叡智の三猿

〜森羅万象を情報セキュリティで捉える

認証(記憶・所持・生体)

仮想通貨(ビットコイン)への少額投資

仮想通貨(ビットコイン)への少額投資は放置状態ですが、bitFlyer(仮想通貨の取引所のひとつ)はときどきチェックします。仮想通貨というとビットコインのイメージが強いと思いますが、実際は数千種類にも及ぶそうです。ただ、ビットコインの時価総額が他…

シングルサインオン:気になる情報セキュリティ用語

シングルサインオン(Single Sign On:SSO)は、一度のユーザ認証によって、独立した複数のソフトウェアシステム上のリソースが利用可能になる機能を指します。シングルサインオンにより、システムの利用者は複数のIDやパスワードを記憶する必要がなくなるの…

信頼はするけど信用しない

情報セキュリティのネットワーク対策の根幹となる考え方は、組織のネットワークの外側(インターネット)と内側(社内ネットワーク)、そしてDMZ(非武装地帯)とよばれる中間層を設けて、外部からの侵入を拒否することです。ネットワークに境界を設けること…

オフライン攻撃:気になる情報セキュリティ用語

オフライン攻撃は、パスワードに対する脅威のひとつです。攻撃者はパスワードを格納しているファイルを入手し、それを攻撃者のコンピュータにコピーすることで、パスワードを破る手法です。(a)攻撃とは、実際に動作しているサーバにユーザIDとパスワードを…

オンライン攻撃:気になる情報セキュリティ用語

オンライン攻撃は、パスワードに対する脅威のひとつです。攻撃者は動作しているコンピュータにIDとパスワードを送り、認証に成功させるかを調べていくことで不正侵入を試みる手法です。次のパスワードの設定および更新に関する記述で,適切なものには「ア」…

ブルートフォース攻撃:気になる情報セキュリティ用語

ブルートフォース攻撃(総当たり攻撃)は、パスワードに対する脅威のひとつです。攻撃者はパスワードになりそうな文字列として考えられる組み合わせを順々と試すことで、パスワードを破ろうとする手法です。ブルートフォース攻撃に該当するものはどれか。 ア…

辞書攻撃:気になる情報セキュリティ用語

辞書攻撃は、パスワードに対する脅威のひとつです。攻撃者はパスワードになりそうな文字列や辞書に載っている単語をあてはめ、パスワードを推測する手法です。かか辞書攻撃はツールを利用して考えられる文字と数字のすべての組み合わせを試し、パスワードを…

映像授業とあの頃の日日是決戦

受験生の息子は自宅で東進の映像授業を受けています。映像授業は自宅パソコンで人気講師の授業を受講できるシステムで、自分のペースにあわせて学習できるのが特徴です。勉強部屋から漏れる講師の声を聞くと、再生速度が速いことに気づき、息子に聞くと「1.5…

退職者による不正アクセスとゼロトラスト

アクセス権の削除の実態 ほとんどの会社の情報システムは、社員が辞めたあとも一定期間は、辞めた社員によるシステムの認証ができてしまいます。理想的には社員が退職した日の24時をもって、その社員がアクセス可能なすべての情報システムから切り離される…

ワンタイムパスワード:気になる情報セキュリティ用語

ワンタイムパスワードは、言葉通り、本人のネットワーク上の認証において、毎回変化する 1回限りのパスワードです。ワンタイムパスワードの方式は以下の2つに大別されます。 タイムスタンプ認証方式 認証をする際の時刻をもとにワンタイムパスワードを生成…

SAMLを描きOASISでゆったり

情報システムに於ける密結合と疎結合は、多くのITエンジニアが関心を持っている分野ですが、エンドユーザーにとってはどうでもいいことかもしれません。密結合と疎結合のシステムを外食にたとえると、和洋中のメニューがそろったファミリーレストランが密結…

FIDOという認証

スマートフォンへのログインで生体認証(指紋認証や顔認証など)を使用するのは一般的になりました。ボタンにワンタッチでログインできるのですからこれは便利です。生体認証は、利用者にとって簡単な操作かつ迅速です。生体認証を体感すると、面倒なパスワ…

パスワードリスト攻撃

IDとパスワードによる認証は、シンプルかつ安全な認証方式として、コンピュータシステムの黎明期からいまに至るまで主役でありつづけました。クラウドサービスが浸透すると、わたしたちは多数のアプリケーションを仕事で使うようになりました。そして、シ…

IPアドレスによる接続制限

クラウドサービスにMFA(多要素認証)を適用する動きはこれからも広がっていくでしょう。それは、巨大クラウドサービスである、Salesforceが MFA(多要素認証) の使用を必須条件にしたことに象徴されます。長引くコロナ禍でテレワークが加速しました。政府…

MFAの使用を必須条件に

Salesforceは、2022年2月1日より、製品 へのアクセスに MFA(多要素認証) の使用を必須条件とすることにしました。ヘビーユーザーであるわたしにとってインパクトでした。Salesforceは、顧客関係管理(CRM)のソリューションを提供する SaaSタイプのクラウ…

総論賛成、各論反対

レジ袋が有料化になって2年近くがたとうとしています。有料化になった当初はAmazonで良さそうなデザインのエコバッグをリサーチして楽しんでいましたが、いまはスーパーやコンビニで買い物をする際にエコバッグを持参することはあまりありません。ですので…

あなたの背後に気をつけて

前回のブログは、情報セキュリティ対策にかけるコストがとりわけ中小企業にとっての経営課題になっていることを書きました。そのうえで、SaaS型のサービスを利用すれば、セキュリティ対策の多くの部分をクラウド事業者で実施することになるので、クラウドサ…

会社という法人には責任感がない

今年のニューイヤー駅伝はホンダが初優勝の快挙をとげました。しかし、優勝旗が授与されない異常な光景がありました。これは、昨年優勝した、富士通が優勝旗を紛失してしまったためです。富士通は主催者謝罪したうえで、探すといっていましたが、結局大会を…

認証と監視のプライバシーの侵害

前回の記事では韓国ドラマによく出てくる「監視カメラ:CCTV(closed-circuit television)」の設置について取り上げました。 CCTVは街中の犯罪を抑止するために活用されますが、企業の情報セキュリティ対策としても有効なツールです。特にデータセンターの…

パスワードからパスフレーズへ

以前に努めていた会社はプライバシーマークを取得していました。わたしはその会社で「個人情報監査責任者」という役割でした。「個人情報監査責任者」は内部監査を指揮する役割で、個人情報保護管理者の仕事をチェックします。代表取締役や個人情報保護管理…

パスワードはハッシュ化する

はじめて作った顧客管理システム わたしがはじめて、顧客管理のシステムを構築したのは1999年です。間近に迫るY2K問題(西暦2000年に世界中のシステムが障害を起こし、パニックになるかもしれない問題)を抱えた緊張のときでした。きっかけは、当…

用心は安全の母

オフィスはセキュリティレベルに応じたエリアの分離が必要です。来客者のおもてなしをする応接室、一般社員が執務する部屋、サーバルームに入れる人、機密資料の保管室に入れる人など、セキュリティの強度はエリアで異なります。「用心は安全の母」といいま…

壁に耳あり障子に目あり

前回は柏崎刈羽原発の外部からの不正侵入を検知する機器が作動していなかったことを取り上げました。 www.three-wise-monkeys.com建屋オフィスへの入退室に関する脅威をまとめます。 (参考:らくらく突破 情報セキュリティ管理士 認定試験 公式テキスト) …

ハッシュとn進数

前回のブログではブロックチェーンの要となるハッシュ関数について書きました。今回は少しその補足をしたいと思います。 www.three-wise-monkeys.com n進法について ハッシュ関数により求められたハッシュ値(メッセージダイジェストともいいます)は、16…

いきなり!テレワーク

テレワークの強制化 総務省は2020年の東京オリンピック開催に先駆けて、2017年からテレワークの普及を推進していました。開会式が予定される7月24日を「テレワーク・デイ」と位置付け、国民に対してテレワークの啓蒙活動をしていました。「大会期…

遅いぞ!回線

突然やってきたテレワーク 今年の漢字は「密」でした。 今年の漢字(2020年)何かと予想のつかない一年でしたが、これほど、漢字が予想しやすい年も珍しいと思います。コロナに振り回された一年だったわけですね。「三密」は密教の教えー 身密 口密 意密 か…

パスワードが書かれたメモを発見したら

【問題】 山中君は出張している前川君の机の上にパスワードらしき文字と数字が並んだメモが置いているのを発見しました。このとき、山中君が取るべきもっとも適切な行動はどれでしょうか。 【選択肢】 1️⃣前川君に連絡をとってメモが置かれていることを伝え…

確信のソーシャルエンジニアリング

AFは何か 太平洋戦争で日米の形勢が逆転したミッドウェー海戦。暗号の解読に当たったのは日本での赴任経験を持つレイトン少佐です。日本海軍の通信を傍受している際、しきりに現れるAFが何を示すのかが、最大の謎であったのですが、それがミッドウェーをさす…

成功率0.02%

成功率0.02% キャッシュカードやクレジットカード等、4桁の数字による暗証番号は世界で普及しています。これがどのくらい安全かということについて考えます。数字4桁ですので、暗証番号のパターンはー10×10×10×10=10000 通りあります。A…

FISCのパスワード管理基準

盗賊の致命的なミス 「アラビアン・ナイト」の「アリババと40人の盗賊」で、盗賊が隠している財宝をふさぐ巨大な岩を開ける為に発信する合言葉は「開けごま」です。この合言葉ー 一度、耳にしたら忘れられないフレーズ しかし、言葉の内容は意味不明 とい…