランサムウェア データから考えるリスクと対策」といったことで、Netskope Japan株式会社・大元からご説明いたします。 まず簡単に自
組織全体のサイバーセキュリティを向上させる効果的な方法の一つは、サイバー保険に加入することである。 なぜ企業はサイバー保険に加入したがらないのか? Forresterの調査によると(注1)、データ侵害の可能性を排除することは困難だが、保険の引き受け時に承認を得るための厳格なルールがあるため、組織の全体的なサイバー態勢は自動的に改善されるという。 Forresterの調査によると、サイバー保険への加入によってプラスの影響があるにもかかわらず、単独のサイバー保険に加入している企業はわずか4分の1にすぎない。 企業が単独のサイバー保険を敬遠し続ける理由は多い。企業が加入している他の保険にサイバー保険が含まれている可能性もある。しかし、コストや補償限度額に関する懸念も(注2)、潜在的な購入者を遠ざけている。 補償の格差に加え、補償を得るための複雑さも関係している。これは、ファーストパーティの保険と
この連載について サイバー攻撃の手法は日々進化しており、多様化、巧妙化も著しい。また、その攻撃対象も大手企業だけでなく中小企業や社会インフラにまで広がっている。こうした状況に向き合うわれわれも常に情報をアップデートし、手法や対策の在り方の更新が求められる。いち早く攻撃者の動向を察知し、対策を検討するセキュリティソリューションベンダーはこの状況をどう見ているだろうか。 本連載はサイバーセキュリティベンダーなどのリーダーが、最新のサイバー攻撃の動向やその防御の考え方、技術的な課題などを解説する。 クラウドを狙う攻撃者の活動が激化しています。CrowdStrikeの「2023年版グローバル脅威レポート」によると、2021~2022年にかけて、クラウドを狙ったエクスプロイトは95%増加、直接クラウドを標的にした脅威アクターによる攻撃は288%増加しました。 こうした脅威から自社のクラウド環境を保護
[アップデート] Amazon Cognito で多要素認証(MFA)の方法に E メールを設定できるようになりました | DevelopersIO
いわさです。 Amazon Cognito ユーザープールには多要素認証(MFA)の機能があります。 デフォルトは無効化されていますが、オプションで有効化が可能です。 Cognito の MFA では認証の方法として、Google Authenticator など認証アプリケーション、あるいは SMS メッセージのどちらかで time-based one-time passwords (TOTP) を発行して使う仕組みだったのですが、アップデートで E メールも選択できるようになっていました。 アップデートアナウンスはまだ出ていませんが、AWS CLI や各種 SDK からは設定できるようになっていまして、また、マネジメントコンソールや公式ドキュメントも確認してみたところ E メールが設定出来るようになっていました。 今回こちらの機能を有効化して認証フローを通してみましたので流れを紹介しま
![[アップデート] Amazon Cognito で多要素認証(MFA)の方法に E メールを設定できるようになりました | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/664fb0a2edc6cb63f11926bc140c2359f08fe07a/height=288;version=1;width=512/https%3A%2F%2Fimages.ctfassets.net%2Fct0aopd36mqt%2Fwp-thumbnail-a818da17018141da489a79231ff888af%2F262f4f06026559b98b1fdec52f1a2176%2Famazon-cognito)
情シス百物語 「IT百物語蒐集家」としてITかいわいについてnoteを更新する久松氏が、情シス部長を2社で担当した経験を基に、情シスに関する由無し事を言語化します。 25万人分の個人情報が漏えいしたKADOKAWAへのサイバー攻撃は記憶に新しい方も多いでしょう。記事によると、従業員のアカウント情報が奪取された後に社内ネットワークに侵入されたことが発端とのことです。この話題のピークは世間的には2024年8月だったと記憶していますが、皆さまの企業ではこれを受けて対策はされましたでしょうか。 私は2000年当たりからウイルス感染したPCを処置し、ゼロデイ攻撃を受けた際は復旧作業に至るまでの対応に追われたこともあります。今回はランサムウェアへの備えとして、私が過去に対応したセキュリティ事故の話や体験なども合わせてお話していきます。 ランサムウェアへの5つの事前対応 まずはシステム的な事前対応です。
【書評】『WEB+DB PRESS Vol.136』から学ぶ、パスキー(Passkey)導入で変わるセキュリティとUX | DevelopersIO
【書評】『WEB+DB PRESS Vol.136』から学ぶ、パスキー(Passkey)導入で変わるセキュリティとUX 最近、認証技術を学んでいるときに「パスキー」という言葉をよく目にするようになりました。どうやら従来のパスワードの問題を解決する新時代の認証方式として注目を浴びているようです。しかし「パスキー」とはどのような認証方式なのでしょうか。 パスワード以外の認証方式と言えば「多要素認証」や「パスワードレス認証」がありますが、「パスキー」はこれらと比べて何が違うのでしょうか。 『WEB+DB PRESS Vol.136』の特集2『実戦投入パスキー』を読むことで、これらの疑問の答えが見つかります。 パスワードレス認証がなぜ登場したか、なぜ新しい認証方式であるパスキーが求められているのか。 ユーザーの体験に着目しながら詳しく解説してくれています。 このブログ記事では、全5章ある『WEB+
関連キーワード サイバー攻撃 | パスワード | セキュリティ パスワードではなく、顔や指紋を使って認証を実施する技術として「パスワードレス認証」がある。パスワードレス認証を使うことで、エンドユーザーの利便性が改善する他、アイデンティティー(ID)のセキュリティを強化できる効果が期待できる。実際、パスワードレス認証の利用はどこまで進んでいるのか。米TechTargetの調査部門Enterprise Strategy Group(ESG)アナリストのジャック・ポラー氏に、「パスワードレス認証の今」を聞いた。 「WebAuthn」が追い風に? パスワードレス認証の現在地 ―― ESGの調査で「認証技術への投資を増やす予定がある」と回答したうちの59%が、パスワードレス認証が最優先の投資先だと答えました。パスワードレス認証の導入は現時点でどのような段階にあるのでしょうか。 併せて読みたいお薦め記
JPCERT/CC は、2024年1月25日、26日にJSAC2024を開催しました。 本カンファレンスは、セキュリティアナリストの底上げを行うため、 セキュリティアナリストが一堂に会し、インシデント分析・対応に関連する技術的な知見を共有することを目的に開催しています。今回が7回目となるJSACですが、前年度と異なりオフライン形式のみで開催しました。講演については、2日間で17件の講演、3件のワークショップおよび、6件のLightning talkを実施しました。 講演資料は、JSACのWebサイトで公開しています(一部非公開)。JPCERT/CC Eyesでは、本カンファレンスの様子を3回に分けて紹介します。 第1回は、DAY 1 Main Trackの講演についてです。 Amadeyマルウェアに関する活動実態の変遷から得られる教訓 講演者:BlackBerry Japan 株式会社 糟
Twilioは2024年7月1日(現地時間)、多要素認証(MFA)アプリの「Authy」の最新アップデートをリリースした。アップデートはAuthyの「Android」版および「iOS」版に対する修正が含まれている。 今回のアップデートは2024年6月下旬に発生したAuthyの脆弱(ぜいじゃく)性による3300万件以上の電話番号流出インシデントに対処したものとされている。漏えいした情報によって、SMSフィッシングやSIMスワッピング攻撃を実行される可能性があるため注意が必要だ。 3300万件以上電話番号流出を引き起こした脆弱性に対処 Twilioはコンピュータ情報サイト「Bleeping Computer」の取材に対し、認証されていないエンドポイントが原因で、Authyアカウントに関連付けられた個人データを攻撃者に特定されたと報告しており、直ちに対応を実施し、エンドポイントを保護する措置を講
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます グーグル・クラウド・ジャパンは12月12日、サイバーセキュリティに関する記者セミナーを開催し、米Google Cloudでセキュリティ脅威の動向を分析しているMandiant Intelligence チーフアナリストのJohn Hultquist氏が、今後日本を狙うサイバー攻撃に使用される可能性のある動向などを解説した。 まずHultquist氏は、脅威の情勢に向き合う上で(1)サイバー攻撃の標的が政府か企業かではなく包括的に捉えること、(2)攻撃者の進化のスピードに劣ることなく団結すること、(3)将来に向けて今すべき行動をすること――を助言した。例えば、国家の支援を受けた攻撃組織がサイバースパイをしているなどと聞くと、「標的は政府機
Okta Japanは2024年10月17日、OpenID Foundationとともに、新たなアイデンティティーセキュリティ標準「IPSIE」(Interoperability Profile for Secure Identity in the Enterprise)の策定に向けたワーキンググループを結成すると発表した。このグループにはPing IdentityやMicrosoft、SGNL、Beyond Identityも参加しており、SaaSのセキュリティ強化を目指すとしている。 Oktaらが新アイデンティティーセキュリティ標準策定に向けWGを結成 IPSIEの目的は、SaaS企業が自社のテクノロジースタック全体でエンド・ツー・エンドのセキュリティを確保するためのフレームワークを提供することだ。現在多くのクラウドベースのアプリケーションは十分なアイデンティティーセキュリティがないま
ゼロトラストの欠点は何ですか? (Q&A)
A:セキュリティ強化のためにゼロトラストを導入すると、厳格な認証とネットワーク上のリソースの継続的な監視が欠かせなくなります。つまり、運用コストと運用に必要な時間や人員が増えます。 ゼロトラストセキュリティは、ネットワークを対象としてセキュリティを高める手法だ。「信頼は与えられるものではなく、検証されるものだ」という原則に従う。従来のセキュリティモデルでは、企業のネットワーク境界内に存在するデバイスやユーザーを信頼できると考えて扱ってきた。しかし、ゼロトラストモデルでは、従来の境界内であっても全てのアクセスを潜在的な脅威として扱い、アクセスを許可する前に厳格な認証と検証を必要とする。 厳格な認証を実現するため、多要素認証はもちろん、ユーザーのアクセス状況からリスクを判定し、リスクがあると判定した場合に追加の認証を実行するリスクベース認証の他、IPアドレスや地域、利用デバイスなどによるアクセ
eSentireは2024年7月30日(現地時間)、盗まれた生成AIサービスのアカウント情報がダークWebで活発に販売されていると報告した。1日に約400件のユーザー名やパスワードが販売されていることがeSentireのサイバーセキュリティ研究チームの調査によって判明している。 ダークWebで生成AIアカウント情報が格安で流通している 調査によると、サイバー犯罪者は盗んだアカウント情報を利用して利益を得ていることが分かった。ロシアのダークWebでマルウェアやインフォスティーラーを使って盗まれた認証情報が取引され、スティーラーログとしてダークWebで1アカウントにつき10ドルで売られていることが確認されている。 2024年はじめには「LLM Paradise」と呼ばれるダークWebが発見されている。LLM Paradiseでは盗まれた「GPT-4」および「Claude」のAPIキーがわずか1
サイバーセキュリティとオリンピックの現状についての考察
2024 年オリンピックの開会式まであと 2 週間となった今、伝統的に何が起こるか予測不可能なこのビッグイベントであっても絶対に起こると断言できることが 1 つあります。それはサイバー攻撃です。 オリンピックが新たに開催されるたびに、攻撃者、ハクティビスト、国家の支援を受けたグループが、何らかの方法でオリンピックを妨害しようと準備を進めているという新たな議論が巻き起こります。2018 年に韓国で開催された冬季オリンピックの開会式は、Olympic Destroyerという大規模なサイバー攻撃による妨害を受け、チケット販売業務が一時停止し、オリンピック関連の Web サイトがいくつかダウンしました。 そして今年の夏季オリンピックについて、開催国フランスのサイバーセキュリティ機関の責任者は、同国が「前例のないレベルの脅威」に直面していると懸念を表明しています。 というのも、現代では、保護しなけ
DockertestとLocalStackを使って 外部サービスに依存した多要素認証の 動作確認・テストをした話 / A story about using Dockertest and LocalStack to check and test the operation of multi-factor authentication that depends on external services
2024/06/08: Go Conference 2024 https://gocon.jp/2024/ DockertestとLocalStackを使って 外部サービスに依存した多要素認証の 動作確認・テストをした話 西田 智朗 ソフトウェアエンジニア
こんにちは、Azure Identity サポートチームの 張替 です。 本記事は、2024 年 5 月 16 日に米国の Azure Active Directory Identity Blog で公開された Microsoft Entra Private Access for on-prem users - Microsoft Community Hub を意訳したものになります。ご不明点等ございましたらサポート チームまでお問い合わせください。 クラウドの技術とハイブリッド ワーク モデルの出現は、サイバー脅威の急速な激化と高度化とともに、人々の仕事のやり方を大きく塗り替えています。組織の境界がますます曖昧になるにつれ、かつては認証済みのユーザーにとって安全であった社内アプリケーションやリソースが、今では踏み台となったシステムやユーザーからの侵入に対して脆弱になっています。ユーザーが
「OTP(ワンタイムパスコード)を盗むニーズに対する最初で最後のプロフェッショナルサービス」を名乗り、銀行が詐欺や不正行為を防ぐために導入しているチェック機構を回避するサービスを月額制で犯罪者に提供していた3人の容疑者が有罪を認めたことがわかりました。 Website operators promised fraudsters profit within minutes if they subscribed to illegal service - National Crime Agency https://www.nationalcrimeagency.gov.uk/news/website-operators-promised-fraudsters-profit-within-minutes-if-they-subscribed-to-illegal-service Admins of
xID、子育ての不安・悩みに答える電子書籍コンテンツが無料で読める『ちいさな子育て図書館』をメディアドゥと共同リリース マイナンバーカード・デジタルIDを活用した自治体や企業の課題解決・新規事業創出を総合的に支援するGovtechスタートアップ、xID(クロスアイディ)株式会社(本社:東京都千代田区、CEO 日下 光 以下xID) と電子図書館事業を展開する株式会社メディアドゥ(東証プライム 3678、本社:東京都千代田区、代表取締役社長 CEO 藤田恭嗣、以下「メディアドゥ」)は、子育ての不安・悩みに答える無料の電子書籍コンテンツ『ちいさな子育て図書館』をリリースします。 本サービスにはデジタルIDアプリ「xID」が実装されており、利用登録の完全オンライン化を実現すると共に、ログイン時の多要素認証を実装し、利用者の利便性とセキュリティを向上させます。 本サービスを導入した自治体においては
関連キーワード Office 365 | Windows | Microsoft(マイクロソフト) | クラウドサービス | 仮想デスクトップ MicrosoftのクライアントOS「Windows」を利用する選択肢は、Windows搭載のPCを購入するだけではない。同社は「macOS」や「Linux」といったWindows以外のOS搭載のデバイスからでもWindowsを利用できる「Windows 365」を提供している。Windows 365を利用することでどのような利点が得られるのか。 MacやLinuxも対象? 「Windows 365」を使う理由とは? 併せて読みたいお薦め記事 連載:Windows 365の基本の基 前編:Windows版クラウドPC「Windows 365」と「Microsoft 365」の根本的な違い Microsoft製品ならこちらもチェック これがWindo
パスキーの仕組みを分かりやすく解説 企業にどう役立つか
パスワードの問題を一気に解決できる「パスキー」の採用が広がっている。パスキーを採用すれば社外向けのサービスだけでなく、社内向けのサービスのセキュリティも向上できるという。 パスキーはパスワードを代替する技術の有力候補だ。ユーザーの記憶に頼らず、漏えいの可能性もずっと低い。そのため、Webサービスにログインするユーザー向けのサービスで導入が進んでいる。NTTドコモや任天堂など大量のユーザーを抱える企業がまずパスキーに飛びついた。 では、外部のユーザー向けにWebサービスを提供していない企業はパスキーと無関係なのだろうか。実はそうではない。 従業員の保護に役立つパスキー なぜならパスキーは従業員の保護に役立つからだ。どのようにして従業員を保護できるのかを紹介しよう。 パスキーがハイブリッド環境におけるアイデンティティー(ID)の保護に役立つと指摘するのはパスワード管理ソリューションを提供する1
五周年記念企画の第二弾は、検索エンジン間での流入比較です。 検索エンジンから見に来て頂いた記事には、検索エンジンによって差があります。 同じ記事でも、検索エンジンによって評価が違っているのでしょうし、検索エンジンによって利用者の傾向に偏りもあるのでしょう。 ブログオーナーの方に参考にして頂ければ幸いです。 ※前回の記事に引き続いて公開する予定でしたが、データに精査が必要な点が見つかった為、公開が遅れました。 ※5年目1年間の、検索エンジンから見に来て頂いた記事。各10位まで。 ■googleからの流入 1位 なぜ東芝の家電は今も売られているのか?魂を売った企業の行く末は? 2位 今でも電車の優先席付近で携帯電話(スマホ)の電源は切るべき? 3位 DX以外の「○X(~トランスフォーメーション)」をまとめてみました 4位 AppleはiPhone miniを復活させるのか?iPhone min
合併などを想定したテナント移転機能が、リソース悪用の糸口に クラウドコンピューティング環境はサイバー攻撃者にとって魅力的なターゲットの一つだ。ダヴラエフ氏によると、「Microsoft Azure」(以下、Azure)においても、数十テナントにまたがり、数百万ドル規模に上る不正利用が判明したケースがあったという。平均被害額はわずか数日で30万ドル規模に上った。 「被害者はある朝目覚めると、数百万ドル規模の被害を受けたことに気が付きます。調査に入る頃には、その金額はすでに失われた後です」(ダヴラエフ氏) ダヴラエフ氏が紹介したのは、Azureのサブスクリプションとテナント、ディレクトリの関係を悪用した手法だ。 課金単位であるサブスクリプションと、リソース管理の単位であるテナントは別々の概念だが、Azureのサブスクリプションは基本的にテナントにひも付けられている。そしてサブスクリプションごと
はじめに Windows10以降はサインインに様々な方法が利用できるようになりましたが、PINとパスワードってどう違うのか社内で説明するときに悩まれることがあると思います。そんな場合のヒントになったらいいな、というお話です。 なお、非ITセクションへの説明方法を考えるという観点ですので、正確さが若干犠牲になっている面がありますのでご理解いただけますと幸いです。 背景:PINがオンラインパスワードよりも優れている理由、とは? Windows10以降ではデバイスへのサインイン時に従来通りのパスワードと、Windows HelloとしてPINや生体認証など多様なサインイン方法が標準サポートされるようになりました。 さて、皆様はサインイン方法をどのようにしているでしょうか?今まで通りのパスワードでしょうか?それとも、PINや生体認証を利用しているのでしょうか?数字数桁入れるだけでサインインできるな
NetAppは2024年7月5日、大分県立病院が第3期病院総合情報システムにストレージシステム「NetApp AFF A250」および「NetApp FAS2720」を採用したと発表した。クラウドやAIといった技術との連携を見据え、ランサムウェア対策を含めた医療分野でのDX推進を目的に導入したとされている。 医療現場のセキュリティ強化に向けてストレージシステムを採用 大分県立病院は第3期病院総合情報システムの構築において、サイロ化していた部門システムとバックアップ環境を単一の仮想基盤上に集約し、その仮想基盤にNetAppソリューションを導入した。これによって、ランサムウェア対策や定期的に繰り返されるハードウェア更新時のデータ移行をセキュアかつスピーディーに対応できる環境を構築した。 NetAppのソリューションが採用された主要な理由としては、ランサムウェアに対して「万が一感染しても即座に復
AWS はルートユーザーと IAM ユーザーにパスキー多要素認証 (MFA) を追加します | Amazon Web Services
Amazon Web Services ブログ AWS はルートユーザーと IAM ユーザーにパスキー多要素認証 (MFA) を追加します セキュリティは Amazon Web Services (AWS) の最優先事項であり、6月11日、お客様の AWS アカウントのセキュリティ体制を強化するのに役立つ 2 つの機能をリリースします。 まず、ルートユーザーと AWS Identity and Access Management (IAM) ユーザー向けに、サポート対象の多要素認証 (MFA) のリストにパスキーを追加します。 次に、ルートユーザーに MFA を適用し始めました。最も機密性の高いユーザー、つまり AWS Organization の管理アカウントのルートユーザーから始めました。2024年の残りの期間中に、この変更を他のアカウントにも引き続き適用します。 MFA は、アカウン
Azure AD B2C の行方と新たに登場した Microsoft Entra ID for customers のどっちがいいの? - Qiita
Azure AD B2C の行方と新たに登場した Microsoft Entra ID for customers のどっちがいいの?MicrosoftSecurityAzureADidentityEntra こんにちは、@daimat と申します。 Microsoft Security Advent Calendar 2023 1 日目を担当させていただきます、よろしくお願いいたします。 Microsoft の CIAM ソリューションは 2 つ存在 CIAM とは Customer Identity and Access Management の頭文字から成り立ち、読んでくださっている皆さんから見たお客様の ID を管理することを指しています。ちなみにサイアムと読むそうです。 この CIAM ソリューションは、以前からある Azure AD B2C に加えて現在パブリックプレビューとし
はてなへのログインがパスキーと多要素認証に対応!より安全にはてなブログをお使いいただけます! - 週刊はてなブログ
平素より、はてなブログをご利用いただきありがとうございます。 はてなIDが「パスキー」「多要素認証」を利用した認証に対応しました。 ユーザー設定画面より本機能を有効としていただくことで、ログイン時における第三者からの不正ログインやフィッシング、なりすましなどのリスクの低減が期待できます。 是非ご利用下さい。 詳しくは以下のはてなヘルプをご参照下さい。 パスキーについて知りたい https://hatena.zendesk.com/hc/ja/articles/29891566718745 パスキーを設定すると、パスワードはどうなりますか https://hatena.zendesk.com/hc/ja/articles/29891880668953 パスキーの設定方法 https://hatena.zendesk.com/hc/ja/articles/29891975697177 パスキー
メールを通じて認証情報を盗むなどするフィッシング攻撃の脅威が増している。メールセキュリティーの世界最大手、米プルーフポイントによると、フィッシング被害者の3分の1以上は複数の認証を使う多要素認証を実装済みだった。攻撃者を支える仕組みが闇市場に登場していることが背景にある。同社のティム・チョイ副社長はIDの管理を厳格化することが重要と提唱する。――プルーフポイントが8月に公表したリポートでは、過
世界中でサイバー攻撃の脅威が拡大する中、日本国内のセキュリティ意識はデジタル先進国の各国から遅れをとっている状況と言える。アメリカとの比較では、サイバーセキュリティ対策への投資額が5000万円以上の企業がアメリカは71%であるのに対し、日本は32%という調査結果(出典:IPA「企業のCISOやCSIRTに関する実態調査2017-調査報告書-」)もあり、セキュリティ投資が十分でない状況が伺える。 そこで、SaaS/ASPなどのクラウドサービスのセキュリティ対策状況を第三者評価する「Assured」は、2023年のセキュリティトレンド総括として海外/国内サービスのセキュリティ対策状況を比較し、その傾向を発表した。 調査レポートの詳細は以下の通り(Assured調べ)。 第三者認証取得 国内でSOC2を取得しているサービスは8.6%のみ。ISO/IEC 27001は海外、国内ともに半数以上が取得
Amazon Cognito Hosted UIで、署名付きURLを使用し認証ユーザーごとにプレフィックス分けてS3バケットにアップロードする | DevelopersIO
Amazon Cognito Hosted UIで、署名付きURLを使用し認証ユーザーごとにプレフィックス分けてS3バケットにアップロードする はじめに 本記事では、Amazon Cognito Hosted UIを利用して、単一のS3バケットに対して署名付きURLを用いて、認証済みユーザーごとにプレフィックスを分けたアップロード方法を解説します。 この手法により、各ユーザーのファイルを効率的かつセキュアに管理することが可能になります。 以前、クライアントからEC2インスタンス経由でS3バケットにファイルをアップロードする方法を紹介しました。しかし、この方式では、大容量ファイルのアップロード時にEC2インスタンスに過度な負荷がかかるという課題がありました。 今回は、署名付きURLでクライアントから直接S3にファイルをアップロードする方式で試してみます。 S3の署名付きURLは、S3バケット
企業で多要素認証を行う難しさ 認証系の製品のサポートを行うことが多い立場柄、多要素認証が導入できていないお客様には、多要素認証の重要性や必要性を説明する機会も多いのですが、「うちの会社では〜〜〜だから、多要素認証できないんですよ」みたいな事を言われるケースが多くあります。確かに、多要素認証をユーザーの方にセットアップしていただき、使っていいただくという事は様々な観点での課題があると思いますし、それらの課題を解決していくというのは、大きな会社になればなるほどかなり大変だと思います。 会社の IT を管理していたり、アカウント/認証系のシステムに携わっている方には耳タコだと思うので今更、多要素認証の重要性や必要性をつらつらと記事にする必要はないかと思いますが、やりたいとは思っていても様々な要因で多要素認証を適用できていない状況の会社は意外と多いと感じましたので、私が出会った課題やそれぞれについ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IBMがクラウドセキュリティ調査を公開 最も警戒が必要な攻撃は何か?
Pure Storageは、Snowflakeに関連する攻撃の早期被害者として名乗りを上げた
生成 AI をセキュアにする: 関連するセキュリティコントロールの適用 | Amazon Web Services
サイバー攻撃の侵入成功から侵害開始までは平均62分--クラウドストライク報告書
パスワードではなく「パスキー」を使う“パスワードレス認証”の利点はこれだ
Entra IDを使うウェブサービスのバックエンドのテスト | フューチャー技術ブログ
セキュリティ知識薄めのエンジニアがyubikeyを買って、理想的な終活アイテムだと思った話。|nyar
中小企業が2024年にやるべき5つのセキュリティ対策 クラウドストライクが提言
“完全無欠のネットワーク”を作る「テレワークチェックリスト20項目」はこれだ
サイバー攻撃者も“コスパ重視” 狙われやすい「低コストで侵入可能な企業」がとるべき防衛策
ランサムウェアは激化しているのになぜ企業はサイバー保険を敬遠するのか?
ここだけは絶対守りたい データ侵害につながるクラウドの設定ミス“13選”
ウイルス感染を体験した情シスが提案する「5つのランサム対策」 KADOKAWAの二の舞を避けよう
“パスワード廃止論”の追い風が吹く「パスワードレス認証」の現在地
JSAC2024 開催レポート~DAY 1~ - JPCERT/CC Eyes
多要素認証アプリ「Authy」の脆弱性によって3300万件以上の電話番号が流出
グーグル、日本でも使われる可能性のあるサイバー攻撃動向を解説
Oktaら、アイデンティティーセキュリティ新標準策定に向けWG結成 関連サービスも
盗まれた生成AIアカウント情報がダークWebで流通 悪用を防ぐための対策は
オンプレミス ユーザー向けの Microsoft Entra プライベート アクセス
犯罪者にワンタイムパスコードなど銀行の不正チェック回避手段を提供していたサービスの運営者3人が有罪を認める
xID、子育ての不安・悩みに答える電子書籍コンテンツが無料で読める『ちいさな子育て図書館』をメディアドゥと共同リリース
MacやLinuxでもWindowsを操作できる「Windows 365」を使う理由はこれだ
当ブログの検索エンジン別の流入比較(ブログ5周年記念企画②) - ビジネスコンサルティングの現場から
ある朝、Azure使用料で数十万ドルの請求書が…… クラウドリソース不正利用の最新手口
なぜPINはパスワードより単純でも良いのか(初級編)
大分県立病院がDXやランサムウェア対策に向けてNetAppのストレージシステムを採用
巧妙化するフィッシング攻撃、多段階認証も3割突破 - 日本経済新聞
アシュアード、2023年における海外SaaSと国内SaaSのセキュリティ対策を比較したレポートを公開
もう、「うちの会社では多要素認証出来ない」と言わせたくない!