認証(記憶・所持・生体)
山本くんは個人が所有するパソコンからアクセスするいくつかのWebサイトに会員登録してます。また、会社から貸与されたパソコンから業務で使うWebサービスにログインしてます。複数のシステムでパスワードを使い分けるのは、管理が大変なので、同じパスワー…
ChatGPTによる「子どもに向けた情報セキュリティの童話」をテーマとした物語 むかしむかし、ある村にひみつの守り神が住んでいました。その守り神は、村の人々の大切なものを守るために日々働いていました。ある日、守り神は村の子どもたちに大切なお話をし…
2020年、コロナのまん延によって、会社は在宅ワークを勧めざるを得ない状況となりました。テレワークの普及により、クライドサービスの利用が拡大しました。クラウドサービスを利用すると、インターネットに接続できる場所なら、どこからでも業務に必要…
20世紀、すでにログイン認証はIDとパスワードによって行われてました。しかし、実態としての認証はカタチだけのモノでした。当時、わたしは大きな製造業の社内SEでした。社員が使っているパソコンのメンテナンスを多くやってきました。利用者のノート…
多要素認証は、ユーザがシステムへのアクセスを許可する際に、複数の要素を組み合わせて認証するセキュリティ手法です。認証は、以下3つのタイプの要素があります: 要 素 認証方式の例 記 憶 パスワード認証/暗証番号(PINコード)等 所 持 端末認証/ICカー…
SESエンジニアとして客先に常駐していると、ことのほか余計な事務処理が多いと感じます。SESとは「システム・エンジニアリング・サービス」の略です。エンジニアの労働力をお客様に提供する契約形態を指します。客先に常駐する意味で派遣のエンジニアと同じ…
ChatGPTによる「 西暦2100年のサイバーテロ」をテーマとした物語 西暦2100年、世界はサイバー・テロの恐怖に包まれていた。主人公、エイミー・カーターはサイバー犯罪組織の事件だった。彼女の使命は、見事に仕組まれたサイバー攻撃の阻止だった。テロリスト…
ChatGPTによる「フィッシング詐欺に遭遇した人」をテーマとした物語 数年前、私はフィッシング詐欺の被害者になりました。それは私の人生において一番後悔している奇妙なの一つです。ある日、私は普段通りにメールをチェックしていました。 そこで私が利用し…
ChatGPTによる「多要素認証」をテーマとした物語 ジェイクは大手ソフトウェア企業のセキュリティエンジニアで、彼の仕事は会社のデータを守ることでした。 最近、サイバー攻撃が増加しており、ジェイクは新しいセキュリティプロトコルを導入することを提案し…
わたしが新入社員だったころ、先輩社員からはーただ、決められたことをやるだけでなく、常に「なぜ?」という疑問をもって、いい仕事をするんだよ。と、アドバイスを受けました。これは、とてもいい言葉だと思いました。わたしはわたしなりに、いままで「な…
会社ではリーダーがメンバーにやるべき仕事を教えます。ただ、その教えが単に作業レベルに留まっていないかをリーダーは考える必要があると思います。作業レベルの指示だけでは、メンバーが与えられた作業を自分事として受け入れるまでの効果は期待できませ…
前回の記事(みんなが Win-Win な「クールノー・ナッシュ均衡」 - 叡智の三猿)では「ゲームの理論」で使われる「利得表」(下図)を使って、「クールノー・ナッシュ均衡」(下図の赤字部分)について書きました。「クールノー・ナッシュ均衡」は、この記事…
このブログでは「忍者アドマックス」という広告の配信サービスを使ってます。忍者アドマックスは、ほぼ、ノー審査で利用できる広告サービスです。ブログをはじめて、とりあえず、成果報酬を得たいと考える人にとっては、有益だと思います。報酬が支払われる…
U-NEXT で「無駄なウソ - 誰にも言えない秘密 -」を観ました。主人公の モク・ソルヒ(キム・ソヒョン)は、人のウソを見抜く力を持っており、ウソを聞くと、鼓膜が 「カ~ン♪」 と響きます。人は一日に200回ものウソをつくようです。資料作ってくれ…
仕事でもプライベートでもすっかりクラウドサービスが定着しました。クラウドサービスはデータが雲のなかに保管されるので、サービスの利用はパソコンに依存しません。サービスのIDとパスワードさえ知っていれば、どのパソコンからでもサービスが利用できる…
仮想通貨(ビットコイン)への少額投資は放置状態ですが、bitFlyer(仮想通貨の取引所のひとつ)はときどきチェックします。仮想通貨というとビットコインのイメージが強いと思いますが、実際は数千種類にも及ぶそうです。ただ、ビットコインの時価総額が他…
シングルサインオン(Single Sign On:SSO)は、一度のユーザ認証によって、独立した複数のソフトウェアシステム上のリソースが利用可能になる機能を指します。シングルサインオンにより、システムの利用者は複数のIDやパスワードを記憶する必要がなくなるの…
情報セキュリティのネットワーク対策の根幹となる考え方は、組織のネットワークの外側(インターネット)と内側(社内ネットワーク)、そしてDMZ(非武装地帯)とよばれる中間層を設けて、外部からの侵入を拒否することです。ネットワークに境界を設けること…
オフライン攻撃は、パスワードに対する脅威のひとつです。攻撃者はパスワードを格納しているファイルを入手し、それを攻撃者のコンピュータにコピーすることで、パスワードを破る手法です。(a)攻撃とは、実際に動作しているサーバにユーザIDとパスワードを…
オンライン攻撃は、パスワードに対する脅威のひとつです。攻撃者は動作しているコンピュータにIDとパスワードを送り、認証に成功させるかを調べていくことで不正侵入を試みる手法です。次のパスワードの設定および更新に関する記述で,適切なものには「ア」…
ブルートフォース攻撃(総当たり攻撃)は、パスワードに対する脅威のひとつです。攻撃者はパスワードになりそうな文字列として考えられる組み合わせを順々と試すことで、パスワードを破ろうとする手法です。ブルートフォース攻撃に該当するものはどれか。 ア…
辞書攻撃は、パスワードに対する脅威のひとつです。攻撃者はパスワードになりそうな文字列や辞書に載っている単語をあてはめ、パスワードを推測する手法です。かか辞書攻撃はツールを利用して考えられる文字と数字のすべての組み合わせを試し、パスワードを…
受験生の息子は自宅で東進の映像授業を受けています。映像授業は自宅パソコンで人気講師の授業を受講できるシステムで、自分のペースにあわせて学習できるのが特徴です。勉強部屋から漏れる講師の声を聞くと、再生速度が速いことに気づき、息子に聞くと「1.5…
アクセス権の削除の実態 ほとんどの会社の情報システムは、社員が辞めたあとも一定期間は、辞めた社員によるシステムの認証ができてしまいます。理想的には社員が退職した日の24時をもって、その社員がアクセス可能なすべての情報システムから切り離される…
ワンタイムパスワードは、言葉通り、本人のネットワーク上の認証において、毎回変化する 1回限りのパスワードです。ワンタイムパスワードの方式は以下の2つに大別されます。 タイムスタンプ認証方式 認証をする際の時刻をもとにワンタイムパスワードを生成…
情報システムに於ける密結合と疎結合は、多くのITエンジニアが関心を持っている分野ですが、エンドユーザーにとってはどうでもいいことかもしれません。密結合と疎結合のシステムを外食にたとえると、和洋中のメニューがそろったファミリーレストランが密結…
スマートフォンへのログインで生体認証(指紋認証や顔認証など)を使用するのは一般的になりました。ボタンにワンタッチでログインできるのですからこれは便利です。生体認証は、利用者にとって簡単な操作かつ迅速です。生体認証を体感すると、面倒なパスワ…
IDとパスワードによる認証は、シンプルかつ安全な認証方式として、コンピュータシステムの黎明期からいまに至るまで主役でありつづけました。クラウドサービスが浸透すると、わたしたちは多数のアプリケーションを仕事で使うようになりました。そして、シ…
クラウドサービスにMFA(多要素認証)を適用する動きはこれからも広がっていくでしょう。それは、巨大クラウドサービスである、Salesforceが MFA(多要素認証) の使用を必須条件にしたことに象徴されます。長引くコロナ禍でテレワークが加速しました。政府…
Salesforceは、2022年2月1日より、製品 へのアクセスに MFA(多要素認証) の使用を必須条件とすることにしました。ヘビーユーザーであるわたしにとってインパクトでした。Salesforceは、顧客関係管理(CRM)のソリューションを提供する SaaSタイプのクラウ…