スマホの電話番号を乗っ取られる「SIMスワップ」被害が増加 求められる対策とは?:房野麻子の「モバイル新時代」(1/3 ページ) ここ最近、「SIMスワップ」「SIMハイジャック」といった言葉が世間を騒がせている。一般に知られるようになったきっかけは、4月に起こった東京都の都議会議員と、大阪府八尾市の市議会議員の被害だ。 SIMカードの乗っ取りで200万円を超える被害 市議会議員のケースでは、議員のソフトバンク携帯電話が、何者かによって高額な最新機種に機種変更され、PayPayを使い込まれたり、200万円以上もする腕時計を購入されたりしたことがX(旧Twitter)に投稿された。 議員はまず、自分の携帯電話が圏外で使えなくなった。当初、電波障害をうたがったという。しかし、そのような状況ではないことを確認し、原因を調べに八尾市のソフトバンクショップを訪れたところ、名古屋市のショップで最新のi
Appleは5月30日、iPhone(iOS)の「ウォレット」アプリにおいて、日本の「マイナンバーカード(個人番号カード)」を利用できるように準備を進めていることを明らかにした。デジタル庁と協力して、2025年春の後半からから利用できるようになる予定だ。 【追記:15時】Appleとデジタル庁への取材をもとに追記を行いました。 iPhoneに搭載するマイナンバーカードでは、物理カードと同様に「コンビニエンスストアでの公的証明書の発行」「iOS版マイナポータルアプリへのアクセス」などに利用できる。カードのデータは「ISO 18013-5シリーズ」および「ISO 23220シリーズ」に定める基準に基づいて保存され、利用時はFace IDまたはTouch IDでの認証が必要となる。 なお、ウォレットアプリでの身分証明書の表示対応は米国外では初の事例となる。 マイナンバーカードと同じ内容を実装でき
スマートフォンに搭載するマイナンバーカードの機能拡大を柱とするマイナンバー法の改正案が29日、参院特別委員会で可決された。近く参院本会議で可決し成立する見通しとなった。マイナンバーカードのすべての機能をスマートフォンに搭載できるようにする。インターネット上で銀行や証券会社の口座を開設する際に、わざわざ実物のカードをかざして読み込ませたり、撮影して画像を送ったりといった段取りが不要となる。コン
いまさら聞けないActive Directoryの仕組みと運用:今だからこそ学び直すActive Directory基礎のキソ(1) Microsoftの「Active Directory」は、オンプレミスにおけるID管理システムとしてリリースされてから20年以上経過しました。その間、Active Directoryの構築や運用に携わってきたメンバーは去り、社内にノウハウもないまま引き継がなければならなくなったメンバーも多いと聞きます。そこで本連載では、あらためてActive Directoryを学び直していきます。
マイナカードの認証「かざし利用」が可能に 法改正で
5月27日、マイナンバー法等改正法(改正マイナンバー法)などが施行され、マイナンバーカードの機能や用途が広がった。国外への引っ越しの際、事前の申請があればマイナンバーカードが失効しなくなった他、マイナンバーカードによる本人認証に関する規定も明確に。暗証番号を入力しない「かざし利用」が可能になった。デジタル庁もかざし利用を推進する方針だ。 デジタル庁はかざし利用のための「マイナンバーカードかざし利用クライアントソフト」を提供しており、自治体や民間事業者がPC(Windows)にインストールして利用できる。ソフトを使えば、マイナンバーカードの真正性や、カードに格納された「利用者証明用電子証明書」の有効性が確認できるという。 かざし利用は、求められる認証強度が低い場面での利用を想定しており、デジタル庁は例として「図書館カードとしての利用や避難所への入退場の際の利用」を挙げている。 ただしオンライ
安全なパスワードの設定・管理 企業・組織におけるパスワードは、ユーザ名と組み合わせることで企業・組織内の情報資産へのアクセスの可否を決める重要なものです。パスワードの重要性を再認識して、適切なパスワード管理を心がけましょう。 他人に自分のユーザアカウントを不正に利用されないようにするには、推測されにくい安全なパスワードを作成し、他人の目に触れないよう適切な方法で保管することが大切です。 安全なパスワードの設定 安全なパスワードとは、他人に推測されにくく、ツールなどの機械的な処理で割り出しにくいものを言います。 理想的には、ある程度長いランダムな英数字の並びが好ましいですが、覚えなければならないパスワードの場合は、英語でも日本語(ローマ字)でもよいので無関係な(文章にならない)複数の単語をつなげたり、その間に数字列を挟んだりしたものであれば、推測されにくく、覚えやすいパスワードを作ることがで
Google、パスワードに代わる認証方式「パスキー」のアップデートを発表 「4億以上のGoogleアカウントがパスキーで保護」
Googleは2024年5月2日(米国時間)、パスワードに代わる認証方式「パスキー」のアップデートとクロスアカウント保護機能プログラムの拡大を発表した。 Googleによると、2022年5月5日の世界パスワードデーにパスキーを発表して以来、4億を超えるGoogleアカウントで、10億回以上のユーザー認証にパスキーが使用されてきたという。 「パスキーは使いやすく、フィッシングに強く、指紋、顔スキャン、PINのみで認証できるため、パスワードよりも50%高速だ。現在のGoogleアカウント認証には、パスキーが日常的に使用されている。利用数は、SMSワンタイムパスワード(OTP)やアプリケーションベースのOTP(「Google Authenticator」など)といった従来の2SV(2段階認証)の合計よりも多い」とGoogleは述べている。 Googleの発表内容は以下の通り。 クロスアカウント保
【読売新聞】 マイナンバーカードの偽造が相次いで発覚している。不正対策による「信用」で本人確認時のチェックが甘くなり、悪用につながっているとみられ、SNSでは1万~2万円で流通しているという。中国籍の被告が取材に応じ、偽造の実態を証
昨今は、さまざまな要因から、複数のクラウド(IaaS)プロバイダーを活用することが多くなりました。例えば、サービスのワークロードはAWSだが、データ分析はGoogle CloudのBigQueryを使うなどです。異なるプロバイダー間でのリソースにアクセスするには、認証が必要であり、シークレットを安全に発行・交換する必要があります。クラウドプロバイダーが動的に発行する等さまざまな方式がありますが、システムの制限や運用によっては安全なシークレットの取り扱いのために、慎重な技術設計が必要になる場合もあります。 今回は、LayerXにおける要件パターン、脅威モデリングに基づく判断と実装方法を紹介することで、「どこまで気をつけるべきか?」「何を想定すべきか?」といった実務に対して参考いただけると嬉しいです
モバイル コンパクトなSE好きにはどう受け止められるのか 「iPhone SE4」、有機ELやFace ID搭載でも8万円以下に収まる? Image:Wachiwit/Shutterstock.com アップルの次期廉価版スマートフォン「iPhone SE4」が準備中であることは、著名アナリストやサプライチェーンからの有力情報が相次いだこともあり、ほぼ確実視されている。が、iPhone 14標準モデルをベースとする=有機ELディスプレイやFace IDが搭載されるとの予想から、第3世代からかなりの値上げになるとの懸念もある。 そんななか、アップルは米国でのiPhone SE4の開始価格について、500ドル以下を目指しているとの噂が報じられている。 リークアカウントの@Revegnus1によると、iPhone SE4の米国価格は第3世代と同じ429ドルに据え置かれるか、約10%の値上げになる
クレジットカードのVisaがパスキー対応など新機能リリース
2024年5月15日に開催されたVisaの年次フォーラムで、パスキー対応などを含むVisaの新機能が紹介されました。 Visa Reinvents the Card, Unveils New Products for Digital Age | Business Wire https://www.businesswire.com/news/home/20240515563838/en/ ◆フレキシブルクレデンシャル 1枚のカードで複数の支払い方法を管理できる機能です。これにより、1枚のカード(資格情報)でデビット、クレジット、ポイント払い、無利息4回払いの「Pay in 4」といった、さまざまな支払い方法にアクセスできるようになります。フレキシブルクレデンシャルはすでにアジア地域でスタートしていて、三井住友カードはクレジット・デビット・ポイント払いをアプリで切り替えられる「フレキシブルペイ
2024年4月、偽造されたマイナンバーカードを使用したSIMスワップ事案が発生しました。さらにその後のっとられたSIMを通じて高級腕時計の購入などが行われる被害も発生しています。ここでは関連する情報をまとめます。 SIMのっとられ未遂含め400万円超の被害 SIMスワップの被害を報告したのは、東京都議会議員と大阪府八尾市議会議員の二人。愛知県名古屋市内のソフトバンクショップ(八尾市議会議員の事例ではソフトバンク柴田店)で何者かが契約変更(MNPや最新のiPhoneへの機種変更など)を行い、元々の契約者であった二人が所有するスマートフォンでSIMによる通話・通信ができない被害にあった。 昨日昼頃、スマホにPayPay通知が表示され「1000円チャージしました」と。自動チャージ設定?なんだろうとアプリを確認してもよくわからず放置。(この時にPayPayに確認すべきだった!)午後にメールチェック
このブログ記事では、Cognitoを使ってLaravelでシンプルな認証機能を実装する方法を紹介します。 目的 クラスメソッドタイランドの清水です。 本記事では Cognito を使って Laravel で簡単な認証機能を実装します。 認証のシーケンスは以下のようになります。 また、全体の流れを理解するために Laravel のロジックは非常に簡潔になっているので、本番環境で注意が必要な部分は ⚠️ でコメントを書いています。 前提条件・知識 AWS アカウントを作成済み IAM Role, Policy, Cloud9 の環境を作成できる権限がある 使いたいAWS アカウントのリージョンで cdk bootstrap コマンドを実行済み ローカル PC に docker, docker-compose をインストール済み 手順 まずは CDK を実行するための環境を Cloud9 で準備
はじめに こんにちは、計測プラットフォーム開発本部SREブロックの近藤です。普段はZOZOMATやZOZOGLASS、ZOZOFITなどの計測技術に関わるシステムの開発、運用に携わっています。 計測プラットフォーム開発本部では、複数のプロダクトを運用していますが並行して新しいプロダクトも開発しています。SREチームでは増え続けるプロダクトの運用負荷に対して改善は行っていますが、さらなるプロダクトの拡張に備えてZOZOFITの開発運用を別チームへ移管することになりました。移管作業の中でAWSリソースを別チームが管理するAWSアカウントへ移行する作業が発生することになりました。本記事では移行時に遭遇した課題と、その課題の解決に至るまでの取り組みをご紹介します。 目次 はじめに 目次 背景・課題 調査 ユーザ移行Lambdaの作成 簡易ダイアグラム フローチャート ユーザ移行Lambdaの処理
FIDOアライアンスが仕様を策定した「パスキー」は、パスワードではなく生体情報を用いて認証する「FIDO 2.0」を「Webauthn」標準に基いて利用して得た資格認証情報をデバイス単位で管理運用する技術です。このパスキーが抱える問題点について、Webauthn標準に関わったエンジニアのFirstyearことウィリアム・ブラウン氏が自身のブログで解説しています。 Firstyear's blog-a-log https://fy.blackhats.net.au/blog/2024-04-26-passkeys-a-shattered-dream/ Webauthnがパスワードに代わる認証技術として大きな可能性を秘めていると考えていたブラウン氏は、2019年にオーストラリアからアメリカに渡り、友人と共にWebauthnのRust実装であるwebauthn-rsの開発を始めました。その過程で
米Microsoftは5月2日(現地時間)、コンシューマー向けのMicrosoftアカウントで、パスワードレス認証「パスキー(Passkey)」を用いたサインインのサポートを開始した。2日より、Microsoft 365やCopilotなど、MicrosoftのアプリケーションおよびWebサイト(デスクトップ、モバイル)のサインインにパスキーが使用可能になった。数週間以内に、パスキーを使ったモバイルアプリへのサインインもサポートする予定である。 同社は2015年、Windows 10でWindows Helloを使ったサインインのサポートを開始し、FIDOセキュリティキー、Microsoft Authenticatorアプリなど、パスワードレスへの移行を推進してきた。2021年9月には、Microsoftアカウントからパスワードを削除し、パスワードなしで使うオプションの提供も開始した。 パ
ごあいさつ はじめましての人ははじめまして、こんにちは!BASE BANK Divisionのフロントエンドエンジニアのがっちゃん( @gatchan0807 )です。 今回は、ここ数ヶ月の間にOIDC(OpenID Connect)という技術を使った開発を複数行い、この技術の概観を理解することができたので、OIDCの技術概要に触れつつBASE BANKの中でどのように使ったのかをご紹介しようと思います。 OIDCとは何なのか このパートでは、まずOIDCという技術について概要を紹介します。いくつかのWebページに記載されていた内容を参考にしてまとめさせて頂いているので、記事の最後に参照元のリンクを記載しておきます。 また、OIDCをはじめとした認証・認可の仕組みには様々な用語があり、自分自身も「調べれば調べるほど知らない用語が増えて、どんどんわからなくなってきた…」という経験をしたので、
多くの日本企業でセキュリティ被害が増えている昨今、企業や組織はどう対応していくべきなのか。イー・ガーディアングループCISO 兼 EGセキュアソリューションズ取締役CTOである徳丸浩氏が、日本の「セキュリティのイマ」をわかりやすく徹底解説する連載企画第10弾。今回のテーマは「なぜパスワードレスは進まないのか? 普及停滞を打開する認証手法『パスキー』への期待と導入のステップ」です。古くから使われているパスワード認証は便利で使いやすい手法ですが、それゆえの欠点や脅威も多く、パスワードレスへの移行が長いこと求められ続けています。とはいえ、なかなか進んでいないのが現実です。なぜ進まないのか。パスワード認証に代わる手法を1つずつ例に挙げながら、最後には徳丸氏が期待を寄せている「パスキー」が持つ可能性を解説します。 パスワード認証に限界が見えてきた はい、「パスワードレス」というのはもうずいぶん長いこ
[AWS CDK] ALBとCognitoを使ってOktaをIdPとするSAML認証をしてみた | DevelopersIO
サクッとSAML認証を実装したい こんにちは、のんピ(@non____97)です。 皆さんサクッとSAML認証を実装したいなと思ったことはありますか? 私はあります。 自分でSAML認証のService Provider(SP)側の処理を実装するのは大変です。そのような場合はALBとCognitoを使うと簡単に行えます。 ということで実際にやってみました。今回はIdPとしてOktaを使用します。 「SAML認証ってなんやねん」や「OktaのSAMLアプリってどうやって作成すればいいんだ」、「CognitoでSAML認証ってどうやって行えばいいんだ」という方は以下ドキュメントをご覧ください。 初心者向けSAMLガイド SAMLアプリ統合を作成する | Okta ユーザープールへの SAML ID プロバイダーの追加 - Amazon Cognito また、せっかくなので以下アップデートで可能
英語の「Authentication」を整理する ここからは先ほどの分類で言うところの「ユーザ認証」としての「認証」、つまり英語の「Authentication」に該当する「認証」について、さらに整理を進めていきます。 先ほど、「ユーザ認証」を「システムを利用しようとしているユーザを、システムに登録済みのユーザかどうか識別し、ユーザが主張する身元を検証するプロセス」と説明しました。「ユーザの識別」と「身元の検証」はユーザ認証に欠かせませんが、実際は他にも「ユーザの有効/無効状態の確認」や「検証に成功した場合の身元の保証(アクセストークンの発行等)」などの処理も一般的にユーザ認証のプロセスには含まれます。 ここで冒頭の「○○認証」を振り返りましょう。パスワード認証、SMS認証、指紋認証、顔認証は実はここで言うユーザ認証には該当せず、ユーザ認証中の一処理である「身元の検証」を担っていることがお
滅びてほしい認証系の実装の話
こんにちは、富士榮です。 ちょっと前に某所でダメダメな認証系の技術実装ってなんだろうねぇ、、という話をしていたことをXで呟いたところ、色々とご意見を頂けましたのでまとめて書いておきます。
アイデンティティをやっているなら読むべき本〜『メタバース進化論――仮想現実の荒野に芽吹く「解放」と「創造」の新世界』
まずはじめにアイデンティティ業界の人へ とりあえず、アイデンティティに関心のある人は、本書『メタバース進化論』を読んだほうが良い。メタバース・バ美肉として現実の物理的制限から存在を解き放ち、抽象空間で取り扱うことができるようになることによって、アイデンティティとプライバシー管理の課題や要件がこんなにも明確になるのか!曰く そもそも「アイデンティティ(自己同一性)とは、私たちが私たち自身をどのようなものと捉えるかという「認識」であり、他者や社会からそれが認められているという「感覚」のことです。 物理現実では、基本的に生まれたままの名前・姿・声を受け入れるしかありませんでした。つまり、アイデンティティとは「与えられる」ものでした。 基本的には与えられた固定のものを「受け入れる」しかなかった物理現実時代のそれとは違い、メタバース時代のアイデンティティは自由に「デザインする」ものになり、「なりたい
各サービスで電話番号宛のSMS認証が当然となった現代、携帯電話回線は非常に高い価値を持っています。 そんな電話回線をSIMカードごと奪う「SIMハイジャック(SIMスワップ)」という犯罪手法が海外で報告されていますが、最近は日本でも被害報告をチラホラと聞くようになっています。 そんなSIMハイジャックの魔の手が、なんと日本の政治家にまで及んでいたことがわかりました。 東京都議会議員の風間ゆたか氏が報告したところによると、PayPayの不正利用とパスワードリセットで異変に気付いたとのこと。 スマホで二段階認証を行ってもSMSが届かず、Wi-Fiでしか使えず、アンテナマークが解約を示すマークになっていることが判明。ソフトバンクショップに駆け込んだとのこと。 東京都ではなく名古屋のソフトバンクショップで最新機種を購入した形跡があり、ソフトバンクショップはその時の本人確認をマイナンバーカードのIC
エンジニアというITの専門家でありながら、小賢しいWeb系の詐欺に80%ぐらいはまって死にかけた話 - Qiita
みなさんこんにちは!記事を読んでくださりありがとうございます。 Qiitaには初投稿なので、簡単に自己紹介をさせてください。 自己紹介 ・カナダのバンクーバーでWeb/モバイルエンジニアとして働いています ・2024年7月に日本に帰国し、プロダクトオーナーに転身します ・大阪出身です 何が起こったかの概要 タイトルの通り、小賢しいWeb系の詐欺にはまって危うく銀行口座に侵入されかけました。カナダで起こった出来事ですが、日本でも似たようなことが起こり得る事例かと思ったので、よりたくさんの方に注意喚起ができればと思いこちらに投稿致しました。 時系列での解説と違和感ポイント みなさん、Facebookには「マーケットプレイス」という機能があるのをご存知でしょうか?日本で言うジモティーのような機能です。カナダでは不用品の売買でFBのマーケットプレイスが非常によく利用されます。私は2ヶ月後に日本へ引
日本における「マイナンバーカードによる『SIMハイジャック』発生事案」の被害報告。立憲議員が携帯電話を乗っ取られた経緯をツイートする
すまほん!! @sm_hn これ日本における「マイナンバーカードによる『SIMハイジャック』発生事案」なので注目すべき。政府は原則読み取り必須にすべし。 x.com/setagaya_k/sta… 2024-04-19 14:58:54 風間ゆたか 東京都議会議員 立憲民主党 世田谷区選出 @setagaya_k 昨日昼頃、スマホにPayPay通知が表示され「1000円チャージしました」と。自動チャージ設定?なんだろうとアプリを確認してもよくわからず放置。(この時にPayPayに確認すべきだった!)午後にメールチェックをしていると画像のようなメールが突然届き、これはおかしい、とパスワード再設定しようと... pic.twitter.com/z81IF167aP x.com/setagaya_k/sta… 2024-04-18 08:19:56 風間ゆたか 東京都議会議員 立憲民主党 世田谷
MFA認証を使ったAssumeRoleでシンプルにTerraformを実行する(aws configure export-credentials) | DevelopersIO
MFA認証を使ったAssumeRoleでシンプルにTerraformを実行する(aws configure export-credentials) Terraform実行時のMFA認証を使ったAssume Roleを楽にできる方法がないか調べていたら、以下のコメントを見つけました。 Doesn't ask MFA token code when using assume_role with MFA required #2420 どうやらツールや長いコマンドの実行なしで、MFA認証ありでも簡単にAssume Roleができそうです。 便利だったのでブログにしてみました。 TerraformのMFA認証事情は以下のブログをご確認ください。 結論 この方法では、aws-vaultやaws-mfaなどのツールは不要です。 以下のようにProfileを用意して、terraformのコマンドを打つだけ
「Tailscale SSH」が正式版に到達。面倒な鍵管理が不要のSSH、VSCode拡張機能でリモートファイルも編集可能
「Tailscale SSH」が正式版に到達。面倒な鍵管理が不要のSSH、VSCode拡張機能でリモートファイルも編集可能 Tailscale社は、統合的なアイデンティティ管理による鍵管理を不要にした便利なSSHを実現する「Tailscale SSH」が正式版になったことを発表しました。 Tailscale SSH is now out of beta and into general availability! Still juggling SSH keys and managing identities across remote machines? There's a better way: https://t.co/sdvnCckSYg — Tailscale (@Tailscale) March 26, 2024 TailscaleはWireGuardをベースにしたVPN Tai
オープンソースによるFirebase代替を名乗るBaaS(Backend as a Service)「Supabase」が正式サービス化を発表しました。 Supabaseはこれまで約4年間ベータ版としてサービスを提供してきました。現在は100万以上のデータベースをホストし、新規データベースも1日あたり2500以上増加しており、モバイルアプリケーションからエンタープライズ用途まで十分な機能と安定性、スケーラビリティが実証されたとしています。 Supabaseの主な機能はデータベースや認証、ファイルストレージなど SupabaseはBaaSとして主に以下のマネージドサービス群から構成されています。 PostgreSQLによるデータベースサービス 認証サービス ファイルストレージ エッジロケーションにおけるNode.jsDenoベースのサーバレス基盤 マルチプレイヤーゲームなどに対応するリアルタ
2024年4月25日紙版発売 2024年4月25日電子版発売 市原創,板倉広明 著 A5判/456ページ 定価3,740円(本体3,400円+税10%) ISBN 978-4-297-14178-3 Gihyo Direct Amazon 楽天ブックス ヨドバシ.com 電子版 Gihyo Digital Publishing Amazon Kindle 楽天kobo honto この本の概要 SSL/TLSは,通信の秘密を守るために利用されている通信プロトコルです。HTTPSやHTTP/3にも利用されており,今日のWebでは利用が一般的になっています。本書では,その最新バージョンであるTLS 1.3のしくみと,その使い方を解説します。SSL/TLSは公開されている実装例などを真似すれば基本的な動作はさせられますが,それを応用していくには技術に関する理論の理解が必須になります。しかしSSL
身分証の検証を用いた身元確認/当人認証を意識してみよう
(4/14 表記揺れなどのコメントいただいたので、少し修正、追記しました。) ritouです。 私のタイムラインによく出てくる、この辺りの話っていつになってもしっくりこない人が多いと思います。 OAuth認証👮 : アプリケーションがユーザー情報取得を提供するAPIを叩いて受け取ったユーザー識別子を使って新規登録やログインさせてはいけない。OIDCのIDTokenを使え ユーザーIDが取得できればログインさせていいのではないか IDTokenはユーザーIDを含むJWTだが、どうしてこれは良いのか デジタル庁が進めるマイナンバーカードを用いた個人向け認証アプリケーション(以下、認証スーパーアプリ)の用途 マイナンバーカードを用いた本人確認は既にいくつかの民間サービスで使われているが、ログインに使えるとはどういう事なのか デジタル庁からは スマホ用電子証明書搭載サービス という物も出ているが
小学生でも多要素認証の今、企業の認証/ID管理は使いにくい、不自由にもほどがある 未来は変容するのか:ITmedia Security Week 2024 冬 2024年2月27日、アイティメディアが主催するセミナー「ITmedia Security Week 2024 冬」の「多要素認証から始めるID管理・統制」ゾーンで、パロンゴ 取締役 兼 最高技術責任者 林達也氏が「デジタルアイデンティティー時代のID管理・認証/認可の変容と社会受容」と題して講演した。産官学でデジタルアイデンティティーをウオッチし、策定にまで関わる同氏が、ゼロトラスト時代に重要な認証、認可の現在を、「社会受容」というキーワードを絡めて解説するセッションだ。
はじめに ◆この記事は何? IPA高度資格「情報処理安全確保支援士」のシラバスに掲載されている用語の備忘録です ◆対象は? 情報処理安全確保支援士の試験勉強をされる方 ◆この記事のねらい 試験範囲の用語の階層を整理します 試験勉強の一助となれば幸いです ◆この記事について シラバスの用語を参考書等を読みながら自分なりに整理した私の暗記用のノートです 試験に向けて高頻度で更新しています ご助言、誤り等あればご指摘いただけると幸いです 試験範囲全体 試験範囲の分解 暗号 認証 ネットワークセキュリティ データベースセキュリティ クライアントセキュリティ httpセキュリティ メールセキュリティ 攻撃と対策 注目技術 ※参考文献の目次をベースに、試験範囲を分解 暗号技術 共通鍵暗号方式 ブロック暗号 ECBモード CBCモード CTRモード(Counterモード) ストリーム暗号 公開鍵暗号方式
ritouです。 こちらの記事の続きです。 前回の記事の振り返り 3行でまとめると まずは単一アプリケーションのID管理について解像度を上げてみよう Webアプリケーションフレームワークを使って新規登録から退会までざっくり動作確認してから、色々いじったり調べてみるのが良いよ セキュリティ関連の機能とか、新規登録時の身元確認、ログイン方法を拡張してみよう といったところです。個人的にはこれは全エンジニア向けの研修であってもいいぐらいのものだと思います。 今回の内容 タイトルにある通り、複数のアプリケーションが関わる部分に入っていきましょう。 というか、OAuthとOIDCやりたいんですよね?え?SAML? まずはID連携のベーシックな部分に触れていきましょう。 プロトコルは混ざっちゃっていますが、順番としてはこんなのはどうでしょう。 OAuth 2.0のClientとしての機能を設計/実装す
モニクル社内3分LTで発表しました。技術職以外の人向けに話したので、抽象度高めにしてあります。
こんにちは、サーバーサイドエンジニアのmitaniです。先月、B/43を構成するシステムのうち、3つのRailsリポジトリの7.1バージョンアップが完了しました! 大きな躓きポイントはなかったのですが、参考までに手順やRails 7.1の内容を紹介しようと思います。 B/43のアーキテクチャ https://smartbank.co.jp/recruit/engineer-summary B/43は、上の図のように複数のサービスから構成されています。そのうちRailsで作られているサービスが3つあります(core-api / auth-api / aml-api)。バージョンアップする際には3つまとめて行う運用をとっているため、今回も3つバージョンアップしました。 各リポジトリは全てDocker化されています。各リポジトリのDockerfileは、共通してruby等をインストールしているベ
こんにちは、富士榮です。 政府とデジタルウォレットに関するOIX(Open Identity Exchange)のレポートをご存知でしょうか?昨年の秋口に出ているもので、簡単にいうと「政府が発行するクレデンシャルを政府が管理するウォレットに入れるのがいいのか、民間のウォレットにも入れていいのか」についての現状をまとめたレポートです。 Governments and Digital Walletshttps://openidentityexchange.org/networks/87/item.html?id=706 ということで読んでいきます。今回はエグゼクティブ・サマリー部分です。ここだけ読めば最低限の論点と結論はわかります。ウォレット提供者の選択肢冒頭の課題提起の部分にはこんなことが書いてあります。Governments around the globe are tracking th
ritou です。 これについての話です。 この辺りずっとやってると「認証認可について詳しくなりたいです!」「OIDCに興味があります!」みたいなところから「何をやればいいですか!?」みたいなことを聞かれたりします。(やりたいことやればいいじゃんと思いつつ) 昔は 年に一回ぐらいIdPを作りましょう なんて言っていた時期がありますが、まぁそう簡単にできるものでもありません。ふじえさんの記事をdisっているわけではないですが、OIDCのところから始めても他にやることが多すぎて結構つらいのです。 何から始めたら良いか 現状のおすすめとしては、 Webアプリケーションフレームワークを使って単一アプリケーションを動かして、既存コードを追ったり拡張できるならやってみて色々細かい部分を理解するところから始めましょうというところです。 なんと、ひと昔前にQiitaに溢れたようなやり方ですが どのフレーム
パスキーについて今日時点の僕が知っていること / What I Know About Passkeys as of Today
Niigata 5分 Tech #6で話しました https://niigata-5min-tech.connpass.com/event/312817/
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
スマホの電話番号を乗っ取られる「SIMスワップ」被害が増加 求められる対策とは?
iPhoneのウォレットアプリで「マイナンバーカード」 2025年春後半から予定
マイナンバー法改正案、今国会成立へ スマホにカードの全機能搭載 - 日本経済新聞
いまさら聞けないActive Directoryの仕組みと運用
総務省 | 安全なパスワードの設定・管理 | 国民のためのサイバーセキュリティサイト
マイナカード偽造「1枚5分、技術や準備は不要」中国籍の女証言…本人確認に目視のみ多く悪用拡大
AWSだ! Google Cloudだ! Azureだ! 認証連携だ!
「iPhone SE4」、有機ELやFace ID搭載でも8万円以下に収まる? | Gadget Gate
偽造マイナンバーカードを使用したSIMスワップについてまとめてみた - piyolog
マイナンバーカードを用いた本人確認とiPhoneへの機能搭載【鈴木淳也のPay Attention】
Cognito で Laravel の認証を実装する | DevelopersIO
MFA設定必須のCognitoのクロスアカウントマイグレーションについて - ZOZO TECH BLOG
パスワード不要の認証技術「パスキー」はパスワードよりもエクスペリエンスが悪いという批判
Microsoftアカウントがパスキーに対応、パスワードなしで安全にサインイン
OIDCって何なんだー?から、実際に使うまで - BASEプロダクトチームブログ
Oktaがパスワードレス認証のパスキーを解説、「セキュリティと利便性の高い機能」
パスワードレス化が進まないのはなぜ? 普及停滞を打開する認証手法「パスキー」への期待と導入のストーリー
「認証」を整理する | IIJ Engineers Blog
日本でもSIMハイジャック発生、ついに政治家が携帯電話番号を乗っ取られる事態に - すまほん!!
オープンソースによるFirebase代替を名乗るBaaS「Supabase」が正式サービスとして提供開始
SSL/TLS実践入門 ──Webの安全性を支える暗号化技術の設計思想
小学生でも多要素認証の今、企業の認証/ID管理は使いにくい、不自由にもほどがある 未来は変容するのか
IPA高度資格「情報処理安全確保支援士」暗記すべき用語を体系整理 - Qiita
ID周りをやりたいエンジニアにすすめたい学習ステップ(2) : 複数アプリケーションが絡むID管理
次世代Web認証「パスキー」 / mo-zatsudan-passkey
Rails 7.1にバージョンアップしました - inSmartBank
政府とデジタルウォレットのあり方に関するOIXのレポートを読む(1)
ID周りをやりたいエンジニアにすすめたい学習ステップ(1) : 単一アプリケーションとID管理