検索
連載

徳丸氏が探る“認証”の今――サイバー攻撃の認証突破テクニック、フィッシング、そして対抗策とはITmedia Security Week 2023 冬

2023年11月28日、アイティメディアが主催するセミナー「ITmedia Security Week 2023 冬」の「多要素認証から始めるID管理・統制」ゾーンで、イー・ガーディアングループCISO(最高情報セキュリティ責任者)兼 EGセキュアソリューションズ 取締役 CTO(最高技術責任者)の徳丸浩氏が「認証の常識が変わる――認証強化の落とし穴と今必要な施策」と題して講演した。「認証」をキーワードとし、これまでパスワードに頼り切りだった古典的な手法による認証システムが攻撃される中、新たな技術でどこまで人と情報を守れるのか。認証の現状と今必要な対策を語るセッションだ。本稿では、講演内容を要約する。

Share
Tweet
LINE
Hatena

責任分界点、パスワード管理は“利用者側”にある


イー・ガーディアングループCISO 兼 EGセキュアソリューションズ 取締役 CTO 徳丸浩氏

 企業ではクラウドの活用が当たり前となっている。総務省が公開している「令和4年通信利用動向調査」では、クラウドサービスの利用状況は年々伸びており、2022年には72.2%が「部分的にでもクラウドを利用している」と回答する。「場所を選ばず利用でき、資産、保守体制を社内に持つ必要がない」ことが、クラウドサービスを利用する理由の上位だ。

 しかし、課題は“セキュリティ”だ。SaaS(Software as a Service)ではクラウド事業者と利用者の間で「責任共有モデル」を取り入れており、データやアプリケーション、ユーザー設定などは、サービス利用者に責任範囲がある。

 「安全なパスワードを設定することや、認証のための設定は、利用者の責務だ。会社ではさまざまな人がサービスを使うが、それぞれが安全なパスワードを設定するかどうかに課題がある」(徳丸氏)


クラウドサービス事業者と利用者の責任分界点(徳丸氏の講演資料から引用)

認証を突破する、攻撃者のテクニック

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 正規通信との区別はほぼ不可能な「偽のMicrosoftメール」に注意、「従来のセキュリティでは認識しにくい」のはなぜ? 対策は?
  2. Google、「パスキー」のアップデートを発表 新たに導入された「パスワードマネジャーPIN」とは?
  3. 2024年10月現在で「過度な期待」をされているセキュリティ技術は何? ガートナーがハイプ・サイクルを発表
  4. Cloudflareが「ゼロトラストセキュリティ」のツールを無料化 何が狙いなのか
  5. CrowdStrikeの事件を受けてMicrosoftとベンダーが議論、Windowsの新しいセキュリティプラットフォームの在り方とは?
  6. SBOMの本質を大阪大学 猪俣教授が語る――「うちのソフトは大丈夫なんです」とユーザーにどう証明する?
  7. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  8. 「Google Apps Scriptマクロを偽装した攻撃」を回避する2つのポイントとは チェック・ポイント・ソフトウェア・テクノロジーズ
  9. ゼロトラストの理想と現実を立命館大学 上原教授が語る――本当に運用できるか? 最後は“人”を信用できるかどうか
  10. 誰とも代わることのできない“唯我独尊”であるが故に――「セキュリティのアレ」の3人は認証認可をどう見るか
ページトップに戻る