「リスクベース認証」関連の最新 ニュース・レビュー・解説 記事 まとめ

ITmedia Security Week 2023 冬：
徳丸氏が探る“認証”の今――サイバー攻撃の認証突破テクニック、フィッシング、そして対抗策とは
2023年11月28日、アイティメディアが主催するセミナー「ITmedia Security Week 2023 冬」の「多要素認証から始めるID管理・統制」ゾーンで、イー・ガーディアングループCISO（最高情報セキュリティ責任者）兼 EGセキュアソリューションズ 取締役 CTO（最高技術責任者）の徳丸浩氏が「認証の常識が変わる――認証強化の落とし穴と今必要な施策」と題して講演した。「認証」をキーワードとし、これまでパスワードに頼り切りだった古典的な手法による認証システムが攻撃される中、新たな技術でどこまで人と情報を守れるのか。認証の現状と今必要な対策を語るセッションだ。本稿では、講演内容を要約する。（2024/2/21）

半径300メートルのIT：
Netflix、Disney+もいよいよ対策に本腰　「アカウント共有問題」について考える
動画配信サービスでしばしば問題に挙がる「アカウント共有問題」。今まで黙認されてきたこの行為ですが今後はNetflixやDisney+なども対策に本腰を入れるようです。セキュリティの観点からこの問題を考えてみます。（2023/8/15）

半径300メートルのIT：
セキュリティは“先の見えない登山”だ　第一歩を踏み出すために有効な資料は
セキュリティは大変奥深いもので、登山に例えると頂上付近には濃霧や雲が立ちはだかり、どこまで山が続くのか分からないという印象を与えます。ただしそんな領域にも第一歩を踏み出すためのドキュメントが用意されているのです。（2023/6/6）

クレカセキュリティ向上の3Dセキュア、なぜ導入が進まないのか？　EMV 3-DSで普及の兆し
ECの増加と共に、非対面でのクレジットカード利用も大きく伸びている。しかし同時に増加したのが不正利用だ。対策として進められてきたのが3Dセキュア（3-DS）だ。しかし、EC利用ではまだ対応が半分に至っていない。ECショップ側が3-DSに対応しない理由は何か。（2023/4/13）

半径300メートルのIT：
「よし、ウチもDXでECやるぞ！」の前に読むドキュメント
DXの一環で自社のECサイト構築を考えている企業もいることでしょう。ただし、その際にセキュリティをおろそかにすると、クレジットカードなどの顧客情報が漏えいして恐ろしい事態に発展することも。そんな悲劇を回避するにはどうすればいいのでしょうか。（2023/3/20）

半径300メートルのIT：
これからのサイバー攻撃は小規模企業も標的に？　変わるための第一歩を紹介
小島プレス工業が不正アクセス被害に関する調査報告書を公開しました。本稿は、報告書を読み解きつつ、サプライチェーン攻撃に備えて企業がまずやるべきことを明らかにします。（2022/4/5）

「パスワードレス認証」7つの課題【第1回】
“パスワードのいらない世界”を職場だけじゃなく工場でも実現する方法
企業がパスワードレス認証を導入するにはさまざまな壁を乗り越える必要がある。オフィス外で働く従業員や社外スタッフに適したパスワードレス認証の手段とは。（2022/3/31）

PR：“守りのセキュリティ”から反転攻勢　企業を躍進に導くゼロトラスト実現の鍵　専門家が適用例を交えて解説
（2022/2/18）

半径300メートルのIT：
筆者がGmailの「2段階認証」を止めるまで　身近なところからセキュリティ意識を改革しよう
Gmailのユーザーにとってログインの度にパスワードを入力するのは安全である一方で面倒な作業です。何とかこれを楽にできないか調べてみたところスマートフォンを活用した方法が見つかりました。（2022/2/15）

日本の金融セキュリティを世界の先行事例で支援：
PR：世界基準の安全性と利便性を両立　ポーランド生まれの金融ソリューション企業が日本進出
金融機関を狙うサイバー攻撃を防ぐには、ユーザーへの周知と技術的な対策の強化が必要だ。しかし既存のシステムでは検出精度や運用コストに課題がある。それらを解決する、金融分野に長（た）けたポーランドの企業が日本市場に進出している。（2022/2/2）

ドコモオンラインショップが「クレジットカード決済」の要件を厳格化　「3Dセキュア 2.0」対応カードが必須に
NTTドコモの直販サイト「ドコモオンラインショップ」で商品代金をクレジットカードで支払う場合の条件が厳格化された。1月12日以降は、「3Dセキュア2.0（EMV3Dセキュア）」に対応するカードを使うことが必須となる。（2022/1/12）

ITmedia エグゼクティブセミナーリポート：
重要インフラ行動計画、環境の変化を考慮して継続的に改定していくことが重要――NISC 結城則尚氏
我が国の重要インフラ防護政策は、2000年から開始され、20年が経過したところ。サイバーを取り巻く脅威はとりわけ近年増大しており、こうした状況を踏まえ、事業者の成熟度、多様性を考慮した改善策が今日的な課題となっている。（2021/10/5）

「安全・安心」と「使い勝手」を両立：
PR：パスワードレス認証の起爆剤として大きな期待を集める「FIDO」
企業がDXを推進していく上で欠かせないセキュリティ対策。中でもユーザー認証は、正しく行われないとセキュリティ対策の根本が揺らいでしまう重要な要素であるが、さまざまな課題を抱えているパスワード認証が依然として多くのサービスで使われている。そんな中、近年注目され、採用が相次いでいるのが、FIDO（ファイド）の規格をベースにしたユーザー認証方式だ。（2021/9/27）

“リーントラスト”で段階的な実現を：
PR：失敗も頓挫もしない「ゼロトラスト」の現実的な実装法
働き方が「社外前提」に変わりつつあるいま、多くの企業が「社内で働くこと」が前提だったネットワークやセキュリティの仕組みを見直しつつある。そうした中で注目されている「ゼロトラスト」だが、まだまだ実装には至らない例が多い。その理由と現実的なゼロトラスト実装法とは。（2021/7/20）

半径300メートルのIT：
アイアンマンシリーズから学ぶ　強度のあるパスワードを作成するコツ
毎年5月の第一木曜日は「世界パスワードの日」（World Password Day）です。今回は、映画アイアンマンシリーズで出てきたパスワードが強度のあるものかどうか検証してみましょう。（2021/5/11）

ニューノーマル時代のセキュリティ：
「ゼロトラスト」3つの“誤解”　どのように考え、企業内で検討していくべきか
ここ1年で認知度が高まった「ゼロトラスト」。企業内でゼロトラストをどのように考え、検討していくべきかを考える。（2021/3/17）

国内拠点で安全性と利便性を両立　IBMが提供するIDaaSの3つの機能とは
日本IBMはIDaaS「IBM Security Verify」を発表した。「IBM Cloud」の東京リージョンで提供予定だ。SSOや多要素認証機能、アプリケーションに対する適応型アクセス制御機能などを備える。（2021/2/10）

「eKYC」「2要素認証」「2段階認証」は万全？　スマホ決済や携帯のセキュリティ対策をおさらい
2020年に銀行口座からキャッシュレス決済事業者への不正出金が一斉に判明した問題で、銀行や決済サービス事業者がセキュリティ対策を強化した。その中で、頻繁に話題に出てくるのが「2要素認証」と「2段階認証」、そして「eKYC」だ。不正へのセキュリティ対策として、万全ではないし唯一の解でもないが、各社が採用を進めるこれらの技術についてまとめた。（2021/1/8）

特集：withコロナ時代のクラウドセキュリティ最前線（1）：
2020年でも「おっかなびっくり、クラウド恐怖症」の根底には何がある？「責任共有モデル」を理解し現状を打破する再考ポイント
クラウドサービスの活用が急務の今、必要となる“考え方の転換”やアプローチについて、クラウドセキュリティにおける意識調査のレポートを公開した2社に話を聞いた。（2020/10/30）

「エージェントレスで導入が容易」：
社内ITシステムのゼロトラスト対応に、リスクベース認証製品Silverfortが日本での販売を開始
ゼロトラストへの取り組みでは、多様な既存の社内ITシステムに対する認証を、統合的に強化する必要がある。エージェントレスでこれを容易に実現できるリスクベース認証基盤製品の「Silverfort」が、日本での販売を開始した。（2020/9/2）

異なる特徴を持つ、さまざまな本人確認APIサービス：
PR：オンライン本人確認の未来　キャリアと銀行の本人確認APIは何をもたらすか？
オンラインサービスの事業者にとって、ユーザー登録のハードルを下げ、なおかつ本人確認の手間と時間を大幅に削減できるソリューションが入手可能となりつつある。携帯キャリアが提供する本人確認API、銀行が提供する本人確認API――。そして、それらを組み合わせることで、利便性と厳密性を併せ持つことも可能だ。（2020/8/24）

企業向けモバイルセキュリティ市場とクラウドセキュリティ市場、2024年に410億円規模へ――IDC予測
IDC Japanによると、国内企業向けのモバイルセキュリティ市場は2024年に138億円規模、クラウドセキュリティ市場は2024年に272億円規模に成長する見込み。コロナ禍によるリモートワークの増加や、それに伴うパブリッククラウドの利用拡大が市場成長を後押しているという。（2020/8/19）

自動化と統合管理が完成形、さらに企画力も：
PR：withコロナの時代、企業それぞれに合った「ゼロトラストセキュリティ」を始めるには
テレワークやクラウドサービスの活用に伴い、にわかに「ゼロトラストセキュリティ」というキーワードをあちこちで耳にするようになった。具体的にどんなコンセプトを指し、どこから取り組めばよいのだろうか。（2020/7/2）

今さら聞けない「認証」のハナシ：
認証の世界も「AI対AI」の戦いに？　botを見破る技術「CAPTCHA」のハナシ
認証について分かりやすく解説する連載。今回のテーマはbotを見破る技術である「CAPTCHA」。（2019/11/11）

なぜ、セキュリティを意識したサイトでも「認証に不安が残る」のか
セキュアスカイ・テクノロジーが、Webサービスの認証を取り巻く「攻撃」と、それに付け入れられる隙となる「脆弱性」の実態を紹介するセミナーを開催。積極的に脆弱性診断を受けるほどセキュリティに気を配っているサイトでも、不備が多々見つかったという。（2019/9/27）

面倒くさい郵送作業からさようなら：
PR：スマホで簡単本人確認――顔認証技術を生かした、金融機関でも使われるeKYCサービスとは
ITを生かした新しい金融サービスが続々登場する中、どうしても「紙」「郵送」の手続きが必要だった本人確認（KYC）の世界が法改正によって大きく変わろうとしている。その変化とは、どういうものなのだろう。（2019/7/1）

パスワード難読化を標準に：
サービス事業者の14％がパスワードを平文管理　フィッシング対策協議会
フィッシング対策協議会の認証方法調査・推進ワーキンググループが発表したインターネットサービス事業者が採用している認証方法についての調査結果によると、IDとパスワードのみの認証方法が大多数で、パスワードを平文で管理している事業者が14％あった。（2019/5/17）

企業における「ID管理」【第2回】
働き方改革にGDPR、そしてM＆A　「IDaaS」は企業課題解決の救世主となるのか
ID管理を取り巻く環境は急激に変化している。そこにはどんな課題があるのか。「IDaaS」はどこまで使えるのか。（2019/2/15）

今さら聞けない「認証」のハナシ：
PayPayも導入した「3Dセキュア」って何？　クレジットカード本人認証のハナシ
認証まわりの話題について分かりやすく解説する連載。今回はクレジットカードの本人認証サービス「3Dセキュア」などについて解説します。（2019/2/7）

ITmedia エンタープライズ セキュリティセミナーレポート：
セブン銀行のCSIRTは「商品開発部門」がカギ――マーケティングの知見を生かしたセキュリティ対策とは？
ITmedia エンタープライズのセキュリティセミナーにセブン銀行のCSIRT「7BK-CSIRT」が登場。システム部門だけではなく、商品開発部門をメンバーに加え、マーケティングの視点を持って、金融犯罪対策を進めているのだという。（2018/12/27）

＠ITセキュリティセミナー2018.6-7：
IT環境が変化、多様化する今、必要となる認証の仕組みとは――エントラストジャパン
＠ITは、2018年6月22日、東京で「＠ITセキュリティセミナー」を開催した。本稿では、エントラストジャパンの講演「パスワード定期変更不要って本当??　今必要な認証の仕組み教えます！」の内容をお伝えする。（2018/10/4）

半径300メートルのIT：
寝ているスキを狙われ、指紋認証を突破されたスマホの話
寝ているときすら気を抜けない時代に身を守る方法とは。（2018/4/17）

「SNSがダークWebに取って代わる」：
RSA、2018年のサイバー犯罪について4つの傾向を予想
RSAは、ホワイトペーパー「2018年のサイバー犯罪の現状」を発表し、「アカウント乗っ取りの増加」「サイバー犯罪は新しいインフラに拡大」「新たな脆弱性が登場」「3D SECURE 2.0導入準備」の4つの動きが今後顕著になると予想した。（2018/3/30）

“認証”にまつわる3つの「F」をなくす：
PR：NASAジェット推進研究所とEntrust Datacardの挑戦に見る、セキュリティと利便性を両立するポイントとは
環境の変化や政府が求めるセキュリティ基準を踏まえ、ユーザーに制約を課すことなくセキュリティを強化するためのポイントとは何か。エントラストジャパンのカントリーマネージャーである堀川隆治氏が行った「NASAジェット推進研究所が選んだ認証セキュリティ」という講演からそのヒントを探る。（2018/2/28）

製造業のIoTスペシャリストを目指そう（6）：
IoTセキュリティとITセキュリティの違い
製造業におけるIoT活用は大きなメリットを生みますが、よりセキュリティへの配慮が求められます。セキュリティ技術そのものはITセキュリティと大差ありませんが、IoTという「用途」が大きな違いを生むことを理解する必要があります。（2018/1/19）

国内企業向けモバイルセキュリティ市場は今後5年で2倍、130億円にまで拡大――IDCが予測
国内企業向けモバイルセキュリティ市場をIDCが分析。市場規模は2021年に130億円になると予測。その一方、シャドーITなどのリスクに対するセキュリティが重要になると指摘する。（2017/9/6）

正規ユーザーの利便性を高めつつ、「さらにセキュア」な認証を：
RSA、企業向け認証システムで「リスクベース認証」を強化
RSAの企業向け認証システム「RSA SecurID Access」の「リスクベース認証機能」が強化。これまでのスタティック分析だけでなく「ダイナミック分析」も組み合わせることで判定精度を向上。ユーザー利便性も高められた。（2017/6/23）

最大のセキュリティリスクはやはり「人間」？
最大のセキュリティリスク“人の脆弱性”の問題とは？　米大統領選サイバー攻撃から学ぶ
米大統領選中に発生した地方自治体職員へのサイバー攻撃は、新たな流出文書でロシアの関与が明らかになった。投票改ざんの有無は不明だが、攻撃者は地方特有の“隙”を狙ったのではないか、という見方がある。（2017/6/21）

2要素認証が突破される可能性も
「Gmail」に新たな脅威、“偽ログイン画面”でアカウント情報がダダ漏れの危険
「Gmail」経由でGoogleアカウント情報を不正に入手する新たなフィッシング詐欺が発生した。その手口は単純にも見えるが巧妙で、気付くのが難しいという。（2017/1/26）

新たに100以上のSaaSアプリに対応：
ノベル、クラウドログイン対応の統合SSOソフトウェア「NetIQ Access Manager 4.3」を発表
ノベルがシングルサインオンシステムの最新版「NetIQ Access Manager 4.3」をリリース。強化したSaaSアプリの統合ID管理機能を備え、あらかじめ100以上のSaaSアプリ用コネクターを提供する。（2016/12/6）

ユーザーの利便性とセキュリティ／運用管理の簡素化を両立：
PR：Azure ADとのID連携で“働き方改革”を強力に支援――クラウド名刺管理サービスのSansanが実現した高度なクラウドセキュリティとは？
クラウド名刺管理サービスのフル機能を利用しつつ、セキュリティと運用管理性も同時に高めたい――。こうした企業のニーズに応えるために、SansanはAzure ADとのID連携に踏み切った。Sansanを利用する企業のメリットは、シングルサインオン（SSO）、セルフサービス型のパスワード管理、高度なセキュリティ機能などを利用できることだ。（2016/11/28）

EMCがリスクベース認証ツールの更新版公開、不正送金対策を強化
ネットバンキングの振込み手続きを利用者に通知して確認を求めることで、不正送金を防ぐ。（2016/6/7）

ハイブリッド環境に最適なIAMソリューション：
PR：クラウド／SaaS時代の厄介な「ID管理」――通信キャリアならではの強みを生かしたIAMソリューションとは
2016年2月26日、東京・青山ダイヤモンドホールで開催された「＠IT セキュリティセミナー2016」の中から、特に注目を集めた「ID管理の重要性」を説く講演をレポート。（2016/3/18）

モバイル活用に欠かせない「EMM」の光と影
iPhone／Androidスマホの「位置情報追跡」が法に触れる場合も？
モバイルデバイスの企業利用を安全に進めるのに役立つEMM製品。IT管理者にもたらすメリットが多いEMM製品だが、導入に当たっては注意すべき点もある。（2016/3/14）

企業のID管理／シングルサインオンの新しい選択肢「IDaaS」の活用：
第3回　IDaaSの実装をAzure ADで理解する（後編）
オンプレミスでの実装と比べて、IDaaSのセキュリティは大丈夫なのか？ 引き続きAzure ADを例に、IDaaSでの認証やID管理、監査機能について解説する。（2015/10/5）

企業のID管理／シングルサインオンの新しい選択肢「IDaaS」の活用：
第2回　IDaaSの実装をAzure ADで理解する（前編）
IDaaS（Identity as a Service）はどのように利用できるのか？ 実際のサービスの1つ「Microsoft Azure Active Directory（Azure AD）」を例に挙げて、オンプレミスと比較しながら具体的に解説する。（2015/9/30）

企業のID管理／シングルサインオンの新しい選択肢「IDaaS」の活用：
第1回　もはや企業のID管理で避けては通れない「IDaaS」とは？
これまで社内設置が当たり前だったアイデンティティ（ID）管理／認証システム。でも「クラウド」「モバイル」に代表される激烈な変化に対応できる、と本当に思っていますか？ ID管理／シングルサインオンの新たな選択肢「IDaaS」について解説する連載開始！（2015/8/7）

Webサービス、パスワードや不正ログインの対策実態は？
（2015/8/3）

不正ログイン「受けたことがある」3割、パスワードハッシュ化「していない」4割　総務省のWebサービス企業調査
総務省がWebサービス企業に対しパスワードの管理・運用実態について調査したところ、約3割が不正ログインの被害を受けており、約4割がパスワードのハッシュ化をしていないという結果だった。（2015/7/31）

“パスワード限界論”で再考する「認証システム」の現実解【第2回】
「クラウド」「モバイル」の認証は今、どうなっているのか？
認証の今後を考える上で、特に重要となるクラウドとモバイル。どのような認証の仕組みが利用できるのだろうか。現状を整理する。（2015/6/26）