「OAuth」関連の最新 ニュース・レビュー・解説 記事 まとめ

ChatGPTプラグインではなく、GPTsの利用を推奨：
「ChatGPTプラグイン」の脆弱性についてセキュリティ研究者が開発者に警告
TechTargetは、「ChatGPTプラグインの脆弱性」に関する記事を公開した。ChatGPTプラグインの脆弱性が発見され、OpenAIと2つのサードパーティーベンダーは修正対応した。だが、セキュリティベンダーの研究者は「ChatGPTプラグインには依然としてセキュリティリスクが存在する」と警告している。（2024/4/10）

セキュリティニュースアラート：
GitHubの機密データ漏えいは1277万8599件に　最も公開されている情報とは？
GitGuardianは2023年にGitHubのパブリックコミットで新たに検出された機密データが前年比で28％増であることを発表した。この4年間で機密データの漏えいは4倍に拡大している。（2024/3/14）

eBPF、WASM、AIと電力、Gateway API、Keycloak……：
Cloud Native Community Japanキックオフミートアップで語られたクラウドネイティブの現在と日本の貢献
Cloud Native Computing Foundationの公式な日本チャプターとして活動するCloud Native Community Japan。そのキックオフミートアップで語られたクラウドネイティブの現在と日本の貢献とは。（2024/3/14）

Microsoft Entra IDを知る【後編】
Active Directoryから「Microsoft Entra ID」に移行する理由と“第三の選択肢”
オンプレミスシステムからクラウドサービスにシステムを移行する際は、Microsoft のディレクトリサービスについても検討の余地がある。「Active Directory」から「Microsoft Entra ID」に切り替える場合のデメリットは何か。（2024/3/5）

セキュリティソリューション：
認証・認可プラットフォーム「TrustBind/Federation Manager」がパスキー対応
2024年3月下旬から、認証・認可プラットフォーム「TrustBind/Federation Manager」の新バージョンが提供され、今回パスキー認証機能に対応した。（2024/2/29）

Cybersecurity Dive：
Microsoftの不備と怠慢を暴いた、非常にシンプルなサイバー攻撃とは？
セキュリティ専門家たちは、Microsoftの幹部の電子メールがハッキングされたインシデントについて、同社のセキュリティ不備と怠慢の結果だとして批判している。（2024/2/18）

セキュリティニュースアラート：
Microsoftに攻撃を仕掛けたMidnight Blizzard　攻撃を防ぐためにできることは？
Microsoftはロシアが支援する脅威アクター「Midnight Blizzard」についての調査結果を公表した。同社はMidnight Blizzardによる攻撃を受けて、この組織の優れている点やリスクを低減する方法を解説した。（2024/1/31）

Gartner Insights Pickup（333）：
アクセス管理プラットフォームを評価するための5つの質問
企業は、従来のアクセス管理ソフトウェアよりも堅牢（けんろう）で機能豊富なソリューションを求めている。本稿では、アクセス管理プラットフォームを評価する方法を紹介する。（2024/1/12）

ヨドバシの中の人が語る、開発中のヨドバシAPIが目指す機能、仕組み、そしてセキュリティ（後編）
ヨドバシAPIがどのように設計され、開発、実装されていくのか。ヨドバシの”中の人”が解説。（2023/12/6）

ヨドバシの中の人が語る、開発中のヨドバシAPIが目指す機能、仕組み、そしてセキュリティ（前編）
ヨドバシAPIがどのように設計され、開発、実装されていくのか。ヨドバシの”中の人”が解説した。（2023/12/6）

セキュリティニュースアラート：
CVSS v3スコアは10.0　オンラインストレージownCloudに深刻なリスク
OSSのオンラインストレージ「ownCloud」に3つの脆弱性が見つかった。そのうち一つはCVSS v3のスコア値が10.0と評価されている。（2023/11/28）

組み込み開発ニュース：
Webベースのテスト管理ツールに承認やパラメーター化の機能を追加
テクマトリックスは、Gurock Softwareが開発したテスト管理ツール「TestRail 8.0.1」の販売を開始した。最新版では、テストケースの承認機能やテストのパラメーター化機能を追加している。（2023/11/6）

クラウドセキュリティモニタリングのベストプラクティス（5）：
ユーザー認証ログのセキュリティモニタリング、何のために何をやる？
クラウド／クラウドネイティブのログをセキュリティの観点でモニタリングするベストプラクティスを紹介する本連載。第5回は、さまざまな認証サービスのセキュリティモニタリングについて解説する。（2023/10/26）

Inside-Out：
「スマートフォンの画面で承認してください」を実現するクロスデバイスフローの仕組み
オンラインバンクなど、インターネット上のサービスを利用する際、スマートフォンを使った認証や認可の手続きを設定するように求められることはないでしょうか。本記事では、近年、注目を集めている、スマートフォンを活用したクロスデバイスフロー（Cross-Device Flow）と呼ばれる認証・認可方式について解説します。（2023/9/28）

API管理ツールのメリットは？　何ができる？：
API管理ツール「Postman」と「Insomnia」を比較、どちらが適しているのか
あなたの組織にはPostmanのようなフル装備のプラットフォームが必要なのか、それともInsomniaのような軽装備のプラットフォームが必要なのか。2つのAPI管理ツールのポイントをまとめる。（2023/9/13）

何に気を付けるべきなのか：
GitHubのセキュリティ研究者が「mTLS認証」にまつわる誤った実装を警告
セキュリティ研究者のマイケル・ステパンキン氏は、適切に実装されていない「mTLS認証」は認証情報が盗み出される可能性があると警告する記事をGitHubブログで公開した。（2023/9/6）

76万人に影響か　Discord.ioのユーザーデータが漏えい
Discordサーバでカスタム招待を作成できるサービス「Discord.io」で、76万人のユーザーデータが漏えいしたとみられる。（2023/8/18）

APIは脅威アクターのお気に入りの標的：
APIセキュリティリスクのOWASPトップ3と、その軽減方法は？　ESETが2023年版を発表
セキュリティ企業のESETが2023年のOWASPトップ3のAPIセキュリティリスクを紹介し、その脅威を軽減する方法を解説した。（2023/6/20）

APIの取り扱いミスが引き起こす問題【後編】
OAuthによる「SNSアカウントでログイン」実装を危険にしないための注意点
ソーシャルメディアのアカウントを使ったログイン機能は、正しく実装しなければユーザーのデータ流出を招きかねない。宿泊施設予約サイト「Booking.com」で見つかった脆弱性を例に、その危険性と対策を解説する。（2023/5/18）

APIの取り扱いミスが引き起こす問題【中編】
ソーシャルメディア連携ログインに脆弱性　Booking.comはどう乗り越えた？
宿泊施設予約サイト「Booking.com」で、ソーシャルメディアのアカウントによるログイン機能に深刻な脆弱性が見つかった。実際に被害が判明する前に対処を完了させた、サイト運営元と発見者の行動とは。（2023/5/11）

APIの取り扱いミスが引き起こす問題【前編】
Booking.comの「Facebookでログイン」に実装ミス　起こり得た最悪の事態とは
宿泊施設予約サイト「Booking.com」に脆弱性が見つかった。「Facebook」などのソーシャルメディアのアカウント経由でログインするためのプロトコル「OAuth」の実装に問題があったという。その危険性とは。（2023/5/5）

フルスタックフレームワーク、T3 Stack入門（1）：
TypeScriptベースのフルスタックフレームワーク「T3 Stack」で極上の開発体験を　何がすごいのか？
フロントエンドエンジニアに向けて、Webアプリケーション開発のためのフルスタックフレームワークT3 Stackを解説する本連載。第1回はT3 Stackの概要とTodoアプリ作成を例にしたチュートリアルを紹介する。（2023/5/11）

Twitter APIの有料化はいつから？　何が変わる？　現状の対応を整理する
Twitterは、これまで無料で提供していたTwitter APIのサポートを終了すると発表しました。APIを使えば、外部サービスからTwitterのデータにアクセスして、それを利用することができます。無料APIを廃止することで、botを悪用するコストを高め、効果的にbotを排除しようという狙いがあるようです。（2023/2/24）

GitHubついに二要素認証を義務化へ
GitHubがサイバー攻撃対策に本腰を入れるようだ。（2022/12/17）

「Security Week 2022 秋」開催レポート：
USBメモリに機密情報を入れるのは“悪”なのか？　「使わざるを得ない」企業が採るべきセキュリティ対策
USBメモリ紛失による情報漏えいが相次いで報道され、データ管理の在り方を見直す機運が高まっている。取引先企業の都合などによってUSBメモリを使わざるを得ない企業はどのような対策を採るべきだろうか。（2022/10/19）

基本認証から先進認証へ：
Microsoft Exchange Onlineでベーシック認証を順次停止　10月1日から先進認証が必須に
Microsoftはこの3年間、Microsoft Exchange Onlineにおけるベーシック認証のサポート廃止をアナウンスし、よりモダンな認証方式への移行を促してきた。その期限が来月1日に迫る。いまもベーシック認証を使っている場合は早急に切り替えてほしい。（2022/9/28）

GitHubユーザーを標的とした新たなフィッシング詐欺　認証情報と2FAコードを窃取する手法とは
GitHubのユーザーが新たなフィッシング詐欺の標的になった。サイバーセキュリティ犯罪者は「CircleCI」になりすましてユーザーの認証情報や二要素認証コードを取得するキャンペーンを展開していたという。手法と影響は。（2022/9/28）

RPAは「自動化ツール」にあらず!?：
PR：RPAは「ローコード開発環境」と捉えよ　IT業務改善のプロに聞く、RPAを使いこなしてDXを推進するカギ
「RPAは自動化ツールではなく、ローコードの開発環境だ」――そう話すのが、RPA製品「AutoMate」を導入し、自社のワークフローサービスをアップデートしているケートリックの田付氏だ。果たして、その言葉の真意はどういったところにあるのか。そして、日本企業がRPAをこれまで以上に活用するためのカギとは。同社の事例から探る。（2022/7/28）

Cloud Nativeチートシート（17）：
コンテナ／Kubernetesの脆弱性、機密情報、設定間違いが分かるOSS「Trivy」徹底解説〜もうイメージスキャンだけとは言わせない
Kubernetesやクラウドネイティブをより便利に利用する技術やツールの概要、使い方を凝縮して紹介する連載。今回は、コンテナ／Kubernetesの脆弱性、機密情報、設定間違いを診断、検出するOSS「Trivy」を紹介する。（2022/6/24）

セキュアかつ迅速なサービス展開を実現する
APIエコノミー形成に欠かせない標準認証技術「OpenID Connect／OAuth」とは
金融機関をはじめ、さまざまな企業でビジネス拡大の切り札として「オープンAPI」を活用した外部とのサービス連携が進んでいる。ただしオープンAPI化にセキュリティの不安は付き物。安全なサービス連携を、どう実現すればいいのか。（2022/6/1）

個人向けGoogleアカウントでの基本認証は5月30日にサポート終了
メールソフトのGmailで、ユーザー名とパスワードだけのログイン（基本認証）がブロックされるようになる。（2022/5/27）

6つのオープンソースPaaS製品を比較【中編】
オープンソースPaaS製品「Cloud Foundry」「Dokku」「OKD」の違いとは？
オープンソースPaaS製品には代表的な製品が幾つかある。その中から、「Cloud Foundry」「Dokku」「OKD」の機能と特徴を説明する。（2022/5/25）

GitHubが2要素認証のデフォルト化を発表　度重なるサイバー攻撃に対抗
GitHubは全てのユーザーに「2要素認証」をデフォルトで適用するという旨を伝えた。2023年末までに同変更を適用すると説明している。（2022/5/10）

VMwareの複数製品に「緊急」の脆弱性　サイバー攻撃への悪用を確認済み
VMwareは複数の自社製品に脆弱性が存在すると発表した。既にサイバー攻撃に悪用されている深刻度「緊急」（Critical）に分類される脆弱性も含まれており注意が必要だ。（2022/4/16）

GitLabにアカウント乗っ取りの脆弱性　直ちにアップデート適用を
GitLabに「緊急」（Critical）に分類される脆弱性が見つかった。アカウント乗っ取りの可能性もあることから直ちにアップデートを適用することが推奨される。（2022/4/5）

Cloud Nativeチートシート（12）：
不正アクセス、盗聴を防ぐ――マイクロサービスのセキュリティを向上させる4つのIstio機能
Kubernetesやクラウドネイティブをより便利に利用する技術やツールの概要、使い方を凝縮して紹介する連載。今回は、Istioのセキュリティ機能に焦点を当て、通信の暗号化、認証／認可の機能を紹介する。（2022/1/21）

「Ruby biz Grand prix 2021」表彰式レポート：
PR：新たなビッグビジネスを予感させる9サービスを表彰
まつもとゆきひろ氏によって開発されたプログラミング言語「Ruby」を活用し、新たなビジネス価値を創造するサービスや商品を展開している企業を表彰するビジネスコンテスト「Ruby biz Grand prix 2021」の表彰式が、2021年12月15日に開催された。（2022/1/18）

「面倒なくスタートアップ企業と同じようなアプリが作れる」：
ローコード開発のOutSystemsが、マイクロサービス化した次世代版「Project Neo」を発表
OutSystemsが、同社のローコード開発プラットフォームで、コンテナとクラウドを活用する次世代版、「Project Neo」を発表した。マイクロサービス化しており、スタートアップ企業と同じようなアプリケーションサービスの開発と運用が、一般企業でも煩雑な作業なしにできるとしている。（2021/11/19）

HTTPリクエストで攻撃シミュレーションを実行可能：
セキュリティ対策を評価するサーバレスアプリ「Cloud Katana」をオープンソース化　Microsoft
Microsoftは、クラウドとハイブリッドクラウド環境におけるセキュリティ対策を評価するサーバレスアプリケーション「Cloud Katana」をオープンソース化した。（2021/8/27）

「セキュアリモートアクセス」導入・選定ガイド【第4回】
セキュアリモートアクセスの根幹技術「IAM」の要チェック機能とは？
「IAM」は、セキュアリモートアクセスの構築に重要な役割を果たす。IAMを構成するさまざまな技術のうち、製品選びで特に注目すべきものは何か。専門家の意見を基に整理する。（2021/8/30）

データ仮想化ツールの機能と主要5製品【中編】
「Actifio Sky」「Denodo Platform」とは？　データ仮想化の主要ツールを比較
さまざまなデータを活用する際に有用な「データ仮想化」ツールには、どのような選択肢があるのか。主要なデータ仮想化ツールのうち「Actifio Sky」「Denodo Platform」を取り上げる。（2021/7/30）

認証情報やWebフックを平文でハードコード：
1000本以上のAndroidアプリが認証情報を無防備な状態で保存、Comparitechが調査
人気のAndroidアプリケーション2500本について機密認証情報の扱いをComparitech.comの研究者が調べたところ、1057本では少なくとも1つの機密認証情報が無防備な状態で保存されていることが明らかになった。（2021/4/22）

Google、12月14日の約45分間ダウンの原因と対策を詳解
Gmailやカレンダーなど、ログイン認証が必要な多くのサービスが12月14日に約45分間使えなくなった問題について、Googleが原因と対策を説明した。（2020/12/21）

「Xi Frame」と「Citrix Managed Desktops」を比較【前編】
NutanixのDaaS「Xi Frame」とは？　利点と注意点を整理
ハイパーコンバージドインフラ（HCI）で知られるNutanixが、専業ベンダーの買収を経て提供を始めたDaaSが「Xi Frame」だ。その機能と特徴、課題を整理する。（2020/12/15）

IAMに取り組む方法【後編】：
IAMマネージドサービスの可能性と選び方
IAMマネージドサービスの選択に当たっては、確認すべき項目が多数ある。自社に最適なサービスをどう選べばいいのか。検討項目や推奨事項を紹介する。（2020/10/21）

契約業務をDropboxで完結　電子署名サービスがスタート
Dropboxは、HelloSignの日本向けの提供を開始すると発表した。Dropboxと連携した一機能として提供する。契約締結業務における電子署名を拡大し、脱ハンコを促進させる目的だ。（2020/10/1）

異なる特徴を持つ、さまざまな本人確認APIサービス：
PR：オンライン本人確認の未来　キャリアと銀行の本人確認APIは何をもたらすか？
オンラインサービスの事業者にとって、ユーザー登録のハードルを下げ、なおかつ本人確認の手間と時間を大幅に削減できるソリューションが入手可能となりつつある。携帯キャリアが提供する本人確認API、銀行が提供する本人確認API――。そして、それらを組み合わせることで、利便性と厳密性を併せ持つことも可能だ。（2020/8/24）

セキュリティ機関SANS Institute、フィッシング詐欺メールで個人情報流出
1通のフィッシング詐欺メールが原因で、2万8000件もの個人情報が流出したとみられる。SANSは被害に遭ったユーザーにメールで通知している。（2020/8/14）

Tech TIPS：
OutlookからIMAPでGmailにアクセスするためのノウハウ
メールサーバをGmailに移行しても従来使っているメーラーは使い続けたい。そのような場合はGmailの設定を変更すればIMAP経由でメーラーと接続できる。OutlookでGmailとのIMAP接続を実現する方法を詳細に解説する。（2020/6/10）

Graebert Japan Annual Meeting 2020：
大成建設が「ARES Touch」をカスタマイズ、27秒で立ち上げからクラウドストレージ接続までを実現
大成建設はタブレットとスマホ上でDWG互換CADに、施工現場から写真の添付やコメント、マークアップなどが行えるクラウド「ARES Touch」をカスタマイズし、作業性を高めている。（2020/5/8）