SlideShare a Scribd company logo

「多要素認証」と言っても色々あるんです

Download as PPTX, PDF
IIJ
IIJ

http://eng-blog.iij.ad.jp/archives/75

Technology
1 of 11
© 2016 Internet Initiative Japan Inc. 1 株式会社インターネットイニシアティブ 「多要素認証」と言っても色々あるんです ※本資料の内容や意見は、報告者個人に属し、IIJ の正式見解を示すものではありません。
© 2016 Internet Initiative Japan Inc. 2 不正アクセスに関連した3つの数字 約 800,00093.1%3個 複数のサイトで パスワードを 使いまわしている ユーザの割合 「トレンドマイクロ/ パスワードの利用実態調査 2014」 より 2014年に国内で報告された 自動化されたパスワード リスト攻撃による 不正ログイン行為の件数 ユーザが記憶可能な ID・パスワード数 (記憶の干渉の問題) 「野村総合研究所/ インターネットユーザーのIDに関する意識について」 より 「IPA/ オンライン本人認証方式の実態調査」 より
© 2016 Internet Initiative Japan Inc. 3 さきほどの3つの数字を象徴するような最近の「事件」  2016年5月末に6億4200万件のアカウント情報流出が発覚 • 事件内容 • LinkedIn、Tumblr や MySpace などのSNSや出会い系サイトから流出。 • 流出したデータが闇サイトで販売  その後、TeamViewer を用いた PC 乗っ取り事件が発生 • 事件内容 • 2016年5月末に発覚した6億4200万件のアカウント情報流出が発端で この流出データを元に TeamViewer に対して不正アクセスが発生 • 日本でも不正に PC が乗っ取られ、Amazon などで不正購入が行われた。 • TeamViewer 側の対策 • 二段階認証の導入 • パスワードリセットのお知らせが届く仕組みを導入
© 2016 Internet Initiative Japan Inc. 4 攻撃手段はパスワードリスト攻撃だけではありません ■パスワードに対する主な攻撃例 • 総当たり攻撃 (ブルートフォース攻撃) • 逆総当たり攻撃 (リバースブルートフォース攻撃) • 類推攻撃 • 辞書攻撃 • 事前計算攻撃 (オフライン) ・・・ ■認証プロセス等における脅威例 • オンライン上での 推測 • オフライン分析 • DoS 攻撃 • DDoS 攻撃 • フィッシング • ファーミング • 盗聴 • リプレイ攻撃 • セッション・ハイジャック • 中間者攻撃 ・・・
© 2016 Internet Initiative Japan Inc. 5 不正アクセスを防ぐために (参考)PCI DSS や経済産業省のクラウドセキュリティガイドラインでも二要素認証の記載が追加されています。 PCI DSS v3 以降 要件8 システムコンポーネントへのアクセスを確認・許可する 8.3 従業員(ユーザと管理者を含む)および第三者(サポートやメンテナンス用のベンダアクセスを含む)によるネットワーク へのリモートアクセス(ネットワーク外部からのネットワークレベルアクセス)に2因子認証を組み込む。 経済産業省 「クラウドセキュリティガイドライン活用ブック」より クラウド上の ID 管理においてはネットワークからの攻撃を受けるため、パスワードの複雑さだけではなく、二要素認証や二段階認証など の単体のパスワードの強度だけに依存しない対策を行うことが重要です。また、クラウドサービスを選択する際にも、コン トロールパネ ルやユーザ管理においてこれらの認証機能が選択できるところを選択するのが良い。 ユーザ視点でできる行うべき対策  水際対策 • パスワードの適切な設定・管理 • OSやアプリケーションの最新アップデート • フィッシングに対する注意 • 不正プログラムに対する注意 に加えて・・・  パスワード認証後の対策 • ログイン通知機能の有効化 • 多要素認証の利用
© 2016 Internet Initiative Japan Inc. 6 多要素認証って?
© 2016 Internet Initiative Japan Inc. 7 多要素認証とは 下記の異なる複数の要素を併用する認証方法 利用者が知ってるもの (Something You Know) • ID/Password 認証、Q&A 認証など 利用者が持っているもの (Something You Have) • PKI 認証、OTP 認証など 利用者自身 (Something You Are) • 生体認証など
© 2016 Internet Initiative Japan Inc. 8 色々とある「認証方式」 利便性 経済性 安全性 備考 利用者が 知ってるもの ID/PW 認証 ◎ ◎ △ • 単体ではセキュリティ強度に課題 利用者が 持ってるもの PKI 認証 ○ △ ○ • 導入/運用が煩雑 • 環境に依存 • 利用環境が限定される • 盗まれると総当たり攻撃により 漏洩する可能性がある ICカード認証 △ ✕ ○ • 導入運用が煩雑 • カードリーダが必要 • ICカードの携帯が必要 • コストが高い ワンタイム パスワード認証 (H/W Token) △ ✕ ○ • 中間者攻撃に対して脆弱性を残す • トークン機器の携帯が必要 • トークン機器のコストが高い ワンタイム パスワード認証 (S/W Token) ○ ○ ○ • 中間者攻撃に対して脆弱性を残す • 専用ソフトの導入が必要で、 トークン環境の健全が求められる ワンタイム パスワード認証 (over Mail) ◎ ○ △ • 中間者攻撃に対して脆弱性を残す • 利用している環境によって セキュリティ強度が左右する 利用者自身 生体認証 ○ ✕ ○ • 導入運用が煩雑 • コピーされる危険性がある • 生体情報なので変更が難しい • 怪我や病気で使えなくなる
© 2016 Internet Initiative Japan Inc. 9 パスワードレス化に向けた動向  モバイル端末を利用した生体認証環境が整備されつつあります。 • カメラ (モバイル端末全般) • Touch ID (iPhone) • Fingerprint Authentication (Android 6.0-)  次世代への認証サービスの検討も進んでいます。 • FIDO Alliance • U2F(Universal 2nd Factor)プロトコル • パスワード補完型: ex.「利用者が知ってるもの」+ 「利用者が持ってるもの」 • UAF(Universal Authentication Framework)プロトコル • パスワード置換型 ex.「利用者が持ってるもの」+ 「利用者自身」 • ACBio (Authentication Context for Biometrics) • 日本発で ISO国際標準規格として成立 • 生体情報は利用者側に保存され、 生体認証が正しく実行されたことの証拠情報のみがサーバへ送信 • 利用する生体認証は任意 • サーバ上で生体情報を登録不要
© 2016 Internet Initiative Japan Inc. 10 (おさらい)不正アクセスを防ぐために ユーザ視点でできる行うべき対策  水際対策 • パスワードの適切な設定・管理 • OSやアプリケーションの最新アップデート • フィッシングに対する注意 • 不正プログラムに対する注意 に加えて・・・  パスワード認証後の対策 • ログイン通知機能の有効化 • (万全ではないが・・・)多要素認証の利用 Ex. 中間者攻撃
© 2016 Internet Initiative Japan Inc. 11 Pelican-160415(1.0) お問い合わせ先 IIJインフォメーションセンター TEL:03-5205-4466 (9:30~17:30 土/日/祝日除く) info@iij.ad.jp http://www.iij.ad.jp/

Recommended

Linux女子部 systemd徹底入門
Linux女子部 systemd徹底入門Linux女子部 systemd徹底入門
Linux女子部 systemd徹底入門Etsuji Nakai
 
自作LLM作ろうとして 爆散した話 (1).pdf
自作LLM作ろうとして 爆散した話 (1).pdf自作LLM作ろうとして 爆散した話 (1).pdf
自作LLM作ろうとして 爆散した話 (1).pdfSuperHot DogCat
 
nginx入門
nginx入門nginx入門
nginx入門Takashi Takizawa
 
macOSの仮想化技術について ~Virtualization-rs Rust bindings for virtualization.framework ~
macOSの仮想化技術について ~Virtualization-rs Rust bindings for virtualization.framework ~macOSの仮想化技術について ~Virtualization-rs Rust bindings for virtualization.framework ~
macOSの仮想化技術について ~Virtualization-rs Rust bindings for virtualization.framework ~NTT Communications Technology Development
 
20分でわかるgVisor入門
20分でわかるgVisor入門20分でわかるgVisor入門
20分でわかるgVisor入門Shuji Yamada
 
コンテナ未経験新人が学ぶコンテナ技術入門
コンテナ未経験新人が学ぶコンテナ技術入門コンテナ未経験新人が学ぶコンテナ技術入門
コンテナ未経験新人が学ぶコンテナ技術入門Kohei Tokunaga
 
FINAL FANTASY XVにおけるPhoton利用事例 - Photon運営事務局 GTMF 2018 OSAKA / TOKYO
FINAL FANTASY XVにおけるPhoton利用事例 - Photon運営事務局 GTMF 2018 OSAKA / TOKYOFINAL FANTASY XVにおけるPhoton利用事例 - Photon運営事務局 GTMF 2018 OSAKA / TOKYO
FINAL FANTASY XVにおけるPhoton利用事例 - Photon運営事務局 GTMF 2018 OSAKA / TOKYOGame Tools & Middleware Forum
 
MongoDBが遅いときの切り分け方法
MongoDBが遅いときの切り分け方法MongoDBが遅いときの切り分け方法
MongoDBが遅いときの切り分け方法Tetsutaro Watanabe
 

Recommended

Linux女子部 systemd徹底入門
Linux女子部 systemd徹底入門Linux女子部 systemd徹底入門
Linux女子部 systemd徹底入門Etsuji Nakai
 
自作LLM作ろうとして 爆散した話 (1).pdf
自作LLM作ろうとして 爆散した話 (1).pdf自作LLM作ろうとして 爆散した話 (1).pdf
自作LLM作ろうとして 爆散した話 (1).pdfSuperHot DogCat
 
nginx入門
nginx入門nginx入門
nginx入門Takashi Takizawa
 
macOSの仮想化技術について ~Virtualization-rs Rust bindings for virtualization.framework ~
macOSの仮想化技術について ~Virtualization-rs Rust bindings for virtualization.framework ~macOSの仮想化技術について ~Virtualization-rs Rust bindings for virtualization.framework ~
macOSの仮想化技術について ~Virtualization-rs Rust bindings for virtualization.framework ~NTT Communications Technology Development
 
20分でわかるgVisor入門
20分でわかるgVisor入門20分でわかるgVisor入門
20分でわかるgVisor入門Shuji Yamada
 
コンテナ未経験新人が学ぶコンテナ技術入門
コンテナ未経験新人が学ぶコンテナ技術入門コンテナ未経験新人が学ぶコンテナ技術入門
コンテナ未経験新人が学ぶコンテナ技術入門Kohei Tokunaga
 
FINAL FANTASY XVにおけるPhoton利用事例 - Photon運営事務局 GTMF 2018 OSAKA / TOKYO
FINAL FANTASY XVにおけるPhoton利用事例 - Photon運営事務局 GTMF 2018 OSAKA / TOKYOFINAL FANTASY XVにおけるPhoton利用事例 - Photon運営事務局 GTMF 2018 OSAKA / TOKYO
FINAL FANTASY XVにおけるPhoton利用事例 - Photon運営事務局 GTMF 2018 OSAKA / TOKYOGame Tools & Middleware Forum
 
MongoDBが遅いときの切り分け方法
MongoDBが遅いときの切り分け方法MongoDBが遅いときの切り分け方法
MongoDBが遅いときの切り分け方法Tetsutaro Watanabe
 
コンテナの作り方「Dockerは裏方で何をしているのか?」
コンテナの作り方「Dockerは裏方で何をしているのか?」コンテナの作り方「Dockerは裏方で何をしているのか?」
コンテナの作り方「Dockerは裏方で何をしているのか?」Masahito Zembutsu
 
Python製BDDツールで自動化してみた
Python製BDDツールで自動化してみたPython製BDDツールで自動化してみた
Python製BDDツールで自動化してみたKeijiUehata1
 
アジャイルなソフトウェア設計を目指して
アジャイルなソフトウェア設計を目指してアジャイルなソフトウェア設計を目指して
アジャイルなソフトウェア設計を目指して増田 亨
 
ゲームサーバ開発現場の考え方
ゲームサーバ開発現場の考え方ゲームサーバ開発現場の考え方
ゲームサーバ開発現場の考え方Daisaku Mochizuki
 
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021Hiroshi Tokumaru
 
OpenShiftでJBoss EAP構築
OpenShiftでJBoss EAP構築OpenShiftでJBoss EAP構築
OpenShiftでJBoss EAP構築Daein Park
 
レシピの作り方入門
レシピの作り方入門レシピの作り方入門
レシピの作り方入門Nobuhiro Iwamatsu
 
オープンソースライセンスの基礎と実務
オープンソースライセンスの基礎と実務オープンソースライセンスの基礎と実務
オープンソースライセンスの基礎と実務Yutaka Kachi
 
Windowsフォームで大丈夫か?一番良いのを頼む。
Windowsフォームで大丈夫か?一番良いのを頼む。Windowsフォームで大丈夫か?一番良いのを頼む。
Windowsフォームで大丈夫か?一番良いのを頼む。Yuya Yamaki
 
コンテナ基盤であるLXC/LXDを 本番環境で運用する話
コンテナ基盤であるLXC/LXDを 本番環境で運用する話コンテナ基盤であるLXC/LXDを 本番環境で運用する話
コンテナ基盤であるLXC/LXDを 本番環境で運用する話Nobuhiro Fujita
 
とある診断員とAWS
とある診断員とAWSとある診断員とAWS
とある診断員とAWSzaki4649
 
Raspberry Pi + Go で IoT した話
Raspberry Pi + Go で IoT した話Raspberry Pi + Go で IoT した話
Raspberry Pi + Go で IoT した話yaegashi
 
VMware ESXi と Microsoft Hyper-V Server を比較してみた
VMware ESXi と Microsoft Hyper-V Server を比較してみたVMware ESXi と Microsoft Hyper-V Server を比較してみた
VMware ESXi と Microsoft Hyper-V Server を比較してみたPOPI Prince
 
ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptxネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptxShota Shinogi
 
Redisの特徴と活用方法について
Redisの特徴と活用方法についてRedisの特徴と活用方法について
Redisの特徴と活用方法についてYuji Otani
 
とある診断員とSQLインジェクション
とある診断員とSQLインジェクションとある診断員とSQLインジェクション
とある診断員とSQLインジェクションzaki4649
 
WebSocket / WebRTCの技術紹介
WebSocket / WebRTCの技術紹介WebSocket / WebRTCの技術紹介
WebSocket / WebRTCの技術紹介Yasuhiro Mawarimichi
 
initとプロセス再起動
initとプロセス再起動initとプロセス再起動
initとプロセス再起動Takashi Takizawa
 
忙しい人の5分で分かるDocker 2017年春Ver
忙しい人の5分で分かるDocker 2017年春Ver忙しい人の5分で分かるDocker 2017年春Ver
忙しい人の5分で分かるDocker 2017年春VerMasahito Zembutsu
 
Unityでオニオンアーキテクチャ
UnityでオニオンアーキテクチャUnityでオニオンアーキテクチャ
Unityでオニオンアーキテクチャtorisoup
 
Ruby で覚える TOTP
Ruby で覚える TOTPRuby で覚える TOTP
Ruby で覚える TOTPDaichi Hioki
 
Microsoft MVP から見たクラウド サービスの現状と今後について
Microsoft MVP から見たクラウド サービスの現状と今後についてMicrosoft MVP から見たクラウド サービスの現状と今後について
Microsoft MVP から見たクラウド サービスの現状と今後についてIIJ
 

More Related Content

What's hot

コンテナの作り方「Dockerは裏方で何をしているのか?」
コンテナの作り方「Dockerは裏方で何をしているのか?」コンテナの作り方「Dockerは裏方で何をしているのか?」
コンテナの作り方「Dockerは裏方で何をしているのか?」Masahito Zembutsu
 
Python製BDDツールで自動化してみた
Python製BDDツールで自動化してみたPython製BDDツールで自動化してみた
Python製BDDツールで自動化してみたKeijiUehata1
 
アジャイルなソフトウェア設計を目指して
アジャイルなソフトウェア設計を目指してアジャイルなソフトウェア設計を目指して
アジャイルなソフトウェア設計を目指して増田 亨
 
ゲームサーバ開発現場の考え方
ゲームサーバ開発現場の考え方ゲームサーバ開発現場の考え方
ゲームサーバ開発現場の考え方Daisaku Mochizuki
 
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021Hiroshi Tokumaru
 
OpenShiftでJBoss EAP構築
OpenShiftでJBoss EAP構築OpenShiftでJBoss EAP構築
OpenShiftでJBoss EAP構築Daein Park
 
オープンソースライセンスの基礎と実務
オープンソースライセンスの基礎と実務オープンソースライセンスの基礎と実務
オープンソースライセンスの基礎と実務Yutaka Kachi
 
Windowsフォームで大丈夫か?一番良いのを頼む。
Windowsフォームで大丈夫か?一番良いのを頼む。Windowsフォームで大丈夫か?一番良いのを頼む。
Windowsフォームで大丈夫か?一番良いのを頼む。Yuya Yamaki
 
コンテナ基盤であるLXC/LXDを 本番環境で運用する話
コンテナ基盤であるLXC/LXDを 本番環境で運用する話コンテナ基盤であるLXC/LXDを 本番環境で運用する話
コンテナ基盤であるLXC/LXDを 本番環境で運用する話Nobuhiro Fujita
 
とある診断員とAWS
とある診断員とAWSとある診断員とAWS
とある診断員とAWSzaki4649
 
Raspberry Pi + Go で IoT した話
Raspberry Pi + Go で IoT した話Raspberry Pi + Go で IoT した話
Raspberry Pi + Go で IoT した話yaegashi
 
VMware ESXi と Microsoft Hyper-V Server を比較してみた
VMware ESXi と Microsoft Hyper-V Server を比較してみたVMware ESXi と Microsoft Hyper-V Server を比較してみた
VMware ESXi と Microsoft Hyper-V Server を比較してみたPOPI Prince
 
ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptxネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptxShota Shinogi
 
Redisの特徴と活用方法について
Redisの特徴と活用方法についてRedisの特徴と活用方法について
Redisの特徴と活用方法についてYuji Otani
 
とある診断員とSQLインジェクション
とある診断員とSQLインジェクションとある診断員とSQLインジェクション
とある診断員とSQLインジェクションzaki4649
 
initとプロセス再起動
initとプロセス再起動initとプロセス再起動
initとプロセス再起動Takashi Takizawa
 
忙しい人の5分で分かるDocker 2017年春Ver
忙しい人の5分で分かるDocker 2017年春Ver忙しい人の5分で分かるDocker 2017年春Ver
忙しい人の5分で分かるDocker 2017年春VerMasahito Zembutsu
 
Unityでオニオンアーキテクチャ
UnityでオニオンアーキテクチャUnityでオニオンアーキテクチャ
Unityでオニオンアーキテクチャtorisoup
 

What's hot (20)

コンテナの作り方「Dockerは裏方で何をしているのか?」
コンテナの作り方「Dockerは裏方で何をしているのか?」コンテナの作り方「Dockerは裏方で何をしているのか?」
コンテナの作り方「Dockerは裏方で何をしているのか?」
 
Python製BDDツールで自動化してみた
Python製BDDツールで自動化してみたPython製BDDツールで自動化してみた
Python製BDDツールで自動化してみた
 
アジャイルなソフトウェア設計を目指して
アジャイルなソフトウェア設計を目指してアジャイルなソフトウェア設計を目指して
アジャイルなソフトウェア設計を目指して
 
ゲームサーバ開発現場の考え方
ゲームサーバ開発現場の考え方ゲームサーバ開発現場の考え方
ゲームサーバ開発現場の考え方
 
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021
 
OpenShiftでJBoss EAP構築
OpenShiftでJBoss EAP構築OpenShiftでJBoss EAP構築
OpenShiftでJBoss EAP構築
 
レシピの作り方入門
レシピの作り方入門レシピの作り方入門
レシピの作り方入門
 
オープンソースライセンスの基礎と実務
オープンソースライセンスの基礎と実務オープンソースライセンスの基礎と実務
オープンソースライセンスの基礎と実務
 
Windowsフォームで大丈夫か?一番良いのを頼む。
Windowsフォームで大丈夫か?一番良いのを頼む。Windowsフォームで大丈夫か?一番良いのを頼む。
Windowsフォームで大丈夫か?一番良いのを頼む。
 
コンテナ基盤であるLXC/LXDを 本番環境で運用する話
コンテナ基盤であるLXC/LXDを 本番環境で運用する話コンテナ基盤であるLXC/LXDを 本番環境で運用する話
コンテナ基盤であるLXC/LXDを 本番環境で運用する話
 
とある診断員とAWS
とある診断員とAWSとある診断員とAWS
とある診断員とAWS
 
Raspberry Pi + Go で IoT した話
Raspberry Pi + Go で IoT した話Raspberry Pi + Go で IoT した話
Raspberry Pi + Go で IoT した話
 
VMware ESXi と Microsoft Hyper-V Server を比較してみた
VMware ESXi と Microsoft Hyper-V Server を比較してみたVMware ESXi と Microsoft Hyper-V Server を比較してみた
VMware ESXi と Microsoft Hyper-V Server を比較してみた
 
ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptxネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
 
Redisの特徴と活用方法について
Redisの特徴と活用方法についてRedisの特徴と活用方法について
Redisの特徴と活用方法について
 
とある診断員とSQLインジェクション
とある診断員とSQLインジェクションとある診断員とSQLインジェクション
とある診断員とSQLインジェクション
 
WebSocket / WebRTCの技術紹介
WebSocket / WebRTCの技術紹介WebSocket / WebRTCの技術紹介
WebSocket / WebRTCの技術紹介
 
initとプロセス再起動
initとプロセス再起動initとプロセス再起動
initとプロセス再起動
 
忙しい人の5分で分かるDocker 2017年春Ver
忙しい人の5分で分かるDocker 2017年春Ver忙しい人の5分で分かるDocker 2017年春Ver
忙しい人の5分で分かるDocker 2017年春Ver
 
Unityでオニオンアーキテクチャ
UnityでオニオンアーキテクチャUnityでオニオンアーキテクチャ
Unityでオニオンアーキテクチャ
 

Viewers also liked

Ruby で覚える TOTP
Ruby で覚える TOTPRuby で覚える TOTP
Ruby で覚える TOTPDaichi Hioki
 
Microsoft MVP から見たクラウド サービスの現状と今後について
Microsoft MVP から見たクラウド サービスの現状と今後についてMicrosoft MVP から見たクラウド サービスの現状と今後について
Microsoft MVP から見たクラウド サービスの現状と今後についてIIJ
 
Self isssued-idp
Self isssued-idpSelf isssued-idp
Self isssued-idpNov Matake
 
GitHub Enterprise と内製開発の文化
GitHub Enterprise と内製開発の文化GitHub Enterprise と内製開発の文化
GitHub Enterprise と内製開発の文化IIJ
 
使ってみた!ioMemoryで実現する噂のAtomic write!
使ってみた!ioMemoryで実現する噂のAtomic write!使ってみた!ioMemoryで実現する噂のAtomic write!
使ってみた!ioMemoryで実現する噂のAtomic write!IIJ
 
機械学習を用いたAWS CloudTrailログの積極的活用
機械学習を用いたAWS CloudTrailログの積極的活用機械学習を用いたAWS CloudTrailログの積極的活用
機械学習を用いたAWS CloudTrailログの積極的活用kz-takahashi
 
オブジェクトストレージの詳解とクラウドサービスを活かすスケーラブルなシステム開発
オブジェクトストレージの詳解とクラウドサービスを活かすスケーラブルなシステム開発オブジェクトストレージの詳解とクラウドサービスを活かすスケーラブルなシステム開発
オブジェクトストレージの詳解とクラウドサービスを活かすスケーラブルなシステム開発IIJ
 
IBM iクラウド本格化をチャンスに変えるIaaS
IBM iクラウド本格化をチャンスに変えるIaaSIBM iクラウド本格化をチャンスに変えるIaaS
IBM iクラウド本格化をチャンスに変えるIaaSIIJ
 
IIJにおけるGlusterFS利用事例 GlusterFSの詳解と2年間の運用ノウハウ
IIJにおけるGlusterFS利用事例 GlusterFSの詳解と2年間の運用ノウハウIIJにおけるGlusterFS利用事例 GlusterFSの詳解と2年間の運用ノウハウ
IIJにおけるGlusterFS利用事例 GlusterFSの詳解と2年間の運用ノウハウIIJ
 
クラウドで消耗してませんか?
クラウドで消耗してませんか?クラウドで消耗してませんか?
クラウドで消耗してませんか?IIJ
 
要求の変化とマイクロサービスアーキテクチャ
要求の変化とマイクロサービスアーキテクチャ要求の変化とマイクロサービスアーキテクチャ
要求の変化とマイクロサービスアーキテクチャYusuke Suzuki
 
Document Writing in CI Environment
Document Writing in CI EnvironmentDocument Writing in CI Environment
Document Writing in CI EnvironmentRecruit Technologies
 

Viewers also liked (13)

Ruby で覚える TOTP
Ruby で覚える TOTPRuby で覚える TOTP
Ruby で覚える TOTP
 
Microsoft MVP から見たクラウド サービスの現状と今後について
Microsoft MVP から見たクラウド サービスの現状と今後についてMicrosoft MVP から見たクラウド サービスの現状と今後について
Microsoft MVP から見たクラウド サービスの現状と今後について
 
Self isssued-idp
Self isssued-idpSelf isssued-idp
Self isssued-idp
 
GitHub Enterprise と内製開発の文化
GitHub Enterprise と内製開発の文化GitHub Enterprise と内製開発の文化
GitHub Enterprise と内製開発の文化
 
使ってみた!ioMemoryで実現する噂のAtomic write!
使ってみた!ioMemoryで実現する噂のAtomic write!使ってみた!ioMemoryで実現する噂のAtomic write!
使ってみた!ioMemoryで実現する噂のAtomic write!
 
機械学習を用いたAWS CloudTrailログの積極的活用
機械学習を用いたAWS CloudTrailログの積極的活用機械学習を用いたAWS CloudTrailログの積極的活用
機械学習を用いたAWS CloudTrailログの積極的活用
 
オブジェクトストレージの詳解とクラウドサービスを活かすスケーラブルなシステム開発
オブジェクトストレージの詳解とクラウドサービスを活かすスケーラブルなシステム開発オブジェクトストレージの詳解とクラウドサービスを活かすスケーラブルなシステム開発
オブジェクトストレージの詳解とクラウドサービスを活かすスケーラブルなシステム開発
 
IBM iクラウド本格化をチャンスに変えるIaaS
IBM iクラウド本格化をチャンスに変えるIaaSIBM iクラウド本格化をチャンスに変えるIaaS
IBM iクラウド本格化をチャンスに変えるIaaS
 
IIJにおけるGlusterFS利用事例 GlusterFSの詳解と2年間の運用ノウハウ
IIJにおけるGlusterFS利用事例 GlusterFSの詳解と2年間の運用ノウハウIIJにおけるGlusterFS利用事例 GlusterFSの詳解と2年間の運用ノウハウ
IIJにおけるGlusterFS利用事例 GlusterFSの詳解と2年間の運用ノウハウ
 
クラウドで消耗してませんか?
クラウドで消耗してませんか?クラウドで消耗してませんか?
クラウドで消耗してませんか?
 
要求の変化とマイクロサービスアーキテクチャ
要求の変化とマイクロサービスアーキテクチャ要求の変化とマイクロサービスアーキテクチャ
要求の変化とマイクロサービスアーキテクチャ
 
文書をコードとして扱う
文書をコードとして扱う文書をコードとして扱う
文書をコードとして扱う
 
Document Writing in CI Environment
Document Writing in CI EnvironmentDocument Writing in CI Environment
Document Writing in CI Environment
 

More from IIJ

プロダクトオーナーと開発者が別会社・別組織でも前のめりなチームを生み出す取り組み事例
プロダクトオーナーと開発者が別会社・別組織でも前のめりなチームを生み出す取り組み事例プロダクトオーナーと開発者が別会社・別組織でも前のめりなチームを生み出す取り組み事例
プロダクトオーナーと開発者が別会社・別組織でも前のめりなチームを生み出す取り組み事例IIJ
 
IIJ_デジタルワークプレース事業紹介資料
IIJ_デジタルワークプレース事業紹介資料IIJ_デジタルワークプレース事業紹介資料
IIJ_デジタルワークプレース事業紹介資料IIJ
 
監視 Overview
監視 Overview監視 Overview
監視 OverviewIIJ
 
HTTPを理解する
HTTPを理解するHTTPを理解する
HTTPを理解するIIJ
 
DevOps Overview
DevOps OverviewDevOps Overview
DevOps OverviewIIJ
 
ただいま三河。あれから1年、チームNOCKncokが開発しないスクラムで成果を出した経験から得た学び
ただいま三河。あれから1年、チームNOCKncokが開発しないスクラムで成果を出した経験から得た学びただいま三河。あれから1年、チームNOCKncokが開発しないスクラムで成果を出した経験から得た学び
ただいま三河。あれから1年、チームNOCKncokが開発しないスクラムで成果を出した経験から得た学びIIJ
 
上っ面スクラムチームにならないために気を付けたいこと
上っ面スクラムチームにならないために気を付けたいこと上っ面スクラムチームにならないために気を付けたいこと
上っ面スクラムチームにならないために気を付けたいことIIJ
 
Super Easy Memory Forensics
Super Easy Memory ForensicsSuper Easy Memory Forensics
Super Easy Memory ForensicsIIJ
 
チームみを大切にした 私たちの“受託アジャイル・スクラム”体験談
チームみを大切にした 私たちの“受託アジャイル・スクラム”体験談チームみを大切にした 私たちの“受託アジャイル・スクラム”体験談
チームみを大切にした 私たちの“受託アジャイル・スクラム”体験談IIJ
 
【解説】IKE(IIJ Kubernetes Engine):= Vanilla Kubernetes + 何?
【解説】IKE(IIJ Kubernetes Engine):= Vanilla Kubernetes + 何?【解説】IKE(IIJ Kubernetes Engine):= Vanilla Kubernetes + 何?
【解説】IKE(IIJ Kubernetes Engine):= Vanilla Kubernetes + 何?IIJ
 
コロナ禍での白井データセンターキャンパスの運用施策
コロナ禍での白井データセンターキャンパスの運用施策コロナ禍での白井データセンターキャンパスの運用施策
コロナ禍での白井データセンターキャンパスの運用施策IIJ
 
コロナ禍の開発勉強会~社内教育ツールの開発と実装
コロナ禍の開発勉強会~社内教育ツールの開発と実装コロナ禍の開発勉強会~社内教育ツールの開発と実装
コロナ禍の開発勉強会~社内教育ツールの開発と実装IIJ
 
セキュリティ動向2020
セキュリティ動向2020セキュリティ動向2020
セキュリティ動向2020IIJ
 
バックボーン運用から見るインターネットの実情
バックボーン運用から見るインターネットの実情バックボーン運用から見るインターネットの実情
バックボーン運用から見るインターネットの実情IIJ
 
データセンターのエネルギーコントロールの仕組み
データセンターのエネルギーコントロールの仕組みデータセンターのエネルギーコントロールの仕組み
データセンターのエネルギーコントロールの仕組みIIJ
 
世界のインターネット事情
世界のインターネット事情世界のインターネット事情
世界のインターネット事情IIJ
 
フロントからバックエンドまで - WebAssemblyで広がる可能性
フロントからバックエンドまで - WebAssemblyで広がる可能性フロントからバックエンドまで - WebAssemblyで広がる可能性
フロントからバックエンドまで - WebAssemblyで広がる可能性IIJ
 
あ! やせいのEmotetがあらわれた! ~ IIJ C-SOCサービスの分析ルールについて~
あ! やせいのEmotetがあらわれた! ~ IIJ C-SOCサービスの分析ルールについて~あ! やせいのEmotetがあらわれた! ~ IIJ C-SOCサービスの分析ルールについて~
あ! やせいのEmotetがあらわれた! ~ IIJ C-SOCサービスの分析ルールについて~IIJ
 
インシデント調査システムが内製すぎる件~CHAGEのご紹介~
インシデント調査システムが内製すぎる件~CHAGEのご紹介~インシデント調査システムが内製すぎる件~CHAGEのご紹介~
インシデント調査システムが内製すぎる件~CHAGEのご紹介~IIJ
 
IIJ Technical DAY 2019 ~ IIJのサーバインフラはここまでやっています
IIJ Technical DAY 2019 ~ IIJのサーバインフラはここまでやっていますIIJ Technical DAY 2019 ~ IIJのサーバインフラはここまでやっています
IIJ Technical DAY 2019 ~ IIJのサーバインフラはここまでやっていますIIJ
 

More from IIJ (20)

プロダクトオーナーと開発者が別会社・別組織でも前のめりなチームを生み出す取り組み事例
プロダクトオーナーと開発者が別会社・別組織でも前のめりなチームを生み出す取り組み事例プロダクトオーナーと開発者が別会社・別組織でも前のめりなチームを生み出す取り組み事例
プロダクトオーナーと開発者が別会社・別組織でも前のめりなチームを生み出す取り組み事例
 
IIJ_デジタルワークプレース事業紹介資料
IIJ_デジタルワークプレース事業紹介資料IIJ_デジタルワークプレース事業紹介資料
IIJ_デジタルワークプレース事業紹介資料
 
監視 Overview
監視 Overview監視 Overview
監視 Overview
 
HTTPを理解する
HTTPを理解するHTTPを理解する
HTTPを理解する
 
DevOps Overview
DevOps OverviewDevOps Overview
DevOps Overview
 
ただいま三河。あれから1年、チームNOCKncokが開発しないスクラムで成果を出した経験から得た学び
ただいま三河。あれから1年、チームNOCKncokが開発しないスクラムで成果を出した経験から得た学びただいま三河。あれから1年、チームNOCKncokが開発しないスクラムで成果を出した経験から得た学び
ただいま三河。あれから1年、チームNOCKncokが開発しないスクラムで成果を出した経験から得た学び
 
上っ面スクラムチームにならないために気を付けたいこと
上っ面スクラムチームにならないために気を付けたいこと上っ面スクラムチームにならないために気を付けたいこと
上っ面スクラムチームにならないために気を付けたいこと
 
Super Easy Memory Forensics
Super Easy Memory ForensicsSuper Easy Memory Forensics
Super Easy Memory Forensics
 
チームみを大切にした 私たちの“受託アジャイル・スクラム”体験談
チームみを大切にした 私たちの“受託アジャイル・スクラム”体験談チームみを大切にした 私たちの“受託アジャイル・スクラム”体験談
チームみを大切にした 私たちの“受託アジャイル・スクラム”体験談
 
【解説】IKE(IIJ Kubernetes Engine):= Vanilla Kubernetes + 何?
【解説】IKE(IIJ Kubernetes Engine):= Vanilla Kubernetes + 何?【解説】IKE(IIJ Kubernetes Engine):= Vanilla Kubernetes + 何?
【解説】IKE(IIJ Kubernetes Engine):= Vanilla Kubernetes + 何?
 
コロナ禍での白井データセンターキャンパスの運用施策
コロナ禍での白井データセンターキャンパスの運用施策コロナ禍での白井データセンターキャンパスの運用施策
コロナ禍での白井データセンターキャンパスの運用施策
 
コロナ禍の開発勉強会~社内教育ツールの開発と実装
コロナ禍の開発勉強会~社内教育ツールの開発と実装コロナ禍の開発勉強会~社内教育ツールの開発と実装
コロナ禍の開発勉強会~社内教育ツールの開発と実装
 
セキュリティ動向2020
セキュリティ動向2020セキュリティ動向2020
セキュリティ動向2020
 
バックボーン運用から見るインターネットの実情
バックボーン運用から見るインターネットの実情バックボーン運用から見るインターネットの実情
バックボーン運用から見るインターネットの実情
 
データセンターのエネルギーコントロールの仕組み
データセンターのエネルギーコントロールの仕組みデータセンターのエネルギーコントロールの仕組み
データセンターのエネルギーコントロールの仕組み
 
世界のインターネット事情
世界のインターネット事情世界のインターネット事情
世界のインターネット事情
 
フロントからバックエンドまで - WebAssemblyで広がる可能性
フロントからバックエンドまで - WebAssemblyで広がる可能性フロントからバックエンドまで - WebAssemblyで広がる可能性
フロントからバックエンドまで - WebAssemblyで広がる可能性
 
あ! やせいのEmotetがあらわれた! ~ IIJ C-SOCサービスの分析ルールについて~
あ! やせいのEmotetがあらわれた! ~ IIJ C-SOCサービスの分析ルールについて~あ! やせいのEmotetがあらわれた! ~ IIJ C-SOCサービスの分析ルールについて~
あ! やせいのEmotetがあらわれた! ~ IIJ C-SOCサービスの分析ルールについて~
 
インシデント調査システムが内製すぎる件~CHAGEのご紹介~
インシデント調査システムが内製すぎる件~CHAGEのご紹介~インシデント調査システムが内製すぎる件~CHAGEのご紹介~
インシデント調査システムが内製すぎる件~CHAGEのご紹介~
 
IIJ Technical DAY 2019 ~ IIJのサーバインフラはここまでやっています
IIJ Technical DAY 2019 ~ IIJのサーバインフラはここまでやっていますIIJ Technical DAY 2019 ~ IIJのサーバインフラはここまでやっています
IIJ Technical DAY 2019 ~ IIJのサーバインフラはここまでやっています
 

「多要素認証」と言っても色々あるんです

  • 1. © 2016 Internet Initiative Japan Inc. 1 株式会社インターネットイニシアティブ 「多要素認証」と言っても色々あるんです ※本資料の内容や意見は、報告者個人に属し、IIJ の正式見解を示すものではありません。
  • 2. © 2016 Internet Initiative Japan Inc. 2 不正アクセスに関連した3つの数字 約 800,00093.1%3個 複数のサイトで パスワードを 使いまわしている ユーザの割合 「トレンドマイクロ/ パスワードの利用実態調査 2014」 より 2014年に国内で報告された 自動化されたパスワード リスト攻撃による 不正ログイン行為の件数 ユーザが記憶可能な ID・パスワード数 (記憶の干渉の問題) 「野村総合研究所/ インターネットユーザーのIDに関する意識について」 より 「IPA/ オンライン本人認証方式の実態調査」 より
  • 3. © 2016 Internet Initiative Japan Inc. 3 さきほどの3つの数字を象徴するような最近の「事件」  2016年5月末に6億4200万件のアカウント情報流出が発覚 • 事件内容 • LinkedIn、Tumblr や MySpace などのSNSや出会い系サイトから流出。 • 流出したデータが闇サイトで販売  その後、TeamViewer を用いた PC 乗っ取り事件が発生 • 事件内容 • 2016年5月末に発覚した6億4200万件のアカウント情報流出が発端で この流出データを元に TeamViewer に対して不正アクセスが発生 • 日本でも不正に PC が乗っ取られ、Amazon などで不正購入が行われた。 • TeamViewer 側の対策 • 二段階認証の導入 • パスワードリセットのお知らせが届く仕組みを導入
  • 4. © 2016 Internet Initiative Japan Inc. 4 攻撃手段はパスワードリスト攻撃だけではありません ■パスワードに対する主な攻撃例 • 総当たり攻撃 (ブルートフォース攻撃) • 逆総当たり攻撃 (リバースブルートフォース攻撃) • 類推攻撃 • 辞書攻撃 • 事前計算攻撃 (オフライン) ・・・ ■認証プロセス等における脅威例 • オンライン上での 推測 • オフライン分析 • DoS 攻撃 • DDoS 攻撃 • フィッシング • ファーミング • 盗聴 • リプレイ攻撃 • セッション・ハイジャック • 中間者攻撃 ・・・
  • 5. © 2016 Internet Initiative Japan Inc. 5 不正アクセスを防ぐために (参考)PCI DSS や経済産業省のクラウドセキュリティガイドラインでも二要素認証の記載が追加されています。 PCI DSS v3 以降 要件8 システムコンポーネントへのアクセスを確認・許可する 8.3 従業員(ユーザと管理者を含む)および第三者(サポートやメンテナンス用のベンダアクセスを含む)によるネットワーク へのリモートアクセス(ネットワーク外部からのネットワークレベルアクセス)に2因子認証を組み込む。 経済産業省 「クラウドセキュリティガイドライン活用ブック」より クラウド上の ID 管理においてはネットワークからの攻撃を受けるため、パスワードの複雑さだけではなく、二要素認証や二段階認証など の単体のパスワードの強度だけに依存しない対策を行うことが重要です。また、クラウドサービスを選択する際にも、コン トロールパネ ルやユーザ管理においてこれらの認証機能が選択できるところを選択するのが良い。 ユーザ視点でできる行うべき対策  水際対策 • パスワードの適切な設定・管理 • OSやアプリケーションの最新アップデート • フィッシングに対する注意 • 不正プログラムに対する注意 に加えて・・・  パスワード認証後の対策 • ログイン通知機能の有効化 • 多要素認証の利用
  • 6. © 2016 Internet Initiative Japan Inc. 6 多要素認証って?
  • 7. © 2016 Internet Initiative Japan Inc. 7 多要素認証とは 下記の異なる複数の要素を併用する認証方法 利用者が知ってるもの (Something You Know) • ID/Password 認証、Q&A 認証など 利用者が持っているもの (Something You Have) • PKI 認証、OTP 認証など 利用者自身 (Something You Are) • 生体認証など
  • 8. © 2016 Internet Initiative Japan Inc. 8 色々とある「認証方式」 利便性 経済性 安全性 備考 利用者が 知ってるもの ID/PW 認証 ◎ ◎ △ • 単体ではセキュリティ強度に課題 利用者が 持ってるもの PKI 認証 ○ △ ○ • 導入/運用が煩雑 • 環境に依存 • 利用環境が限定される • 盗まれると総当たり攻撃により 漏洩する可能性がある ICカード認証 △ ✕ ○ • 導入運用が煩雑 • カードリーダが必要 • ICカードの携帯が必要 • コストが高い ワンタイム パスワード認証 (H/W Token) △ ✕ ○ • 中間者攻撃に対して脆弱性を残す • トークン機器の携帯が必要 • トークン機器のコストが高い ワンタイム パスワード認証 (S/W Token) ○ ○ ○ • 中間者攻撃に対して脆弱性を残す • 専用ソフトの導入が必要で、 トークン環境の健全が求められる ワンタイム パスワード認証 (over Mail) ◎ ○ △ • 中間者攻撃に対して脆弱性を残す • 利用している環境によって セキュリティ強度が左右する 利用者自身 生体認証 ○ ✕ ○ • 導入運用が煩雑 • コピーされる危険性がある • 生体情報なので変更が難しい • 怪我や病気で使えなくなる
  • 9. © 2016 Internet Initiative Japan Inc. 9 パスワードレス化に向けた動向  モバイル端末を利用した生体認証環境が整備されつつあります。 • カメラ (モバイル端末全般) • Touch ID (iPhone) • Fingerprint Authentication (Android 6.0-)  次世代への認証サービスの検討も進んでいます。 • FIDO Alliance • U2F(Universal 2nd Factor)プロトコル • パスワード補完型: ex.「利用者が知ってるもの」+ 「利用者が持ってるもの」 • UAF(Universal Authentication Framework)プロトコル • パスワード置換型 ex.「利用者が持ってるもの」+ 「利用者自身」 • ACBio (Authentication Context for Biometrics) • 日本発で ISO国際標準規格として成立 • 生体情報は利用者側に保存され、 生体認証が正しく実行されたことの証拠情報のみがサーバへ送信 • 利用する生体認証は任意 • サーバ上で生体情報を登録不要
  • 10. © 2016 Internet Initiative Japan Inc. 10 (おさらい)不正アクセスを防ぐために ユーザ視点でできる行うべき対策  水際対策 • パスワードの適切な設定・管理 • OSやアプリケーションの最新アップデート • フィッシングに対する注意 • 不正プログラムに対する注意 に加えて・・・  パスワード認証後の対策 • ログイン通知機能の有効化 • (万全ではないが・・・)多要素認証の利用 Ex. 中間者攻撃
  • 11. © 2016 Internet Initiative Japan Inc. 11 Pelican-160415(1.0) お問い合わせ先 IIJインフォメーションセンター TEL:03-5205-4466 (9:30~17:30 土/日/祝日除く) info@iij.ad.jp http://www.iij.ad.jp/