Hello,World! gonowayです。 弊社がご支援するお客様とお話するなかで、多要素認証のためにIDaaSが提供しているアプリケーション(以降、認証アプリ)を私物モバイル端末にいれていいのか?という疑問に、わたしたちが普段お客様にご案内していることをざっくりまとめてみました。 3行まとめ 現代では外部の不正ログインから守るために多要素認証が必須になってきている。 多要素認証の実現のため、会社モバイル端末であれ私物モバイル端末であれ認証アプリはインストールしてほしい。 私物モバイル端末にインストールしてもらう場合、エンドユーザーへの説明を行うことが必要。また、ガラケーしか持っていないような例外措置への対処を考えることも必要。 前提 認証要素について 認証要素は下記の3種類です。NIST SP800-63を参考にしています。 記憶によるもの:記憶(Something you know
はてなへのログインがパスキーと多要素認証に対応し、よりセキュアになりました - はてなの告知
2024/3/25 17:37 追記 Firefox と1Password の組み合わせを利用していた場合、パスキーの生成が失敗する不具合が発生しておりました。現在は修正済みです。ご不便おかけし申し訳ございませんでした。 本文 平素よりはてなをご利用いただきありがとうございます。 はてなIDが「パスキー」「多要素認証」を利用した認証に対応しましたことをお知らせいたします。 また、本対応に合わせてアカウント関連の画面デザインをリニューアルいたしました。 パスキーとは パスキーとはお持ちのスマートフォン・PC・タブレット端末等に搭載されているロック機能を使用してウェブサイトやアプリにログインできる仕組みです。パスキーをご利用いただくことにより、パスワード認証時における第三者からの不正ログインやフィッシングなどのリスクの低減が期待できます。 パスキーの設定方法はこちらをご参照ください パスキーの
平素より、はてなブログをご利用いただきありがとうございます。 はてなIDが「パスキー」「多要素認証」を利用した認証に対応しました。 ユーザー設定画面より本機能を有効としていただくことで、ログイン時における第三者からの不正ログインやフィッシング、なりすましなどのリスクの低減が期待できます。 是非ご利用下さい。 詳しくは以下のはてなヘルプをご参照下さい。 パスキーについて知りたい https://hatena.zendesk.com/hc/ja/articles/29891566718745 パスキーを設定すると、パスワードはどうなりますかhttps://hatena.zendesk.com/hc/ja/articles/29891880668953 パスキーの設定方法 https://hatena.zendesk.com/hc/ja/articles/29891975697177 パスキー設
SlackやZoomは学生や教職員間のコミュニケーションに活用。学生が、一般企業でよく使われるITツールに慣れやすいようにするという。今回導入したシステムは大学の学生・教職員に加え、中学部や高等部の教員も利用する。各ツールの導入は日商エレクトロニクスや三井情報といったシステム開発事業者が支援した。 関連記事 新入生にiPad配布へ 名古屋文理大情報メディア学科 名古屋文理大学は、情報メディア学科に来春入学する新入生全員にiPadを無償配布すると発表した。iPadを学生に無償配布する大学は国内初という。 近畿大、全学生に「Slack」導入へ 絵文字もOK、教職員と気軽にやりとり目指す 近畿大学が、全学生に「Slack」を導入する計画を発表。2020年4月に830人の学生へ導入。対象範囲を順次広げていく。 近畿大、全教員が「Slack」利用へ “お堅い”やりとりなくす 近畿大学が、全教員向けに
Amazon Web Services(AWS)は、セキュリティの強化の一環として、AWS Organizations管理アカウントのrootユーザーでマネジメントコンソールにサインインする場合、2024年半ばから多要素認証を必須にすることを明らかにしました。 Not using MFA? You should be. Starting in 2024, we're enhancing our MFA requirements to further strengthen our customers' default security posture. Learn more in this blog post. #securebydesign #MFA #security #protect #shieldsuphttps://t.co/2nBtdxFoxj pic.twitter.com/E
Cisco、多要素認証のないVPNを狙うランサムウェア「Akira」を報告:攻撃方法の詳細は分析中 Cisco Systemsは2023年8月24日(米国時間)、多要素認証が設定されていないCisco VPNを標的にしたランサムウェア「Akira」の攻撃で、同社顧客のシステムが被害を受けたと発表した。 VPNの実装、利用において多要素認証(MFA)を有効にすることの重要性は明らかだ。MFAを導入することで、組織はランサムウェア感染を含め、不正アクセスのリスクを大幅に低減できる。ブルートフォースアタック(総当たり攻撃)により、攻撃者がユーザーのVPN認証情報を取得した場合でも、MFAなどの追加の保護を設定することで攻撃者がVPNに不正アクセスすることを防げると、Ciscoは述べている。 ランサムウェアのAkiraとは Ciscoによると、Akiraの最初の報告は2023年3月にさかのぼる。A
Introduction 在宅勤務の増加に伴い普及したVPN(仮想私設網)機器が国内でのサイバー防衛の「抜け穴」となっている。ランサムウエア(身代金要求型ウイルス)に侵入を許す原因の7割を占め、港湾や病院といった大規模攻撃の端緒にもあげられる。企業はどう対処すべきなのか。弁護士で、内閣サイバーセキュリティセンター(NISC)タスクフォース構成員などをつとめた山岡裕明氏が解説する。(聞き手はサイバーセキュリティーエディター 岩沢明信)
この記事は新野淳一氏のブログ「Publickey」に掲載された「AWS、マネジメントコンソールへのrootでのサインインに多要素認証を必須に。2024年半ばから」(2023年10月10日掲載)を、ITmedia NEWS編集部で一部編集し、転載したものです。 米Amazon Web Services(AWS)は、セキュリティの強化の一環として、AWS Organizations管理アカウントのrootユーザーでマネジメントコンソールにサインインする場合、2024年半ばから多要素認証を必須にすることを明らかにしました。 下記はブログ「Secure by Design: AWS to enhance MFA requirements in 2024」からの引用です。 Beginning in mid-2024, customers signing in to the AWS Managemen
MFAの導入はMicrosoftに限らず多くのセキュリティベンダーに推奨されており、セキュリティの観点からも非常に効果的な対策だ。だが、サイバー攻撃者もこれを突破するための新しい戦術を考案しており、その一つがMFA疲労攻撃だ。 Microsoftはこの攻撃に対応するために、Microsoft Authenticatorに「ナンバーマッチング」と呼ばれる機能を既に導入している。これはユーザーがログイン認証するタイミングでサインイン画面に表示される番号を入力しなければならないというもので、認証に一手間必要になることから、MFA疲労攻撃に有効とされている。 しかし同社によると、この機能は一定の成果は出ているもののMFA疲労攻撃による通知自体は減らせていないという。そのため今回の新機能では通知そのものを減らすことで、ユーザーの利便性を大幅に向上させる狙いがある。この機能を利用すれば、プッシュ通知は
はてな、「はてなID」のログインを安全性の高い「パスキー」と「多要素認証」に対応 - プレスリリース - 株式会社はてな
株式会社はてな(代表取締役社長:栗栖義臣/本社所在地:京都市中京区)は、はてなの提供するサービスの利用時に必要な「はてなID」でのログインにおいて、パスワードレスの生体認証機能「パスキー」と多要素認証の「TOTP(Time-Based One-Time Password)」に対応しました。「はてなブログ」や「はてなブックマーク」などの個人向けサービスや、「はてなブログMedia」などの法人向けサービスをご利用のユーザーは、これらの認証を利用することにより、これまで以上に安全で便利なアカウント管理が可能になります。 ▽ 「はてなID」でご利用いただけるサービス例 記事やコメントの投稿に「はてなID」へのログインが必要なサービスには、以下のようなものがあります。 はてなブログ https://hatena.blog はてなブックマーク https://b.hatena.ne.jp 人力検索はて
多要素認証は、ユーザがシステムへのアクセスを許可する際に、複数の要素を組み合わせて認証するセキュリティ手法です。 認証は、以下3つのタイプの要素があります: 要 素 認証方式の例 記 憶 パスワード認証/暗証番号(PINコード)等 所 持 端末認証/ICカード認証 等 属 性 生体認証(指紋認証/顔認証 等) 多要素認証は、1つだけの認証より、セキュリティを高めることができます。例えば、パスワードを知っているだけではアクセスできないよう、さらにスマートフォンで生成されたワンタイムパスコードを要求するなどです。 これにより、不正アクセスを困難にし、セキュリティを強化することができます。 2要素認証に該当するものはどれか。 ア 2本の指の指紋で認証する。 イ 虹彩とパスワードで認証する。 ウ 異なる2種類の特殊文字を混ぜたパスワードで認証する。 エ 異なる2つのパスワードで認証する。 ~「基本
小学生でも多要素認証の今、企業の認証/ID管理は使いにくい、不自由にもほどがある 未来は変容するのか:ITmedia Security Week 2024 冬 2024年2月27日、アイティメディアが主催するセミナー「ITmedia Security Week 2024 冬」の「多要素認証から始めるID管理・統制」ゾーンで、パロンゴ 取締役 兼 最高技術責任者 林達也氏が「デジタルアイデンティティー時代のID管理・認証/認可の変容と社会受容」と題して講演した。産官学でデジタルアイデンティティーをウオッチし、策定にまで関わる同氏が、ゼロトラスト時代に重要な認証、認可の現在を、「社会受容」というキーワードを絡めて解説するセッションだ。
ChatGPTによる「多要素認証」をテーマとした物語 ジェイクは大手ソフトウェア企業のセキュリティエンジニアで、彼の仕事は会社のデータを守ることでした。 最近、サイバー攻撃が増加しており、ジェイクは新しいセキュリティプロトコルを導入することを提案しました。 その新しいプロトコルは「多要素認証(MFA)」で、パスワードだけでなく追加の認証要素が必要です。ジェイクはMFAの導入に熱心で、会社の経営陣を覚悟しました。 導入後、社内の従業員は初めは違和感を思い出しました。毎回、アプリで生成されるセキュリティコードを入力する手間がかかりましたが、ジェイクはセキュリティの重要性を強調し、みんなが安心してサポートまでしました。 やがて、ジェイクは不審な活動を検出しました。誰かが社内システムに侵入しようとしていました。パスワードは既知のものでしたが、MFAが攻撃者を阻止しました。ジェイクとセキュリティチー
多要素認証はこうして突破される 5大攻撃手法と防御策
サイバー攻撃を防ぐためにパスワードに加えて多要素認証が広く使われている。だが多要素認証は必ずしも安全ではない。多要素認証を突破する攻撃のテクニックと、攻撃を防ぐ方法について紹介する。 サイバー攻撃に対してパスワードはあまりにも守りが弱い。そのため、パスワードに加えて何らかの要素を追加して防御する多要素認証(MFA)が広く使われている。 だが多要素認証を導入すれば鉄壁の守りが手に入ると考えてはいけない。攻撃者がどのような手口で多要素認証を突破するのか、攻撃を防ぐにはどうすればよいのかを紹介する。 多要素認証をどうやって突破するのか Keeper Securityのティム・トラン氏は多要素認証の弱点と、弱点をカバーする方法を次のようにまとめた。 多要素認証を有効にすると、オンラインアカウントの保護がより強力になる。パスワードだけを使うよりも良い方法だ。だが、一部の多要素認証はサイバー攻撃に対し
こんにちは、富士榮です。 今回は多要素認証の話です。ソーシャルIDなどの外部IdPと連携をする際、外部IdP側がパスキーに対応している場合もあり、基本的にRP側はIdPの認証結果を信じて何もしないという文字通り「Relying」な感じで構成されることが多いと思います。 しかしながら、本当にそれでいいの?とうケースも存在すると思うので、少し深掘りしてみましょう。中々難しい話だと思いますが、IdP側(例えばGoogle)で認証を強化するか、RP側(例えばECサイト)で認証を強化するか、もしくは両方か、についてユーザ体験の妥当性を含めて考えていかないといけないところです。IdPもRPもそれぞれ責任範囲が異なるので基本的に自分の責任範囲を守る目的で多要素認証を要求していますが、ユーザから見るとなぜ別々に、、という形に見えてしまうことも事実です。 この問題を根本的なところは先に書いた通り責任範囲の話
AWSが多要素認証の導入に“本気” GoogleとMicrosoftはどうする?:Cybersecurity Dive AWSは最高権限を持つユーザーに対して、2024年半ばから多要素認証(MFA)の使用を義務付ける予定だ。MFAはクラウドセキュリティの中核をなす対策であり、有効化が推奨されている。 Amazon Web Services(AWS)は最高権限を持つユーザーに対して、2024年半ばから多要素認証(MFA)の使用を義務付けると発表した。将来的にはさらに多くのアカウントタイプに対して同義務を課していく。AWSはこの動きによって、ハイパースケーラーの中で初めて、MFAの基本的な制御をデフォルトで導入することになる。 AmazonのCSO(最高戦略責任者)のスティーブ・シュミット氏は2023年10月3日(現地時間、以下同)のブログ投稿で「AWSは、顧客のデフォルトのセキュリティ体制を
ランサムウェアをはじめとしたサイバー攻撃に備えてゼロトラストセキュリティを構築することは企業の喫緊の課題であり、その第一歩とも言えるのが多要素認証だ。これを手軽に導入するにはどうすればいいか。 企業が保有する重要情報や個人情報が外部に漏えいするインシデントが後を絶たない。こうした情報漏えいを引き起こす要因の一つがID/パスワードの漏えいだ。同じパスワードを使い回していたり推測しやすい脆弱(ぜいじゃく)なパスワードを使っていたりすることで、アカウントが乗っ取られるリスクが上がる。 ランサムウェアをはじめとしたサイバー脅威が激化し、街への侵入を壁で守るような境界型防御のアプローチが限界を迎えている今、企業はゼロトラストセキュリティという新たな防御アプローチへと移行する必要がある。これを実現する第一歩が、多要素認証を導入し、上述のリスクがあるID/パスワードだけの認証から脱却することだ。本稿はそ
はてなへのログインがパスキーと多要素認証に対応!より安全にはてなブログをお使いいただけます! - 週刊はてなブログ
平素より、はてなブログをご利用いただきありがとうございます。 はてなIDが「パスキー」「多要素認証」を利用した認証に対応しました。 ユーザー設定画面より本機能を有効としていただくことで、ログイン時における第三者からの不正ログインやフィッシング、なりすましなどのリスクの低減が期待できます。 是非ご利用下さい。 詳しくは以下のはてなヘルプをご参照下さい。 パスキーについて知りたい https://hatena.zendesk.com/hc/ja/articles/29891566718745 パスキーを設定すると、パスワードはどうなりますか https://hatena.zendesk.com/hc/ja/articles/29891880668953 パスキーの設定方法 https://hatena.zendesk.com/hc/ja/articles/29891975697177 パスキー
企業で多要素認証を行う難しさ 認証系の製品のサポートを行うことが多い立場柄、多要素認証が導入できていないお客様には、多要素認証の重要性や必要性を説明する機会も多いのですが、「うちの会社では〜〜〜だから、多要素認証できないんですよ」みたいな事を言われるケースが多くあります。確かに、多要素認証をユーザーの方にセットアップしていただき、使っていいただくという事は様々な観点での課題があると思いますし、それらの課題を解決していくというのは、大きな会社になればなるほどかなり大変だと思います。 会社の IT を管理していたり、アカウント/認証系のシステムに携わっている方には耳タコだと思うので今更、多要素認証の重要性や必要性をつらつらと記事にする必要はないかと思いますが、やりたいとは思っていても様々な要因で多要素認証を適用できていない状況の会社は意外と多いと感じましたので、私が出会った課題やそれぞれについ
セキュリティー大手の米プルーフポイントはログイン時に複数の認証を使う多要素認証を突破して不正にログインするサイバー攻撃が急増しているとする調査結果を発表した。2022年8月の月1万件から9月以降に急増し、23年5月は月170万件を超えた。多要素認証への攻撃を請け負うサービスが闇サイト上に登場したことが背景にある。米グーグルや米マイクロソフトなどのクラウドサービスが攻撃対象になっている。攻撃者は
株式会社はてな(代表取締役社長:栗栖義臣/本社所在地:京都市中京区)は、はてなの提供するサービスの利用時に必要な「はてなID」でのログインにおいて、パスワードレスの生体認証機能「パスキー」と多要素認証の「TOTP(Time-Based One-Time Password)」に対応しました。「はてなブログ」や「はてなブックマーク」などの個人向けサービスや、「はてなブログMedia」などの法人向けサービスをご利用のユーザーは、これらの認証を利用することにより、これまで以上に安全で便利なアカウント管理が可能になります。 ▽ 「はてなID」でご利用いただけるサービス例 記事やコメントの投稿に「はてなID」へのログインが必要なサービスには、以下のようなものがあります。 はてなブログ https://hatena.blog はてなブックマーク https://b.hatena.ne.jp 人力検索はて
Azure Active Directoryにおける段階的な多要素認証の強化を確認、設定する方法:企業ユーザーに贈るWindows 11への乗り換え案内(15) Microsoftは2023年4月、Azure Active Directoryで管理される組織のアカウントに、新たに「システムが優先する多要素認証」機能を追加し、今後、最も安全な認証方法を提示するように、段階的に切り替えていくことを発表しました。 企業ユーザーに贈るWindows 11への乗り換え案内 「システムが優先する多要素認証」とは? 「Microsoft Azure」サブスクリプションや「Microsoft 365」サブスクリプションなどで使用されるIDとアクセス管理サービス「Azure Active Directory(Azure AD)」では、電話やSMS(ショートメールメッセージ)、メール、認証アプリ(「Micro
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
多要素認証を私物スマホでやっていいのか問題
はてなへのログインがパスキーと多要素認証に対応しました。 - はてなブログ開発ブログ
Slack、Box、Zoom、Oktaを全学導入 脱PPAPや多要素認証を実現 関西学院大学
AWS、マネジメントコンソールへのrootでのサインインに多要素認証を必須に。2024年半ばから
「はてなID」が「パスキー」と多要素認証の「TOTP」に対応/従来よりも安全にアカウントを運用できるように
Cisco、多要素認証のないVPNを狙うランサムウェア「Akira」を報告
ランサムウェア侵入、「VPN」が7割 多要素認証で被害抑制を - 日本経済新聞
AWS、マネジメントコンソールへのrootでのサインインは多要素認証が必須に 2024年半ばから
Microsoft Authenticator 新機能で多要素認証疲労攻撃に対処
セキュリティを強化する多要素認証の魅力とは? #セキュリティ #多要素認証 - 叡智の三猿
小学生でも多要素認証の今、企業の認証/ID管理は使いにくい、不自由にもほどがある 未来は変容するのか
セキュリティエンジニア ジェイクが提案する「多要素認証」の導入と従業員の対応 - 叡智の三猿
外部IdP利用時にRP側"でも"多要素認証を行うべきか
AWSが多要素認証の導入に“本気” GoogleとMicrosoftはどうする?
ゼロトラストセキュリティの第一歩 多要素認証を手軽に導入する秘訣
もう、「うちの会社では多要素認証出来ない」と言わせたくない!
多要素認証を突破する攻撃が急増 昨夏から100倍以上に - 日本経済新聞
はてな、「はてなID」のログインを安全性の高い「パスキー」と「多要素認証」に対応
Azure Active Directoryにおける段階的な多要素認証の強化を確認、設定する方法