Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ID基盤で知っておきたい、抑えておきたいセキュリティの話
Search
Ginji Hayashi
December 16, 2023
Technology
1.6k
1
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
ID基盤で知っておきたい、抑えておきたいセキュリティの話
Ginji Hayashi
December 16, 2023
Other Decks in Technology
See All in Technology
AIソロプレナー時代に2ヶ月で20人増員した事業創造会社の開発組織の話
miyatakoji
0
680
新しいUbuntu/GNOMEが使いたいからXからWaylandへ移行頑張ってるの巻 2026-06-20
nobutomurata
0
140
Chainlitで作るお手軽チャットUI
ynt0485
0
260
攻撃者視点で考えるDetection Engineering
cryptopeg
3
1.9k
2026TECHFRESH畢業分享會 - Lightning Talk - E起 See See : 電商推薦讀心術? 數據說了算
line_developers_tw
PRO
0
1.2k
LLMにもCAP定理があるという話
harukasakihara
0
390
Bucharest Tech Week 2026 - Reinventing testing practices in the AI era
edeandrea
PRO
1
160
【NRUG vol.18】KubernetesにおけるNew Relicデータ取得量削減の考え方
nrug_member
0
160
脆弱性対応、どこで線を引くか
rymiyamoto
1
400
Socrates × Looker 〜セマンティックレイヤーで進化するデータ分析エージェント〜
hanon52_
3
2.5k
小さく始める AI 活用推進 ― 日経電子版 Web チームの事例/nikkei-tech-talk47
nikkei_engineer_recruiting
0
270
自宅LLMの話
jacopen
1
600
Featured
See All Featured
What the history of the web can teach us about the future of AI
inesmontani
PRO
1
610
It's Worth the Effort
3n
188
29k
The Hidden Cost of Media on the Web [PixelPalooza 2025]
tammyeverts
2
330
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
52
6k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
254
22k
Why Your Marketing Sucks and What You Can Do About It - Sophie Logan
marketingsoph
0
170
How to Build an AI Search Optimization Roadmap - Criteria and Steps to Take #SEOIRL
aleyda
1
2.1k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
128
56k
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
21
1.5k
Joys of Absence: A Defence of Solitary Play
codingconduct
1
390
The Impact of AI in SEO - AI Overviews June 2024 Edition
aleyda
5
1.1k
Digital Projects Gone Horribly Wrong (And the UX Pros Who Still Save the Day) - Dean Schuster
uxyall
1
1.7k
Transcript
ID基盤で知っておきたい、抑えてお きたいセキュリティの話
自己紹介 • 林 吟志 (Ginji Hayashi) • • Now フリーランス。 IT/セキュリティ
エンジニア ◦ https://www.gihayash.work/ ◦ https://www.linkedin.com/in/ginji/ ◦ • 2021 - 2023 @ メルカリ as Security Engineer ◦ Corporate IT Security ◦ • 2020 - 2021 @ 日本マイクロソフト As Customer Support Engineer ◦ 自社ソリューションの Premier/Unifiedカスタマーサポート エンジニア ◦ • 2019-2020 @ NRIセキュアテクノロジーズ As Security Consultant ◦ マネージドEDRサービスの開発、お客様向け導入コンサルティング ◦ • 2011-2019 @ NRIセキュアテクノロジーズ As Security Analyst ◦ お客様向けセキュアインターネット接続サービス、リモートアクセスサービスの運用・維持管理、および導 入提案、導入 ベンダ・メーカ・ユーザ、異なる視点から IT/Securityに関わってきました。 10分という短い時間ですが、どうぞよろしくお願いします。 2
認証・認可の違い • 認証(AuthN)とは「あなたは誰ですか?」 を確認すること。 ◦ 私は Ginji Hayashi です。 ◦
指紋・顔認証(Who I am)・免許証の提示(What I have)・パスワードの回答( What I know) • 認可(AuthZ)とは「私はアクセスする権限があるか?」を確認すること。 ◦ よし、この画面にアクセスして良い /このサイトにはアクセス出来ない。 • 認証と認可は同じタイミングで行われることも多く混同しがちだが、 異なる概念なので混ぜると危険。 パスポートを交通会館で発行する その人として日本国から認証される。 入管にパスポートを見せて入国する 認証情報を利用して、入国が 認可される。 3
なぜ認証が重要視されるのか。 (出典)BeyondCorp A New Approach to Enterprise Security https://static.googleusercontent.com/media/research.google.com/ja//pubs/archive/43231.pdf 4 •
ゼロトラストモデルで援用される有名なモデル図 • アクセス制御の判断において、まずは認証が1丁目1番地。
認証方式は思い込みで実装してはいけない • まずはパスワード。複雑性、長さなどセキュリティに関するポリシー ◦ CIS Password Policy Guide ◦ NIST
SP800-63 ◦ 会社・組織のポリシー、業界のポリシー (PCI DSSやHIPPAなど) ◦ などなど • • 独自の経験や勘所ではなく、拠り所となるポリシーを選択・参照し自組織に適用す ること。 ◦ ポリシーや技術は日々アップデートされる。最新の動向を抑えておくこと。 ◦ パスワードの定期的な更新運用はストレスとなり、簡単なパスワードにしてしまう ◦ 秘密の質問は非常に推測されやすく、現在においては非推奨 ◦ 有効パスワード長は Compute Resourceの進化により、安全圏が変化する 5
認証器による要素の分類 6 知識 (What I Know) 所有 (What I Have)
生体 (What I am) • パスワード • PINコード • 秘密の質問 • SMS • TOTP(Google Authenticator など) • マジックリンク • タッチ yubikey (OTP) • バイオメトリクス認証 • Touch ID • Windows Hello(顔認証や指紋 認証) • 認証要素は知識・所有・生体に大別され、要素の組み合わせで多要素認証となる • 同一要素を複数求めることは時間稼ぎにはなるが、セキュリティレベルは向上しない • 認証のレベル Authenticator Assurance Level(AAL) NIST SP800-63B ◦ 登録済みユーザーがログインする際の認証プロセスの強度 ◦ Lv.1 :単要素認証でOK ◦ Lv.2 :2要素認証が必要、2要素目の認証手段はソフトウェアベースのもので OK ◦ Lv.3 :2要素認証が必要、かつ2要素目の認証手段はハードウェアトークン等
認証器による要素の分類 7 ユーザーの存在 デバイスとの紐づき フィッシング耐性 ハードウェアによる保護 メール、SMS ◯ ー ー
ー パスワード/秘密の質問 ◯ ー ー ー Google Authenticator ◯ △ ー ー Yubikey OTP ◯ ◯ ー ◯ WebAuthn (Security Key/生体) ◯ ◯ ◯ ー • 認証要素を選択する際は、各要素により実現できる事、出来ないことを明確にしておくことが 重要。 • UXを毀損させないため、アクセスに応じて認証強度を変えるのは効果的。 (出典)Okta Docs (Multifactor authentication) https://help.okta.com/oie/en-us/content/topics/identity-engine/authenticators/about-authenticators.htm
セキュリティのトレンド、原則 ーセキュリティバイデザインー • 従来の開発プロセスでは、完成した後のセキュリティ診断や、運用におけるセキュ リティを重視していた。 • セキュリティを実装や運用フェーズで対策すると、高コストになる。 • セキュリティを仕様検討・設計の早い段階から組み込んでいく原則。 (出典)プラクティス 5-3 セキュリティバイデザインを標準とする、クラウドベースの開発プロセスの励行
https://www.ipa.go.jp/security/economics/practice/practices/Practice214/ 8
セキュリティのトレンド、原則 ーセキュリティバイデフォルトー • そもそも、ユーザーが意識しなくとも安全であるべきでは? • ユーザーがセキュリティを高めようとあれこれせず、何もせずともセキュリティが高 い状態にする原則。 • • もし悪い状態に変更しても、後から追跡できるようにする事が重要。認証ログ、監査 ログはちゃんと取れているか?
• 利便性とセキュリティが衝突することは、当然ありうる。 (出典)Secure by Default https://www.ncsc.gov.uk/information/secure-default 9
まとめ • 認証認可の違い、なぜ認証は大切なのか • • 認証に関するポリシーや認証要素の分類 • • セキュリティの原則 10
ご清聴ありがとうございました。 11 https://www.gihayash.work/ https://www.linkedin.com/in/ginji/
miyatakoji
nobutomurata
ynt0485
cryptopeg
line_developers_tw
harukasakihara
edeandrea
nrug_member
rymiyamoto
hanon52_
nikkei_engineer_recruiting
jacopen
inesmontani
3n
tammyeverts
reverentgeek
smashingmag
marketingsoph
aleyda
aki_iinuma
sergeychernyshev
codingconduct
uxyall
