思わずクリック「フィッシング詐欺」メールの巧妙
ここで、気がついたらすみやかに当該サービスのパスワードを変更する。類似のパスワードを使っているサイト、同じパスワードを使っているサイトがあれば、これらも変更する。 重要度の高いサイト、よく使うサイトはすべて変更するくらいでもよい。会社や組織ならば、おそらくインシデントとして報告しなければならないはずだ。 それでも気づかなかった場合は、おそらくカードの不正利用の連絡を受けたり、身に覚えのない支払い通知が届いたり、自分のアカウントにログインできなくなったり、実際の被害が発生してから気づくことになる。 ただし、ログインアカウントに2要素認証・多要素認証(2FA・MFA)を設定していれば、なりすましが試行された段階で、メールやSMSに通知が届く。 ここで「自分のログインでない」とログインを拒否できれば、自分へのなりすましやカードの不正利用を阻止できる。IDやパスワードは漏れているので、パスワードの
セキュリティと生産性を向上させる Microsoft Entra 「推奨設定 (レコメンデーション)」 の新規機能の紹介
こんにちは、Azure Identity サポート チームの 夏木 です。 本記事は、2024 年 4 月 2 日に米国の Microsoft Entra (Azure AD) Blog で公開された Introducing new and upcoming Entra Recommendations to enhance security and productivity の抄訳です。ご不明点等ございましたらサポート チームまでお問い合わせください。 テナント内の無数の設定やリソースを管理するのは時として困難です。 セキュリティ リスクが増大し、前例のない世界的な脅威が広がる時代において、企業/組織はセキュリティ体制を強化するために信頼できるガイダンスを求めています。そのため、弊社では Microsoft Entra レコメンデーション の機能を開発しました。これにより、テナントの状態を
2024年の展望:テクノロジーリーダーのための10大予測サイバーセキュリティとITの未来を予測する 当社は2023年の最重要トレンドを振り返り、それを基に2024年以降の予測を立てました。貴社で今後1年間の最重要戦略を策定し、優先事項を整理される際にお役立てください。 AIは昨年を特徴づけるトレンドでしたが、2024年も圧倒的影響力を持つことは間違いありません。AIは、業務効率をどう上げるか、攻撃者が社内の何を標的にするかなど、企業のあらゆる面に影響を与えるでしょう。また、斬新な形態のインターネット接続、コンプライアンスの複雑化、予算引き締めによるIT・セキュリティの大変化も予想されます。以下、サイバーセキュリティとITの未来予測トップ10をご紹介します。 1) Starlinkは国のインターネット政策を迂回する衛星経由で60か国以上にインターネットアクセスを提供するStarlinkは現在
安全なパスワードの設定・管理 企業・組織におけるパスワードは、ユーザ名と組み合わせることで企業・組織内の情報資産へのアクセスの可否を決める重要なものです。パスワードの重要性を再認識して、適切なパスワード管理を心がけましょう。 他人に自分のユーザアカウントを不正に利用されないようにするには、推測されにくい安全なパスワードを作成し、他人の目に触れないよう適切な方法で保管することが大切です。 安全なパスワードの設定 安全なパスワードとは、他人に推測されにくく、ツールなどの機械的な処理で割り出しにくいものを言います。 理想的には、ある程度長いランダムな英数字の並びが好ましいですが、覚えなければならないパスワードの場合は、英語でも日本語(ローマ字)でもよいので無関係な(文章にならない)複数の単語をつなげたり、その間に数字列を挟んだりしたものであれば、推測されにくく、覚えやすいパスワードを作ることがで
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 「QRフィッシング」に潜む危険性 QRコードの普及によるリスク 前回は、メールセキュリティを手掛けるVadeが確認した「QRフィッシング」の事例を紹介した。それは、「MicrosoftのMFA(多要素認証)を有効化が必要」という文面とともにQRコードを表示するフィッシングメールであり、スマートフォンなどでQRコードを読み取るとURLリンクが表示され、ユーザーがこれをタップすると「Microsoft 365」の偽のログインページが表示されるものであった。 メールによるQRフィッシングは、2023年5月に確認され、その後増加傾向にある。また、同年8月には米国の大手エネルギー企業を標的とする大規模なQRフィッシングのキャンペーンが観測されてい
Microsoft Authenticatorを使用したパスワードレス認証 Microsoft Authenticatorを使用したパスワードレス認証の動作は以下ビデオがわかりやすいです。 一般的な多要素認証は、 ID(メールアドレス)入力 パスワード入力 多要素入力(SMSやメールに送られるコードなど) という流れですが、 パスワードレス認証は、 ID(メールアドレス)入力 Microsoft Authenticatorでコード入力 という2ステップで終わります。 画面に表示されたコード(自分しか知らない) と、登録されたデバイス(自分しか持っていない) という2つの要件をクリアしているため多要素認証です。慣れさえすれば、メールやSMSを利用した多要素認証よりもはるかに楽で、認証強度が強いです。 認証を行う機材は会社支給かプライベート端末か さて、Microsoft Authentica
コーヘン氏は、昨今の攻撃者がサイバーやITの“つながり”部分に注目しているとし、「普段は意識しない法務・財務サービスや人事部門、MSSPなどアウトソーシングしている関連企業などを含め、継続的にモニタリングする必要がある」と指摘する。 「いずれかの部分に弱さがあり、一度でも侵入を許すことで攻撃者は認証情報を奪い、その後は"合法的なアクター"として入り込み、組織内で悪さをしてしまう」(コーヘン氏) 実際に発生したインシデントとして、コーヘン氏は2024年4月頃に発生したクラウドデータプラットフォームの「Snowflake」の事案を取り上げる。攻撃者グループはSnowflakeの情報を窃取したのち、このサービスを利用していた165社の企業が不正アクセスを受けている。その後スペインのサンタンデール銀行やチケットマスターといった大企業が次々と不正アクセスの被害を発表しているが、これらもSnowfla
ITセキュリティーに関連したホットトピックを取り上げ、動向や対策をひも解きます。今回はクラウドサービス上のシステムへのセキュリティー対策を解説します。 ※「日経コンピュータ」2023年3月2日号より、一部加筆の上、転載。 https://xtech.nikkei.com/atcl/nxt/mag/nc/18/012300337/021700002/ 日経BPの了承を得て転載/無断転載・複製を禁じます。 セキュリティーモデルが変化 昨今、導入に関わるリードタイムの短さやコスト削減などさまざまな理由から多くの企業がクラウドサービスを利用しています。総務省の情報通信白書令和4年版によると、クラウドサービスの利用企業は2017年の56.9%が2021年には70.4%と、約14ポイント増加しています。 クラウドサービスの活用が進むなか、企業のクラウドサービスの使い方も変化しています。これまでオンプレ
はじめに 今回はCloudFormationを用いて、AWS Cognitoを構築していきたいと思います。 AWS CognitoはAWSが提供するユーザー認証サービスです。 今回はCognitoを単体で構築し、利用できるところまでやっていきたいと思います。 目次 ・Cognitoの設定項目 ・CloudFormation作成 ・利用検証 ・最後に ・参考 Cognitoの設定項目 今回はEメールアドレスを利用したサインインでの実施を想定しています。 また多要素認証はAuthenticator アプリケーションで実施します アプリケーション統合のコールバックURL設定はhttps://www.yahoo.co.jp/にしております。 上記以外の項目についてはCloudFormationの設定をを見てご確認ください CloudFormation作成 Cognitoのユーザープールとそれに関係
Okta Japanは2024年10月17日、従業員向けアイデンティティー管理ソリューション「Okta Workforce Identity Cloud」の新機能を発表した。 近年、企業システムなどへの侵入の起点としてアイデンティティーを狙ったサイバー攻撃が流行している。ソーシャルエンジニアリング攻撃などで従業員のSaaSアカウントなどを窃取し、正規のユーザーとしてシステムに侵入するケースが確認されている。 Okta Workforce Identity Cloudに新機能 ID狙いの攻撃への防御力を強化 Okta Workforce Identity Cloudの新機能はこれらのサイバー攻撃への防御力を強化し、企業のアイデンティティーガバナンスを強固にする仕組みを提供する。主要な新機能は以下の通りだ。 Secure SaaS Service Accounts: 特権アクセス管理ソリューシ
Oktaは日立製作所(以下、日立)の従業員向けアイデンティティー管理ソリューション「Okta Workforce Identity Cloud」(以下、Okta WIC)の導入事例を公開した。 日立はグループ企業の従業員及びビジネスパートナーを含めて約48万のアイデンティティーを管理している。同社はこの認証基盤の最適化に向け、オンプレミスがメインだった第1世代、ハイブリッドクラウドメインの第2世代を経て、第3世代としてOkta WICを中心に据えたクラウドセントリックな認証基盤の構築を目指したという。 日立、クラウド中心の認証基盤の構築に向けてOkta WICを採用 日立はこれまで、ITインフラをクラウドリフトする過程で、多くのユーザー数を抱える基盤を一気にクラウド化することにより、想定外の負荷を原因としたキャパシティー不足及び、規模が原因で発生する運用課題へのベンダー側の対応経験不足とい
Google Cloud Next Tokyo '24 速報レポート(ガバメントクラウドにおけるガバナンスとプラットフォームエンジニアリング) - G-gen Tech Blog
G-gen の武井です。当記事では、Google Cloud Next Tokyo '24「ガバメントクラウドにおけるガバナンスとプラットフォームエンジニアリング」に関する速報レポートをお届けします。 セッションレポートなど、Google Cloud Next Tokyo '24 の関連記事は Google Cloud Next Tokyo '24 の記事一覧からご覧いただけます。 概要 前提知識 ガバメントクラウド GCAS 全体像 ガバナンス ゼロトラストセキュリティ ガードレールと予防的統制 発見的統制 プラットフォームエンジニアリング 関連記事 概要 本セッションでは、デジタル庁様のガバメントクラウドにおけるガバナンスとプラットフォームエンジニアリングについて、デジタル庁クラウドユニットの高島 涼 氏、本間 裕大 氏より紹介されました。 前提知識 ガバメントクラウド ガバメントクラ
システム障害に関する調査結果のお知らせ 2024.08.02 平素より格別のご高配を賜り、厚く御礼申し上げます。 当社のシステム障害の影響により、皆さまには多大なるご不便、ご迷惑をおかけいたしましたことを深くお詫び申し上げます。このたび、停止しておりましたシステムおよびネットワークを 8月 1日より再開いたしましたことをお知らせいたします。再開のご連絡と併せまして、外部専門会社によるフォレンジック調査で判明した内容および実施した対策につきましてお知らせいたします。 1.調査結果について フォレンジック調査の結果、 5月 10日に発生した当社のシステム障害は、第三者の不正アクセスによるものであることが明らかになりました。調査において、攻撃者は外部(インターネット)と接続しているファイアウォールからリモートデスクトップ(RDP)接続によって当社のサーバに侵入し、ランサムウェアを実行したことが確
Cohesity Japanは2024年データセキュリティおよびデータ管理に関する調査を発表した。同調査は、対象企業のサイバーレジリエンスの成熟度やランサムウェアの身代金対応について踏み込んだ質問を聞いている。 Cohesity Japanは2024年7月30日、2024年データセキュリティおよびデータ管理に関する調査結果について記者発表会を開催した。 同調査は、Cohesityが調査会社Censuswideに委託し、2024年6月27日~7月18日に実施された。調査は日本のITおよびセキュリティ分野の意思決定者301人を対象にしており、回答者が自社の業務を最もよく表す業種として選んだ上位4業種は、IT・通信と金融サービス(保険会社を含む)、製造、病院・ヘルスケアだ。 調査から見えた企業のランサムウェア対策における深刻な矛盾 この調査では、対象企業のサイバーレジリエンスの成熟度を図るととも
260億件の流出したデータ確認、ブラウザでパスワード流出を確認する方法(2024年6月6日)|BIGLOBEニュース
ESETは6月3日(現地時間)、「The murky world of password leaks – and how to check if you’ve been hit」において、パスワードの流出について、確認する方法や防衛策について伝えた。 ○約260億件の漏洩データを確認 ESETは最近、LinkedInやX(旧Twitter)などのオンラインサービスから流出したとみられる膨大な漏洩データの報告書を確認したという。このデータにはログイン資格情報や機密情報が含まれ、約260億件のレコードが存在したと報告されている。260億件という世界人口を上回る膨大な件数は、これまでに報告された漏洩データの件数を上回るとされる。 このようにユーザーの知らない所で認証情報や機密情報は日々流出しており、被害を軽減するために流出を確認することは重要とされる。ESETは流出の有無を手軽に確認する方法とし
Zabbix 7.0 インストールと管理画面のSSL設定メモ
2024年6月4日 Zabbix 7.0 がリリース されました。約2年4ヶ月ぶりのメジャーバージョンアップです。Zabbix 7.0 は、長期サポート(LTS)リリースのためサポート期間が5年と長いのが特徴です。Zabbix 7.0 では、ブラウザベースのシナリオ監視、Zabbixプロキシの冗長化と負荷分散、多要素認証など魅力的な機能がたくさん追加されています。そこで今回は、Zabbix 7.0 インストール手順と、Zabbix管理画面(フロントエンド)の SSL設定手順をまとめてみました。 Zabbix 7.0 の新機能と変更点 Zabbix 7.0 の新機能や変更点は以下の公式ドキュメントをご参照ください。 What's new in Zabbix 7.0 5 What's new in Zabbix 7.0.0 | Zabbix Documentation 7.0 Zabbix 7
RAGやナレッジ検索アプローチの進化 生成AIによる情報検索精度が大幅アップ | AMP[アンプ] - ビジネスインスピレーションメディア
生成AIの検索アプローチ、従来の「RAG」 企業での生成AI活用においては、企業独自の文脈に沿った回答を生成させることが求められる。これには、大きく2つのアプローチがある。RAG(Retrieval Augmented Generation)とファインチューニングだ。後者は若干手間のかかるアプローチである一方、より少ないリソース/ステップで、企業独自の情報を活用できるとしてRAGアプローチを採用するケースが非常に多い。 RAGとは、大規模言語モデル(LLM)による生成と、外部情報ソースを組み合わせるアプローチ。LLMが有していない企業独自の情報をモデルに与え、企業の文脈に沿った回答を生成させることが可能となる。 RAGアプローチの中核となるのが、Similarity Search(類似性検索)だ。これは、テキストデータを数値ベクトルに変換し、類似性に基づいて検索を行う手法。ユーザーの質問や
![RAGやナレッジ検索アプローチの進化 生成AIによる情報検索精度が大幅アップ | AMP[アンプ] - ビジネスインスピレーションメディア](https://cdn-ak-scissors.b.st-hatena.com/image/square/e7f2290958d0fabb90e945b93825246b1c81594d/height=288;version=1;width=512/https%3A%2F%2Fampmedia.jp%2Fwp-content%2Fuploads%2F2024%2F07%2Fshutterstock_2453842259.jpg)
" data-layout="button_count" data-action="like" data-size="small" data-show-faces="true" data-share="true"> エムロジックのたじまです。 このたび縁あって(?)こちらで書かせていただくことになりました! こちらではエンジニアから見た最近の Movable Type について書いていこうと思います! Movable Type 8 出ましたが 早速ですが、先日Movable Type 8 がリリースされました。 主な新機能・改善点として 共有プレビュー機能 新しいブロックエディタ機能 管理画面の多要素認証機能 ライセンス確認画面 …などなどありますが、こういった部分は今後紹介されていくことを期待しつつ、まずは「プラグインの互換性」について書いておこうと思います。 ウェブディレクターさんやフ
2/25(日) 09:00 - 21:00 に開催された防衛省サイバーコンテストに出てきたので、自分が解いた問題のWriteupを残しておきます。問題数も多いので簡単に。 結果は370pts獲得で、21位でした。 Crypto Information of Certificate (10pts) 証明書ファイルのCNを答える問題。Windowsの証明書ビューアーで中身を確認する。 Missing IV (10pts) AES-CBC 128bitsで暗号化されたファイルと暗号鍵が渡される。IVがわからない。 AES CBCは鍵があったとしても、IVがないと最初のブロックが復号できないが、2番目のブロックからは復号できるので、最初のブロック(128bit = 16bytes)以外は復号できる。 復号すると最初の16bytesがないZIPファイルが出てくるので、ZIPのファイルヘッダを調べて適
2. Snowflake からのデータ漏洩によるさまざまな企業への影響 前編 ~ 米国司法省の LockBitSupp に対する起訴 ~ は こちら 2-1. エグゼクティブ サマリー 項目 内容 Who(誰が) UNC5537(Mandiant 社による命名) When(いつ) 2024 年 4 月 14 日以降、Snowflake 社に顧客情報窃取の為のアクセスが行われた Where(どこで) Snowflake 社の DB What(何を) Snowflake 社の DB 内にある資格情報などのデータ Why(なぜ) Snowflake を利用している顧客へのランサム攻撃に使用するためと思われる How(どのように) 過去(古くは 2020 年 11 月)の Snowflake 社への接続の認証情報侵害を利用し、2024 年 04 月から認証情報を悪用してシステムに侵入・Snowfl
RADIUSプロトコルには、Message-Authenticator属性が設定されていない場合、攻撃者によって認証レスポンスを偽造される可能性があります。 RADIUSプロトコルのパケットが送信されているネットワークにアクセスできる攻撃者は、UDPベースのRADIUSレスポンスパケットを偽造することで、RADIUSクライアントとサーバー間の共有秘密鍵を知らなくても、RejectをAcceptにすることが可能です。この問題は、RADIUSサーバーからの認証レスポンスを検証する際の暗号的に安全でない整合性チェックに起因します。 RFC 3579で規定されているEAP(Extensible Authentication Protocol)を実行するRADIUSサーバーは、Message-Authenticator属性を必要とするので影響を受けません。また、TLS(またはDTLS)暗号化を使用す
タレスジャパンは2024年8月1日、2024年度の「クラウドセキュリティ調査」の日本語版を公開した。この年次レポートは、18カ国37の業界における約3000人のITおよびセキュリティ専門家を対象に実施された調査を基にクラウドセキュリティの実態やトレンド、新たなリスクについての洞察がまとめられている。 ここだけは押さえておきたいクラウドデータ侵害の主な原因とは? 主な調査結果は以下の通りだ。 クラウドセキュリティへの支出が他の全てのセキュリティ支出カテゴリーを上回った クラウドに保存される企業データの約半数(世界:47%、日本:46%)が機密情報だった 世界の44%、日本の38%の組織がクラウドデータの侵害を経験しており、過去1年間では14%(日本:14%)の組織が経験している 世界の企業の約半数(世界:51%、日本:46%)が「クラウドのコンプライアンスとプライバシー管理はオンプレミスより
この記事について 主に 認証と権限 開発ツール についてChatGPT4による要約結果のコピペです。 社内の新規利用者向けに権限認証まわりの説明資料を作ろうと要約しました。要約を読んでみて自分用備忘録にもしたくなり記事にしました。 説明(要約)に重複個所がありますがご容赦ください。 検索 目的 今までAWSリソース構築の初任者に対してコンソール/CLI/SAMの使い方だけ説明してましたが、(意識含めて)安全に使うためにユーザー/権限/認証の仕組みを知ってもらいたく用語の整理をしました。 主な用語 サービスとリソース RoleとPolicy セキュリティ認証情報 user タイプ IAM user認証情報 AWS IAM Identity Center user認証情報 自分たちが使う開発ツール 調査日/エンジン 2024.1.13 ChatGPT4 サービスとリソース サービスは AWS
Microsoft Authenticator、怪しいログイン要求で通知のポップアップを抑制 | スラド セキュリティ
headless 曰く、Microsoft では Microsoft Authenticator に対するパスワードレスおよび多要素認証 (MFA) リクエストについて、怪しいリクエストの場合に通知のポップアップを抑制する機能のロールアウトを 9 月末までに完了したそうだ (Microsoft Entra (Azure AD) Blog の記事、 Neowin の記事、 Ghacks の記事)。 これにより 600 万件以上の怪しい通知が防がれており、その大半はハッカーによるもので、顧客にとって価値のないものだったという。これにより、大量の MFA 通知でユーザーが誤ってリクエストを承認することを狙った MFA 疲れ攻撃を阻止したとのこと。 さらに現在では、いつもと違う場所やその他の異変を示す要素を含むなど潜在的リスクのあるリクエストの通知表示抑制も開始しているそうだ。通知表示が抑制されて
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます アシュアードは12月13日、同社が運営するセキュリティ関連サービス「Assured」と「yamory」で得た情報を踏まえた2023年のセキュリティ動向に関するプレス向け説明会を開催した。 2023年「SaaS」に関するセキュリティトピック Assuredのサービス概要を説明した代表取締役社長の大森厚志氏は「SaaSやクラウドサービスの第三者評価プラットフォーム」だとし、「Assuredを見ていただければ(SaaSやクラウドの)製品の安全性が分かる。どれを使うべきであってどれは避けた方が良いのかが速やかに分かり、かつクラウドサービスの状況の変遷というものがリアルタイムに分かってくる。そうした安心/安全なクラウドサービス活用を推進するような
RPGダンジョンライクに要件定義を例えながらWhy-What-Howをつなげる方法を説明してみた - Goodpatch Tech Blog
こんにちは。テックディレクター&エンジニアの池澤です。この記事はGoodpatch Advent Calendar 2023の19日目の記事です。 要件定義で、機能の一覧はできたけど具体的に何を開発すれば良いのか分からないことはありませんか。 各機能についてWhy-What-Howの関係が見通せて簡単に確認できると、開発やUI設計が理解しやすく実装もスムーズに進められると思います。 この記事ではRPGゲームの例えを使いつつ「機能ユースケース」や「UIスペック」を元に、機能の要件定義をやりやすくする方法についてお話したいと思います。 機能の要件定義でよくある問題 期待される機能の要件定義の姿 RPGゲームとしてビジネスと機能を捉えてみる ゲームシナリオ クエスト ダンジョン ギミック Why・What・Howで軸となる項目について Whyについて 業務ユースケースのテンプレート 業務ユースケ
はじめに 最も一般的な認証方式として利用されてきたパスワードには、実は、セキュリティリスクや管理の負担、ユーザエクスペリエンスの低下など様々なデメリットが潜んでいます。そこで本記事では、近年注目されている「パスワードを使わない・持たない」=「パスワードレス」について、その必要性や実現方法、「真のパスワードレス」が指す意味まで一気に解説していきます。 パスワードレスとは?パスワードを持つことによるIDのセキュリティリスク 「パスワードレス」とは? 「パスワードレス」とは、その名の通り、「パスワードを使わない」認証や「パスワードを持たない」ことを指します。では、なぜ近年この「パスワードレス」が注目されているのでしょうか。 ここではまず、「パスワードを持つ」ことによるデメリットを解説します。 パスワードを持つことによるデメリットとは? 「パスワードを持つ」ことによるデメリットは、大きく2点ありま
こんにちは、Azure & Identity サポート チームです。 今回は、最近お問い合わせをよくいただく「Microsoft マネージド条件付きアクセス ポリシー」についてです。Microsoft マネージド条件付きアクセス ポリシーについて、概要とよくいただくご質問を Q&A 形式でおまとめいたしました。既存のドキュメントではカバーされていない動作や質問について今後も適宜内容を拡充していきますので、ご参照いただければと思います。 2020 年に Microsoft Entra ID は「セキュリティの既定値群」の機能を導入し、お客様に無料で多要素認証を提供することでお客様のセキュリティ強化に取り組んできました。そしてこの度、更なるセキュリティ向上のための継続的な取り組みとして、2023 年 11 月から 12 月後半にかけて、「Microsoft マネージド 条件付きアクセス ポリシ
2024年7月17日(現地時間)に発表した最新の「Threat Horizons Report」において、Google Cloudは「2024年の上半期におけるネットワーク侵入4件のうち3件は、クラウドシステム全体に関する脆弱(ぜいじゃく)な認証情報と設定ミスが原因だった」と述べた(注1)。 クラウド狙いのサイバー攻撃の約半数が認証情報の問題に起因 Google Cloudによると、認証情報が脆弱なシステムまたは認証情報が存在しないシステムが攻撃の初期アクセス経路として最も多く、2024年の上半期におけるクラウド環境への攻撃の47%を占めた。これは、2023年後半の51%からわずかに減少している(注2)。 2024年の上半期に起こったクラウド環境に対する攻撃のうち初期アクセスの30%は、クラウドの設定ミスに起因している。これは2023年後半の17%から大幅に増加している。 認証情報管理の脆
社内向けの公式SNS運用ガイドラインを一から作成した話
皆さんの会社で、このようなこと起こっていませんか? 新サービスのSNSが立ち上がったが、運用が担当者に任せっきりになっている 運用中のSNSアカウントでの返信やリアクションが許可されているか決まっていない 運用中のSNSアカウントが炎上した際、どのように対応するかイメージできていない MICINでは、そのような様々なSNS運用についての基本的な考え方やルールをまとめた公式SNS運用ガイドラインを2024年7月に作成し、制定しました。 この記事では、MICINが社内向けの公式SNS運用のガイドラインを作成した経緯や、作成のプロセスについて解説し、実際に作成したガイドラインの内容をほぼそのまま公開します。SNS運用の管理や統制でお困りの広報担当や情報システム・セキュリティ担当の方々にとって少しでも参考になればと思います。 ガイドライン作成の経緯 近年、企業SNSアカウントに対する乗っ取り被害が
2023年10月27日、クリエーションライン株式会社は「Actionable Insights Day 2023」を開催した。特別講演では、クリエーションラインが開発を支援する株式会社ヨドバシカメラによる、APIを軸にしたIT戦略と、そのアーキテクチャについての解説が行われた。本記事では、セッションの模様をレポートする。 ⚫︎クリエーションライン株式会社の特別講演についてはコチラ https://thinkit.co.jp/article/22595 APIを介して繋がるヨドバシのエコシステム セッションの冒頭では、株式会社ヨドバシカメラ 代表取締役社長 藤沢 和則氏より、ヨドバシカメラのビジネスの現状と、目指す世界について説明があった。 ヨドバシカメラのビジネスにおけるネット通販の売上は、今や総売上の3割を占めている。その比率は毎年上がっており、今後は5割を目指しているという。店頭でのビ
2024年1月11日(現地時間)、GitLabはGitLab Community Edition(CE)およびEnterprise Edition(EE)向けのセキュリティリリースに関する情報を公開しました。修正された脆弱性の内、パスワードリセット機能における脆弱性(CVE-2023-7028)が悪用された場合、任意のユーザーアカウントのパスワードが第三者によりリセットされ、多要素認証を有効にしていない環境ではアカウントの乗っ取りに繋がる可能性があります。なお、同脆弱性の実証コード(PoC)と見られる情報が既に公開されています。 影響を受けるバージョンを利用している場合は、GitLabが提供する情報を参考に、対策や調査を実施いただくことを推奨します。脆弱性を悪用する攻撃の被害を受けた可能性があるかどうかログを調査する方法がGitLabから公開されています。 Gitlab GitLab Cr
もし、iPhone、iPad、またはMacを集中して使っているときに、突然ポップアップ通知が表示され、Apple ID のパスワードをリセットするよう求められたら、誰でも心配になるでしょう。しかし、実際にこれが起こっているのです。 もしあなたにそれが届いたら、慎重に行動する必要がありますが、パニックに陥る必要はありません。 Apple ID パスワードリセット攻撃の裏側セキュリティ専門家であるKrebs on Securityによると、悪意のある人物が、Appleユーザーに対して「パスワードリセットのリクエストをスパムすることで攻撃している」とのこと。 これらのポップアップは、「許可する」または「許可しない」のオプションで閉じたり操作しない限り、消えません。 つまり、デバイスを使用し続けるためには、常に「許可しない」をタップし続ける必要があります。 これらのポップアップ自体には必ずしも悪意
オンライン上のあなたの行動はすべて追跡されている。分散型VPNは、私たちのプライバシーをよりよく守ることができます。全てのオンライン活動は痕跡を残します。日常的なブラウジング、クリック、電子決済、通話やメッセージング、さらにはポケットに入れたスマホを持って街を歩くことまで、ますます高度な方法で追跡されています。それでは、オンラインでのプライバシーと匿名性はどのようにして可能なのでしょうか? 今日のインターネットトラッキング 大規模なデータ収集 2018年、英国のコンサルティング会社ケンブリッジ・アナリティカが8700万人のFacebookユーザーデータを収集しました。このデータは分析され、プロファイル化され、ターゲット広告や政治キャンペーンのコンサルティングに使用されました。このデータ収集は、ユーザーに報酬を支払うアプリを通じて行われ、ケンブリッジ・アナリティカによって支払われたデータ科学
2/25に12時間というちょうどよい競技時間で開催された。21時終了だったけれども、17時45分ごろに最速で全完して2位。途中でヒントを開くために2ポイントを使ってしまい*1*2*3、ノーヒント勢に抜かれてしまわないか最後までヒヤヒヤしつつスコアボードを見守っていた。そして終了直前の20時45分ごろに抜かれてしまい、後悔の念に駆られる。 ただ、第1回は1位、第2回は3位、第3回は6位*4と来ていい加減にリベンジを果たしたかったので嬉しい。前回は飛行機の中からの参加であったためまったく余裕がなく、ろくにメモも取っていなかったのでwriteupを書けなかったけれども、今回はメモを取りつつやっていたので書いていきたい。とはいえ、そこまで詳細にメモは取っていなかったし、問題数も多いため簡易的なwriteupとなることを容赦いただきたい。 [Welcome 10] Welcome! (313 sol
セキュリティを高める!AWS WAFのカスタム設定活用法
目次[非表示] 1.はじめに 2.カスタム設定の基本 2.1.リクエストコンポーネント 2.2.一致ルール(抜粋) 3.正規表現で特定のエンドポイントを守る 3.1.ユースケース:人事専用ページのみIP制限をかける 3.1.1.実装例 4.カスタムヘッダーを使ってネットワーク別にアクセスをコントロール 4.1.ユースケース:内部システムと外部パートナーのアクセス管理 4.1.1.実装例 5.リファラー(Referer)チェックで限定コンテンツを保護 5.1.ユースケース:限定キャンペーンの不正利用防止 5.1.1.実装例 6.ファイルアップロードの制御 6.1.ユースケース:サイズ制限によるDDoS攻撃対策 6.1.1.実装例 7.おわりに 8.お悩みご相談ください 9.参考記事 はじめにこんにちは。株式会社divxのエンジニア、龍満です。 今回のテーマはAWS WAFです。 みなさんはA
関連キーワード シャドーIT | セキュリティ | セキュリティリスク ランサムウェア(身代金要求型マルウェア)をはじめとした攻撃が後を絶たない状況下で、攻撃を招きかねない「シャドーIT」(IT部門が関与しないIT活用)に関する注意がこれまで以上に重要になっている。「会社から支給されるツールが使いにくい」といった理由から生じるシャドーITを防ぐことは簡単ではないが、セキュリティの観点からシャドーITを決して許してはいけない。それはなぜなのか。シャドーITの「7つの危険性」を見てみよう。 「シャドーIT」を許してはいけない7つの理由 併せて読みたいお薦め記事 シャドーITはなぜ危険なのか 「シャドーIT」のリスクは“セキュリティだけ”だと考えていないか? データ活用に本気の企業ほど「シャドーIT」を放置してはいけない理由 1.システムへの侵入 シャドーITを原因に攻撃者が組織のシステムに侵入
こんにちは。情シスの @kaze3desu です。 このたびROUTE06では、ゼロトラストセキュリティの実現に向けて、Jamf Connectを導入しました。 Jamf Connectの導入を検討している方向けに、ポイントをまとめました。 Jamf Connectとは Jamf Connectは、Appleデバイス向けに特化したツールで、IdP(アイデンティティプロバイダー)との連携を実現します。 Jamf Connectを使用することで、ユーザーはOktaなどのIdPを通じてMacにサインインでき、セキュリティと利便性が向上します。また、Jamf ProやJamf Protectとの連携により、デバイス管理やセキュリティポリシーの適用がスムーズに行われます。 このように、Appleデバイスを多く使用する企業にとって、ゼロトラストセキュリティの実現に大きく貢献するツールです。 Jamf
今回の話は、筆者の妻が「Google」のパスワードを更新したことから始まる。パスワードが流出した可能性があるという警告が妻の「iPhone」に表示されたのだ。 念のため言っておくと、私たちは多要素認証を使用している。そのため、パスワードが流出しただけでアカウントが危険にさらされることはおそらくないはずだが、適度な警戒心を持っている妻は、Googleのパスワードをすぐに変更した。 それから数時間をかけて、妻はさまざまなサービスにログインし直していった。順調に進んでいたが、「Gmail」だけがうまくいかなかった。私たちはそれぞれ個人用のGmailアカウントをメインのメールアドレスとして使用しているが、会社のビジネスメールは「Google Workspace」の「Enterprise」アカウントを通して送信される。 突然、妻のビジネスメールが相手に届かずに戻ってくるようになった。筆者のビジネスメ
コンピュータとサービスにおける認証とは コンピュータ上のサービスやインターネットなどのネットワークサービスを提供するときに不可欠なものが「認証」です。認証は、一人ひとりのユーザを認識・特定し、一人ひとりのユーザに応じたサービスやデータを提供するためのものです。 認証は、ユーザを識別するための情報と、ユーザであることを確認するための情報を組み合わせることで行われます。つまりIDとパスワードです。ユーザの識別情報であるIDと、そのIDを持つ本人だけが知り得る情報であるパスワードをシステムに入力することで認証が行われます。 システム側では、誰にIDを発行し、そのIDにどのような権限を与えたかを管理し、認証が正常に行われれば、管理している情報に基づいてユーザに権限を与えます。ユーザごとに異なる権限を管理し、権限を超えた操作などは行えないようにすること、いわゆるアクセス制御もシステムの重要な役割です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
theNET|2024年の展望:テクノロジーリーダーのための10大予測
総務省 | 安全なパスワードの設定・管理 | 国民のためのサイバーセキュリティサイト
増加するQRコードを悪用したフィッシング--さらなる手法と対策
社内をパスワードレスにするため頑張った話(後編) - Qiita
サプライチェーンリスクに備えよ 脅威監視のプロ企業が語る推奨策
クラウドセキュリティーの4課題|オンプレミスと異なる「守り方」
AWS CloudFormationでCognitoを構築してみる - Qiita
Okta、Workforce Identity Cloudに複数の新機能を提供 従業員アカウント保護を強化
日立は“フルクラウド”の認証基盤構築に向けて、Okta WICをどう活用したのか?
システム障害に関する調査結果のお知らせ|お知らせ|巴商会
ランサムウェア身代金「支払う」が8割 実態調査で見えた“深刻な矛盾”
MT8でプラグインが動かないときに試してほしいこと | 3rd Focus
防衛省サイバーコンテスト2024 Writeup - Tahoo!!
2024 年 5~6 月の脅威動向と代表的な攻撃(後編)
JVNVU#99565539: RADIUSプロトコルにおける認証レスポンスを偽造可能な問題
クラウドデータ侵害の主な原因は何か? タレスがグローバル調査を発表
ChatGPT4にAWS用語の意味を要約させた - Qiita
2023年の「SaaS」「脆弱性」に関するセキュリティ振り返り--アシュアード
今さら聞けないパスワードレスとは?セキュリティにおける重要性と
Microsoft マネージド条件付きアクセス ポリシー
サイバー攻撃の初期アクセス経路の約半数は脆弱な認証情報を狙っている
ヨドバシAPIのアーキテクチャが目指すものとは?〜APIエコノミー、ゼロトラスト、開発生産性向上への取り組み
GitLabのパスワードリセット機能における脆弱性(CVE-2023-7028)について
Appleデバイスの「パスワードをリセット」通知にご用心。アカウント乗っ取りを防ぐには? | ライフハッカー・ジャパン
誰が、どういった理由であなたのインターネット活動を追跡しているのでしょうか? - Qiita
防衛省サイバーコンテスト 2024 writeup - st98 の日記帳 - コピー
公認ツールが不評でも「シャドーIT」を許してはいけない“7つの理由”
ROUTE06 で Jamf Connect を導入しました - ROUTE06 Tech Blog
Gmailのトラブルシューティングに「Bard」を活用--記者の実例を紹介
認証方式の種類を比較!それぞれの仕組みや選び方を解説|パナソニックEWネットワークス株式会社|Panasonic