セキュリティといえばNIST SP800シリーズ。 その中でも最重量級であるSP800-53についてまとめてみます。 今回はIPAが出している日本語訳版を読みます。 https://www.ipa.go.jp/security/reports/oversea/nist/about.html 何の本？セキュリティって何をどこまでやればいいの？を米国の偉い人達が全力で分解したドキュメントがNIST SP800-53です。 情報システムの機密性・完全性・可用性や個人のプライバシーを守る、つまりセキュリティを確保するための管理策を20分類で説明しています。 本書は、米国商務省の傘下にある米国国立標準技術研究所（NIST）の中の情報技術研究所（ITR）が出しています。 NISTの出版物にはFIPSやSP800シリーズ、SP1800シリーズなどがあり、セキュリティ担当がよく見るのはSP800シリーズだ

Tweet 本号では、米国国立標準技術研究所(NIST)が発行したNIST SP800-53（「米国連邦情報システムのセキュリティおよびプライバシー管理の管理策」の概要を解説する。 1．NIST SP800-53の概要 米国国立標準技術研究所(NIST)は、各連邦政府機関に対して、情報および情報システムのセキュリティを強化するためのプログラムを開発、文書化、実践することを義務付けているFISMA（Federal Information Security Management Act of 2002：連邦情報セキュリティマネジメント法)の実施を支援し、情報および情報システムを保護するためプログラムを支援するための標準、ガイドライン、その他の出版物を開発および発行している。 NISTが発行したNIST SP800-53ⅰは、米国の連邦情報システムのセキュリティおよびプライバシー管理の管理策を提

インタビュー 2024年04月26日 財布も鍵も不要！次世代ハンズフリー認証技術の全貌！ - Sinumy 2024年4月19日、KDDI ∞ Laboの月次全体会において、スタートアップ6社が大企業に向けてピッチを行いました。登壇されたスタートアップにMUGENLABO Magazine編集部のめぇ〜ちゃんがインタビューをしたので皆様にお届けいたします。 1社目はSinumyです。個人認証技術と位置測定技術でスリープ状態のスマートフォンでのハンズフリー認証や非接触認証を可能にする「PaylessGate Technology」を開発するスタートアップです。今回は、SinumyのVP of Business Development 倉内亮弥氏にお話を伺いました。 VP of Business Developmentの倉内氏に伺いました 何をしている会社ですか？ 倉内：「認証」は知識認証、所

AIとクラウドを駆使することで、セキュリティ対策にパラダイムシフトが起こっているーー。チェック・ポイント日本法人の佐賀社長は、新戦略説明会でそう述べた。同社は、他社製品も含めて脅威検知・防御の機能と情報をクラウド上に集約する「プラットフォーム化」を7年前から推進しているが、さらにAI活用にも率先して取り組むことで、業界をリードしていく考えを示した。 「他社はマーケティング用語として『AI』と言っているが、チェック・ポイントは違う。我々はAIを駆使している。すでにAIを具現化し、圧倒的な能力を提供していることがチェック・ポイントのセキュリティの特徴だ」 2024年5月21日、チェック・ポイント・ソフトウェア・テクノロジーズは新戦略発表のための記者説明会を開催した。日本法人社長の佐賀文宣氏は、新戦略の軸の1つである「AI」についてこのように述べ、同社の先進性をアピールした。 チェック・ポイント

2016年に制定されたデータ保護規則・GDPRのもと、EUではウェブサイト側がユーザーのCookieを利用したターゲティングを行うためにはユーザーの同意が必要となりました。2021年時点の日本においてCookieやIPアドレスといったオンライン識別子は個人情報に該当せず、企業による利用にユーザーの同意が必要となることはありませんが、近いうちに同様の法整備がなされるものと考えられています。 ウェブサイト閲覧者に表示される「Cookieへの同意」オプションの「全てのCookieを受け入れる」という選択肢をクリックした時に、一体ユーザーは何に同意しているのかという疑問について、ソフトウェア開発者であり起業家であるコンラッド・アクンガ氏がロイター通信のウェブサイトを例に解説しています。 What Do You Actually Agree To When You Accept All Cookie

長年にわたり危険性が指摘されているパスワード。導入コストの低さや分かりやすさなどにより広く使われ続けている。だがここに来て、パスワードレス認証の利用環境が整いつつある。標準規格「パスキー」が定められ、準拠する機器が相次いで登場。生体認証に対応したスマホなどの普及もパスキーを後押しする。パスキーの現状と仕組み、そして導入の勘所について解説する。 任天堂は2023年10月、人気ゲーム機「Nintendo Switch」などで利用するニンテンドーアカウントをパスワードレス認証の「パスキー（パスキー認証）」に対応させた。「FIDO2（Fast Identity Online 2、ファイド2）」という仕様に基づいた、パスワードを使わない認証方法だ。 従来ニンテンドーアカウントにログインするには、利用者がユーザーIDとパスワードを入力して本人認証していた。パスキーを利用すると生体認証を用いるので、パス

pictBLandとpictSQUAREに対する不正アクセスがあり、パスワードがソルトなしのMD5ハッシュで保存されていたことが話題になっています。 2023年8月16日に外部のフォーラムにpictSQUAREより窃取した情報と主張するデータ販売の取引を持ち掛ける投稿が行われた（中略）パスワードはMD5によるハッシュ化は行われているもののソルト付与は行われていなかったため、単純なパスワードが使用されていた29万4512件は元の文字列が判明していると投稿。（それ以外の26万8172件はまだMD5ハッシュ化されたままと説明。） 不正アクセスによるpictBLand、pictSQUAREの情報流出の可能性についてまとめてみた - piyolog より引用 これに関連してMD5ハッシュやソルトに関するツイート(post)を観察したところ、どうもソルトの理解が間違っている方が多いような気がしました。

通常、ビルへの入館やオフィスの入退室、業務用デバイスや各種サービスへのログインなどには「認証」が必要だ。一般的には、これらの認証の多くで物理的な鍵や、デジタルによるパスワードが使われる。しかし、それらはユーザーである従業員の管理に依存しているため、紛失や盗難、情報漏えい、なりすましなどのセキュリティリスクが付きまとう。 そこで昨今、注目されているのが「顔認証技術」だ。顔認証なら物や記憶に頼ることなく認証が可能な上、利便性も向上させることが可能だ。例えば、出退勤時に顔認証を導入すれば、タイムカード不要で出退勤管理が行える。カードの不正利用が不可能となるので、セキュリティも強化できる。 本資料では、顔認証技術を利用したさまざまなケースを通して、そのメリットを解説する。加えて、ある顔認証ソリューションを導入して、年間150万円のコスト削減や、年間6000時間の工数を削減した事例も紹介する。0.1