師走、何かと気ぜわしいこの頃ですが、クリスマス・イルミネーションが目を楽しませてくれる季節となりました。皆様におかれましてはご健勝のことと存じます。
「過ぎたことを悔やんでも、しょうがないじゃないか。
目はどうして前についていると思う? 前向きに進んでいくためだよ。」
とは、”ドラえもん”の言葉です。さすがはドラえもん、良いことを言いますね。
この一年間いろいろありましたが、これからも前へ、前へ、前進あるのみ! 社業に邁進致します!

引き続きご指導ご鞭撻のほど、どうぞ宜しくお願い申し上げます。

【ホットトピックス】Global Relay導入事例

必見!日本クロージャー(株)様 Global Relay導入事例
- Global Relayアーカイブの有効活用によりコンプライアンス対策とユーザ利便性を同時に実現 -
詳しくはこちらから
【コラム】本人認証による危険性とその対策(1)

 本人認証における具体的な危険性を、多く利用されているID・パスワードによる認証を対象とした攻撃と認証プロセス等への攻撃について考えてみましょう。

1) パスワードに対する攻撃
    パスワード認証は実装が容易であり、特別な知識や専用機器やデバイスも必要無いため導入し易く、利用者にも受け入れられ易い。その一方、認証強度はパスワードの強度に依存し、事前に設定、共有したパスワードが推測されにくいこと等を考慮する必要があります。
以下に、パスワードに対する主な攻撃を記述します。

    A) 総当たり攻撃(ブルートフォース攻撃)
        全てのパスワードの組み合わせを試行する攻撃である。非常に多くの組み合わせがあり効率的ではないが、パスワード長が短い場合には有効。また総当りする順番を工夫し、短いパスワード、小文字だけのパスワード、大文字が含まれるパスワード、長いパスワードといった順番で攻撃することもあり。
    B) 逆総当たり攻撃(リバースブルートフォース攻撃)
        パスワードを固定して、IDを変えて攻撃を試みる手口。サービスサイト側では、IDに対して複数のパスワードを思考しないため、パスワード複数回ロック規制などは効果がない。
    C) 類推攻撃
        利用者の個人情報(例えば、ユーザ名/ログイン名、恋人/友人/身内/ペットの名前、自分/友人/身内の出身地や誕生日、車のナンバープレート、携帯電話の番号、会社の電話番号、住所、お気に入りの有名人の情報等)からパスワードを類推する攻撃。
    D) 辞書攻撃
        パスワードとして使われそうな文字列を数多く収録したリスト(辞書)を用意して、それらを試行する攻撃。
    E) 事前計算攻撃(オフライン)
        パスワードファイルを盗み、パスワード辞書の文字列をハッシュ化して思考する攻撃。ハッシュ値のテーブルを効率的に管理するレインボーテーブルを使ったレインボー攻撃も知られている。

2) 認証プロセスへの攻撃
    オンライン本人認証とは、インターネット等を用いたオンライン環境で本人認証を実施することです。本人確認は、認証を要求する認証要求者と認証情報を発行する認証発行者間(または認証を提供する者)で正しい本人であることを確認すること。認証発行者は、認証要求者本人を確認した後に、認証情報を発行する。認証情報の発行に関しては、認証要求者本人以外に知られることなく正しい認証要求者のみに発行されなければならない。認証要求者は、認証発行者から得た認証情報を他者に知られることなく安全に保管し、認証を必要とする場合に認証情報を他者に知られることなく認証検証者(インターネットサービスの場合はインターネットサービス提供者等)に示すことで本人認証が正しく行われる。
以下に主な本人認証プロセスに関する脅威を記述します。

    a) オンライン上での推測
        攻撃者が繰り返しログインを試行するなどして、認証情報(パスワード等)を推測する。
    b) オフライン分析
        トークン(認証情報等)が不正に解析される。
    c) DoS攻撃
        ネットワークに接続されたコンピュータに過剰な負荷をかけて、サービスの提供を不能に陥れる攻撃。
    d) DDoS攻撃
        標的に対して、複数のコンピュータ等を利用してDoS攻撃を行うこと。攻撃元のコンピュータは、攻撃者自身のものとは限らず、ウイルスへの感染により意図せず第三者が攻撃者となる場合もある。
    e) フィッシング
        利用者を欺いて、不正なサイトに誘導し情報を不正に取得する。
    f) ファーミング
        利用者を強制的に不正なサイトにアクセスさせ、情報を不正に取得する。
    g) 盗聴
        通信を盗聴し、情報を不正に取得する。
    h) リプレイ攻撃
        認証に関する通信を盗聴し、同じ内容を再度送信してなりすましを行う。
    i) セッション・ハイジャック
        認証プロトコルが完了した後に、利用者とサービス提供者の接続を奪うことによって、正当な利用者に代わってサービスを利用する。
    j) MitM(Man in the Middle attack: 中間者攻撃)
        利用者とサービス提供者の通信を中継する形で横取りし、改ざん等を不正に行う。

次回はその対策に関して触れてみたいと思います。

RADIUS認証環境における冗長構成について

 ワークスタイル変革の広まりに伴い、VDI、VPN接続による沿革アクセス環境の整備が広がっています。
 その場合は、SwivelをRADIUSサーバとして構築することで安全かつ使いやすい認証システムをご提供いただけますが、ワークスタイル変革のために可用性の維持が不可欠です。
 そこで今月はRADIUS認証としてSwivelを使用する際の一般的な冗長化構成についてご説明いたします。



→ 詳しくはこちら
 
Archive10の適用拡大 / Cisco Spark Archivingリリース!

 従来は大規模なお客様のメールアーカイブ用途にのみ最新バージョンであるArchive10を販売しておりましたが、今回、Archive10の適用を拡大しましたのでご報告いたします。
 また、国内においても多くのお客様で使われ始めているCisco SparkのアーカイブをGlobal Relayで行うことが出来るようになりました。



→ 詳しくはこちら
【湘南通信】- 自然と共に生きる -

 海の近くで生活をしていると、休日の朝は海のコンディションをチェックすることから始まります。その日の波の状態、潮の流れ、風向き、天気によって、サーフィンをするか、SUP(スタンドアップパドル)で烏帽子岩まで行くか、或いはSUP Fishing(SUPボードに乗りながら行う釣り)でお昼ご飯をゲットして来るか、などとワクワクしながら海を眺めています。天気予報はもちろんですが、潮汐、潮見、潮位、風速、風向き、波の高さなども大切な情報ですし、海から見える「富士山の山頂に笠雲があると雨が降る」など、昔の人と同様に富士山や空、海を見ながら天気の予測をすることが生活の一部になっています。
 そんな中、今年は10月に台風が2回、2週連続で湘南エリアを直撃し、特に台風21号は大きな被害をもたらしました。ニュースなどご覧になり記憶に残っているかたもいらっしゃると思いますが、江の島のヨットハーバーでは、高潮と高波の影響で、ハーバーに駐艇してあった約200艇のうち一部が全壊や半壊、そしてセーリングの日本代表が練習で使っていた旧艇も真っ二つに折れてしまい、近くの駐車場のアスファルトが剥がれるなどの被害がありました。茅ヶ崎の浜辺も、強風、高波、大雨の影響で、養浜していた土台が流され、ボードウォークの一部が全壊、防砂壁の竹製のフェンスは散乱し、ウッドデッキの見晴台は崩れ落ちてしまい、現在でもサイクリンロードは通行止にな っている箇所があります。天気の良い日に海を眺めながらビールやワインを楽しんでいた見晴台は、今後は撤去されるかもしれないそうで、慣れ親しんだ海岸が復旧し、元の姿に戻るには相当時間がかかることと思います。自然の力は時には猛威を振るい脅威となります。一方で多くの喜びや安らぎを与えてくれる自然。来年は穏やかで、生き物も自然も仲良く共存共栄できる一年になりますように心から祈っています。
 
 
Copyright © 2017 Security Strings, All rights reserved.