「もしかして騙された？」－これは以前、自分自身に問いかけたことがある質問ではないでしょうか。フィッシングや盗まれた資格情報は、依然として侵害の主要な脅威手段の1つであり、ハッカーが巧妙になるにつれて、従業員や消費者は、デジタルアプリケーションにアクセスするために使用する資格情報について、より賢く対応する必要があります。一方で企業は、従業員が毎日使用するアプリケーションへのアクセスを効果的に保護するために、フィッシング・データ対策などに焦点を当てる必要があります。 ご利用のEメールアドレスが、何らかの形のフィッシングやデータ侵害に利用されていないかどうかを知りたい場合は、Troy Hunt の Have I Been Pwned （外部サイト・英語）データベースが優れています…

近年、Netflix、Amazon、Uber、eBay、Grouponといった大手テクノロジー企業を筆頭に、テクノロジーとビジネス戦略の一環として、複数の小さなサービスを組み合わせて１つのアプリケーションを実現する「マイクロサービス」を採用しています。システム開発、ひいてはビジネスに優れた俊敏性や拡張性をもたらすことから、今やあらゆる規模の企業が、自社のビジネスの成長にマイクロサービスが不可欠であることを認識しています。 すべてのサービスとコードが大規模かつ複雑に組み合わされ、１つのアプリケーションとして提供される従来型の「モノリシックアーキテクチャー」とは異なり、マイクロサービスは、アプリケーションにおける様々なコンポーネントを提供する「自律型ユニット」です。つまり…

2019年3月、World Wide Web Consortium（W3C）は、WebAuthnがパスワードレスログインの公式Web標準になったことを発表しました。WebAuthnは幅広いアプリケーション（Microsoft Edge、Chrome、Firefox、モバイルアプリなど）でサポートされ、今後数年でさらに普及すると見込まれています。前回のブログ記事では、WebAuthnがもたらすカスタマーエクスペリエンスの向上やセキュリティ態勢の強化について、例を挙げて説明しました。 今回は、WebAuthnが新しい標準として確立される上で重要な役割を担った技術的要素とプロトコルについて説明します。 FIDO2とは FIDO2とは、パスワードを使用せず…

数えきれないほど多くの組織が、顧客と従業員の両方について「セキュリティの強度」と「使いやすさ」のバランスをとるという課題に直面しています。ITチームとエンドユーザーの両方を満足させるのは、容易なことではありません。この問題への対応として、Oktaはすべてのお客様向けにリスクベース認証を一般提供するようになりました。 終わりなき戦い：セキュリティの強度と使いやすさのバランス 顧客にとっての意義 顧客に対応する組織であれば、ユーザーに摩擦が及ぶことは是が非でも避けなければなりません。アプリケーションのユーザーエクスペリエンスが低下すれば、組織の収益が甚大な影響を受ける可能性があります。 顧客のアプリへのログインでは、アクセスの場所、タイミング、使用デバイスにかかわらず…

Okta はこのたび、Okta Identity Cloud の基盤となるエンジンを発表します。この Okta Identity Engineは、あらゆるアイデンティティエクスペリエンス開発に向けたカスタマイズ可能な一連のビルディングブロックです。これを利用することで、お客様は他のテクノロジースタックと密接に連携した、高信頼性かつシームレスなカスタマーエクスペリエンスを構築できます。つまり、Okta Identity Engine を使って Okta を完全にカスタマイズすることで、アイデンティティの利用法が大幅に広がるのです。 従来の Okta 製品は常に、あらかじめ決定された認証、登録、承認、およびユーザー検証に必要なステップやチェックのフローに従ってきました。Okta…

Oktaはもっぱらクラウドアプリケーションのアクセス管理ベンダーとして知られてきましたが、プロトコルのサポートとネットワーク統合パートナーによって、オンプレミスアプリケーションにも対応範囲を広げてきました。Oktaには、クラウドツーグラウンド（C2G）への全面的対応も期待されていました。このたび、ハイブリッドクラウドエンタープライズ環境を全面的にカバーする待望のOkta Access Gatewayが、ついに発表となります。多くのOktaのお客様がすでに使用しているこの新しいテクノロジーにより、Webアクセス管理・連携を最新化し、従来のアイデンティティスタックの課題に縛られることなくクラウドへの経路を確保できます。 将来のIT環境としてクラウドが大きな注目を集めていますが…

安全なクラウドインフラストラクチャでコンテキストに応じた継続的アクセス管理を実現する新製品、Okta アドバンストサーバーアクセスを発売いたします。アドバンストサーバーアクセスは、オンプレミス、ハイブリッド、クラウドサーバーなどのITインフラストラクチャをシームレスな方法で活用する企業に向けてダイナミックアクセス制御を一元化して、資格情報の盗難、再利用、スプロール化、放棄された管理アカウントに起因するリスクを軽減するセキュリティ対策ソフトです。Personal Capital社、Workiva社、MailChimp 社、VirtualHealth社などのOktaのお客様が、すでにアドバンストサーバーアクセスをご利用されています。 企業の最も重要なインフラストラクチャ「サーバー」を保護…

パスワードスプレー攻撃とは、攻撃者が被害者のアカウントにアクセスするために、ユーザーが使用する可能性の高いパスワードを試すことです。ここ数年、サイバーセキュリティで最もホットなトピックの1つとなっています。大々的に報じられた侵害事件が複数件起こり、セキュリティベンダー、メディア、セキュリティコミュニティ全体から大きな注目を集めています。この記事では、パスワードスプレー攻撃が増加している理由と、検知・対策のために組織が実行できる手順について説明します。 パスワードスプレー攻撃とは？ 簡単に言うと、パスワードスプレー攻撃とは、攻撃者が被害者のアカウントにアクセスするために、ユーザーが使用する可能性の高いパスワードやIDを試し、攻撃をするサイバー攻撃の一種です。パスワードスプレー攻撃により…

2019 年 3 月、W3C（World Wide Web Consortium）W3Cは、「WebAuthn」がパスワードレスログインの正式な Web 標準になったと発表しました。「WebAuthn」は、幅広いアプリケーション（Microsoft Edge、Chrome、Firefox、モバイルアプリなど）でサポートされており、この数年の間にさらに普及する Web 認証だと考えられています。 このページでは、現在の認証方法の弱点と「WebAuthn」のメリット、「WebAuthn」の最適な認証フローについて詳しくご説明します。 現在の Web 認証方法の弱点 「WebAuthn」が開発された理由とその多様な機能について説明する前に、まずはユーザー認証の歴史と…

クレデンシャルスタッフィングや同様の攻撃手法の台頭により、ユーザー名とパスワードによる単純な認証では攻撃を抑止できなくなっています。Verizonのデータ侵害調査レポートによると、2018年に55,000件以上セキュリティインシデント、2,200件のデータ侵害が確認されました。これらのインシデントの81%は窃取されたパスワードや弱いパスワードに関連して発生しました。 データ侵害の急増と消費者からの信頼の喪失に伴い、Webアプリケーションのセキュリティ態勢の見直しが企業に迫られています。そのためには、まず安全性のより高い認証方法を探索する必要があります。 この記事では、現在一般的な認証方法の種類について説明し、それらを最善の形で実装するためのヒントを紹介します。…