パスワード管理アプリは何十年も前から存在している。最近では、オンライン認証情報を効果的に管理できるアプリが多数あるが、基本的な仕組みはすべて同じだ。ユーザー名やパスワードなどの機密情報がデータベース(保管庫と呼ばれることが多い)に保存され、強力な暗号化で保護されるというものだ。その保管庫のロックを解除するには、マスターパスワードを入力する必要がある。 事実、このモデルは広く浸透しているため、この分野のいくつかの主要製品には、そこからヒントを得た名前が付けられている。例えば、「1Password」は、覚えておくパスワードは1つだけで、何十個も何百個も覚えておく必要はないとうたっている。「LastPass」は、マスターパスワードが「今後必要な唯一のパスワード」になるとしている。 この分野で最も優秀な製品は、マスターパスワードを入力してパスワード保管庫のロックを解除する仕組みの代わりに、パスワー
Yubikeyが2本になったので、各アカウントのMFAを見直した - gensobunya Life Blog
Cloudflareのキャンペーンで沢山Yubikeyを手に入れた。 だって安かったし…などと供述しており pic.twitter.com/EHYQCH306V— ゲン (@gen_sobunya) 2023年1月26日 元々Yubikey5C nanoを1個所持していたので複数セキュリティキー…つまり予備セキュリティキーが手に入った形。 Yubico - YubiKey 5C Nano - USB-C - 2ファクター認証セキュリティキー YubicoAmazon セキュリティキーが1本しかない状態ではバックアップが難しく、TOTPなど他の多要素認証手段を組み合わせることが必須だったが、2本以上あることでセキュリティキーをファーストチョイスにできるようになった。NFCタイプを購入したので、モバイルデバイスにも利用できる。 Yubikey 5C nano ... 普段からメインPCに装着
先日、ヌーラボでパスキーを導入しましたとニュースリリースをしましたが、「パスキー」を初めて聞くという方も多いかと思います。 このブログでは、パスキーについてなるべく簡単に説明したいと思います。 パスキーってなに? 「パスキー」は、パスワードの代わりになるものです。パスキーはパスワードよりもずっと安全で簡単に利用することができます。 パスキーを使うとヌーラボサービスにログインする時にパスワードの入力が不要になり、面倒で危険なパスワード入力をなくすことができます。 パスキーはFIDOという国際規格の認証技術です。 FIDOはフィッシングに強く、2段階認証のSMSや認証アプリよりも安全と言われています。 パスキーは簡単に使えるの? あらかじめパスキーを登録しておけば、ログインの際にパスキーを使ってログインすることができます。 登録もログインもとても簡単です。 手順を見てみましょう。 パスキーを登
【セキュリティ ニュース】Dropboxの電子署名サービスに不正アクセス - 顧客情報が流出(1ページ目 / 全2ページ):Security NEXT
Dropboxは、同社の電子署名サービス「Dropbox Sign(旧HelloSign)」がサイバー攻撃を受けたことを明らかにした。 同社によると、現地時間4月24日に同サービスの本番環境が侵害されたことを把握したもので、調査を行ったところ、顧客情報などもアクセスされていたことが判明したという。 具体的には、メールやユーザー名、電話番号、ハッシュ化済みパスワード、アカウント設定にくわえ、APIキー、OAuthトークン、多要素認証などの認証情報を含むデータに対してアクセスが行われていた。 同サービスを利用していない場合でも、同サービス経由で文書を受け取ったことがある場合、メールアドレスや氏名が流出したおそれがある。 攻撃者は、同サービスで利用する自動システム構成ツールにアクセスし、本番環境の操作権限を持つバックエンドのサービスアカウントを侵害。同アカウント経由で顧客のデータベースに不正アク
パスワードを盗み出す犯罪者 道具は「スプレー缶」
パスワードはサイバー攻撃に弱い。とはいえ、パスワードを使うしか方法がないアプリケーションやサービスはまだまだ多い。パスワードを盗み出す「パスワードスプレー攻撃」の特徴をつかみ、安全にパスワードを使う方法を紹介する。 パスワードはサイバー攻撃に弱い上に、ユーザーはパスワードを軽視している。パスワード関連のサービスを提供するNordPassによれば、最も使用頻度が高いパスワードはそのものズバリの「password」だ。2番目は「123456」、3番目は「123456789」だ。 パスワードをなめているユーザーを攻撃する方法 NordPassのマチェイ・バルトウォミエイ・シコラ氏はこのような状況の中で、サイバー攻撃者がどのように暗躍しているのか、ユーザーがとり得る保護策は何なのかを紹介している。 ユーザーが利用するパスワードが偏っているのであれば、それを利用した攻撃が有効だろう。最も効率の良い攻
CitrixBleedは消えない サイバー攻撃者に利用される悪質な脆弱性についてまとめた:Cybersecurity Dive NetScaler ADCとNetScaler Gatewayの脆弱性「CitrixBleed」が全世界で悪用されている。侵害発覚までの経緯と悪用の現状、各政府機関の対応を改めてまとめた。 米国当局は、企業が安全なリモートアクセスを可能にするために広く使用されているネットワーキングアプライアンスである「Citrix NetScaler Application Delivery Controller」(以下、NetScaler ADC)および「NetScaler Gateway」の重大な脆弱(ぜいじゃく)性の封じ込めに苦戦している。 全世界で何千もの組織がこの技術を使用している。研究者は金融サービス企業や防衛請負業者、法律事務所、技術プロバイダー、政府機関など、幅広
AgileBitsは9月20日、パスワード管理ツール「1Password」でパスワードレス認証機能「パスキー(Passkeys)」をサポートするアップデートの提供を開始した。 パスキーは、ユーザー名やパスワードを入力することなく、Webサイトやアプリにサインインできるようにするデジタル認証技術だ。スマートフォンのようなデバイスの指紋認証や顔認識、PINまたはパターンを利用し、単一の手順で多要素認証の要件も満たせる。2022年3月に提唱されて間もないが、Apple、Google、Microsoftなどプラットフォーマーが揃ってサポートに乗り出しており、パスワードレス認証の普及を加速させるドライバーとして期待が高まっている。 1Passwordは世界で1500万人以上が利用するパスワード管理の定番サービスだ。早い段階でパスキーのサポートを表明しており、パスワードレス時代に1Passwordがど
前編で第4章まで解説しましたので、引き続き第5章から後編です。繰り返しになりますが、各章タイトルについては便宜的に旧(1.0版)のものを採用します。 5.ガバメントクラウド共同利用方式における責任分界5.1 システム管理上の責任分界 IaCによる「セキュリティルール、IaCコード管理等の管理機能」が「セキュリティ設定等」にまとめられています。また「最低限」の表現が無くなっています。一方、後述する単独利用方式では「最低限」の表現は残っています。 この「IaC手法によるセキュリティ設定等の実装」は「ガバメントクラウドテンプレート」のことを指します。共同利用方式と単独利用方式で適用するテンプレートが異なるということは無いはずであり、不可解な差が生じています。前編でも記載しましたが、単独利用方式記載部分がなおざりになっており、下世話な言い方を言えば、修正漏れなのかもしれません。 蛇足ですが、ガバメ
🗃 {Programming/Java/org/springframework/security/web/authentication} 🏷 Java 🏷 Spring Boot 🏷 Spring Security 🏷 2FA 🏷 MFA 🗓 Updated at 2023-09-08T08:03:26Z 🗓 Created at 2023-09-08T08:01:09Z 🌎 English Page Spring Securityで2要素認証 (2FA) を行う方法をメモします。 今回の実装は2要素に限定しているので、ここでは多要素認証 (MFA)というより2FAと明示しておきます。 "Spring Security 2FA" でGoogle検索すると、次の2例が見つかります。 https://www.baeldung.com/spring-security-tw
開発生産性の話が2本、SPACEフレームワーク気になる:Productivity Weekly (2023-11-08号)
こんにちは。サイボウズ株式会社 生産性向上チームの平木場です。 僕たち生産性向上チームは毎週水曜日に Productivity Weekly という「1 週間の間に発見された開発者の生産性向上に関するネタを共有する会」を社内で開催しています。 本記事はその時のネタをまとめたものです。 2023-01-25 号から、基本的に隔週で連載することとしました。たまに単独でも投稿するかもしれません。 今週は 2023-11-08 単独号です。 今回が第 132 回目です。過去の記事はこちら。 news 📺 GitHub Actions - Enforcing workflow scope when creating a release - The GitHub Blog GitHub において、REST API を利用してリリースを作成する際に、特定のケースで workflow スコープや wor
クラウドサービス、特にSaaSの利用が急拡大している。数多くのクラウドサービスが登場して高度化し、ユーザーの選択肢が増加した今、これを中心にしたシステム作りも珍しくない。 一方でクラウドサービスの設定ミスや過剰な権限付与、認証不備などに起因するインシデントが頻繁に起きている。クラウドストレージの設定を誤り40TB近くの内部機密情報が外部からアクセス可能になっていたインシデントや、多くの企業が利用しているクラウド営業支援システムの設定不備による情報漏えいも話題になった。 SaaSを安全に利用するための重要なポイントとは何か。その鍵は適切な特権IDの管理にある。 クラウドサービスのインシデントはなぜ起きる? 3つの原因 エンカレッジ・テクノロジの日置喜晴氏(取締役 マーケティング部長)は、SaaSの設定ミスや過剰な権限付与に関連したインシデントが発生する原因として以下の3つを挙げる。 1つ目は
レポートのフィールドの大部分は空白で、レポートにはユーザー認証情報や機密性の高い個人情報は含まれておりません。レポート内の99.6%のユーザーについて、記録されている連絡先情報はフルネームとメールアドレスのみです。 この情報が悪用されているという直接的な証拠はありませんが、脅威者がこの情報を使って、フィッシングやソーシャルエンジニアリング攻撃でOktaのお客様を標的にする可能性があります。Oktaのお客様は、自社のOkta orgで使用しているのと同じアカウントでOktaのカスタマーサポート管理システムにサインインします。カスタマーサポート管理システムのユーザーの多くはOktaの管理者です。カスタマーサポート管理システムだけでなく、Okta管理コンソールへのアクセスを保護するためにも、多要素認証(MFA)を登録していることが重要です。 名前と電子メールアドレスがダウンロードされたことか
株式会社はてな(代表取締役社長:栗栖義臣/本社所在地:京都市中京区)は、はてなの提供するサービスの利用時に必要な「はてなID」でのログインにおいて、パスワードレスの生体認証機能「パスキー」と多要素認証の「TOTP(Time-Based One-Time Password)」に対応しました。「はてなブログ」や「はてなブックマーク」などの個人向けサービスや、「はてなブログMedia」などの法人向けサービスをご利用のユーザーは、これらの認証を利用することにより、これまで以上に安全で便利なアカウント管理が可能になります。 ▽ 「はてなID」でご利用いただけるサービス例 記事やコメントの投稿に「はてなID」へのログインが必要なサービスには、以下のようなものがあります。 はてなブログ https://hatena.blog はてなブックマーク https://b.hatena.ne.jp 人力検索はて
コンピュータ情報サイトの「Help Net Security」は2024年2月20日(現地時間)、セキュリティ企業のVeracodeのレポートを引き合いに出し、アプリケーションの63%がファーストパーティーコードに欠陥を持ち、70%がサードパーティーライブラリーを通じてインポートされたコードに脆弱(ぜいじゃく)性を持つと発表した。 生成AIが書いたソースコードの過信は禁物 約3割で脆弱性が見つかる レポートによると、アプリケーションの脆弱性は組織におけるサイバー攻撃のリスク要因となる。1年以上修正されていないアプリケーションの脆弱性、すなわち「セキュリティ負債」を抱えている組織は46%ほどになるという。 この状況を改善するためにはソフトウェア開発ライフサイクル全体を通じてこれらの脆弱性のテストを実施することが重要で、利用しているサードパーティーライブラリーの脆弱性について継続的に修正を続け
全国的に普及している二次元コード(QRコード)を巡り、不正なサイトの広告が表示されたり、クレジットカード情報の入力を求められるなどの被害が相次いでいる。従来の「フィッシング」詐欺は、メールやショートメールから不正サイトにリンクさせて個人情報を入力させる手口。一方で、メール内の不正サイトへのURLリンクをQRコードに置き換えたケースは「クイッシング」とも呼ばれ、情報セキュリティー会社は警戒を呼びかけている。 決済情報の入力を要求学習院大は、今年5月から配布している「大学案内2024」に掲載されていた「受験生応援サイトintro!」のQRコードが、不正なリンク先に転送されていることが判明したと10月30日に発表。正しいURLを直接入力することなどを呼び掛けた。 また、カー用品店のオートバックスを運営する「オートバックスセブン」では11月13日、会員向けのダイレクトメール(DM)で、会員制度のリ
DockertestとLocalStackを使って 外部サービスに依存した多要素認証の 動作確認・テストをした話 / A story about using Dockertest and LocalStack to check and test the operation of multi-factor authentication that depends on external services
2024/06/08: Go Conference 2024 https://gocon.jp/2024/ DockertestとLocalStackを使って 外部サービスに依存した多要素認証の 動作確認・テストをした話 西田 智朗 ソフトウェアエンジニア
アカウントの不正利用やランサムウェア被害など、エンドポイントでインシデントが毎日のように発生している。これはそこにあいた“穴”を放置しているからだ――官公庁のサイバーセキュリティ向上にも尽力する川口設計の川口 洋氏(代表取締役)。現場で本当に起きている脅威と向き合うために、今すぐ見直したいエンドポイントの課題とその具体的な対策について解説した。 エンドポイントへの到達経路は電子メールやVPN、公開サーバ 川口氏は“日本のサイバーセキュリティ設計”をミッションに掲げ、セキュリティに関するコンサルティングや人材育成トレーニングを事業としている。また、官公庁のサイバーセキュリティ向上に貢献すべく、消費者庁や文部科学省のアドバイザーも務める。 川口氏ははじめに、読んでほしい調査報告書として「政策研究大学院大学の情報システムに対する不正アクセスの調査報告書」を挙げた。 これは2022年8月29日に判
なお、上記は2023年12月時点でのFIDOアラインスの定義に基づきます。これらの用語はこれまで定義が変化してきたり、FIDOアライアンスの定義が業界のコンセンサスを得ていないケースで意味の揺れがあったりすることもありました。 同期するもののみを指すケース パスキーはFIDOアライアンスの発表では、「マルチデバイスFIDOクレデンシャル」の通称という扱いでした34。つまり、当初はクラウド同期して複数デバイスで使えるもののみがパスキーでした。しかし、パスキーの勢いを見てか分かりませんが、セキュリティキーベンダーが自分たちもパスキーだと主張し始めました5。その後FIDOアライアンスもSingle-device passkey(現: デバイスバウンドパスキー)を定義し、同期しない従来のFIDOクレデンシャルもパスキーとなりました6。 認証方式を指すケース パスキーは「FIDOクレデンシャル」です
山市良のうぃんどうず日記 サインイン時にパスワード有効期限切れの繰り返しを避けるには…… 先日、かなり前に「Microsoft Azure」のテナント(Microsoft Entra IDテナント)に作成したテスト用IDを使用してAzureサービスにサインインしようとしたところ、多要素認証による本人確認後、有効期限切れのためにパスワードを再設定するように求められました(画面1)。 しかし、次に使用するのがいつになるのか分からないため、今変更しても次にサインインするときに再設定したパスワードがまた有効期限切れとなり、また再設定するように要求される可能性が大いにあります。この無駄な手順はもう繰り返したくありません。このIDは認証アプリ「Microsoft Authenticator」による多要素認証を有効にしてあるため、パスワードの有効期限を無期限にしたとしても、セキュリティ上のリスクが大きく
8割以上がパスワードを使いまわし、2割が被害に─トレンドマイクロ「パスワードの利用実態調査2023」 | IT Leaders
IT Leaders トップ > テクノロジー一覧 > セキュリティ > 調査・レポート > 8割以上がパスワードを使いまわし、2割が被害に─トレンドマイクロ「パスワードの利用実態調査2023」 セキュリティ セキュリティ記事一覧へ [調査・レポート] 8割以上がパスワードを使いまわし、2割が被害に─トレンドマイクロ「パスワードの利用実態調査2023」 2023年9月1日(金)IT Leaders編集部 リスト トレンドマイクロは2023年8月31日、Webアンケート調査「パスワードの利用実態調査2023」を、2023年7月31日から同年8月1日にかけて実施し、その結果を発表した。ID/パスワードでのログインが必要なWebサービスの利用者を対象にパスワードの利用や管理の実態を調べている。調査の結果、Webサービスの利用者のうち、83.8%が複数のWebサービスでパスワードを使いまわしている
コスパが高い、お得なVPNプロバイダー「NordVPN」 - Ran Ran(アラフォー男子)の老後の資金計画
画像元:NordVPN コスパの高い、お得なVPNプロバイダーに興味・関心がある? という皆様、こんにちは。「NordVPN(ノードVPN)」というサービスを知った、アラフォー男子のRan Ranです。 私たち人類の生活にインターネットは当たり前、つまり不可欠な存在になっているわけですが、別の見方をすれば、それはネットを安全に利用するための「VPNサービス」の重要生が高まっているということでもあるのです。 しかしながら、VPNの重要生は理解していながらも、類似サービスが多いので、どのサービスを利用すればいよいか選びにくいのも事実です。そこで、今日は「NordVPN」を利用するという方法を紹介したいと思います。 はい。したがいまして、本日の記事内容は、コスパが高い、お得なVPNプロバイダー「NordVPN」です。 「NordVPN」とは? 「NordVPN」のコスパの高さ 「NordVPN」
xID、子育ての不安・悩みに答える電子書籍コンテンツが無料で読める『ちいさな子育て図書館』をメディアドゥと共同リリース マイナンバーカード・デジタルIDを活用した自治体や企業の課題解決・新規事業創出を総合的に支援するGovtechスタートアップ、xID(クロスアイディ)株式会社(本社:東京都千代田区、CEO 日下 光 以下xID) と電子図書館事業を展開する株式会社メディアドゥ(東証プライム 3678、本社:東京都千代田区、代表取締役社長 CEO 藤田恭嗣、以下「メディアドゥ」)は、子育ての不安・悩みに答える無料の電子書籍コンテンツ『ちいさな子育て図書館』をリリースします。 本サービスにはデジタルIDアプリ「xID」が実装されており、利用登録の完全オンライン化を実現すると共に、ログイン時の多要素認証を実装し、利用者の利便性とセキュリティを向上させます。 本サービスを導入した自治体においては
Azure 便利ですよね。 そう、みなさんが便利だと思っているように、悪意のある攻撃者も便利だと思っているのです。 攻撃者は、無料トライアルの環境を使ったり、あるいは、正規のユーザーの環境にこっそり侵入して環境を乗っ取り、その環境にあるリソースを使って、いろんな悪さをします。乗っ取ったテナントから他の環境に悪意のあるソフトウェア(マルウェア)をばら撒いたり、詐欺メールを送ったりします。正規のクラウドサービスの環境を乗っ取ることで、攻撃者にとっては、タダで攻撃の環境を手に入れるられるだけではなく、セキュリティ製品の検知に見つかりにくくなる、というメリットもあります。 クラウドサービスの悪用は、攻撃者によって自動化もされていることもあり、非常に多くなってきています。 クリプトジャッキングがあなたのVMを狙ってる 乗っ取った環境を踏み台にして行う攻撃のひとつが、仮想通貨のマイニングをする「クリプ
[レポート]真の DX 実現に最適なゼロトラストセキュリティとガバナンス – AWS Security Forum Japan 2023 #aws #awssecurity | DevelopersIO
[レポート]真の DX 実現に最適なゼロトラストセキュリティとガバナンス – AWS Security Forum Japan 2023 #aws #awssecurity AWS Security Forum Japan 2023で行われた「真の DX 実現に最適なゼロトラストセキュリティとガバナンス」のセッションレポートです。 こんにちは、臼田です。 みなさん、AWSのセキュリティ対策してますか?(挨拶 今回は2023年10月12日にオフラインで行われたAWS 国内最大のセキュリティイベントであるAWS Security Forum Japan 2023の下記セッションのレポートです。 真の DX 実現に最適なゼロトラストセキュリティとガバナンス ビジネススピードの加速によって、IT 部門への要求も複雑化かつ高速化が求められています。生産性の向上とセキュリティ、更には利便性までをも向上
![[レポート]真の DX 実現に最適なゼロトラストセキュリティとガバナンス – AWS Security Forum Japan 2023 #aws #awssecurity | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/f782a3ba21d9875a7314797f8aa3548dc54a098b/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2023%2F10%2FAWS_Security_Forum_Japan_2023_logo.png){kind=logo}
はじめに どーもみなさんこんにちは。ねもてぃです。 今回はJamf Connect Ver.2.25.0以降でネイティブサポートされるようになった、Okta Identity Engineとの連携についてやっていきます! 公式ドキュメント:Okta と Jamf Connect を統合する もう使ってるんだけど再構成は必要? 結論から言うと再構成したほうがいい、と思います。 旧来の構成のままだと、 再ログイン時に多要素認証が求められない Jamf Connectログイン時に多要素認証を行った後、ループしてログイン画面に戻ってしまう デスクトップアプリの認証がうまくいかない macOS 14 Sonomaの対応でJamf Connectのアプリ自体をアップデートしたが構成プロファイルはそのままでいいのか不安 といった事象が発生する可能性があります。 これらに対応するためにも構成は見直したほう
IT Leaders トップ > テクノロジー一覧 > セキュリティ > 事例ニュース > JRA、70万人が使う競馬情報アプリの会員ID管理/認証基盤をOCI IAMで構築 セキュリティ セキュリティ記事一覧へ [事例ニュース] JRA、70万人が使う競馬情報アプリの会員ID管理/認証基盤をOCI IAMで構築 2024年1月19日(金)日川 佳三(IT Leaders編集部) リスト 日本中央競馬会(JRA、本部:東京都港区)は2023年9月22日、競馬情報を提供する公式スマートフォンアプリ「JRAアプリ」の会員ID管理/認証基盤として、日本オラクルの「OCI Identity and Access Management(IAM)」を利用している。同アプリの利用登録者は現在約70万人で、同基盤は100万人規模での利用にたえるという。日本オラクルが2024年1月19日に発表した。 日本中
アメリカ証券取引委員会(SEC)が2024年1月22日に、同委員会のX(旧Twitter)アカウントが何者かに乗っ取られたのはアカウントに関連付けられた端末に対するSIMスワップ攻撃が行われたためだったと発表しました。 SEC.gov | SECGov X Account https://www.sec.gov/secgov-x-account SEC confirms X account was hacked in SIM swapping attack https://www.bleepingcomputer.com/news/security/sec-confirms-x-account-was-hacked-in-sim-swapping-attack/ 2024年1月10日に、SECのXアカウントがビットコイン現物ETFを承認したと偽の発表を行う問題が発生し、これによりビットコイ
独立行政法人情報処理推進機構(IPA)が毎年発表している「情報セキュリティ10大脅威」の最新版が2024年1月24日に公開されました。 情報セキュリティ10大脅威では「個人編」と「組織編」がありますが、本記事では、組織編のTOP10に選出された脅威について、特に注目したいポイントと対策をまとめ、解説していきます。 ▶「経営層が納得するセキュリティ報告」を読む 「情報セキュリティ10大脅威」とは? 毎年、注目を集める「情報セキュリティ10大脅威」ですが、そもそもどのようなランキングなのでしょうか? 以下は、IPAのWEBサイトに記載された説明文です。来年度のセキュリティ対策を計画するうえでも、ぜひチェックしておきたい情報が詰まっています。 「情報セキュリティ10大脅威 2024」は、2023年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選
(出典:IPAの「情報セキュリティ10大脅威 2024」のWebサイトより) 今回特筆すべきは、個人においては「順位」がなくなっていることです。ピックアップされた脅威だけでなく、下記の一文もしっかり読んで、その理由を理解しておきましょう。 10大脅威 2024では、個人の10大脅威の順位は掲載せず、五十音順で並べています。これは、順位が高い脅威から優先的に対応し、下位の脅威への対策がおろそかになることを懸念してのことです。順位にかかわらず自身に関係のある脅威に対して対策を行うことを期待しています。 (IPAの「情報セキュリティ10大脅威 2024」のWebサイトより) 筆者としてはこれは重要なメッセージであると考えています。順位の優劣は選出する識者も大いに悩んでいたのではないかと思いますが、例えば1位の脅威にはすぐ対応するけれど10位の対応は後回しでいいというわけではなく、自分自身の立ち位
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は2023年10月5日(米国時間)、「NSA and CISA Release Advisory on Top Ten Cybersecurity Misconfigurations|CISA」において、米国家安全保障局(NSA: National Security Agency)と共にサイバーセキュリティの設定ミストップ10に関する勧告を発表した。 NSA and CISA Release Advisory on Top Ten Cybersecurity Misconfigurations|CISA 発表された共同サイバーセキュリティ勧告は次のサイトから閲覧できる。 「NSA and CISA Red a
はじめに データアナリティクス事業本部のおざわです。お客様からAWS CLIを使ってローカルからS3にファイルをコピーしたり、ダウンロードしたりといった操作を試してみたいとお話を伺ったので、今回はAWS CLIを使った簡単なS3の操作に関してチュートリアル形式でまとめてみました。 AWS CLIのインストールと初期設定 以下の記事を参考にインストールと設定を行ってください。 また、使用するアクセスキーについては最小権限のアクセス許可で払い出すようにしてください。 AWS CLI の最新バージョンを使用してインストールまたは更新を行う AWS CLIを使用するため必要な初期設定について MFA(多要素認証)について 設定によってはコマンド実行時にMFA認証を求められます。 以下のような文言がプロンプトに表示されますが、一度入力すればセッションが有効な間は再入力する必要はありません。 Ente
ステッカー好きなメダカ屋さんにオススメしたい『ついついスキャンしたくなるQRコードの無料作成ツール2選』と使い方を実践しながらご紹介します! - urakatahero“B”log
ステッカーやロゴにQRを埋め込んだりも出来る! ユニークなQRコードの作成サイト2選 QRコードを作成する意味 QRコードの危険性を回避する方法 オススメ1『岡山大学-Design QRcode Generator-』 -Design QRcode Generator-の使い方 オススメ2『qrcodemonkey』 その他のQRコード作成サイト一覧 QRのススメ クルクルマネージャー 記事のまとめ ユニークなQRコードの作成サイト2選 簡単にユニークなQRコードを作成できます! QRコードの作成に必要なものは、HP・ブログ・各種SNSなどのURLです。 例えば、名刺などに複数のQRコードを印刷している方も多くなってきましたが、ごちゃごちゃとしてしまっては読み込む気が薄れてしまいます。 そんな時は、リンクサービスなどに登録し、1つのQRコードにまとめるのも手ですよ。 私の場合は、わざわざ登
はじめに Windows10以降はサインインに様々な方法が利用できるようになりましたが、PINとパスワードってどう違うのか社内で説明するときに悩まれることがあると思います。そんな場合のヒントになったらいいな、というお話です。 なお、非ITセクションへの説明方法を考えるという観点ですので、正確さが若干犠牲になっている面がありますのでご理解いただけますと幸いです。 背景:PINがオンラインパスワードよりも優れている理由、とは? Windows10以降ではデバイスへのサインイン時に従来通りのパスワードと、Windows HelloとしてPINや生体認証など多様なサインイン方法が標準サポートされるようになりました。 さて、皆様はサインイン方法をどのようにしているでしょうか?今まで通りのパスワードでしょうか?それとも、PINや生体認証を利用しているのでしょうか?数字数桁入れるだけでサインインできるな
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 「セキュリティはAWSの最優先事項」――Amazon Web Services(AWS)がセキュリティ対策をさらに強化している。2024年に実施する特権管理での多要素認証の義務化や、ゼロトラスト型サービスの展開など最近の取り組みをグローバルサービス セキュリティ担当バイスプレジデントのHart Rossman氏に聞いた。 ゼロトラスト型のセキュリティを推進 まずRossman氏は、「AWSにとってセキュリティは(クラウドサービスを提供する)オペレーションと同じく最優先事項であり、このことはAdam(AWS 最高経営責任者のAdam Selipsky氏)もAndy(Amazon 最高経営責任者のAndy Jassy氏)も明言している。世界
AWS責任共有モデル - Qiita
はじめに AWSの責任共有モデルとは、クラウドサービス提供者であるAWSと顧客との間で、セキュリティとコンプライアンスに関する責任を分担する考え方です。AWSは物理的なインフラストラクチャのセキュリティを担当し、顧客は自身のデータとアプリケーションのセキュリティに責任を持ちます。 AWSにおいてこの責任の相違を「クラウド”の”セキュリティに対する責任」と、「クラウド”内の”セキュリティに対する責任」としています。 AWSの責任共有モデルのメリット AWSの責任共有モデルでユーザーが享受できる主なメリットとして、ユーザー側の作業負担軽減が挙げられます。AWS責任共有モデルは、企業が自社内で管理・運用するオンプレミス環境と比較して、AWS側にインフラの運用やプラットフォーム、ソフトウェアの管理を任せることができるため、管理コスト面でユーザーの負担を軽減できます。 それ以外にも、オンプレミスと比
1960万件以上の窃取されたログデータを分析し、少なくともそのうちの1.91%のログデータは企業アプリケーションへのアクセスに使われる認証データを含んでいた 4万8173件のログは「Okta」のWebサイトに関連するリソースへのアクセスを含んでいた 銀行や退職ポータルといった金融サービスアカウントへのアクセスを含むログは、その他のアプリケーションアカウントへのアクセスログよりも有意に高い値段でダークWebにおいて取引されていた 20万を超える窃取ログがOpenAIのアカウントデータへのログを含んでいた。これは分析したログデータの1%に相当する 分析したデータの中で最も一般的なアクセス源はロシア市場と「Telegram」のVIPルームだった 分析したログデータの46.9%が「Gmail」の認証データにアクセスしており、これは800万台以上の感染デバイスに相当していた インフォスティーラーと呼
安全なインターネット利用に必須!NordVPNが選ばれる理由 #VPN - Ran Ran(アラフォー親父)のお金の教科書
VPNプロバイダー機能比較に関心がある? 皆様、こんにちは。「NordVPN(ノードVPN)」を選ぶ理由を発見した、アラフォー親父のRan Ranです。 ネット社会と言われて久しいわけですが、日々、私たちの生活にインターネットは不可欠なものになっています。 別の見方をすれば、それはインターネットを安全に利用するための「VPNサービス」の重要度が高まっているということでもあるのです。 ところが、どのVPNサービスを利用すればいよいか選びにくいのも事実なので、今日はVPNサービスの機能を比較をした上で「NordVPN」を利用するべきだと私が確信した理由を説明したいと思います。 そこで、本日の記事内容は、アラフォー親父が選んだ安全なVPNサービス、NordVPNです。 「NordVPN」とは VPNサービスの機能比較 「NordVPN」が気になる方は、こちらから!! VPNサービスに興味がある方
関連キーワード VPN | セキュリティリスク | 脆弱性 セキュリティベンダーCheck Point Software Technologies(以下、Check Point)は2024年5月、同社VPN(仮想プライベートネットワーク)製品の脆弱(ぜいじゃく)性を公開すると同時に、パッチ(修正プログラム)の適用を促した。同社によると、攻撃者はこの脆弱性を、“ある共通点”のあるユーザー企業を狙った攻撃に悪用していた。標的となったユーザー企業のVPNに共通する点とは何だったのか。 Check Pointが明かした「狙われるVPN」の共通点とは 併せて読みたいお薦め記事 VPN製品の脆弱性は要注意だ 最新の脆弱性だけじゃない FortinetのVPN製品に潜む「古い脅威」とは FortinetのVPN製品に「バッファオーバーフロー」の脆弱性 どう対処すべきか Check Pointが2024年
Amazon Web Services(AWS)の最高情報セキュリティ責任者(CISO)が自社について「セキュリティを最優先にしている企業」と改めて強調して注目を集めている。Amazonの文化にセキュリティが根付いている理由や生成AI時代の顧客保護ツールを紹介するなど、昨今の生成AIブームとセキュリティリスクの問題を踏まえた情報発信だ。 AWS head of security talks protecting customers and data amid generative AI(出典:Amazon Web ServicesのWebサイト) AWSは2024年6月11日(現地時間)、同社がセキュリティを最優先にしている企業であることを強調する記事を公開した。 記事ではAWSのCISOであるChris Betz氏が語ったAmazonの文化にセキュリティが深く根付いている理由や生成AIの
Visionalグループのアシュアードは、同社の展開するセキュリティ評価プラットフォーム「Assured」および脆弱性管理クラウド「yamory」の独自データを基に、2023年のセキュリティトピックを振り返る説明会を開催した。 国内と比べて、海外クラウドサービス事業者のセキュリティ対策が先行 Assuredは、ビズリーチなどを手掛けるVisionalグループが提供するクラウドサービスのリスク評価プラットフォーム。クラウドサービスに対する第三者のセキュリティ評価情報をプラットフォームとして一元化、ユーザー企業のクラウド導入の効率化を促進する。クラウドサービスの評価は主に、複数のガイドラインやフレームワークに基づく専門家による調査と、公開されているセキュリティの設定情報に対する定量評価からなる。 今回披露されたのは、2023年にAssuredがクラウドサービス事業者を評価したデータに基づくセキ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
パスワード不要のパスワード管理アプリを試す--「Dashlane」は使い勝手良し
ヌーラボでパスキーを導入したって言ってるけど、パスキーって何ですか? | 株式会社ヌーラボ(Nulab inc.)
CitrixBleedは消えない サイバー攻撃者に利用される悪質な脆弱性についてまとめた
パスワード管理の定番「1Password」がパスワードレス認証「パスキー」に対応
ガバメントクラウド利用基準の改定(後編)|高橋 広和/Hirokazu TAKAHASHI
Spring Securityで2要素認証 (2FA) を行う方法 - IK.AM
もはや人ごとではないクラウドサービス経由の情報漏えい 押さえるべき2つの対策ポイントとは?
10月公表のカスタマーサポート管理システムのセキュリティインシデントに関する最新情報と対策
はてな、「はてなID」のログインを安全性の高い「パスキー」と「多要素認証」に対応
過信は禁物 生成AIが書いたソースコードの約3割に脆弱性が見つかる
QRコードから不正サイト誘導、被害相次ぐ 「クイッシング」と呼ばれる手口も
川口 洋氏が提言、エンドポイントを守るために今すぐ“やめるべき”5つの習慣
パスキーの概要とKeycloakでの動作確認 - Qiita
テスト用AzureユーザーやMicrosoft 365ユーザーのパスワードを“無期限”にするには
xID、子育ての不安・悩みに答える電子書籍コンテンツが無料で読める『ちいさな子育て図書館』をメディアドゥと共同リリース
あなたの Azure リソースが狙われている - Qiita
Okta Identity Engineに最適化されたJamf Connectを構成する
JRA、70万人が使う競馬情報アプリの会員ID管理/認証基盤をOCI IAMで構築 | IT Leaders
アメリカ証券取引委員会がSNSで偽のビットコイン承認投稿をしたのは「SIMスワップ攻撃」によるハッキングが原因
IPA「情報セキュリティ10大脅威2024」解説|TOP10の脅威への適切な対策とは?
情報セキュリティ10大脅威に起きた“大きな変化”と“小さな変化” その狙いを考察
サイバーセキュリティの10大設定ミス、米国NSAとCISAが警告
AWS CLIを使用したS3操作入門 | DevelopersIO
なぜPINはパスワードより単純でも良いのか(初級編)
「セキュリティはAWSの最優先事項」--ゼロトラストなどの新施策
1960万以上のサービスアカウント情報が漏えいしている、Flareが窃取ログを分析
「狙われるVPN」の共通点とは? Check Pointが明かした攻撃の実態
「Amazonにはセキュリティ文化がある」 AWSがAI時代のクラウドセキュリティを改めて強調
国内クラウドサービスにセキュリティ対策の遅れ アシュアードが独自データから分析 (1/2)