【ご挨拶】 残暑お見舞い申し上げます。

 例年になく長く続いた梅雨もようやく明けて、やっと夏らしい暑い日が戻って来ました。戻ってきたと言えば、毎日メディアを賑わす全国のコロナウイルス感染者数の増加です。感染拡大への対応で在宅勤務が普及しました。しかし、緊急事態宣言解除後オフィス復帰が目立っていましたが、感染拡大を受け再度在宅勤務の推奨が取り沙汰されています。その様な最中、下記の詩に出会いました。

凡事を積み重ねていこう。
凡事を徹底して積み重ねていけば、いつか非凡な結果となる。
当たり前のことをバカにせず、ちゃんとやる。
小さな仕事を大きな仕事のつもりで丁寧に。
先行きが不透明な時こそ、凡事の積み重ねが力になる。
凡事を徹底して、今、この時を乗り越えていこう。

環境に左右されず、何事も言い訳せず、先ずは自分のすべき事を着々と積み重ね、ポストコロナ後に大きく花を咲かせたいと思います。
これから暑くなる季節を向かえますが、皆様引き続きお体ご自愛ください。

【コラム】NISTによる電子認証ガイドライン(NIST SP 800-63-3) とは

 2017年6月にアメリカ国立標準技術研究所(National institute of Standards and Technology (NIST))が、電子認証に関するガイドライン(Electric Authentication Guideline) 第3版を発表しました(https://pages.nist.gov/800-63-3/)。これは、一般的に「NIST SP 800-63-3」と呼ばれ、アメリカの政府機関がユーザ認証や身元証明を行うシステムを実装する際のガイドラインとなるものです。NISTが発表するガイドラインは、あくまでもアメリカ政府機関向けの基準で作成されたものですが、アメリカ政府機関以外にとっても参考にすべき点が多く、実際に日本をはじめとする世界各国から参考にされている基準の一つとなっています。
「NIST SP 800-63-3」では、認証システムは認証の3要素で分類されています。(認証の3要素は先月のメルマガ(コラム)に記載しましたのでご参照ください。) これらの認証の3要素のうち、複数の異なる認証要素を組み合わせることで、セキュリティレベルを高めることが出来ます。NISTでは、認証システムのセキュリティ的な強度(Authenticator Assurance Level(AAL))を3段階のレベル(AAL1?AAL3)で表しています。上位レベルのAAL2/AAL3では、複数の認証要素を組み合わせることが必須となっています。具体的には、AAL1は単要素のみで認証が可能(例:パスワードのみ)、AAL2はソフトウエアベースの二要素認証が必要(例:パスワードとSMS認証等)、AAL3はハードウエアトークン等を利用した二要素認証が必要(例:パスワードとハードウエアトークン等)と定められています。

多要素認証が必要となるシーンとは...

 複数の異なる認証要素を組み合わせれば、認証今日をあげることは可能です。しかし、あらゆる箇所で最高強度の認証を導入しようとすると、ユーザの利便性を著しく損なってしまう可能性があります。セキュリティと利便性はトレードオフの関係にあるため、守るべき情報の価値やリスクに応じたこの2つを天秤にかけ、その場に最適な認証要素の組み合わせを考慮する必要があります。
例えば、クラウドサービスの利用アカウントについて考えてみましょう。万が一、サーバーの作成や削除などが可能な強い権限を持つアカウントが乗っ取られてしまうと、運用中のサーバーを消されてサービスが停止してしまったり、大量のサーバーを起動されて甚大な金銭被害を被る可能性があります。そのため、このような権限の強いアカウントは利便性よりもセキュリティを重視し、二要素認証を設定することが妥当と考えます。

 最近のコロナ禍でテレワークが進み、その一方でテレワークでのリスクが拡大しています。米クラウドストライク社が昨年実施した調査では、サイバー攻撃を受けてから対応を終えるまで、日本企業は平均223時間を要し、世界平均と比較して4割も遅く、日本企業の苦境が映し出されています。攻撃者は対策の甘い端末から企業ネットワークに入り込み、経営の中枢を担うシステムの乗っ取りを試みます。テレワークの普及は、侵入口が今まで以上に増えることと同義語です。
様々なシーンで利用実績豊富で、ITリテラシーに依存せずどなたでも簡単にセキュアに利用できるSwivel多要素認証ソリューション(https://www.securitystrings.com/download/sw_dl.html#casestudy)を、この機会に是非ご検討ください。
<近日リリース予定> AuthControl ERP for SAPについて

 日本国内においても多くの企業で導入が進んでいるSAPとクラウドをセキュアに連携するための「AuthControl ERP for SAP」を近日リリースいたします。
 AuthControl ERP for SAPは、SAPで使用するための暗号化プロトコルである「SSF」をサポートし、SAPの認証を受け、海外では既にいくつかの大企業での導入実績が出てきています。
 日本国内のSAPユーザではまだSSFを使用した認証強化の事例は非常に少ないですが、今後、国内においても導入が進むと思われますので、今回のテクニカルトピックスではこの内容について先んじてご紹介したいと思います。

 

→ 詳しくはこちら
 
一時的にインポートするアーカイブデータを通常のアーカイブとは分離して管理できます

 Global RelayアーカイブではGmailの場合のSMTP Auth設定や、O365の場合のジャーナル設定等により常時バックヤードでアーカイブを行っています。
 この通常のアーカイブとは別に、一時的なアーカイブとしてメディア等を使用してデータをお送りいただくことで、任意のデータをアーカイブに追加することができます。
 Global Relayではこの一時アーカイブのデータと通常アーカイブを分離して管理することができます。(もちろん通常のアーカイブと同じ管理を行うこともできます)
 
→ 詳しくはこちら
【湘南通信】茅ヶ崎:Plenty's (プレンティーズ)

 創業2005年の「プレンティーズ」は、茅ヶ崎駅南口から海方向へ進んで、雄三通りと鉄砲道の角にあるフォトジェニックなアイスクリーム屋さんです。アメリカの「コールドストーン」が日本に上陸する前に大理石の上でアイスを混ぜるスタイルを茅ヶ崎で始めました。毎日早朝にその日に必要な分だけを手作りで作っているこだわりのお店。「TVチャンピオン2」の「アイスクリーム屋さん選手権」で2007年に優勝。オーダー方法は、好きなアイスクリームを選んで、好きなフルーツやお菓子を2つ選んで、マイナス20度の大理石の上で混ぜ混ぜ。自分好みにカスタマイズできます。毎年プレンティーズ本店や茅ヶ崎市のイベントで行われている「プレンティーズ:アイス大食い大会」は名物となっていて、全国から参加者が集まる人気のイベントです。今年は残念ながら中止となってしまいましたが、アイスがお好きなかたはぜひチャレンジしてみてください!
Plenty's茅ヶ崎本店:営業時間:9:30-21:00 (7月&8月=22:00、年中無休) / オンラインショップでお取り寄せ可能。
http://plentys.net/chigasaki-honten
Copyright c 2020 Security Strings, All rights reserved.