誰とも代わることのできない“唯我独尊”であるが故に――「セキュリティのアレ」の3人は認証認可をどう見るかITmedia Security Week 2024 夏

2024年8月28日、アイティメディア主催セミナー「ITmedia Security Week 2024 夏」で、ポッドキャスト「セキュリティのアレ」を主催する、インターネットイニシアティブの根岸征史氏、SBテクノロジーの辻伸弘氏、「piyolog」を運営するpiyokango氏ら3人が「認証認可唯我独尊」と題して講演した。

» 2024年09月27日 05時00分 公開
[宮田健@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 主な講演内容は、認証と認可の仕組みがどう狙われているかだ。セキュリティ専門家3人から学べる、システムアカウントの守り方のポイントは何か。講演内容を要約する。

ポッドキャスト「セキュリティのアレ」を運営するメンバーでもある3人。左から辻伸弘氏、piyokango氏、根岸征史氏

レポートの数字で分かる「認証の課題」とは

 まずは根岸氏が、政府機関やセキュリティベンダーが公開している各種レポートを取り上げ、認証の課題を深掘りした。

 米国のサイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、政府機関を対象としたリスク評価のために、ドキュメントレビューやペネトレーション(侵入)テストの結果をまとめたレポート「Risk and Vulnerability Assessments」(RVA)を公開している。CISAは、悪用された脆弱(ぜいじゃく)性カタログ「KEV」の公開でも知られる。

 RVAの2022年版では、攻撃成功率が最も高い手口として、正規アカウントを利用したなりすまし侵入を挙げた。CISAによると、2022年、その割合は54.3%だった。2021年の51.5%から増えたという。ただし、これはペネトレーションテストの数字であり、攻撃成功事例ではない。

各種レポートから認証の課題をチェックする

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

AI for エンジニアリング
「サプライチェーン攻撃」対策
1P情シスのための脆弱性管理/対策の現実解
OSSのサプライチェーン管理、取るべきアクションとは
Microsoft & Windows最前線2024
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。