Azure AD B2C の行方と新たに登場した Microsoft Entra ID for customers のどっちがいいの? - Qiita
Azure AD B2C の行方と新たに登場した Microsoft Entra ID for customers のどっちがいいの?MicrosoftSecurityAzureADidentityEntra こんにちは、@daimat と申します。 Microsoft Security Advent Calendar 2023 1 日目を担当させていただきます、よろしくお願いいたします。 Microsoft の CIAM ソリューションは 2 つ存在 CIAM とは Customer Identity and Access Management の頭文字から成り立ち、読んでくださっている皆さんから見たお客様の ID を管理することを指しています。ちなみにサイアムと読むそうです。 この CIAM ソリューションは、以前からある Azure AD B2C に加えて現在パブリックプレビューとし
AWSが多要素認証の導入に“本気” GoogleとMicrosoftはどうする?:Cybersecurity Dive AWSは最高権限を持つユーザーに対して、2024年半ばから多要素認証(MFA)の使用を義務付ける予定だ。MFAはクラウドセキュリティの中核をなす対策であり、有効化が推奨されている。 Amazon Web Services(AWS)は最高権限を持つユーザーに対して、2024年半ばから多要素認証(MFA)の使用を義務付けると発表した。将来的にはさらに多くのアカウントタイプに対して同義務を課していく。AWSはこの動きによって、ハイパースケーラーの中で初めて、MFAの基本的な制御をデフォルトで導入することになる。 AmazonのCSO(最高戦略責任者)のスティーブ・シュミット氏は2023年10月3日(現地時間、以下同)のブログ投稿で「AWSは、顧客のデフォルトのセキュリティ体制を
はてなへのログインがパスキーと多要素認証に対応!より安全にはてなブログをお使いいただけます! - 週刊はてなブログ
平素より、はてなブログをご利用いただきありがとうございます。 はてなIDが「パスキー」「多要素認証」を利用した認証に対応しました。 ユーザー設定画面より本機能を有効としていただくことで、ログイン時における第三者からの不正ログインやフィッシング、なりすましなどのリスクの低減が期待できます。 是非ご利用下さい。 詳しくは以下のはてなヘルプをご参照下さい。 パスキーについて知りたい https://hatena.zendesk.com/hc/ja/articles/29891566718745 パスキーを設定すると、パスワードはどうなりますか https://hatena.zendesk.com/hc/ja/articles/29891880668953 パスキーの設定方法 https://hatena.zendesk.com/hc/ja/articles/29891975697177 パスキー
ID管理の最初の一歩!IDaaS(Identity as a Service)導入で知っておきたいこと
ID管理の最初の一歩!IDaaS(Identity as a Service)導入で知っておきたいこと こんにちは!たつみんです。 お客様のID管理のご支援をさせていただく中でこの情報は事前に知っていただいたほうがいいなと思うことがあったので記事にします。 はじめに 組織内で利用するSaaSが増えてくるとID管理が煩雑となり、考え始めるのがOktaやMicrosoft Entra ID(旧称Azure AD)といったIDaaS(Identity as a Service)の導入かと思います。 今回はIDaaS導入を検討しているけどなにから考え始めたらいいか疑問に思っている方や情報収集をするにもイメージがつかめていないという方を対象にあらかじめ知っておくといよいことや考えておくとよいこと、そしてハマりそうなポイントをご紹介します。また、最後には簡易ではありますがIDaaSでよく登場する用語に
ランサムウェアをはじめとしたサイバー攻撃に備えてゼロトラストセキュリティを構築することは企業の喫緊の課題であり、その第一歩とも言えるのが多要素認証だ。これを手軽に導入するにはどうすればいいか。 企業が保有する重要情報や個人情報が外部に漏えいするインシデントが後を絶たない。こうした情報漏えいを引き起こす要因の一つがID/パスワードの漏えいだ。同じパスワードを使い回していたり推測しやすい脆弱(ぜいじゃく)なパスワードを使っていたりすることで、アカウントが乗っ取られるリスクが上がる。 ランサムウェアをはじめとしたサイバー脅威が激化し、街への侵入を壁で守るような境界型防御のアプローチが限界を迎えている今、企業はゼロトラストセキュリティという新たな防御アプローチへと移行する必要がある。これを実現する第一歩が、多要素認証を導入し、上述のリスクがあるID/パスワードだけの認証から脱却することだ。本稿はそ
メールを通じて認証情報を盗むなどするフィッシング攻撃の脅威が増している。メールセキュリティーの世界最大手、米プルーフポイントによると、フィッシング被害者の3分の1以上は複数の認証を使う多要素認証を実装済みだった。攻撃者を支える仕組みが闇市場に登場していることが背景にある。同社のティム・チョイ副社長はIDの管理を厳格化することが重要と提唱する。――プルーフポイントが8月に公表したリポートでは、過
世界中でサイバー攻撃の脅威が拡大する中、日本国内のセキュリティ意識はデジタル先進国の各国から遅れをとっている状況と言える。アメリカとの比較では、サイバーセキュリティ対策への投資額が5000万円以上の企業がアメリカは71%であるのに対し、日本は32%という調査結果(出典:IPA「企業のCISOやCSIRTに関する実態調査2017-調査報告書-」)もあり、セキュリティ投資が十分でない状況が伺える。 そこで、SaaS/ASPなどのクラウドサービスのセキュリティ対策状況を第三者評価する「Assured」は、2023年のセキュリティトレンド総括として海外/国内サービスのセキュリティ対策状況を比較し、その傾向を発表した。 調査レポートの詳細は以下の通り(Assured調べ)。 第三者認証取得 国内でSOC2を取得しているサービスは8.6%のみ。ISO/IEC 27001は海外、国内ともに半数以上が取得
Windowsセキュリティとは?セキュリティソフトはもう必要ないのか? | サイバーセキュリティ情報局
Windows 10/11には標準でWindowsセキュリティと呼ばれるセキュリティ対策機能が搭載されている。果たして、このWindowsセキュリティだけでパソコンのセキュリティ対策は十分なのだろうか?この記事では、Windowsセキュリティの基本的な機能と、セキュリティベンダーが提供するセキュリティソフトとの違いについて解説する。 Windowsセキュリティとは、Windows 10/11に標準で搭載されているセキュリティ機能の総称である。以前は、Windows Defender セキュリティセンターと呼ばれていた。 そのルーツはWindows XPに搭載されていたスパイウェア対策ソフト「Windows Defender」であるが、Windows 8でマイクロソフト社が無償で提供していたウイルス対策ソフトである「Microsoft Security Essentials」が「Window
Entra ID(旧名Azure AD)は企業での利用の割合が高く、社内システムを作る場合はこれを使って認証して欲しいという要件が積まれることがほとんどでしょう。とはいえ、現物を使ってテストを作るのは都合がよくないこともあったりします。例えば処理時間が延びる(大量のE2Eテストを走らせる場合)とか、たくさんのユーザーのバリエーションを作る場合にそれだけユーザーを登録しないといけないとか、多要素認証の認証をどうするかとか。そんな感じのウェブサービスの単体テストを簡略化する方法について検討して組み込んだので紹介します。 前提Entra IDを組み込む方法については以前のエントリーで紹介しています。 MSAL.jsを使ってウェブフロントエンドだけでAzureAD認証する AzureAD+MSAL for Goでバッチコマンドの認証 後者は他の認証基盤でもだいたい同じですが、前者は、MSAL.js
今日は、スミッシング(Smishing)について解説させて頂きます。 このスミッシング、以前から行われている攻撃手法なのですが、最近、スミッシングという用語で呼ばれる事が増えてきたようです。 そこで、今日は、改めて、スミッシング攻撃の基礎を紹介させて頂いた上で、被害に合わない為に知っておくべき内容や対策(どのように防げば良いのか)についても紹介させて頂きます。 また、なぜ、このスミッシング攻撃が無くならないのか、といった点についても解説させて頂きます。 では、改めて、スミッシングとは何か。 スミッシングとは、従来、SMSフィッシング(SMS phishing)という用語で知られていたものです。 すなわち、SMS(携帯の電話番号を宛名として短いメッセージを送ることが出来るサービス)を利用して攻撃対象者にメッセージを送りつけ、攻撃対象者の情報を奪おうとする攻撃の事です。 それが、近年、「SMS
企業で多要素認証を行う難しさ 認証系の製品のサポートを行うことが多い立場柄、多要素認証が導入できていないお客様には、多要素認証の重要性や必要性を説明する機会も多いのですが、「うちの会社では〜〜〜だから、多要素認証できないんですよ」みたいな事を言われるケースが多くあります。確かに、多要素認証をユーザーの方にセットアップしていただき、使っていいただくという事は様々な観点での課題があると思いますし、それらの課題を解決していくというのは、大きな会社になればなるほどかなり大変だと思います。 会社の IT を管理していたり、アカウント/認証系のシステムに携わっている方には耳タコだと思うので今更、多要素認証の重要性や必要性をつらつらと記事にする必要はないかと思いますが、やりたいとは思っていても様々な要因で多要素認証を適用できていない状況の会社は意外と多いと感じましたので、私が出会った課題やそれぞれについ
メールを使った攻撃では、「フィッシングメール」の被害が有名だ。だが、もっと危険な攻撃がある。ユーザーの受信トレイを丸ごと乗っ取ってしまう攻撃だ。 メールは他のコミュニケーション手段と比較して、自動化が進んでいる。メールクライアントソフトウェアには発信者やタイトル、内容に応じた自動振り分け機能が備わっており、自動転送や自動削除の機能もある。 これが危ない。サイバー攻撃者はメールクライアントの「受信トレイ」を狙っている。どのような危険があるのだろうか。 受信トレイ攻撃はどれほど恐ろしいのか Barracuda Networksのプレブ・デブ・シン氏は2023年9月20日、同社の調査に基づいて受信トレイ攻撃の危険性を指摘した。 攻撃者がユーザーのメールアカウントを手に入れたとしよう。これはさほど難しくない。2022年に公開された日本の個人情報の漏えい・紛失事故だけでも約600万人に及び、この10
医療情報システムの安全管理に関するガイドライン6.0版遵守項目 - ITをめぐる法律問題について考える
3省2ガイドラインのうち「医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)」について、 https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html 参考用に、見出しと遵守項目のみ、ブログに貼り付けます。 本当は重要記載もこのブログに貼り付けたいのですが、全部貼り付けるのは時間がかかると思うので、企画管理編までとりあえず貼り付けました。追ってシステム運用編とあと総務・経産のもやります。ブログに書くよりExcelに表形式でまとめた方がわかりやすいかなあ。 6版になって、構成も読みやすさも良くなっていて良いと思います。ただ、内容はやはりかなり厳しめですね。 〇概説編 1.はじめに 2.本ガイドラインの対象 2.1 医療機関等の範囲 2.2 医療情報・文書の範囲 2.3 医療情報システムの範囲 3.本ガイドラインの構成、
AWS re:Inforce 2024 が 2024/6/10 - 12 までペンシルベニア州フィラデルフィアで開催されています。AWS re:Inforce はクラウドセキュリティ、コンプライアンスに特化したテクノロジーカンファレンスです。 現地時間 6/11 の基調講演で新しくアナウンスされた内容をメモしています。 AWS Private CA Connector for SCEP の発表 (Preview) SCEP(Simple Certificate Enrollment Protocol) は、モバイルデバイス管理 (MDM) ソリューションで広く採用されているプロトコル Microsoft Intune や Jamf Pro などの MDM ソリューションで AWS Private CA を使用できるように SCEP コネクターは追加料金なしで利用可能 プレビュー期間中はバー
サイバー攻撃者がソーシャルエンジニアリングの手口を複製して広く利用するようになることで、初期侵害の試みが行われる範囲が拡大する。サイバー攻撃者はますますデジタルサプライチェーンベンダーを標的にしつつあり、セキュリティプロバイダーやIDプロバイダーへの関心を高めている。ヘルプデスクの従業員を狙ったフィッシング攻撃やログイン認証情報の取得、ワンタイムパスワード(OTP)コード窃取による多要素認証(MFA)の回避などが標準的な手法になり、IDプロバイダーベンダーを侵害する手口として悪用が広まっている より多くのベンダーが自社製品やプロセスにAI(人工知能)や大規模言語モデル(LLM)を導入してセキュリティを強化する。全世界のプライバシー監視機関やユーザーが責任あるAIポリシーをテクノロジー企業に要求するようになる。生成AIはサイバーセキュリティに関して将来性と危険性の双方をもたらすが、重大な危機
サイバー攻撃における代表的な12の手法、関連する事例と対策を交えながら解説 | サイバーセキュリティ情報局
AIをはじめとしたテクノロジーの進化に伴い、サイバー攻撃はさらに巧妙化し、あらゆる企業・組織が狙われている。サイバー攻撃を防ぐには、その手法や仕組みを理解することが重要だ。この記事では、多くのサイバー攻撃のうち、代表的な12の手法と関連する事例、そして具体的な対策について解説する。 1. マルウェア攻撃 マルウェアとは「Malicious(悪意ある)」と「Software(ソフトウェア)」を組み合わせた造語で、悪意ある目的を果たすために作成されたプログラムやソフトウェア全般を指す。近年では、感染力の高いマルウェアである「Emotet」が大きな脅威として知られている。 マルウェア攻撃による被害事例 ・従業員のパソコンがEmotetに感染 2023年3月に発生した電池製造企業におけるケースでは、従業員のパソコンがEmotetに感染したことがきっかけとなった。個人情報を含むデータが外部に流出した
マルウェアがカード窃盗の手段として一般的なツールとなる中、サイバーセキュリティ企業のNordVPNが実施した最新の研究で、驚くべき実態が明らかになった。 世界中で60万枚以上の決済用のカードが漏えいし、後にダークウェブ上で売買されていたという。本件に関して同社からリポートが届いているので。その概要を紹介していきたい。 ユーザーのオートフィル情報や信用情報もハッカーの手に まずNordVPNサイバーセキュリティアドバイザーのアドリアヌス・ワーメンホーフェン氏は、次のように問題点を指摘する。 「マルウェアは被害者のカード情報を盗んだだけではありません。盗まれたカードの情報のほとんどには、サイバー犯罪者たちにとって大きなボーナスといえる、ユーザーのオートフィル情報やアカウントの信用情報も含まれていたのです。この追加情報があれば、身元盗用、ネット上での脅迫やゆすりなど、さらに幅広い攻撃の扉を開くこ
国内クラウドサービスにセキュリティ対策の遅れ アシュアードが独自データから分析(アスキー) - Yahoo!ニュース
Visionalグループのアシュアードは、同社の展開するセキュリティ評価プラットフォーム「Assured」および脆弱性管理クラウド「yamory」の独自データを用いて、2023年のセキュリティトレンドについて振り返った。 【もっと写真を見る】 Visionalグループのアシュアードは、同社の展開するセキュリティ評価プラットフォーム「Assured」および脆弱性管理クラウド「yamory」の独自データを基に、2023年のセキュリティトピックを振り返る説明会を開催した。 国内と比べて、海外クラウドサービス事業者のセキュリティ対策が先行 Assuredは、ビズリーチなどを手掛けるVisionalグループが提供するクラウドサービスのリスク評価プラットフォーム。クラウドサービスに対する第三者のセキュリティ評価情報をプラットフォームとして一元化、ユーザー企業のクラウド導入の効率化を促進する。クラウドサ
「パスキー」にまつわる7つの誤解から学ぶ いくつ答えられる?:いまさら聞けないパスキーの正体(後編) AppleやGoogle、Microsoftがパスワードに代わる認証方法「パスキー」に移行しようとしている。だが、パスキーには誤解を生みやすい部分がある。後編では「7つの誤解」を紹介しよう。 パスワードや多要素認証とパスキーの違いについて紹介した前編公開後、任天堂やGitHubが相次いでパスキー対応を発表するなど、パスキーが盛り上がりを見せている。 今回は、パスワード管理ソリューションを提供する1Passwordの解説を基に、パスキーにまつわる「7つの誤解」を紹介しよう。 【誤解1】パスキーはパスワードを隠しているだけで実際には使っている パスワードを代替する技術の一つが多要素認証だ。多要素認証は物理認証や生体認証などを使って、デバイスのロックを解除したり、オンラインアカウントにアクセスし
たった1回のデータ侵害で、オンライン生活全体が大混乱に陥ってしまう。問題はパスワードだ。この保護手段は、貴重なリソースを守るには絶望的なまでにもろい。 長く、複雑で、推測しにくいパスワードを作成すれば、何とかオンラインでの安全性を高められると信じ込み、誤った安全感を持たないようにしよう。あまりに長く複雑で、入力に5分かかるパスワードを作成しても、そのパスワードを使用するサービスで適切に保管されておらず、サーバーが侵害された場合、保護には何の役にも立たない。そうした事態が頻繁に起きている。 強力なパスワードをランダムに生成して使い回しをしない、という合理的なポリシーを定めていても、セキュリティという鎖で最も脆弱な部分は、やはり人間だ。聡明な人でも、ソーシャルエンジニアリングでだまされて認証情報をフィッシングサイトに入力することや、電話で教えてしまうことがある。 その解決策が、2要素認証、すな
【書評】『WEB+DB PRESS Vol.136』から学ぶ、パスキー(Passkey)導入で変わるセキュリティとUX | DevelopersIO
【書評】『WEB+DB PRESS Vol.136』から学ぶ、パスキー(Passkey)導入で変わるセキュリティとUX 最近、認証技術を学んでいるときに「パスキー」という言葉をよく目にするようになりました。どうやら従来のパスワードの問題を解決する新時代の認証方式として注目を浴びているようです。しかし「パスキー」とはどのような認証方式なのでしょうか。 パスワード以外の認証方式と言えば「多要素認証」や「パスワードレス認証」がありますが、「パスキー」はこれらと比べて何が違うのでしょうか。 『WEB+DB PRESS Vol.136』の特集2『実戦投入パスキー』を読むことで、これらの疑問の答えが見つかります。 パスワードレス認証がなぜ登場したか、なぜ新しい認証方式であるパスキーが求められているのか。 ユーザーの体験に着目しながら詳しく解説してくれています。 このブログ記事では、全5章ある『WEB+
夢は「世界征服」ー カラダに埋め込むチップで新しいID認証方法を作るQuwakにインタビュー|千葉道場ファンド
こんにちは、千葉道場ファンドの木村です。この度、千葉道場ファンドはカラダに埋め込んだマイクロチップによる新しい認証プラットフォームを手がけるスタートアップのQuwakに出資させていただくことになりました。 この記事では、Quwak代表の合田瞳さん(@hichan02109)にお聞きした、同社の事業内容やアイデア誕生のきっかけについてお伝えします。まったく新しいその事業アイデア、そしてそれを手がける合田瞳さんという起業家がどう生まれたのか、ぜひ本稿を読んで知っていただければと思います。 カラダに埋め込んだマイクロチップで認証千葉道場ファンド 木村(以下、木村):改めて事業内容をお聞かせください。 Quwak CEO 合田さん(以下、合田):フィジカルに存在する肉体に紐づくアイデンティティと、インターネット空間に存在する「デジタルアイデンティティ」を一致させる認証プラットフォームを作っています
Microsoft、コンシューマーアカウントにパスキーを導入 「Microsoft 365」などログイン時に使用可能に
Microsoft、コンシューマーアカウントにパスキーを導入 「Microsoft 365」などログイン時に使用可能に:将来はパスワードに代わる存在になると予測 Microsoftはコンシューマーアカウントにパスキーを導入したことを発表した。パスキーについて「パスワードの弱点を克服する技術」として紹介し、その概要とMicrosoftアカウントにおける使い方を解説している。 【お詫びと訂正:2024年5月22日12時】初出時、文中の「固有のキー」が示す内容を記載できておらず、混乱を招く表現となっておりました。正しくは「固有のキー(秘密鍵と公開鍵)」となります。関連する記載も修正いたしました。 Microsoftは2024年5月2日(米国時間)、コンシューマーアカウントにパスキーを導入したことを発表した。Microsoftは将来的にパスキーがパスワードに取って代わる存在になると予測している。以
パスワード不要のパスワード管理アプリを試す--「Dashlane」は使い勝手良し(CNET Japan) - Yahoo!ニュース
パスワード管理アプリは何十年も前から存在している。最近では、オンライン認証情報を効果的に管理できるアプリが多数あるが、基本的な仕組みはすべて同じだ。ユーザー名やパスワードなどの機密情報がデータベース(保管庫と呼ばれることが多い)に保存され、強力な暗号化で保護されるというものだ。その保管庫のロックを解除するには、マスターパスワードを入力する必要がある。 事実、このモデルは広く浸透しているため、この分野のいくつかの主要製品には、そこからヒントを得た名前が付けられている。例えば、「1Password」は、覚えておくパスワードは1つだけで、何十個も何百個も覚えておく必要はないとうたっている。「LastPass」は、マスターパスワードが「今後必要な唯一のパスワード」になるとしている。 この分野で最も優秀な製品は、マスターパスワードを入力してパスワード保管庫のロックを解除する仕組みの代わりに、パスワー
2023年に揺れたサイバーセキュリティの現場~ランサムウェア、サプライチェーン攻撃、クラウドの脅威を振り返る | DevelopersIO
2023年に揺れたサイバーセキュリティの現場~ランサムウェア、サプライチェーン攻撃、クラウドの脅威を振り返る アライアンス事業部のヘマントです。 今回は、2023年の主なセキュリティインシデントについて共有します。 背景 デジタル時代 今日の世界では、私たちは常に膨大な技術ネットワークにつながっています。個人のデバイスから重要なインフラまで、すべてが複雑なデジタルシステムで動いています。この相互接続性は便利ですが、同時に脆弱性を生み出し、悪意のある者たちに多くの機密データをさらすことにもなります。 サイバー犯罪 サイバー攻撃はもはや時々起こる小さな問題ではありません。それらは増え続ける流行病となり、事件の数とその巧妙さは着実に増加しています。2023年には、企業や政府機関、医療システム、個人まで、あらゆるものを狙った攻撃が急増しました。 見出しの一年 インターネット上で悪意のある者による攻
ガバメントクラウドGCAS移行に備えAWS IAM Identity Centerを理解する - サーバーワークスエンジニアブログ
こんにちは、Enterprise Cloud部 ソリューションアーキテクト1課 宮形 です。 仕事柄デジタル庁のホームぺージを見る機会が多いのですが、個人的な所感でレイアウトがシンプルで見やすいうえに先進的・未来的でカッコいいなと思っていました。文字フォントはオープンソース書体であるGoogle Noto Sans なのだそうです。Apache License 2.0 のライセンスルールのもと無償利用・再配布が認められているとのことで、弊社BLOGでも安心して表記することが出来るんですね。 www.digital.go.jp 本BLOGは 令和6年度ガバメントクラウド早期移行団体検証事業 から移行検証となった GCAS についてと、その認証統合に利用する AWS IAM Identity Center について自分の理解を整理したくまとめた内容となります。デジタル庁の資料にもキーワードとし
[アップデート] AWS IAM Identity Center を新規に有効化した時のデフォルト設定が MFA 登録必須になったようなので、既存環境の影響を確認してから環境を作り直してみた | DevelopersIO
いわさです。 先日 AWS IAM Identity Center に関する次のアップデートがアナウンスされました。 AWS IAM Identity Center の新規インスタンスで MFA(多要素認証)がデフォルトで有効になったようです。 IAM Identity Center ではユーザーを管理します。 ユーザーの認証設定の中に、MFA をどういう時に要求するかという設定を行うことが出来ます。 これまでのデフォルトをしっかり把握してませんでしたが、このデフォルト設定が変わるようです。 私の検証用 AWS アカウントでは認証周りがデフォルト設定状態の数ヶ月前に作成した IAM Identity Center 環境がありました。 そこで、既存の環境がどういう設定だったのか、環境を削除して作り直すとどういう設定に変わるのかを調べてみましたので紹介したいと思います。 ちなみに、IAM Id
![[アップデート] AWS IAM Identity Center を新規に有効化した時のデフォルト設定が MFA 登録必須になったようなので、既存環境の影響を確認してから環境を作り直してみた | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/8917a36c3f93456f07196d695fc6d7312834a1cb/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2023%2F08%2Faws-iamidentity-center.png)
はじめに データアナリティクス事業本部のおざわです。お客様からAWS CLIを使ってローカルからS3にファイルをコピーしたり、ダウンロードしたりといった操作を試してみたいとお話を伺ったので、今回はAWS CLIを使った簡単なS3の操作に関してチュートリアル形式でまとめてみました。 AWS CLIのインストールと初期設定 以下の記事を参考にインストールと設定を行ってください。 また、使用するアクセスキーについては最小権限のアクセス許可で払い出すようにしてください。 AWS CLI の最新バージョンを使用してインストールまたは更新を行う AWS CLIを使用するため必要な初期設定について MFA(多要素認証)について 設定によってはコマンド実行時にMFA認証を求められます。 以下のような文言がプロンプトに表示されますが、一度入力すればセッションが有効な間は再入力する必要はありません。 Ente
Microsoftはテナントに適用されるセキュリティ設定について、デフォルトでセキュアになるように工夫しているが、この設定だけでは顧客が求めるものとしては不十分だとし、より細かい設定を制御できる機能として今回の「自動条件付きアクセスポリシー」を追加した。 同社は「顧客が自身のニーズに合わせてそのポリシーをカスタマイズするのは難しいため、最初はMicrosoftが3つの自動条件付きアクセスポリシーを提供する」と説明している。顧客はこれらアクセスポリシーをカスタマイズできるため、自動条件付きアクセスポリシーを学びつつその恩恵を受けられる。 提供が予定されている自動条件付きアクセスポリシーは以下の通りだ。 管理ポータルの多要素認証(MFA)を必須にする(Require multifactor authentication for admin portals): 全ての顧客が対象。特権管理者ロール
【セキュリティ ニュース】ドメインやホスティングが停止すると不安煽るフィッシングに警戒を(1ページ目 / 全1ページ):Security NEXT
ドメイン登録サービスやホスティングサービスの事業者を装い、提供中のサービスが停止するなどと不安を煽って偽サイトへ誘導し、アカウント情報などをだまし取るフィッシング攻撃が確認されている。 GMOインターネットグループによれば、同社サービス「お名前.com」を装い、「支払いの問題でドメインが停止した」「ホスティングの自動更新に失敗した」などとあたかも利用するサービスが停止したかのようにだまして不安を煽り、偽サイトへ誘導するフィッシング攻撃が確認されているという。 同社に限らず、同様のサービスを展開している他社に対しても類似した攻撃が展開されているとし、同社はサービスの利用者に注意を呼びかけた。 ひとたびインターネットサービスのアカウントを侵害されると、アカウント内の情報を窃取されたり、データの改ざん、破壊、攻撃の踏み台として悪用されるなど、さまざまな被害へ発展する可能性がある。 インターネット
米連邦取引委員会(FTC)は米国時間12月6日、QRコードに隠された有害なリンクに注意するよう促す消費者向け警告文を公開した。 QRコードはどこにでもあり、ほとんどあらゆるものに使われているため、攻撃者がQRコードをフィッシング攻撃の手段として利用しているのも不思議はない。 FTCはこのような攻撃について、また自分を守るために何を警戒すべきかを理解するための情報を提供している。 クイッシング(Quishing)とは QRコードはほぼあらゆる場所に存在し、ユーザーが自分の必要とする情報に簡単にアクセスできる手段を提供している。そのため、人々はその目的を疑うことなく、QRコードをスキャンしてしまいがちだ。 このような脆弱性に気づいた攻撃者は、便利なQRコードに見せかけたコードを作成し、そのコードをスキャンしたユーザーをなりすましサイトに誘導して、個人情報を盗んだりユーザーのデバイスにマルウェア
パスワード管理アプリは何十年も前から存在している。最近では、オンライン認証情報を効果的に管理できるアプリが多数あるが、基本的な仕組みはすべて同じだ。ユーザー名やパスワードなどの機密情報がデータベース(保管庫と呼ばれることが多い)に保存され、強力な暗号化で保護されるというものだ。その保管庫のロックを解除するには、マスターパスワードを入力する必要がある。 事実、このモデルは広く浸透しているため、この分野のいくつかの主要製品には、そこからヒントを得た名前が付けられている。例えば、「1Password」は、覚えておくパスワードは1つだけで、何十個も何百個も覚えておく必要はないとうたっている。「LastPass」は、マスターパスワードが「今後必要な唯一のパスワード」になるとしている。 この分野で最も優秀な製品は、マスターパスワードを入力してパスワード保管庫のロックを解除する仕組みの代わりに、パスワー
Yubikeyが2本になったので、各アカウントのMFAを見直した - gensobunya Life Blog
Cloudflareのキャンペーンで沢山Yubikeyを手に入れた。 だって安かったし…などと供述しており pic.twitter.com/EHYQCH306V— ゲン (@gen_sobunya) 2023年1月26日 元々Yubikey5C nanoを1個所持していたので複数セキュリティキー…つまり予備セキュリティキーが手に入った形。 Yubico - YubiKey 5C Nano - USB-C - 2ファクター認証セキュリティキー YubicoAmazon セキュリティキーが1本しかない状態ではバックアップが難しく、TOTPなど他の多要素認証手段を組み合わせることが必須だったが、2本以上あることでセキュリティキーをファーストチョイスにできるようになった。NFCタイプを購入したので、モバイルデバイスにも利用できる。 Yubikey 5C nano ... 普段からメインPCに装着
先日、ヌーラボでパスキーを導入しましたとニュースリリースをしましたが、「パスキー」を初めて聞くという方も多いかと思います。 このブログでは、パスキーについてなるべく簡単に説明したいと思います。 パスキーってなに? 「パスキー」は、パスワードの代わりになるものです。パスキーはパスワードよりもずっと安全で簡単に利用することができます。 パスキーを使うとヌーラボサービスにログインする時にパスワードの入力が不要になり、面倒で危険なパスワード入力をなくすことができます。 パスキーはFIDOという国際規格の認証技術です。 FIDOはフィッシングに強く、2段階認証のSMSや認証アプリよりも安全と言われています。 パスキーは簡単に使えるの? あらかじめパスキーを登録しておけば、ログインの際にパスキーを使ってログインすることができます。 登録もログインもとても簡単です。 手順を見てみましょう。 パスキーを登
Google のサイバーセキュリティにおける最新の取り組み
2 月 1 日〜 3 月 18 日は日本政府が主導する「サイバーセキュリティ月間」です。Google も賛同し、さまざまな取り組みを行っています。 Google は、安全なインターネットの実現のために、「Secure by Default」という考え方を重視しています。これは、製品やサービスに最初からセキュリティ対策を組み込むことで、ユーザーが意識的に設定を変更しなくても安全に利用できるようにするものです。例えば、Gmail や Google 検索は、搭載されている AI によるスパムや不正行為のフィルタリング機能により、大部分の疑わしいメールやスパムサイトがユーザーに届く前にブロックされています。 サイバーセキュリティ意識の啓発キャンペーン Safer with Google インターネットが生活の基盤となった現代社会において、一人ひとりのセキュリティ意識の向上は、社会全体のサイバーセキ
前編で第4章まで解説しましたので、引き続き第5章から後編です。繰り返しになりますが、各章タイトルについては便宜的に旧(1.0版)のものを採用します。 5.ガバメントクラウド共同利用方式における責任分界5.1 システム管理上の責任分界 IaCによる「セキュリティルール、IaCコード管理等の管理機能」が「セキュリティ設定等」にまとめられています。また「最低限」の表現が無くなっています。一方、後述する単独利用方式では「最低限」の表現は残っています。 この「IaC手法によるセキュリティ設定等の実装」は「ガバメントクラウドテンプレート」のことを指します。共同利用方式と単独利用方式で適用するテンプレートが異なるということは無いはずであり、不可解な差が生じています。前編でも記載しましたが、単独利用方式記載部分がなおざりになっており、下世話な言い方を言えば、修正漏れなのかもしれません。 蛇足ですが、ガバメ
【セキュリティ ニュース】Dropboxの電子署名サービスに不正アクセス - 顧客情報が流出(1ページ目 / 全2ページ):Security NEXT
Dropboxは、同社の電子署名サービス「Dropbox Sign(旧HelloSign)」がサイバー攻撃を受けたことを明らかにした。 同社によると、現地時間4月24日に同サービスの本番環境が侵害されたことを把握したもので、調査を行ったところ、顧客情報などもアクセスされていたことが判明したという。 具体的には、メールやユーザー名、電話番号、ハッシュ化済みパスワード、アカウント設定にくわえ、APIキー、OAuthトークン、多要素認証などの認証情報を含むデータに対してアクセスが行われていた。 同サービスを利用していない場合でも、同サービス経由で文書を受け取ったことがある場合、メールアドレスや氏名が流出したおそれがある。 攻撃者は、同サービスで利用する自動システム構成ツールにアクセスし、本番環境の操作権限を持つバックエンドのサービスアカウントを侵害。同アカウント経由で顧客のデータベースに不正アク
CitrixBleedは消えない サイバー攻撃者に利用される悪質な脆弱性についてまとめた:Cybersecurity Dive NetScaler ADCとNetScaler Gatewayの脆弱性「CitrixBleed」が全世界で悪用されている。侵害発覚までの経緯と悪用の現状、各政府機関の対応を改めてまとめた。 米国当局は、企業が安全なリモートアクセスを可能にするために広く使用されているネットワーキングアプライアンスである「Citrix NetScaler Application Delivery Controller」(以下、NetScaler ADC)および「NetScaler Gateway」の重大な脆弱(ぜいじゃく)性の封じ込めに苦戦している。 全世界で何千もの組織がこの技術を使用している。研究者は金融サービス企業や防衛請負業者、法律事務所、技術プロバイダー、政府機関など、幅広
パスワードを盗み出す犯罪者 道具は「スプレー缶」
パスワードはサイバー攻撃に弱い。とはいえ、パスワードを使うしか方法がないアプリケーションやサービスはまだまだ多い。パスワードを盗み出す「パスワードスプレー攻撃」の特徴をつかみ、安全にパスワードを使う方法を紹介する。 パスワードはサイバー攻撃に弱い上に、ユーザーはパスワードを軽視している。パスワード関連のサービスを提供するNordPassによれば、最も使用頻度が高いパスワードはそのものズバリの「password」だ。2番目は「123456」、3番目は「123456789」だ。 パスワードをなめているユーザーを攻撃する方法 NordPassのマチェイ・バルトウォミエイ・シコラ氏はこのような状況の中で、サイバー攻撃者がどのように暗躍しているのか、ユーザーがとり得る保護策は何なのかを紹介している。 ユーザーが利用するパスワードが偏っているのであれば、それを利用した攻撃が有効だろう。最も効率の良い攻
AgileBitsは9月20日、パスワード管理ツール「1Password」でパスワードレス認証機能「パスキー(Passkeys)」をサポートするアップデートの提供を開始した。 パスキーは、ユーザー名やパスワードを入力することなく、Webサイトやアプリにサインインできるようにするデジタル認証技術だ。スマートフォンのようなデバイスの指紋認証や顔認識、PINまたはパターンを利用し、単一の手順で多要素認証の要件も満たせる。2022年3月に提唱されて間もないが、Apple、Google、Microsoftなどプラットフォーマーが揃ってサポートに乗り出しており、パスワードレス認証の普及を加速させるドライバーとして期待が高まっている。 1Passwordは世界で1500万人以上が利用するパスワード管理の定番サービスだ。早い段階でパスキーのサポートを表明しており、パスワードレス時代に1Passwordがど
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
AWSが多要素認証の導入に“本気” GoogleとMicrosoftはどうする?
ゼロトラストセキュリティの第一歩 多要素認証を手軽に導入する秘訣
巧妙化するフィッシング攻撃、多段階認証も3割突破 - 日本経済新聞
アシュアード、2023年における海外SaaSと国内SaaSのセキュリティ対策を比較したレポートを公開
Entra IDを使うウェブサービスのバックエンドのテスト | フューチャー技術ブログ
スミッシングとは?SMSを使った詐欺を改めて解説! - ビジネスコンサルティングの現場から
もう、「うちの会社では多要素認証出来ない」と言わせたくない!
メールが全て信じられなくなった 「受信トレイ攻撃」の脅威
AWS re:Inforce 2024 Keynote での新発表まとめメモ - Qiita
CVE登録の脆弱性を狙うサイバー攻撃はもう古い Proofpointが2024年の脅威を予測
60万枚を超える決済用のカード情報がマルウェアにより盗まれていたことが判明、NordVPN研究報告|@DIME アットダイム
「パスキー」にまつわる7つの誤解から学ぶ いくつ答えられる?
2要素認証でセキュリティ強化--設定方法、認証アプリ、保護すべきアカウント
AWS CLIを使用したS3操作入門 | DevelopersIO
Microsoft、新しいテナント保護機能をリリース 管理者は90日以内に確認を
米FTC、QRコードを用いた「クイッシング」攻撃について注意喚起
パスワード不要のパスワード管理アプリを試す--「Dashlane」は使い勝手良し
ヌーラボでパスキーを導入したって言ってるけど、パスキーって何ですか? | 株式会社ヌーラボ(Nulab inc.)
ガバメントクラウド利用基準の改定(後編)|高橋 広和/Hirokazu TAKAHASHI
CitrixBleedは消えない サイバー攻撃者に利用される悪質な脆弱性についてまとめた
パスワード管理の定番「1Password」がパスワードレス認証「パスキー」に対応