最新記事一覧
2023年11月28日、アイティメディアが主催するセミナー「ITmedia Security Week 2023 冬」の「多要素認証から始めるID管理・統制」ゾーンで、イー・ガーディアングループCISO(最高情報セキュリティ責任者)兼 EGセキュアソリューションズ 取締役 CTO(最高技術責任者)の徳丸浩氏が「認証の常識が変わる――認証強化の落とし穴と今必要な施策」と題して講演した。「認証」をキーワードとし、これまでパスワードに頼り切りだった古典的な手法による認証システムが攻撃される中、新たな技術でどこまで人と情報を守れるのか。認証の現状と今必要な対策を語るセッションだ。本稿では、講演内容を要約する。
()
動画配信サービスでしばしば問題に挙がる「アカウント共有問題」。今まで黙認されてきたこの行為ですが今後はNetflixやDisney+なども対策に本腰を入れるようです。セキュリティの観点からこの問題を考えてみます。
()
セキュリティは大変奥深いもので、登山に例えると頂上付近には濃霧や雲が立ちはだかり、どこまで山が続くのか分からないという印象を与えます。ただしそんな領域にも第一歩を踏み出すためのドキュメントが用意されているのです。
()
ECの増加と共に、非対面でのクレジットカード利用も大きく伸びている。しかし同時に増加したのが不正利用だ。対策として進められてきたのが3Dセキュア(3-DS)だ。しかし、EC利用ではまだ対応が半分に至っていない。ECショップ側が3-DSに対応しない理由は何か。
()
DXの一環で自社のECサイト構築を考えている企業もいることでしょう。ただし、その際にセキュリティをおろそかにすると、クレジットカードなどの顧客情報が漏えいして恐ろしい事態に発展することも。そんな悲劇を回避するにはどうすればいいのでしょうか。
()
小島プレス工業が不正アクセス被害に関する調査報告書を公開しました。本稿は、報告書を読み解きつつ、サプライチェーン攻撃に備えて企業がまずやるべきことを明らかにします。
()
企業がパスワードレス認証を導入するにはさまざまな壁を乗り越える必要がある。オフィス外で働く従業員や社外スタッフに適したパスワードレス認証の手段とは。
()
Gmailのユーザーにとってログインの度にパスワードを入力するのは安全である一方で面倒な作業です。何とかこれを楽にできないか調べてみたところスマートフォンを活用した方法が見つかりました。
()
金融機関を狙うサイバー攻撃を防ぐには、ユーザーへの周知と技術的な対策の強化が必要だ。しかし既存のシステムでは検出精度や運用コストに課題がある。それらを解決する、金融分野に長(た)けたポーランドの企業が日本市場に進出している。
()
NTTドコモの直販サイト「ドコモオンラインショップ」で商品代金をクレジットカードで支払う場合の条件が厳格化された。1月12日以降は、「3Dセキュア2.0(EMV3Dセキュア)」に対応するカードを使うことが必須となる。
()
我が国の重要インフラ防護政策は、2000年から開始され、20年が経過したところ。サイバーを取り巻く脅威はとりわけ近年増大しており、こうした状況を踏まえ、事業者の成熟度、多様性を考慮した改善策が今日的な課題となっている。
()
企業がDXを推進していく上で欠かせないセキュリティ対策。中でもユーザー認証は、正しく行われないとセキュリティ対策の根本が揺らいでしまう重要な要素であるが、さまざまな課題を抱えているパスワード認証が依然として多くのサービスで使われている。そんな中、近年注目され、採用が相次いでいるのが、FIDO(ファイド)の規格をベースにしたユーザー認証方式だ。
()
働き方が「社外前提」に変わりつつあるいま、多くの企業が「社内で働くこと」が前提だったネットワークやセキュリティの仕組みを見直しつつある。そうした中で注目されている「ゼロトラスト」だが、まだまだ実装には至らない例が多い。その理由と現実的なゼロトラスト実装法とは。
()
毎年5月の第一木曜日は「世界パスワードの日」(World Password Day)です。今回は、映画アイアンマンシリーズで出てきたパスワードが強度のあるものかどうか検証してみましょう。
()
ここ1年で認知度が高まった「ゼロトラスト」。企業内でゼロトラストをどのように考え、検討していくべきかを考える。
()
日本IBMはIDaaS「IBM Security Verify」を発表した。「IBM Cloud」の東京リージョンで提供予定だ。SSOや多要素認証機能、アプリケーションに対する適応型アクセス制御機能などを備える。
()
2020年に銀行口座からキャッシュレス決済事業者への不正出金が一斉に判明した問題で、銀行や決済サービス事業者がセキュリティ対策を強化した。その中で、頻繁に話題に出てくるのが「2要素認証」と「2段階認証」、そして「eKYC」だ。不正へのセキュリティ対策として、万全ではないし唯一の解でもないが、各社が採用を進めるこれらの技術についてまとめた。
()
クラウドサービスの活用が急務の今、必要となる“考え方の転換”やアプローチについて、クラウドセキュリティにおける意識調査のレポートを公開した2社に話を聞いた。
()
ゼロトラストへの取り組みでは、多様な既存の社内ITシステムに対する認証を、統合的に強化する必要がある。エージェントレスでこれを容易に実現できるリスクベース認証基盤製品の「Silverfort」が、日本での販売を開始した。
()
オンラインサービスの事業者にとって、ユーザー登録のハードルを下げ、なおかつ本人確認の手間と時間を大幅に削減できるソリューションが入手可能となりつつある。携帯キャリアが提供する本人確認API、銀行が提供する本人確認API――。そして、それらを組み合わせることで、利便性と厳密性を併せ持つことも可能だ。
()
IDC Japanによると、国内企業向けのモバイルセキュリティ市場は2024年に138億円規模、クラウドセキュリティ市場は2024年に272億円規模に成長する見込み。コロナ禍によるリモートワークの増加や、それに伴うパブリッククラウドの利用拡大が市場成長を後押しているという。
()
テレワークやクラウドサービスの活用に伴い、にわかに「ゼロトラストセキュリティ」というキーワードをあちこちで耳にするようになった。具体的にどんなコンセプトを指し、どこから取り組めばよいのだろうか。
()
認証について分かりやすく解説する連載。今回のテーマはbotを見破る技術である「CAPTCHA」。
()
セキュアスカイ・テクノロジーが、Webサービスの認証を取り巻く「攻撃」と、それに付け入れられる隙となる「脆弱性」の実態を紹介するセミナーを開催。積極的に脆弱性診断を受けるほどセキュリティに気を配っているサイトでも、不備が多々見つかったという。
()
ITを生かした新しい金融サービスが続々登場する中、どうしても「紙」「郵送」の手続きが必要だった本人確認(KYC)の世界が法改正によって大きく変わろうとしている。その変化とは、どういうものなのだろう。
()
フィッシング対策協議会の認証方法調査・推進ワーキンググループが発表したインターネットサービス事業者が採用している認証方法についての調査結果によると、IDとパスワードのみの認証方法が大多数で、パスワードを平文で管理している事業者が14%あった。
()
ID管理を取り巻く環境は急激に変化している。そこにはどんな課題があるのか。「IDaaS」はどこまで使えるのか。
()
認証まわりの話題について分かりやすく解説する連載。今回はクレジットカードの本人認証サービス「3Dセキュア」などについて解説します。
()
ITmedia エンタープライズのセキュリティセミナーにセブン銀行のCSIRT「7BK-CSIRT」が登場。システム部門だけではなく、商品開発部門をメンバーに加え、マーケティングの視点を持って、金融犯罪対策を進めているのだという。
()
@ITは、2018年6月22日、東京で「@ITセキュリティセミナー」を開催した。本稿では、エントラストジャパンの講演「パスワード定期変更不要って本当?? 今必要な認証の仕組み教えます!」の内容をお伝えする。
()
寝ているときすら気を抜けない時代に身を守る方法とは。
()
RSAは、ホワイトペーパー「2018年のサイバー犯罪の現状」を発表し、「アカウント乗っ取りの増加」「サイバー犯罪は新しいインフラに拡大」「新たな脆弱性が登場」「3D SECURE 2.0導入準備」の4つの動きが今後顕著になると予想した。
()
環境の変化や政府が求めるセキュリティ基準を踏まえ、ユーザーに制約を課すことなくセキュリティを強化するためのポイントとは何か。エントラストジャパンのカントリーマネージャーである堀川隆治氏が行った「NASAジェット推進研究所が選んだ認証セキュリティ」という講演からそのヒントを探る。
()
製造業におけるIoT活用は大きなメリットを生みますが、よりセキュリティへの配慮が求められます。セキュリティ技術そのものはITセキュリティと大差ありませんが、IoTという「用途」が大きな違いを生むことを理解する必要があります。
()
国内企業向けモバイルセキュリティ市場をIDCが分析。市場規模は2021年に130億円になると予測。その一方、シャドーITなどのリスクに対するセキュリティが重要になると指摘する。
()
RSAの企業向け認証システム「RSA SecurID Access」の「リスクベース認証機能」が強化。これまでのスタティック分析だけでなく「ダイナミック分析」も組み合わせることで判定精度を向上。ユーザー利便性も高められた。
()
米大統領選中に発生した地方自治体職員へのサイバー攻撃は、新たな流出文書でロシアの関与が明らかになった。投票改ざんの有無は不明だが、攻撃者は地方特有の“隙”を狙ったのではないか、という見方がある。
()
「Gmail」経由でGoogleアカウント情報を不正に入手する新たなフィッシング詐欺が発生した。その手口は単純にも見えるが巧妙で、気付くのが難しいという。
()
ノベルがシングルサインオンシステムの最新版「NetIQ Access Manager 4.3」をリリース。強化したSaaSアプリの統合ID管理機能を備え、あらかじめ100以上のSaaSアプリ用コネクターを提供する。
()
クラウド名刺管理サービスのフル機能を利用しつつ、セキュリティと運用管理性も同時に高めたい――。こうした企業のニーズに応えるために、SansanはAzure ADとのID連携に踏み切った。Sansanを利用する企業のメリットは、シングルサインオン(SSO)、セルフサービス型のパスワード管理、高度なセキュリティ機能などを利用できることだ。
()
ネットバンキングの振込み手続きを利用者に通知して確認を求めることで、不正送金を防ぐ。
()
2016年2月26日、東京・青山ダイヤモンドホールで開催された「@IT セキュリティセミナー2016」の中から、特に注目を集めた「ID管理の重要性」を説く講演をレポート。
()
モバイルデバイスの企業利用を安全に進めるのに役立つEMM製品。IT管理者にもたらすメリットが多いEMM製品だが、導入に当たっては注意すべき点もある。
()
オンプレミスでの実装と比べて、IDaaSのセキュリティは大丈夫なのか? 引き続きAzure ADを例に、IDaaSでの認証やID管理、監査機能について解説する。
()
IDaaS(Identity as a Service)はどのように利用できるのか? 実際のサービスの1つ「Microsoft Azure Active Directory(Azure AD)」を例に挙げて、オンプレミスと比較しながら具体的に解説する。
()
これまで社内設置が当たり前だったアイデンティティ(ID)管理/認証システム。でも「クラウド」「モバイル」に代表される激烈な変化に対応できる、と本当に思っていますか? ID管理/シングルサインオンの新たな選択肢「IDaaS」について解説する連載開始!
()
総務省がWebサービス企業に対しパスワードの管理・運用実態について調査したところ、約3割が不正ログインの被害を受けており、約4割がパスワードのハッシュ化をしていないという結果だった。
()
認証の今後を考える上で、特に重要となるクラウドとモバイル。どのような認証の仕組みが利用できるのだろうか。現状を整理する。
()