私はプロではないのでわからないので、間違っているのは当たり前だと思って読んでください。 個々人のエンジニアの能力がとかクレジットカードがとかは基本関係ないという話です。 (関係なくてもパスワードを使い回している場合は、同じパスワードを使っているサービスのパスワードはすぐ変えるの推奨) 三行VPN→プライベートクラウドの管理システムとオンプレ認証→各システムと言う流れで侵入されていると思われるオンプレのディレクトリサービスとクラウドのidMが接続され、オンプレの認証資格でSaaSは一部やられた可能性がある現在クラウドにリフトアップ中で、新システムはモダンな対策された方法で保護されており無事だった。が、それ故にオンプレへの対策が後手だったのでは会社のシステムはどうなってるか私は長年社内システムの奴隷をやって参りました。現在のクラウドになる前のサーバも触って参りましたので、その辺りからお話しをさ
今回は、SSH接続を劇的に高速化する方法をご紹介します。たった3行の設定を追加するだけで、接続時間を10分の1に短縮できます。しかも、2回目以降の接続では認証も自動的に行われるので、パスワードやパスフレーズの入力も不要になります。 要点 .ssh/configファイルのHost *セクションに以下の3行を追加するだけです。 詳しい説明 1. ControlMaster auto この設定で、1つのSSH接続で複数のセッションを共有できるようになります。新しくSSH接続を確立するたびに認証情報を入力し直す手間が省けて、接続がぐっと速くなります。具体的には: 初回の接続時のみ認証が必要 2回目以降は既存の接続を再利用するため、認証プロセスをスキップ パスワードやパスフレーズの入力が不要になり、接続がほぼ瞬時に完了 2. ControlPath ~/.ssh/mux-%r@%h:%p Contr
システム障害の渦中にあるKADOKAWAは28日、ランサムウェア攻撃による情報漏洩(ろうえい)が確認されたとし、同社サイトに「お知らせとお詫び」書面を掲載した。これを受け、ニコニコ公式は「念のため、ニコニコアカウントと同じパスワードを他サービスでもお使いの場合は、パスワードを変更することを推奨いたします」と注意喚起した。 【写真】その他の写真を見る KADOKAWAの書面では「当社グループでは、データセンター内のサーバーがランサムウェアを含む大規模なサイバー攻撃を受けた事案が発覚した後、直ちに対策本部を立ち上げ、外部専門機関などの支援を受けながら、情報漏洩の可能性について調査を開始しており、現在も継続中です」と説明。そして「その最中、当該ランサムウェア攻撃を行ったとする組織が、当社グループが保有する情報を流出させたと主張しています。当社グループは、当該組織の主張内容の信憑性について現在確認
こんにちは!イーゴリです。 AWS にとって、クラウドのセキュリティは最優先事項です。(AWS公式ページ) AWS環境のセキュリティ対策としてAWSサービスを解説するよりも、まずはAWS環境の最適な設計について考える必要があります。AWS Well-Architected Frameworkを考慮しながらの設計を推奨します。AWS Well-Architected Frameworkを全部詳しく読むことをおすすめしますが、この記事では個人的に一番重要だと思う点について記載します。 とてもざっくり説明しますと、AWS Well-Architected Frameworkとは、クラウドシステムの最適な設計方法を提供するAWSのガイドラインで、6つの柱があります。この記事では基本的に「セキュリティ」の柱を技術的観点から見てみたいと思います。 AWS Well-Architected Framew
2024年6月21日にデジタル庁からデジタル認証アプリの発表がありました。 このデジタル認証アプリで何ができるのか、ざっくり整理してみました。 この記事で対象としている方 デジタル認証アプリの概要についてざっくり理解したい方 デジタル認証アプリについて今北産業してほしい方 この記事では技術的な話はなるべく避け、全体像を整理していきます。 技術的な話を理解したい方は、参考リンクより他の方が書かれた記事を参照してみてください。 「デジタル認証アプリ」はどんなものか? 「デジタル認証アプリ」は、マイナンバーカードを使った認証や署名を、安全に・簡単にするための、デジタル庁が提供するアプリです。 (デジタル認証アプリサービスサイトより引用) デジタル認証アプリは、デジタル庁が提供するデジタル認証アプリサービスAPIと組み合わせて1つのサービス(デジタル認証アプリサービス)を構成しています。デジタル認
AWSで”最小権限の原則”を実現するための考え方 /20240722-ssmjp-aws-least-privilege
ssmonline #43 での発表資料です。 (運用設計ラボ合同会社 波田野裕一)
OAuthの仕組みを説明してHonoで実装してみる
はじめに はじめまして!レバテック開発部でレバテックプラットフォーム開発チームに所属している塚原です。 直近に認証・認可周りの改修を予定しているため、チーム内で認証・認可の基礎からOAuth・OpenID Connectの仕組みを学ぶ勉強会を実施しました。今回はそこで学んだことのうち、認証・認可の基礎とOAuthの仕組みをまとめます。また、WebフレームワークとしてHono、JavaScriptランタイムとしてBunを使って、OAuthクライアントを実装してみます。 対象読者 認証と認可の違いってなんだっけ...?という人 Basic認証やDigest認証てなんだっけ...?という人 OAuthはライブラリ使って実装してるから仕組みよくわかっていない...という人 OAuthのクライアントの実装って何をすればいいんだっけ...?という人 認証・認可の基礎 2024/7/18 追記 こちらで
ムーザルちゃんねるのムーです。今回は zaru さんと、Next.js のセキュリティについて話しました。 セキュリティについては様々あると思いますが、今回は以下の3点をピックアップして話しました。 Client Components の Props から露出する Server Actions の引数に注意 認証チェックをやってはいけない場所、やって良い場所 これらは、Next.js 入門者がうっかりとやってしまうリスクがあるものです。 このような罠は、アプリケーション自体は正常に動くので、知らないうちにはまってしまいますし、自力で気づくのも難しいものです。もしも知らないものがあれば、ぜひご確認ください。 楽しくて、安全な Next.js 生活をお送りください! Client Components の Props から露出する これは、シンプルで当たり前といえば当たり前ですが、Client
メッセージングサービスのTwilioが、同社が所有する2段階認証アプリ「Authy」のユーザーの携帯電話番号がサイバー犯罪者によって盗まれたと発表しました。この発表は、サイバー犯罪者が3300万件の電話番号を盗んだと主張した1週間後に行われました。 Security Alert: Update to the Authy Android (v25.1.0) and iOS App (v26.1.0) | Twilio https://www.twilio.com/en-us/changelog/Security_Alert_Authy_App_Android_iOS Twilio says hackers identified cell phone numbers of two-factor app Authy users | TechCrunch https://techcrunch.co
「なんでアクセストークンがいるの?パスワードを保存すれば良いのではないの?」というパワーワードを聞いたので説明してみる
ID本の読者の一人から、「なんでアクセストークンがいるの?パスワードを保存すれば良いのではないの?」というパワーワードを聞いた。そうか、そういえば、そういうベーシックなことを説明していなかったな。というわけで、改定の機会があったら加筆するとして、とりあえずブログにしておきます。 OAuthと2つのトークン OAuthの登場者には、 保護対象リソース (Protected Resource):アクセス制御がされるべきリソース リソース管理者 (Resource Owner) :保護対象リソースに対するアクセスを決定することができる人または組織 認可サーバ (Authorization Server):リソース管理者の指示に従って、クライアントにトークン(切符)を発行するソフトウェア クライアント (Client):リソース管理者の許可のもとに保護対象リソースにアクセスして何らかの処理を行うソ
アメリカのTwilioは、同社が開発した2段階認証アプリの「Authy」より、顧客の電話番号などのデータが流出したと発表しました。TechCrunchの報道では、今回の被害によっておよそ3300万件の電話番号が漏洩したと報じられています。 同社はブログ記事で、「認証されていないエンドポイントにより、電話番号を含むAuthyアカウントに関連するデータが脅威アクターによって特定された」と説明しています。 犯行に及んだとするのは「ShinyHunters」というサイバー犯罪者(または犯罪者集団)で、ハッキングフォーラムにてTwilioをハッキングし、データを入手したと書き込んでいるようです。 Twilio社は対策として、このエンドポイントを保護し、認証されていないリクエストを許可しないようにしたとのこと。この変更を適用するため、iOSとAndroid版アプリを最新版に更新するよう呼びかけています
自作protocプラグインで実現するスキーマベースの認可処理 - enechain Tech Blog
はじめに なぜprotobufに認可設定を組み込もうと思ったのか? 前提知識 protobufのプラグインの仕組み protocコマンドのインターフェース 実装 今回のお題 プラグインの開発 拡張プラグインの実行 生成したmapを使った認可処理 最後に はじめに こんにちは、enechainのApplication Platform Deskでエンジニアをしているendoです。 Application Platform Deskは、全プロダクトが横断で抱える課題を解決するチームです。 ※「開発者体験の向上を目指す」という意味ではPlatform Engineeringチームと近い位置づけですが、もう少しアプリケーション開発寄りの領域を担当しています。 私達のチームでは、protobufで自動生成したGolangコードを使ってAPI Endpoint毎にロール単位の認可処理ができる仕組みを構
インボイス管理サービス「Bill One」の認証を内製認証基盤に置き換えて認証基盤のコストを削減した話 - Sansan Tech Blog
Bill One Engineering Unit 共通認証基盤チームの樋口です。 Bill Oneでは昨年までAuth0を認証基盤として利用してきましたが、認証基盤を内製化することでコストを大幅に削減しました。 この認証基盤は、昨年12月に無事リリースされ、Bill Oneの認証を支えています。 今回は認証基盤の内製化に至った経緯と設計、移行プロセスについて紹介します。 Bill Oneについて 認証基盤に関する課題 解決方法の検討 IDaaS(Identity as a Service)について 設計とシステム構成について 認証基盤の設計 システム構成 アカウントの移行について メールアドレス・パスワードでのログインを利用しているユーザーの移行 SSO(Single Sign-On)の移行 振り返りと今後 ドメイン変更による問い合わせの増加 内製化によって体験の改善がスムーズに Bil
GitLabとGoogle Cloudの統合がパブリックベータに。GitLabの認証からソースコード管理、ランナーの実行、デプロイまですべてGoogle Cloud上で
GitLabとGoogle Cloudの統合がパブリックベータに。GitLabの認証からソースコード管理、ランナーの実行、デプロイまですべてGoogle Cloud上で ソースコード管理やCI/CD機能などの開発プラットフォームを提供するGitLabは、Google Cloudとの本格的統合をパブリックベータとして公開しました。 これによりGitLabの認証、ソースコード管理、CI/CDランナーの実行、デプロイまでパイプライン全体がGoogle Cloudのサービスと連係統合され、ユーザーはこれらを利用して迅速にDevOpsのパイプラインを実行できるようになります。 Imagine a world where you can seamlessly move from code creation to deployment — all within a single integrated p
年齢差別を克服するために「タイムマシン」をつくった女 週刊プレイボーイ連載(607) – 橘玲 公式BLOG
「事実は小説なり奇なり」という事件のひとつです。 警備会社で働いていた70歳の女性は、職場の男性の「ババア」という言葉が自分に向けられたものだと思い、年齢のせいで不当な扱いを受けていると感じます。 その頃女性は、ネットで「就籍」という制度を知りました。なんらかの事情で出生届が出されず、無戸籍になっているケースを救済するためのもので、家庭裁判所の許可を得て新たに戸籍をつくることができます。 そこで女性は、自分より24歳も若い46歳の妹の戸籍をつくり、その架空の妹になりすませば、「年齢に関係なく、気持ちよく、長く仕事ができる」と思いつきました。ここからの女性の行動力は、驚嘆すべきものあります。 まず、東京都内の無料法律相談所を訪れ、「妹の戸籍がないことに気づいたので作ってあげたい」と相談します。この話を信じた弁護士は、新たな戸籍を発行するための申立書を作成し、家裁に郵送します。 東京家裁で開か
安全ではない「多要素認証」 5つの攻撃手法と防御策
多くのサービスや業務システムで多要素認証が広く使われている。キーマンズネットが実施した「ID/パスワードに関するアンケート」では、回答者の半数以上が「多要素認証を採用している」と回答した(2024年2月時点)。パスワードと比較してよりセキュアなログインが可能になるからだ。 だが多要素認証をただ導入しただけでは、安全を保つことができない。実際に2022年以降、多要素認証を突破する攻撃が急増しており、全世界で月間200万件以上の事例が報告されている。 多要素認証を安全に使う方法、攻撃に対応する方法を把握し、従業員がそれを理解して実践することが重要だ。 本ブックレット(全17ページ)では、多要素認証を突破する攻撃手法とそれを防ぐ方法、攻撃事例、多要素認証を導入する際に留意すべきポイントを紹介する。
Google・Apple・Microsoftなどの企業が参加するオンライン認証技術の標準化組織「FIDOアライアンス」が定めるFIDO2をベースに、パスワードの代わりに暗号鍵を使って認証する技術が「パスキー」です。Googleが、スマートフォンによる生体認証を使用したパスキーによって、Googleアカウントユーザー向けに提供される「高度な保護機能プログラム」に登録できるようにしたことを発表しました。 Google rolls out Passkeys to high risk users in Advanced Protection Program https://blog.google/technology/safety-security/google-passkeys-advanced-protection-program/ You can now protect your high-
Ente Auth Open source 2FA authenticator, with end-to-end encrypted backups Setup Auth Secure BackupsAuth provides end-to-end encrypted cloud backups so you don't have to worry about losing your tokens. Our cryptography has been externally audited. Cross platform syncAuth has an app for every platform. Mobile, desktop and web. Your codes sync across all your devices, end-to-end encrypted.
2024 年 6 月 14 日、Google 渋谷オフィスにて Chrome Tech Talk Night #16 〜 パスキー が開催されました。 CTTN #16 は、開発者のみなさんがパスキーの基本について学び、よくある疑問を解決できることを目指したイベントです。 FIDO Alliance メンバー企業でアクティブに仕様策定に参加しているエキスパートの皆様がご登壇されました。 資料はこちらに公開されています:Chrome Tech Talk Night #16 パスキー 以下はClaude Sonnet 3.5 によるまとめとNotta.ai によるまとめをもとに若干手を入れたものです。なお、私はこの分野は素人なので、間違いがあると思うので、その場合はご指摘いただければ幸いです。 Chromeテックトーク16 – パスキーについて #passkeys_jp 1. イントロダクショ
Jamf Learning Hub
Jamfは、エンドユーザから愛され企業・組織から信頼されるAppleエクスペリエンスの管理とセキュアな運用を通して、業務の簡素化を目指しています。またJamfは、組織にとって安全で、ユーザにとってシンプルかつプライバシーが保護された「Appleファースト」環境を実現するための包括的な管理およびセキュリティソリューションを提供する、世界で唯一の企業です。 Jamfについて詳しく見る。
Jamf Learning Hub
Jamfは、エンドユーザから愛され企業・組織から信頼されるAppleエクスペリエンスの管理とセキュアな運用を通して、業務の簡素化を目指しています。またJamfは、組織にとって安全で、ユーザにとってシンプルかつプライバシーが保護された「Appleファースト」環境を実現するための包括的な管理およびセキュリティソリューションを提供する、世界で唯一の企業です。 Jamfについて詳しく見る。
2024年6月21日にデジタル庁からデジタル認証アプリの発表がありました。 このデジタル認証アプリで何ができるのか、ざっくり整理してみました。 この記事で対象としている方 デジタル認証アプリの概要についてざっくり理解したい方 デジタル認証アプリについて今北産業してほしい方 この記事では技術的な話はなるべく避け、全体像を整理していきます。 技術的な話を理解したい方は、参考リンクより他の方が書かれた記事を参照してみてください。 「デジタル認証アプリ」はどんなものか? 「デジタル認証アプリ」は、マイナンバーカードを使った認証や署名を、安全に・簡単にするための、デジタル庁が提供するアプリです。 (デジタル認証アプリサービスサイトより引用) デジタル認証アプリは、デジタル庁が提供するデジタル認証アプリサービスAPIと組み合わせて1つのサービス(デジタル認証アプリサービス)を構成しています。デジタル認
Jamf ConnectのOffline MFAを有効にしてネットワークが利用できなくても多要素認証を使っちゃおう!
Jamf ConnectのOffline MFAを有効にしてネットワークが利用できなくても多要素認証を使っちゃおう! はじめに どーもみなさんこんにちは。ねもてぃです。 今回はJamf Connect Ver.2.24.0にて実装された「Offline MFA」について見ていこうと思います。 公式ドキュメント:Offline Multifactor Authentication 個人的には良い機能追加だと思ったのでさくっとやっていきましょー! なにができるようになったのか Jamf Connectを利用することで、OktaやAzure ADなどのIdPの認証情報を使用してMacにログインができるようになります。 しかしながら、この構成だとログイン時にIdPとの通信が必要になるためネットワーク接続が必須になります。 当然ネットワーク接続ができない状態だとログインができません。移動先などでネッ
お知らせ:米OpenID FoundationがOpenID Connect Certification Programを開始
サンフランシスコで開催中のRSA Conference 2015にて、米OpenID FoundationはOpenID Connect Certification プログラムを公開しました。このプログラムによって、OpenID Connectを実装している事業者は、自身の実装がOpenID Connect標準仕様を満たすことを宣言することができます。本プログラムに参加することで、異なる実装間での相互運用性がより確実なものになるでしょう。 OpenID Connectは、セキュアでモバイルフレンドリーかつプライバシーにも配慮した、アイデンティティ技術のオープンスタンダードです。昨年のRSA Conference 2014での仕様確定以降、この仕様は多くのサービスで採用されてきました。 本プログラムへの参加により、デベロッパーコミュニティに対して当該実装が正しくOpenID Connect標
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
KADOKAWAのハッキングの話チョットワカルので書く
SSH接続を10倍速くするたった3行の設定 - Qiita
ニコニコ、他サービスで同じパスワード使用は変更推奨へ KADOKAWA情報漏洩を受け注意喚起
セキュアなAWS環境の設計についての解説【2024年版】 - サーバーワークスエンジニアブログ
デジタル庁が発表した「デジタル認証アプリ」でできること ざっくり整理 - Qiita
知らないとあぶない、Next.js セキュリティばなし
2段階認証アプリAuthyの3300万ユーザー分の電話番号がサイバー犯罪者に盗まれる
2段階認証アプリ「Authy」開発のTwilio、ハッキングで3,300万件の電話番号流出か
【悲報】二段階認証アプリ「Authy」、ハッキングされる。3300万件の電話番号が流出してしまう - すまほん!!
セキュリティリスクの高いGoogleアカウントを保護する「高度な保護機能プログラム」でパスキーによるサインインが可能に
認証後のセキュリティを強化するOktaの新製品、今年後半に正式版リリースへ
Ente - Private cloud storage for your photos, videos and more
「Chrome Tech Talk Night #16 〜 パスキー」まとめ
デジタル庁が発表した「デジタル認証アプリ」でできること ざっくり整理 - Qiita