米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)と米国家安全保障局(NSA)は2023年10月4日(現地時間)、ID管理やアクセス管理において開発者や技術メーカーが直面する課題を評価し、対処できるようにするガイドライン「Identity and Access Management: Developer and Vendor Challenges」を公開した。 Identity and Access Management: Developer and Vendor Challengesは、CISAとNSAの主導で官民のクロスセクターパートナーシップを含む作業部会であるEnduring Security Framework(ESF)が取りまとめたもの。 今回のガイダンスは、重要インフラと国家安全保障システムを脅かすリスクに対処することを目的としており、同作業
NetAppは2024年7月5日、大分県立病院が第3期病院総合情報システムにストレージシステム「NetApp AFF A250」および「NetApp FAS2720」を採用したと発表した。クラウドやAIといった技術との連携を見据え、ランサムウェア対策を含めた医療分野でのDX推進を目的に導入したとされている。 医療現場のセキュリティ強化に向けてストレージシステムを採用 大分県立病院は第3期病院総合情報システムの構築において、サイロ化していた部門システムとバックアップ環境を単一の仮想基盤上に集約し、その仮想基盤にNetAppソリューションを導入した。これによって、ランサムウェア対策や定期的に繰り返されるハードウェア更新時のデータ移行をセキュアかつスピーディーに対応できる環境を構築した。 NetAppのソリューションが採用された主要な理由としては、ランサムウェアに対して「万が一感染しても即座に復
AWS はルートユーザーと IAM ユーザーにパスキー多要素認証 (MFA) を追加します | Amazon Web Services
Amazon Web Services ブログ AWS はルートユーザーと IAM ユーザーにパスキー多要素認証 (MFA) を追加します セキュリティは Amazon Web Services (AWS) の最優先事項であり、6月11日、お客様の AWS アカウントのセキュリティ体制を強化するのに役立つ 2 つの機能をリリースします。 まず、ルートユーザーと AWS Identity and Access Management (IAM) ユーザー向けに、サポート対象の多要素認証 (MFA) のリストにパスキーを追加します。 次に、ルートユーザーに MFA を適用し始めました。最も機密性の高いユーザー、つまり AWS Organization の管理アカウントのルートユーザーから始めました。2024年の残りの期間中に、この変更を他のアカウントにも引き続き適用します。 MFA は、アカウン
Azure AD B2C の行方と新たに登場した Microsoft Entra ID for customers のどっちがいいの? - Qiita
Azure AD B2C の行方と新たに登場した Microsoft Entra ID for customers のどっちがいいの?MicrosoftSecurityAzureADidentityEntra こんにちは、@daimat と申します。 Microsoft Security Advent Calendar 2023 1 日目を担当させていただきます、よろしくお願いいたします。 Microsoft の CIAM ソリューションは 2 つ存在 CIAM とは Customer Identity and Access Management の頭文字から成り立ち、読んでくださっている皆さんから見たお客様の ID を管理することを指しています。ちなみにサイアムと読むそうです。 この CIAM ソリューションは、以前からある Azure AD B2C に加えて現在パブリックプレビューとし
AWSが多要素認証の導入に“本気” GoogleとMicrosoftはどうする?:Cybersecurity Dive AWSは最高権限を持つユーザーに対して、2024年半ばから多要素認証(MFA)の使用を義務付ける予定だ。MFAはクラウドセキュリティの中核をなす対策であり、有効化が推奨されている。 Amazon Web Services(AWS)は最高権限を持つユーザーに対して、2024年半ばから多要素認証(MFA)の使用を義務付けると発表した。将来的にはさらに多くのアカウントタイプに対して同義務を課していく。AWSはこの動きによって、ハイパースケーラーの中で初めて、MFAの基本的な制御をデフォルトで導入することになる。 AmazonのCSO(最高戦略責任者)のスティーブ・シュミット氏は2023年10月3日(現地時間、以下同)のブログ投稿で「AWSは、顧客のデフォルトのセキュリティ体制を
はてなへのログインがパスキーと多要素認証に対応!より安全にはてなブログをお使いいただけます! - 週刊はてなブログ
平素より、はてなブログをご利用いただきありがとうございます。 はてなIDが「パスキー」「多要素認証」を利用した認証に対応しました。 ユーザー設定画面より本機能を有効としていただくことで、ログイン時における第三者からの不正ログインやフィッシング、なりすましなどのリスクの低減が期待できます。 是非ご利用下さい。 詳しくは以下のはてなヘルプをご参照下さい。 パスキーについて知りたい https://hatena.zendesk.com/hc/ja/articles/29891566718745 パスキーを設定すると、パスワードはどうなりますか https://hatena.zendesk.com/hc/ja/articles/29891880668953 パスキーの設定方法 https://hatena.zendesk.com/hc/ja/articles/29891975697177 パスキー
ID管理の最初の一歩!IDaaS(Identity as a Service)導入で知っておきたいこと
ID管理の最初の一歩!IDaaS(Identity as a Service)導入で知っておきたいこと こんにちは!たつみんです。 お客様のID管理のご支援をさせていただく中でこの情報は事前に知っていただいたほうがいいなと思うことがあったので記事にします。 はじめに 組織内で利用するSaaSが増えてくるとID管理が煩雑となり、考え始めるのがOktaやMicrosoft Entra ID(旧称Azure AD)といったIDaaS(Identity as a Service)の導入かと思います。 今回はIDaaS導入を検討しているけどなにから考え始めたらいいか疑問に思っている方や情報収集をするにもイメージがつかめていないという方を対象にあらかじめ知っておくといよいことや考えておくとよいこと、そしてハマりそうなポイントをご紹介します。また、最後には簡易ではありますがIDaaSでよく登場する用語に
ランサムウェアをはじめとしたサイバー攻撃に備えてゼロトラストセキュリティを構築することは企業の喫緊の課題であり、その第一歩とも言えるのが多要素認証だ。これを手軽に導入するにはどうすればいいか。 企業が保有する重要情報や個人情報が外部に漏えいするインシデントが後を絶たない。こうした情報漏えいを引き起こす要因の一つがID/パスワードの漏えいだ。同じパスワードを使い回していたり推測しやすい脆弱(ぜいじゃく)なパスワードを使っていたりすることで、アカウントが乗っ取られるリスクが上がる。 ランサムウェアをはじめとしたサイバー脅威が激化し、街への侵入を壁で守るような境界型防御のアプローチが限界を迎えている今、企業はゼロトラストセキュリティという新たな防御アプローチへと移行する必要がある。これを実現する第一歩が、多要素認証を導入し、上述のリスクがあるID/パスワードだけの認証から脱却することだ。本稿はそ
Amazon Web Services ブログ 生成 AI をセキュアにする: 関連するセキュリティコントロールの適用 本ブログは「Securing generative AI: Applying relevant security controls」を翻訳したものとなります。 本ブログは、生成 AI をセキュアにするシリーズのパート 3 です。まずは、スコーピングマトリックスについての詳細を紹介したブログ「生成 AI をセキュアにする: 生成 AI セキュリティスコーピングマトリックスの紹介」の概要から始めましょう。本ブログでは、生成 AI アプリケーションを保護するためにセキュリティコントロールを実装する際の考慮事項について説明しています。 アプリケーションをセキュアにするための最初のステップは、アプリケーションのスコープを理解することです。本シリーズのパート 1 では、アプリケーショ
メールを通じて認証情報を盗むなどするフィッシング攻撃の脅威が増している。メールセキュリティーの世界最大手、米プルーフポイントによると、フィッシング被害者の3分の1以上は複数の認証を使う多要素認証を実装済みだった。攻撃者を支える仕組みが闇市場に登場していることが背景にある。同社のティム・チョイ副社長はIDの管理を厳格化することが重要と提唱する。――プルーフポイントが8月に公表したリポートでは、過
ニトリホールディングスが2025年までに、全従業員の8割にIT国家資格を取得させるという報道がありました。「ITパスポート」の取得によって、従業員のIT能力を底上げさせる狙いがあるようです。これには大きな反響がありました。 個人的には本件にはそれなりに賛成の立場をとっています。しかし恐らくITにあまり詳しくない人にとっては少々気が重い話かもしれません。皆さんも「2年以内に簿記3級を取得してください」といわれたら、拒否反応を示すのではないでしょうか(個人的にはビジネスに携わる上で、簿記の資格は取って損はないと思っていますが)。 この施策はある意味で、従業員全体の「リテラシーを向上させる」という大きな目的を達成するための手段だと筆者は考えています。最近、この「リテラシー」について少々思うところがあったので、今回のコラムで取り上げていきましょう。 リテラシーを高めるだけでは、攻撃から身を守れない
多くの企業が、機密情報の漏えい対策として、ファイル転送・共有サービスを活用しています。特に近年は、メールで暗号化ZIPファイルを送付し、復号用パスワードを別途メールで送る、いわゆる「PPAP」の代替手段として、導入する企業が増えています。 一方で、ランサムウェアをはじめ、ファイル転送・共有サービスを対象としたサイバー攻撃の被害が目立つようになってきています。機密情報の窃取だけでなく、窃取した情報と引き換えに身代金を要求し、応じなければダークウェブ上へ機密情報を公開すると脅迫される事例も確認されています。 こうした攻撃から身を守り、安全・安心なファイル転送・共有を行うには、どうしたら良いのでしょうか。 本ブログでは、ファイル転送・共有サービスへの攻撃が増加した背景と被害の実態を整理した上で、どのような基準でサービスを選定すれば良いのか、その観点や方法について解説します。 ▶ユースケースに学ぶ
IPAゼロトラスト導入指南書.pdf
ICSCoE TLP: WHITE ゼロトラスト導入指南書 〜情報系・制御系システムへのゼロトラスト導入〜 2021 年 6 月 独立行政法人 情報処理推進機構 産業サイバーセキュリティセンター 中核人材育成プログラム 4期生 ゼロトラストプロジェクト 1 はじめに 近年,新型コロナウイルス感染症 (COVID-19)の蔓延によるリモートワーク利用の加速化やクラウド 活用の増加により,社外から社内システムに接続する機会が増えてきている。 現状のセキュリティ対策は,境界型防御が主流であり,社内を信用できる領域,社外を信用できない 領域として外部からの接続を遮断している。しかし,上記の社会変化から,社内のシステム環境へ社外 から接続するということが行われていることから,境界型防御で考えていたセキュリティモデルではサイ バー攻撃の脅威を防ぎきれない状況になってきている。 また,標的型メールによる
世界中でサイバー攻撃の脅威が拡大する中、日本国内のセキュリティ意識はデジタル先進国の各国から遅れをとっている状況と言える。アメリカとの比較では、サイバーセキュリティ対策への投資額が5000万円以上の企業がアメリカは71%であるのに対し、日本は32%という調査結果(出典:IPA「企業のCISOやCSIRTに関する実態調査2017-調査報告書-」)もあり、セキュリティ投資が十分でない状況が伺える。 そこで、SaaS/ASPなどのクラウドサービスのセキュリティ対策状況を第三者評価する「Assured」は、2023年のセキュリティトレンド総括として海外/国内サービスのセキュリティ対策状況を比較し、その傾向を発表した。 調査レポートの詳細は以下の通り(Assured調べ)。 第三者認証取得 国内でSOC2を取得しているサービスは8.6%のみ。ISO/IEC 27001は海外、国内ともに半数以上が取得
Windowsセキュリティとは?セキュリティソフトはもう必要ないのか? | サイバーセキュリティ情報局
Windows 10/11には標準でWindowsセキュリティと呼ばれるセキュリティ対策機能が搭載されている。果たして、このWindowsセキュリティだけでパソコンのセキュリティ対策は十分なのだろうか?この記事では、Windowsセキュリティの基本的な機能と、セキュリティベンダーが提供するセキュリティソフトとの違いについて解説する。 Windowsセキュリティとは、Windows 10/11に標準で搭載されているセキュリティ機能の総称である。以前は、Windows Defender セキュリティセンターと呼ばれていた。 そのルーツはWindows XPに搭載されていたスパイウェア対策ソフト「Windows Defender」であるが、Windows 8でマイクロソフト社が無償で提供していたウイルス対策ソフトである「Microsoft Security Essentials」が「Window
企業で多要素認証を行う難しさ 認証系の製品のサポートを行うことが多い立場柄、多要素認証が導入できていないお客様には、多要素認証の重要性や必要性を説明する機会も多いのですが、「うちの会社では〜〜〜だから、多要素認証できないんですよ」みたいな事を言われるケースが多くあります。確かに、多要素認証をユーザーの方にセットアップしていただき、使っていいただくという事は様々な観点での課題があると思いますし、それらの課題を解決していくというのは、大きな会社になればなるほどかなり大変だと思います。 会社の IT を管理していたり、アカウント/認証系のシステムに携わっている方には耳タコだと思うので今更、多要素認証の重要性や必要性をつらつらと記事にする必要はないかと思いますが、やりたいとは思っていても様々な要因で多要素認証を適用できていない状況の会社は意外と多いと感じましたので、私が出会った課題やそれぞれについ
Entra ID(旧名Azure AD)は企業での利用の割合が高く、社内システムを作る場合はこれを使って認証して欲しいという要件が積まれることがほとんどでしょう。とはいえ、現物を使ってテストを作るのは都合がよくないこともあったりします。例えば処理時間が延びる(大量のE2Eテストを走らせる場合)とか、たくさんのユーザーのバリエーションを作る場合にそれだけユーザーを登録しないといけないとか、多要素認証の認証をどうするかとか。そんな感じのウェブサービスの単体テストを簡略化する方法について検討して組み込んだので紹介します。 前提Entra IDを組み込む方法については以前のエントリーで紹介しています。 MSAL.jsを使ってウェブフロントエンドだけでAzureAD認証する AzureAD+MSAL for Goでバッチコマンドの認証 後者は他の認証基盤でもだいたい同じですが、前者は、MSAL.js
今日は、スミッシング(Smishing)について解説させて頂きます。 このスミッシング、以前から行われている攻撃手法なのですが、最近、スミッシングという用語で呼ばれる事が増えてきたようです。 そこで、今日は、改めて、スミッシング攻撃の基礎を紹介させて頂いた上で、被害に合わない為に知っておくべき内容や対策(どのように防げば良いのか)についても紹介させて頂きます。 また、なぜ、このスミッシング攻撃が無くならないのか、といった点についても解説させて頂きます。 では、改めて、スミッシングとは何か。 スミッシングとは、従来、SMSフィッシング(SMS phishing)という用語で知られていたものです。 すなわち、SMS(携帯の電話番号を宛名として短いメッセージを送ることが出来るサービス)を利用して攻撃対象者にメッセージを送りつけ、攻撃対象者の情報を奪おうとする攻撃の事です。 それが、近年、「SMS
医療情報システムの安全管理に関するガイドライン6.0版遵守項目 - ITをめぐる法律問題について考える
3省2ガイドラインのうち「医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)」について、 https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html 参考用に、見出しと遵守項目のみ、ブログに貼り付けます。 本当は重要記載もこのブログに貼り付けたいのですが、全部貼り付けるのは時間がかかると思うので、企画管理編までとりあえず貼り付けました。追ってシステム運用編とあと総務・経産のもやります。ブログに書くよりExcelに表形式でまとめた方がわかりやすいかなあ。 6版になって、構成も読みやすさも良くなっていて良いと思います。ただ、内容はやはりかなり厳しめですね。 〇概説編 1.はじめに 2.本ガイドラインの対象 2.1 医療機関等の範囲 2.2 医療情報・文書の範囲 2.3 医療情報システムの範囲 3.本ガイドラインの構成、
サイバー攻撃者がソーシャルエンジニアリングの手口を複製して広く利用するようになることで、初期侵害の試みが行われる範囲が拡大する。サイバー攻撃者はますますデジタルサプライチェーンベンダーを標的にしつつあり、セキュリティプロバイダーやIDプロバイダーへの関心を高めている。ヘルプデスクの従業員を狙ったフィッシング攻撃やログイン認証情報の取得、ワンタイムパスワード(OTP)コード窃取による多要素認証(MFA)の回避などが標準的な手法になり、IDプロバイダーベンダーを侵害する手口として悪用が広まっている より多くのベンダーが自社製品やプロセスにAI(人工知能)や大規模言語モデル(LLM)を導入してセキュリティを強化する。全世界のプライバシー監視機関やユーザーが責任あるAIポリシーをテクノロジー企業に要求するようになる。生成AIはサイバーセキュリティに関して将来性と危険性の双方をもたらすが、重大な危機
メールを使った攻撃では、「フィッシングメール」の被害が有名だ。だが、もっと危険な攻撃がある。ユーザーの受信トレイを丸ごと乗っ取ってしまう攻撃だ。 メールは他のコミュニケーション手段と比較して、自動化が進んでいる。メールクライアントソフトウェアには発信者やタイトル、内容に応じた自動振り分け機能が備わっており、自動転送や自動削除の機能もある。 これが危ない。サイバー攻撃者はメールクライアントの「受信トレイ」を狙っている。どのような危険があるのだろうか。 受信トレイ攻撃はどれほど恐ろしいのか Barracuda Networksのプレブ・デブ・シン氏は2023年9月20日、同社の調査に基づいて受信トレイ攻撃の危険性を指摘した。 攻撃者がユーザーのメールアカウントを手に入れたとしよう。これはさほど難しくない。2022年に公開された日本の個人情報の漏えい・紛失事故だけでも約600万人に及び、この10
サイバー攻撃における代表的な12の手法、関連する事例と対策を交えながら解説 | サイバーセキュリティ情報局
AIをはじめとしたテクノロジーの進化に伴い、サイバー攻撃はさらに巧妙化し、あらゆる企業・組織が狙われている。サイバー攻撃を防ぐには、その手法や仕組みを理解することが重要だ。この記事では、多くのサイバー攻撃のうち、代表的な12の手法と関連する事例、そして具体的な対策について解説する。 1. マルウェア攻撃 マルウェアとは「Malicious(悪意ある)」と「Software(ソフトウェア)」を組み合わせた造語で、悪意ある目的を果たすために作成されたプログラムやソフトウェア全般を指す。近年では、感染力の高いマルウェアである「Emotet」が大きな脅威として知られている。 マルウェア攻撃による被害事例 ・従業員のパソコンがEmotetに感染 2023年3月に発生した電池製造企業におけるケースでは、従業員のパソコンがEmotetに感染したことがきっかけとなった。個人情報を含むデータが外部に流出した
AWS re:Inforce 2024 が 2024/6/10 - 12 までペンシルベニア州フィラデルフィアで開催されています。AWS re:Inforce はクラウドセキュリティ、コンプライアンスに特化したテクノロジーカンファレンスです。 現地時間 6/11 の基調講演で新しくアナウンスされた内容をメモしています。 AWS Private CA Connector for SCEP の発表 (Preview) SCEP(Simple Certificate Enrollment Protocol) は、モバイルデバイス管理 (MDM) ソリューションで広く採用されているプロトコル Microsoft Intune や Jamf Pro などの MDM ソリューションで AWS Private CA を使用できるように SCEP コネクターは追加料金なしで利用可能 プレビュー期間中はバー
乗っ取られたアカウントには、「NFT」など怪しいアカウントでよくある単語が羅列されていて、完全に目的をもって乗っ取ってきた感じでした。 ご本人は、2要素認証してなかったと言っていましたが、個人情報がもれてたということに変わりなさそうです。 情報が漏れるとしたら、(素人目線ですが)フィッシングはもちろん、連携アプリやTwitterなどのIDからメールアドレスを把握しやすい場合などが多いかもしれません。Twitterに誕生日表示をしてる人も結構いますし、表示してなくても過去のツイートから誕生日は把握しやすいのでパスワードが容易に想像できてしまう場合も少なくないと思っています。 そこで、多要素認証が必要になってきます。(とはいっても、まだID・パスワードだけってところが圧倒的に多いですよね) また同じ多要素認証でも、SMS認証は危険性が訴えられていて、セキュリティに詳しい方から言わせるとSMS認
IT Leaders トップ > テクノロジー一覧 > セキュリティ > 事例ニュース > 福島県玉川村が「手ぶらキャッシュレス実証事業」の第2弾、指静脈/顔認証を用途で使い分け セキュリティ セキュリティ記事一覧へ [事例ニュース] 福島県玉川村が「手ぶらキャッシュレス実証事業」の第2弾、指静脈/顔認証を用途で使い分け 2023年7月24日(月)日川 佳三(IT Leaders編集部) リスト 福島県玉川村は、「手ぶらキャッシュレス実証事業」の第2弾を2023年7月30日から同村で開始する。第1弾(2022年7月24日~同年12月31日)の実証では、指静脈認証による村内店舗での地域商品券の利用に取り組んできた。第2弾では、第1弾の取り組み内容に加えて、顔認証で村内施設を利用できるようにする。地域商品券や施設利用といった用途に応じて、指静脈と顔での認証手段を使い分けることで、利用者の利便性
国内クラウドサービスにセキュリティ対策の遅れ アシュアードが独自データから分析(アスキー) - Yahoo!ニュース
Visionalグループのアシュアードは、同社の展開するセキュリティ評価プラットフォーム「Assured」および脆弱性管理クラウド「yamory」の独自データを用いて、2023年のセキュリティトレンドについて振り返った。 【もっと写真を見る】 Visionalグループのアシュアードは、同社の展開するセキュリティ評価プラットフォーム「Assured」および脆弱性管理クラウド「yamory」の独自データを基に、2023年のセキュリティトピックを振り返る説明会を開催した。 国内と比べて、海外クラウドサービス事業者のセキュリティ対策が先行 Assuredは、ビズリーチなどを手掛けるVisionalグループが提供するクラウドサービスのリスク評価プラットフォーム。クラウドサービスに対する第三者のセキュリティ評価情報をプラットフォームとして一元化、ユーザー企業のクラウド導入の効率化を促進する。クラウドサ
「パスキー」にまつわる7つの誤解から学ぶ いくつ答えられる?:いまさら聞けないパスキーの正体(後編) AppleやGoogle、Microsoftがパスワードに代わる認証方法「パスキー」に移行しようとしている。だが、パスキーには誤解を生みやすい部分がある。後編では「7つの誤解」を紹介しよう。 パスワードや多要素認証とパスキーの違いについて紹介した前編公開後、任天堂やGitHubが相次いでパスキー対応を発表するなど、パスキーが盛り上がりを見せている。 今回は、パスワード管理ソリューションを提供する1Passwordの解説を基に、パスキーにまつわる「7つの誤解」を紹介しよう。 【誤解1】パスキーはパスワードを隠しているだけで実際には使っている パスワードを代替する技術の一つが多要素認証だ。多要素認証は物理認証や生体認証などを使って、デバイスのロックを解除したり、オンラインアカウントにアクセスし
たった1回のデータ侵害で、オンライン生活全体が大混乱に陥ってしまう。問題はパスワードだ。この保護手段は、貴重なリソースを守るには絶望的なまでにもろい。 長く、複雑で、推測しにくいパスワードを作成すれば、何とかオンラインでの安全性を高められると信じ込み、誤った安全感を持たないようにしよう。あまりに長く複雑で、入力に5分かかるパスワードを作成しても、そのパスワードを使用するサービスで適切に保管されておらず、サーバーが侵害された場合、保護には何の役にも立たない。そうした事態が頻繁に起きている。 強力なパスワードをランダムに生成して使い回しをしない、という合理的なポリシーを定めていても、セキュリティという鎖で最も脆弱な部分は、やはり人間だ。聡明な人でも、ソーシャルエンジニアリングでだまされて認証情報をフィッシングサイトに入力することや、電話で教えてしまうことがある。 その解決策が、2要素認証、すな
本レポートでは、2024年1月中に発生した観測情報と事案についてまとめています。 目次 DDoS攻撃の観測情報 IIJマネージドセキュリティサービスの観測情報 Web/メールのマルウェア脅威の観測情報 セキュリティインシデントカレンダー DDoS攻撃の観測情報 本項では、IIJマネージドセキュリティサービスやバックボーンなどでIIJが対処したDDoS攻撃のうち、IIJ DDoSプロテクションサービスで検出した当月中の攻撃を取りまとめました。 攻撃の検出件数 以下に今回の対象期間で検出した、DDoS攻撃の検出件数を示します。 図-1 DDoS攻撃の検出件数(2024年1月) 今回の対象期間で検出したDDoS攻撃の総攻撃検出件数は235件であり、1日あたりの平均件数は7.58件でした。期間中に観測された最も規模の大きな攻撃では、最大で約533万ppsのパケットによって2.47Gbpsの通信が発
【書評】『WEB+DB PRESS Vol.136』から学ぶ、パスキー(Passkey)導入で変わるセキュリティとUX | DevelopersIO
【書評】『WEB+DB PRESS Vol.136』から学ぶ、パスキー(Passkey)導入で変わるセキュリティとUX 最近、認証技術を学んでいるときに「パスキー」という言葉をよく目にするようになりました。どうやら従来のパスワードの問題を解決する新時代の認証方式として注目を浴びているようです。しかし「パスキー」とはどのような認証方式なのでしょうか。 パスワード以外の認証方式と言えば「多要素認証」や「パスワードレス認証」がありますが、「パスキー」はこれらと比べて何が違うのでしょうか。 『WEB+DB PRESS Vol.136』の特集2『実戦投入パスキー』を読むことで、これらの疑問の答えが見つかります。 パスワードレス認証がなぜ登場したか、なぜ新しい認証方式であるパスキーが求められているのか。 ユーザーの体験に着目しながら詳しく解説してくれています。 このブログ記事では、全5章ある『WEB+
Microsoft、コンシューマーアカウントにパスキーを導入 「Microsoft 365」などログイン時に使用可能に
Microsoft、コンシューマーアカウントにパスキーを導入 「Microsoft 365」などログイン時に使用可能に:将来はパスワードに代わる存在になると予測 Microsoftはコンシューマーアカウントにパスキーを導入したことを発表した。パスキーについて「パスワードの弱点を克服する技術」として紹介し、その概要とMicrosoftアカウントにおける使い方を解説している。 【お詫びと訂正:2024年5月22日12時】初出時、文中の「固有のキー」が示す内容を記載できておらず、混乱を招く表現となっておりました。正しくは「固有のキー(秘密鍵と公開鍵)」となります。関連する記載も修正いたしました。 Microsoftは2024年5月2日(米国時間)、コンシューマーアカウントにパスキーを導入したことを発表した。Microsoftは将来的にパスキーがパスワードに取って代わる存在になると予測している。以
夢は「世界征服」ー カラダに埋め込むチップで新しいID認証方法を作るQuwakにインタビュー|千葉道場ファンド
こんにちは、千葉道場ファンドの木村です。この度、千葉道場ファンドはカラダに埋め込んだマイクロチップによる新しい認証プラットフォームを手がけるスタートアップのQuwakに出資させていただくことになりました。 この記事では、Quwak代表の合田瞳さん(@hichan02109)にお聞きした、同社の事業内容やアイデア誕生のきっかけについてお伝えします。まったく新しいその事業アイデア、そしてそれを手がける合田瞳さんという起業家がどう生まれたのか、ぜひ本稿を読んで知っていただければと思います。 カラダに埋め込んだマイクロチップで認証千葉道場ファンド 木村(以下、木村):改めて事業内容をお聞かせください。 Quwak CEO 合田さん(以下、合田):フィジカルに存在する肉体に紐づくアイデンティティと、インターネット空間に存在する「デジタルアイデンティティ」を一致させる認証プラットフォームを作っています
ガバメントクラウドGCAS移行に備えAWS IAM Identity Centerを理解する - サーバーワークスエンジニアブログ
こんにちは、Enterprise Cloud部 ソリューションアーキテクト1課 宮形 です。 仕事柄デジタル庁のホームぺージを見る機会が多いのですが、個人的な所感でレイアウトがシンプルで見やすいうえに先進的・未来的でカッコいいなと思っていました。文字フォントはオープンソース書体であるGoogle Noto Sans なのだそうです。Apache License 2.0 のライセンスルールのもと無償利用・再配布が認められているとのことで、弊社BLOGでも安心して表記することが出来るんですね。 www.digital.go.jp 本BLOGは 令和6年度ガバメントクラウド早期移行団体検証事業 から移行検証となった GCAS についてと、その認証統合に利用する AWS IAM Identity Center について自分の理解を整理したくまとめた内容となります。デジタル庁の資料にもキーワードとし
パスワード不要のパスワード管理アプリを試す--「Dashlane」は使い勝手良し(CNET Japan) - Yahoo!ニュース
パスワード管理アプリは何十年も前から存在している。最近では、オンライン認証情報を効果的に管理できるアプリが多数あるが、基本的な仕組みはすべて同じだ。ユーザー名やパスワードなどの機密情報がデータベース(保管庫と呼ばれることが多い)に保存され、強力な暗号化で保護されるというものだ。その保管庫のロックを解除するには、マスターパスワードを入力する必要がある。 事実、このモデルは広く浸透しているため、この分野のいくつかの主要製品には、そこからヒントを得た名前が付けられている。例えば、「1Password」は、覚えておくパスワードは1つだけで、何十個も何百個も覚えておく必要はないとうたっている。「LastPass」は、マスターパスワードが「今後必要な唯一のパスワード」になるとしている。 この分野で最も優秀な製品は、マスターパスワードを入力してパスワード保管庫のロックを解除する仕組みの代わりに、パスワー
2023年に揺れたサイバーセキュリティの現場~ランサムウェア、サプライチェーン攻撃、クラウドの脅威を振り返る | DevelopersIO
2023年に揺れたサイバーセキュリティの現場~ランサムウェア、サプライチェーン攻撃、クラウドの脅威を振り返る アライアンス事業部のヘマントです。 今回は、2023年の主なセキュリティインシデントについて共有します。 背景 デジタル時代 今日の世界では、私たちは常に膨大な技術ネットワークにつながっています。個人のデバイスから重要なインフラまで、すべてが複雑なデジタルシステムで動いています。この相互接続性は便利ですが、同時に脆弱性を生み出し、悪意のある者たちに多くの機密データをさらすことにもなります。 サイバー犯罪 サイバー攻撃はもはや時々起こる小さな問題ではありません。それらは増え続ける流行病となり、事件の数とその巧妙さは着実に増加しています。2023年には、企業や政府機関、医療システム、個人まで、あらゆるものを狙った攻撃が急増しました。 見出しの一年 インターネット上で悪意のある者による攻
[アップデート] AWS IAM Identity Center を新規に有効化した時のデフォルト設定が MFA 登録必須になったようなので、既存環境の影響を確認してから環境を作り直してみた | DevelopersIO
いわさです。 先日 AWS IAM Identity Center に関する次のアップデートがアナウンスされました。 AWS IAM Identity Center の新規インスタンスで MFA(多要素認証)がデフォルトで有効になったようです。 IAM Identity Center ではユーザーを管理します。 ユーザーの認証設定の中に、MFA をどういう時に要求するかという設定を行うことが出来ます。 これまでのデフォルトをしっかり把握してませんでしたが、このデフォルト設定が変わるようです。 私の検証用 AWS アカウントでは認証周りがデフォルト設定状態の数ヶ月前に作成した IAM Identity Center 環境がありました。 そこで、既存の環境がどういう設定だったのか、環境を削除して作り直すとどういう設定に変わるのかを調べてみましたので紹介したいと思います。 ちなみに、IAM Id
![[アップデート] AWS IAM Identity Center を新規に有効化した時のデフォルト設定が MFA 登録必須になったようなので、既存環境の影響を確認してから環境を作り直してみた | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/8917a36c3f93456f07196d695fc6d7312834a1cb/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2023%2F08%2Faws-iamidentity-center.png)
アカウントを守るには何をすればいい?Microsoftは、2019年のかなりの期間、アカウントを強制的にリセットしてきました。 新しいパスワードの作成や設定を要求されたかどうかに関わらず、Microsoftのセキュリティ機関の最近の報告では自分のアカウントの保護をさらに進めたいと思っている人に、次のような提案をしています。 複数のユーザーがパスワードを再利用する頻度を考えると、何らかの強力な認証形式でパスワードを保護することが重要です。 多要素認証(Multi-Factor Authentication=MFA)は、セキュリティに対する(各ユーザーの)心構えを劇的に上げる、重要なセキュリティの仕組みです。 MFAを有効にすることで、IDに対する攻撃の99.9%が阻止されたことが証明されています。MicrosoftのAzure MFAに関してはここで学ぶことができます。 Microsoftは
Microsoftはテナントに適用されるセキュリティ設定について、デフォルトでセキュアになるように工夫しているが、この設定だけでは顧客が求めるものとしては不十分だとし、より細かい設定を制御できる機能として今回の「自動条件付きアクセスポリシー」を追加した。 同社は「顧客が自身のニーズに合わせてそのポリシーをカスタマイズするのは難しいため、最初はMicrosoftが3つの自動条件付きアクセスポリシーを提供する」と説明している。顧客はこれらアクセスポリシーをカスタマイズできるため、自動条件付きアクセスポリシーを学びつつその恩恵を受けられる。 提供が予定されている自動条件付きアクセスポリシーは以下の通りだ。 管理ポータルの多要素認証(MFA)を必須にする(Require multifactor authentication for admin portals): 全ての顧客が対象。特権管理者ロール
米連邦取引委員会(FTC)は米国時間12月6日、QRコードに隠された有害なリンクに注意するよう促す消費者向け警告文を公開した。 QRコードはどこにでもあり、ほとんどあらゆるものに使われているため、攻撃者がQRコードをフィッシング攻撃の手段として利用しているのも不思議はない。 FTCはこのような攻撃について、また自分を守るために何を警戒すべきかを理解するための情報を提供している。 クイッシング(Quishing)とは QRコードはほぼあらゆる場所に存在し、ユーザーが自分の必要とする情報に簡単にアクセスできる手段を提供している。そのため、人々はその目的を疑うことなく、QRコードをスキャンしてしまいがちだ。 このような脆弱性に気づいた攻撃者は、便利なQRコードに見せかけたコードを作成し、そのコードをスキャンしたユーザーをなりすましサイトに誘導して、個人情報を盗んだりユーザーのデバイスにマルウェア
【セキュリティ ニュース】ドメインやホスティングが停止すると不安煽るフィッシングに警戒を(1ページ目 / 全1ページ):Security NEXT
ドメイン登録サービスやホスティングサービスの事業者を装い、提供中のサービスが停止するなどと不安を煽って偽サイトへ誘導し、アカウント情報などをだまし取るフィッシング攻撃が確認されている。 GMOインターネットグループによれば、同社サービス「お名前.com」を装い、「支払いの問題でドメインが停止した」「ホスティングの自動更新に失敗した」などとあたかも利用するサービスが停止したかのようにだまして不安を煽り、偽サイトへ誘導するフィッシング攻撃が確認されているという。 同社に限らず、同様のサービスを展開している他社に対しても類似した攻撃が展開されているとし、同社はサービスの利用者に注意を呼びかけた。 ひとたびインターネットサービスのアカウントを侵害されると、アカウント内の情報を窃取されたり、データの改ざん、破壊、攻撃の踏み台として悪用されるなど、さまざまな被害へ発展する可能性がある。 インターネット
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
MFAとSSOの導入・運用を助ける新たなガイドライン CISAとNSAが共同発表
大分県立病院がDXやランサムウェア対策に向けてNetAppのストレージシステムを採用
AWSが多要素認証の導入に“本気” GoogleとMicrosoftはどうする?
ゼロトラストセキュリティの第一歩 多要素認証を手軽に導入する秘訣
生成 AI をセキュアにする: 関連するセキュリティコントロールの適用 | Amazon Web Services
巧妙化するフィッシング攻撃、多段階認証も3割突破 - 日本経済新聞
「リテラシーを向上させる」といってセキュリティ対策をサボるの、もうやめませんか?
被害事例から学ぶ!セキュアなファイル転送・共有サービスの選び方
アシュアード、2023年における海外SaaSと国内SaaSのセキュリティ対策を比較したレポートを公開
もう、「うちの会社では多要素認証出来ない」と言わせたくない!
Entra IDを使うウェブサービスのバックエンドのテスト | フューチャー技術ブログ
スミッシングとは?SMSを使った詐欺を改めて解説! - ビジネスコンサルティングの現場から
CVE登録の脆弱性を狙うサイバー攻撃はもう古い Proofpointが2024年の脅威を予測
メールが全て信じられなくなった 「受信トレイ攻撃」の脅威
AWS re:Inforce 2024 Keynote での新発表まとめメモ - Qiita
セキュリティ知識薄めのエンジニアがyubikeyを買って、理想的な終活アイテムだと思った話。|nyar
福島県玉川村が「手ぶらキャッシュレス実証事業」の第2弾、指静脈/顔認証を用途で使い分け | IT Leaders
「パスキー」にまつわる7つの誤解から学ぶ いくつ答えられる?
2要素認証でセキュリティ強化--設定方法、認証アプリ、保護すべきアカウント
wizSafe Security Signal 2024年1月 観測レポート
脅威から自分のアカウント・ログイン情報を守るための3ステップ | ライフハッカー・ジャパン
Microsoft、新しいテナント保護機能をリリース 管理者は90日以内に確認を
米FTC、QRコードを用いた「クイッシング」攻撃について注意喚起