多要素認証

インターネットは、企業やそのユーザーに危害を加えようとする攻撃者から、これほどまでに存亡の危機に直面したことはありません。多くの企業がアイデンティティとセキュリティの間に関連性があることを理解はしていますが、最新のセキュリティ戦略にとってアイデンティティがいかに重要であるかを十分に理解している企業はほとんどないかもしれません。IDのセキュリティ対策にギャップがある企業は、漏洩や侵害に直面するリスクが著しく高くなっています。 攻撃者が正当なIDをコントロールできてしまえば、ネットワークに侵入し、内部でラテラルムーブメント、不正行為を促進し、機密データを引き出すことができてしまいます。もちろん、一夜にしてブランドの評判や顧客ロイヤリティを損なうこともあります。 従来の境界線がなくなり、”人…

クラウドセキュリティとは、クラウド環境に保存されているデータ、インフラストラクチャ、システムを保護するための一連の制御、ポリシー、手順、テクノロジーを指します。 クラウドセキュリティでは、データの安全性を維持し、規制遵守の要件を満たし、顧客のプライバシーを保護し、すべてのユーザーとデバイスの認証ルールを確立するために必要なプロセスとツールを利用できます。 クラウドサービスのセキュリティは、従来のITセキュリティと同様の機能を提供しますが、企業はさらにクラウドコンピューティングの多くのメリットも享受できます。レガシー、ハイブリッド、マルチクラウドのいずれの環境を使用している場合も、データを安全に保つことは企業の成功に不可欠です。ここでは、クラウドセキュリティがなぜ必要なのか、また…

ゼロトラストセキュリティとは、企業データを保護するための新しいセキュリティモデルであり、ネットワーク境界はもはや信頼できないという考え方に基づいています。ゼロトラストセキュリティモデルにおいては、人が新たな境界であり、アイデンティティは安全な環境を維持するための中核です。このブログでは、ゼロトラストセキュリティが生まれた背景から、現在のセキュリティモデルからどのようにゼロトラストセキュリティへ移行・導入するのかをご紹介します。 ゼロトラストセキュリティモデルが生まれた背景 従来、組織はファイアウォールや同様のオンプレミスのテクノロジーを利用してデータを保護していました。ネットワーク内にあるものはすべて信頼できるとみなし…

データの不正利用とは、情報を想定されていない方法で使用することです。ユーザー契約、企業ポリシー、データプライバシー法、業界規制はすべて、データの収集と使用方法に関する条件を設定しています。データの不正使用は、これらの要件に違反するということになります。 データの盗難とは異なり、データの不正使用は、必ずしもサイバー攻撃の結果として、または所有者の同意なしにデータが収集されたときに起こるとは限りません。内部不正防止ガイドラインで規定されている従業員によるデータの盗難を防ぐことは重要ですが、データの不正利用は、多くの場合、利用許可範囲が無視されていることを意味します。ユーザーが進んで企業に個人情報を提供しても、企業はユーザーが同意していない目的でその情報を使用または共有することがあります。…

「もしかして騙された？」－これは以前、自分自身に問いかけたことがある質問ではないでしょうか。フィッシングや盗まれた資格情報は、依然として侵害の主要な脅威手段の1つであり、ハッカーが巧妙になるにつれて、従業員や消費者は、デジタルアプリケーションにアクセスするために使用する資格情報について、より賢く対応する必要があります。一方で企業は、従業員が毎日使用するアプリケーションへのアクセスを効果的に保護するために、フィッシング・データ対策などに焦点を当てる必要があります。 ご利用のEメールアドレスが、何らかの形のフィッシングやデータ侵害に利用されていないかどうかを知りたい場合は、Troy Hunt の Have I Been Pwned （外部サイト・英語）データベースが優れています…

パスワードスプレー攻撃とは、攻撃者が被害者のアカウントにアクセスするために、ユーザーが使用する可能性の高いパスワードを試すことです。ここ数年、サイバーセキュリティで最もホットなトピックの1つとなっています。大々的に報じられた侵害事件が複数件起こり、セキュリティベンダー、メディア、セキュリティコミュニティ全体から大きな注目を集めています。この記事では、パスワードスプレー攻撃が増加している理由と、検知・対策のために組織が実行できる手順について説明します。 パスワードスプレー攻撃とは？ 簡単に言うと、パスワードスプレー攻撃とは、攻撃者が被害者のアカウントにアクセスするために、ユーザーが使用する可能性の高いパスワードやIDを試し、攻撃をするサイバー攻撃の一種です。パスワードスプレー攻撃により…

最近、Facebookユーザーが体験した非常に懸念されるログインについて耳にしました。SMSで受け取ったパスワード回復コードを入力すると、誤って他人のFacebookアカウントにログインしたというのです。 このユーザーがSMSの受信に使用した電話番号は、他人が以前所有していた番号がリサイクルされたものでした。最初の所有者がFacebookアカウントと番号の関連付けを解除していなかったため、この番号を使用してSMSベースの認証を試みた結果、最初の所有者のアカウントにログインしたのです。非常にSMSベース認証のセキュリティリスクや脆弱性の問題がある出来事です。 この記事では、このようなインシデントにつながった古いアイデンティティの概念、現在モバイル認証（SMS認証…

クレデンシャルスタッフィングや同様の攻撃手法の台頭により、ユーザー名とパスワードによる単純な認証では攻撃を抑止できなくなっています。Verizonのデータ侵害調査レポートによると、2018年に55,000件以上セキュリティインシデント、2,200件のデータ侵害が確認されました。これらのインシデントの81%は窃取されたパスワードや弱いパスワードに関連して発生しました。 データ侵害の急増と消費者からの信頼の喪失に伴い、Webアプリケーションのセキュリティ態勢の見直しが企業に迫られています。そのためには、まず安全性のより高い認証方法を探索する必要があります。 この記事では、現在一般的な認証方法の種類について説明し、それらを最善の形で実装するためのヒントを紹介します。…

パスワードには独特の難しさがあります。セキュリティ要件が常に増加しているのはパスワードの安全を守るためですが、多くの場合それは逆効果になっていました。すべての要件を満たす複雑なパスワードは基本的に覚えにくいため、多くのサイトで使い回されます。ユーザーはパスワードを付箋などに書き付けたり、簡単に見破られるペットの名前、誕生日、電話番号などを使ったりもします。これではデータ保護にまったく役立ちません。幸いなことに企業は、データはハッカーにとってアクセス困難だが正当なユーザーからは簡単にアクセス可能とすべきという考えを理解したうえで、対応をし始めています。この考えを実現する最善の方法が、多要素認証（MFA）です。 多要素認証は…

アプリケーションのユーザーにとって、認証ほど面倒な操作はありません。認証にまつわるアプリケーションの使いにくさがあると、製品導入の滞りや、サポート担当者や製品管理者の負荷が増大、さらにはセキュリティ低下のおそれがあります。 Oktaは、多大な時間をかけて開発者と協力し、より優れた認証フローの設計と構築に努めています。その結果、ユーザーが目的の作業に着手するまでの時間を短縮するのに役立ち、今すぐに実装できるシンプルな仕組みを発見しました。それでは、ユーザーの認証操作を簡単にするための4つの方法をご紹介します。 1) フェデレーションで認証パスワード入力を減らす パスワードだけが不満の原因ではないものの、かなり大きな悩みの種です。事実、パスワードリセットとアカウント復元の依頼は…