セキュリティ

ゼロトラストセキュリティを導入する

ゼロトラストセキュリティは、企業データを保護するための新しいセキュリティモデルであり、ネットワーク境界はもはや信頼できないという考え方に基づいています。ゼロトラストモデルにおいては、人が新たな境界であり、アイデンティティは安全な環境を維持するための中核です。 ゼロトラストセキュリティが生まれた背景 従来、組織はファイアウォールや同様のオンプレミスのテクノロジーを利用してデータを保護していました。ネットワーク内にあるものはすべて信頼できるとみなし、ネットワーク外にあるものはすべて信頼できないとみなす考え方をしていました。 しばらくはこのシステムも問題なく機能していましたが、モバイルの台頭とクラウドの導入が進むにつれ、アクセスとセキュリティの状況は劇的に変化しました。McAfee…

パスワードレス認証とは メリットとセキュリティの問題

パスワードレス認証とは、ユーザーにパスワードの入力を要求せずに、ユーザーを検証する認証方法です。パスワードレス認証は、入力するパスワードがないため、フィッシングの被害を受ける可能性が低くなるといったメリットがあります。ここでは、近年注目を集めているパスワードレス認証とは何か、パスワードがもたらすユーザビリティとセキュリティの問題、パスワードレス認証のメリットについて説明します。 パスワードレス認証とは? パスワードレス認証とは、ユーザーにパスワードの入力を要求せずに、ユーザーを検証する方法です。 ユーザーのアイデンティティを証明するには、代わりに、所有要素(モバイル認証アプリ、ハードウェアトークン、ワンタイムOTP)、バイオメトリクス、知識要素(PIN、パスフレーズなど…

MFAでアイデンティティハックを阻止する

「もしかして騙された?」これは以前、自分自身に問いかけたことがある質問でしょう。フィッシングや盗まれた資格情報は、依然として侵害の主要な脅威手段の 1 つであり、ハッカーが巧妙になるにつれて、従業員や消費者はデジタルアプリケーションにアクセスするために使用する資格情報についてよりスマートになる必要があります。一方で、企業は、従業員が毎日使用するアプリケーションへのアクセスを効果的に保護するために、フィッシング・データ対策などに焦点を当てる必要があります。 ご利用のEメールアドレスが、何らかの形のフィッシングやデータ侵害に利用されているかを知りたい場合、Troy Hunt の Have I Been Pwned データベースが優れています。このサービスからはわかることは…

FIDO2とは? CTAPなどWebAuthn関連の用語を解説

2019年3月、World Wide Web Consortium(W3C)は、WebAuthnがパスワードレスログインの公式Web標準になったことを発表しました。WebAuthnは幅広いアプリケーション(Microsoft Edge、Chrome、Firefox、モバイルアプリなど)でサポートされ、今後数年でさらに普及すると見込まれています。前回のブログ記事では、WebAuthnがもたらすカスタマーエクスペリエンスの向上やセキュリティ態勢の強化について、例を挙げて説明しました。 今回は、WebAuthnが新しい標準として確立される上で重要な役割を担った技術的要素とプロトコルについて説明します。 FIDO2とは FIDO2とは、パスワードを使用せず…

パスワードスプレー攻撃とは?:増加の理由と検知・対策

パスワードスプレー攻撃とは、攻撃者が被害者のアカウントにアクセスするために、ユーザーが使用する可能性の高いパスワードを試すことです。ここ数年、サイバーセキュリティで最もホットなトピックの1つとなっています。大々的に報じられた侵害事件が複数件起こり、セキュリティベンダー、メディア、セキュリティコミュニティ全体から大きな注目を集めています。この記事では、パスワードスプレー攻撃が増加している理由と、検知・対策のために組織が実行できる手順について説明します。 パスワードスプレー攻撃とは? 簡単に言うと、パスワードスプレー攻撃とは、攻撃者が被害者のアカウントにアクセスするために、ユーザーが使用する可能性の高いパスワードやIDを試し、攻撃をするサイバー攻撃の一種です。パスワードスプレー攻撃により…

パスワードレスの正式なWeb標準 WebAuthn とは

2019 年 3 月、World Wide Web Consortium(W3C)は、WebAuthnがパスワードレスログインの正式な Web 標準になったと発表しました。WebAuthn は幅広いアプリケーション(Microsoft Edge、Chrome、Firefox、モバイルアプリなど)でサポートされており、この数年の間にさらに普及する Web 認証だと考えられています。 この記事では、現在の認証方法の弱点と WebAuthn のメリットについて説明し、WebAuthn の最適な認証フローについて詳しく見ていきます。 現在の Web 認証方法の弱点 WebAuthn が開発された理由とその多様な機能について説明する前に、まず、ユーザー認証の歴史と…

識別子としての電話番号:SMSベース認証のセキュリティリスクと脆弱性

最近、Facebookユーザーが体験した非常に懸念されるログインについて耳にしました。SMSで受け取ったパスワード回復コードを入力すると、誤って他人のFacebookアカウントにログインしたというのです。 このユーザーがSMSの受信に使用した電話番号は、他人が以前所有していた番号がリサイクルされたものでした。最初の所有者がFacebookアカウントと番号の関連付けを解除していなかったため、この番号を使用してSMSベースの認証を試みた結果、最初の所有者のアカウントにログインしたのです。非常にSMSベース認証のセキュリティリスクや脆弱性の問題がある出来事です。 この記事では、このようなインシデントにつながった古いアイデンティティの概念、現在モバイル認証(SMS認証…

安全な認証のためのプレイブック

クレデンシャルスタッフィングや同様の攻撃手法の台頭により、ユーザー名とパスワードによる単純な認証では攻撃を抑止できなくなっています。Verizonのデータ侵害調査レポートによると、2018年に55,000件以上セキュリティインシデント、2,200件のデータ侵害が確認されました。これらのインシデントの81%は窃取されたパスワードや弱いパスワードに関連して発生しました。 データ侵害の急増と消費者からの信頼の喪失に伴い、Webアプリケーションのセキュリティ態勢の見直しが企業に迫られています。そのためには、まず安全性のより高い認証方法を探索する必要があります。 この記事では、現在一般的な認証方法の種類について説明し、それらを最善の形で実装するためのヒントを紹介します。…

ADFS とは

ADFS(Active Directory Federation Services)は、Microsoft 社が提供するシングルサインオン(Single Sign-On)のソリューションです。Windows Server オペレーティングシステムのコンポーネントとしてユーザーに、 Active Directory(AD)経由の統合 Windows 認証(Integrated Windows Authentication)ではアクセスできないアプリケーションへの認証アクセスを提供します。 ADFS の優れた柔軟性により、企業はユーザーエクスペリエンスを簡易化しながら従業員のアカウントを管理することが可能になります。シングルサインオンを利用することで、従業員は 1…

多要素認証に切り替える前に検討すべき7つのポイント

パスワードには独特の難しさがあります。セキュリティ要件が常に増加しているのはパスワードの安全を守るためですが、多くの場合それは逆効果になっていました。すべての要件を満たす複雑なパスワードは基本的に覚えにくいため、多くのサイトで使い回されます。ユーザーはパスワードを付箋などに書き付けたり、簡単に見破られるペットの名前、誕生日、電話番号などを使ったりもします。これではデータ保護にまったく役立ちません。幸いなことに企業は、データはハッカーにとってアクセス困難だが正当なユーザーからは簡単にアクセス可能とすべきという考えを理解したうえで、対応をし始めています。この考えを実現する最善の方法が、多要素認証(MFA)です。 多要素認証は…

Archive