認証(記憶・所持・生体)
CHAP(Challenge Handshake Authentication Protocol)は、 チャレンジ・レスポンス方式を採用した認証方式です。ネットワーク接続時のクライアントとサーバー間で、安全な認証を実現するために使用します。 チャレンジ:サーバーは、クライアントに対してラ…
業務のDX化により、情報へのアクセスは各段に容易になりました。取引先との契約書類は、多くの会社では「紙」で保管し、書庫に入ってました。そうすると、取引をしたいと思う会社が、既に基本契約を締結済みか否かを確認するのに、書庫に向かう必要があり…
情報セキュリティ対策の難しさは、答えがありそうで、絶対的な「解」がないことだと思います。情報セキュリティ対策の「きほんのき」といえる、安全なパスワード対策、ひとつとっても「解」はありません。会社や組織は、パスワードポリシーを定めてます。パ…
AIを使ったクラウドサービスを開発し、顧客に提供する会社にSESエンジニアとして仕事をしてました。わたしの役割は、顧客からのオーダー受付と出荷、サポート周りを改善することです。オーダーシステムやサポートシステムのカスタマイズがメインでしたので、…
わたし達が会社のコンピュータシステムを利用する際、ログイン認証のためにパスワードを要求されるのが普通です。パスワード認証はシステムを利用する人の記憶を使ってます。記憶のほか、認証する要素としては、所持 と 属性 があります。この3つを「認証の…
山本くんは個人が所有するパソコンからアクセスするいくつかのWebサイトに会員登録してます。また、会社から貸与されたパソコンから業務で使うWebサービスにログインしてます。複数のシステムでパスワードを使い分けるのは、管理が大変なので、同じパスワー…
ChatGPTによる「子どもに向けた情報セキュリティの童話」をテーマとした物語 むかしむかし、ある村にひみつの守り神が住んでいました。その守り神は、村の人々の大切なものを守るために日々働いていました。ある日、守り神は村の子どもたちに大切なお話をし…
2020年、コロナのまん延によって、会社は在宅ワークを勧めざるを得ない状況となりました。テレワークの普及により、クライドサービスの利用が拡大しました。クラウドサービスを利用すると、インターネットに接続できる場所なら、どこからでも業務に必要…
20世紀、すでにログイン認証はIDとパスワードによって行われてました。しかし、実態としての認証はカタチだけのモノでした。当時、わたしは大きな製造業の社内SEでした。社員が使っているパソコンのメンテナンスを多くやってきました。利用者のノート…
多要素認証は、ユーザがシステムへのアクセスを許可する際に、複数の要素を組み合わせて認証するセキュリティ手法です。認証は、以下3つのタイプの要素があります: 要 素 認証方式の例 記 憶 パスワード認証/暗証番号(PINコード)等 所 持 端末認証/ICカー…
SESエンジニアとして客先に常駐していると、ことのほか余計な事務処理が多いと感じます。SESとは「システム・エンジニアリング・サービス」の略です。エンジニアの労働力をお客様に提供する契約形態を指します。客先に常駐する意味で派遣のエンジニアと同じ…
ChatGPTによる「 西暦2100年のサイバーテロ」をテーマとした物語 西暦2100年、世界はサイバー・テロの恐怖に包まれていた。主人公、エイミー・カーターはサイバー犯罪組織の事件だった。彼女の使命は、見事に仕組まれたサイバー攻撃の阻止だった。テロリスト…
ChatGPTによる「フィッシング詐欺に遭遇した人」をテーマとした物語 数年前、私はフィッシング詐欺の被害者になりました。それは私の人生において一番後悔している奇妙なの一つです。ある日、私は普段通りにメールをチェックしていました。 そこで私が利用し…
ChatGPTによる「多要素認証」をテーマとした物語 ジェイクは大手ソフトウェア企業のセキュリティエンジニアで、彼の仕事は会社のデータを守ることでした。 最近、サイバー攻撃が増加しており、ジェイクは新しいセキュリティプロトコルを導入することを提案し…
わたしが新入社員だったころ、先輩社員からはーただ、決められたことをやるだけでなく、常に「なぜ?」という疑問をもって、いい仕事をするんだよ。と、アドバイスを受けました。これは、とてもいい言葉だと思いました。わたしはわたしなりに、いままで「な…
会社ではリーダーがメンバーにやるべき仕事を教えます。ただ、その教えが単に作業レベルに留まっていないかをリーダーは考える必要があると思います。作業レベルの指示だけでは、メンバーが与えられた作業を自分事として受け入れるまでの効果は期待できませ…
前回の記事(みんなが Win-Win な「クールノー・ナッシュ均衡」 - 叡智の三猿)では「ゲームの理論」で使われる「利得表」(下図)を使って、「クールノー・ナッシュ均衡」(下図の赤字部分)について書きました。「クールノー・ナッシュ均衡」は、この記事…
このブログでは「忍者アドマックス」という広告の配信サービスを使ってます。忍者アドマックスは、ほぼ、ノー審査で利用できる広告サービスです。ブログをはじめて、とりあえず、成果報酬を得たいと考える人にとっては、有益だと思います。報酬が支払われる…
U-NEXT で「無駄なウソ - 誰にも言えない秘密 -」を観ました。主人公の モク・ソルヒ(キム・ソヒョン)は、人のウソを見抜く力を持っており、ウソを聞くと、鼓膜が 「カ~ン♪」 と響きます。人は一日に200回ものウソをつくようです。資料作ってくれ…
仕事でもプライベートでもすっかりクラウドサービスが定着しました。クラウドサービスはデータが雲のなかに保管されるので、サービスの利用はパソコンに依存しません。サービスのIDとパスワードさえ知っていれば、どのパソコンからでもサービスが利用できる…
仮想通貨(ビットコイン)への少額投資は放置状態ですが、bitFlyer(仮想通貨の取引所のひとつ)はときどきチェックします。仮想通貨というとビットコインのイメージが強いと思いますが、実際は数千種類にも及ぶそうです。ただ、ビットコインの時価総額が他…
シングルサインオン(Single Sign On:SSO)は、一度のユーザ認証によって、独立した複数のソフトウェアシステム上のリソースが利用可能になる機能を指します。シングルサインオンにより、システムの利用者は複数のIDやパスワードを記憶する必要がなくなるの…
情報セキュリティのネットワーク対策の根幹となる考え方は、組織のネットワークの外側(インターネット)と内側(社内ネットワーク)、そしてDMZ(非武装地帯)とよばれる中間層を設けて、外部からの侵入を拒否することです。ネットワークに境界を設けること…
オフライン攻撃は、パスワードに対する脅威のひとつです。攻撃者はパスワードを格納しているファイルを入手し、それを攻撃者のコンピュータにコピーすることで、パスワードを破る手法です。オフライン攻撃は、攻撃者がすでに盗んだ暗号化されたパスワードの…
オンライン攻撃は、パスワードに対する脅威のひとつです。攻撃者は動作しているコンピュータにIDとパスワードを送り、認証に成功させるかを調べていくことで不正侵入を試みる手法です。次のパスワードの設定および更新に関する記述で,適切なものには「ア」…
ブルートフォース攻撃(総当たり攻撃)は、パスワードに対する脅威のひとつです。攻撃者はパスワードになりそうな文字列として考えられる組み合わせを順々と試すことで、パスワードを破ろうとする手法です。ブルートフォース攻撃に該当するものはどれか。 ア…
辞書攻撃は、パスワードに対する脅威のひとつです。攻撃者はパスワードになりそうな文字列や辞書に載っている単語をあてはめ、パスワードを推測する手法です。かか辞書攻撃はツールを利用して考えられる文字と数字のすべての組み合わせを試し、パスワードを…
受験生の息子は自宅で東進の映像授業を受けています。映像授業は自宅パソコンで人気講師の授業を受講できるシステムで、自分のペースにあわせて学習できるのが特徴です。勉強部屋から漏れる講師の声を聞くと、再生速度が速いことに気づき、息子に聞くと「1.5…
アクセス権の削除の実態 ほとんどの会社の情報システムは、社員が辞めたあとも一定期間は、辞めた社員によるシステムの認証ができてしまいます。理想的には社員が退職した日の24時をもって、その社員がアクセス可能なすべての情報システムから切り離される…
ワンタイムパスワードは、言葉通り、本人のネットワーク上の認証において、毎回変化する 1回限りのパスワードです。ワンタイムパスワードの方式は以下の2つに大別されます。 タイムスタンプ認証方式 認証をする際の時刻をもとにワンタイムパスワードを生成…