誰とも代わることのできない“唯我独尊”であるが故に――「セキュリティのアレ」の3人は認証認可をどう見るか：ITmedia Security Week 2024 夏

2024年8月28日、アイティメディア主催セミナー「ITmedia Security Week 2024 夏」で、ポッドキャスト「セキュリティのアレ」を主催する、インターネットイニシアティブの根岸征史氏、SBテクノロジーの辻伸弘氏、「piyolog」を運営するpiyokango氏ら3人が「認証認可唯我独尊」と題して講演した。

» 2024年09月27日 05時00分公開

[宮田健，＠IT]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

　主な講演内容は、認証と認可の仕組みがどう狙われているかだ。セキュリティ専門家3人から学べる、システムアカウントの守り方のポイントは何か。講演内容を要約する。

ポッドキャスト「セキュリティのアレ」を運営するメンバーでもある3人。左から辻伸弘氏、piyokango氏、根岸征史氏

レポートの数字で分かる「認証の課題」とは

　まずは根岸氏が、政府機関やセキュリティベンダーが公開している各種レポートを取り上げ、認証の課題を深掘りした。

　米国のサイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は、政府機関を対象としたリスク評価のために、ドキュメントレビューやペネトレーション（侵入）テストの結果をまとめたレポート「Risk and Vulnerability Assessments」（RVA）を公開している。CISAは、悪用された脆弱（ぜいじゃく）性カタログ「KEV」の公開でも知られる。

　RVAの2022年版では、攻撃成功率が最も高い手口として、正規アカウントを利用したなりすまし侵入を挙げた。CISAによると、2022年、その割合は54.3％だった。2021年の51.5％から増えたという。ただし、これはペネトレーションテストの数字であり、攻撃成功事例ではない。

各種レポートから認証の課題をチェックする

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

サイバー脅威の見積もり、できてるつもり？　辻氏、piyokango氏、根岸氏が3つのトピックで問い掛ける
2024年5月29日、アイティメディア主催セミナー「ITmedia Security Week 2024 春」で、ポッドキャスト「セキュリティのアレ」を主催する、インターネットイニシアティブの根岸征史氏、SBテクノロジーの辻伸弘氏、「piyolog」を運営するpiyokango氏ら3人が「脅威の見積もりできてるつもり？」と題して講演した。「攻撃手順、手法の変化」「脆弱性の悪用傾向」「ありふれた不正アクセス事例で共通していた、ある“暗黙の了解”」という3つのトピックを取り上げ、サイバー脅威に対して正しい見積もりができている“つもり”状態を解消するためのヒントを探るパネルディスカッションとなった。
辻氏、piyokango氏、根岸氏はセキュリティレポートをどの“断面”で切り取るのか
2023年11月29日、アイティメディアが主催するセミナー「ITmedia Security Week 2023 冬」の「実践・クラウドセキュリティ」ゾーンで、SBテクノロジー辻伸弘氏、piyokango氏、インターネットイニシアティブ根岸征史氏が「断面、光を当てて」と題するパネルディスカッションに登壇した。
「変わらない」と思い込んでるセキュリティの常識、実は変わってきてない？　根岸氏、辻氏、piyokango氏が問う
2023年8月に開催された「ITmedia Security Week 2023 秋」において、セキュリティリサーチャーであり、そしてポッドキャスト「セキュリティのアレ」で活躍する、インターネットイニシアティブの根岸征史氏、SBテクノロジーの辻伸弘氏、そしてpiyolog主宰のpiyokango氏の3人が集い、「脅威と人の変化と不変」と題してパネルディスカッションを行った。