大半のサイバー攻撃は、ログインパスワードやその他認証情報の盗難から始まります。 クラウド化が進む世界では、企業、個人、政府機関の通信システムには、インターネット経由で誰でもアクセスでき、攻撃を受けやすくなっています。 様々なサイバー攻撃の中でも、クレデンシャルフィッシングは最も重大な問題で、これらの脅威から自分を保護するためにはガイダンスの意味を理解することが大切です。 Yubicoでは、フィッシング対策の多要素認証(MFA)ガイドの共有をはじめとする保護ツールをご用意しています。 セキュリティ業界には、頭字語や複雑な技術ツールから構成される「アルファベットスープ」の悪いイメージがありますが、MFAも例外ではありません。 […]
Read more連邦政府、州政府、地方自治体などの公共部門機関は、地域社会の機能を支える重要な責任を担っています。国家安全保障から公共交通機関、公共教育、治安、州立公園、金融サービス、エネルギーや電力網など、多くのサービスはすべて税金で賄われ、公共部門が管理しています。 これらは生活に不可欠な要素ですが、これらの重要な業務を維持するために必要な個人情報や機密情報の量が膨大であるため、政府機関は常に漏洩リスクにさらされています。 政府やその他の公的機関が運営するシステムやデータには、従業員や請負業者だけでなく、パートナーや市民も日々アクセスしており、アカウント乗っ取りに関連するセキュリティ侵害の可能性が飛躍的に高まっています。 事実、リモートハッキングは驚くべき早さで発生し続けており、その一方でより高度に成長しています。 2020年版情報漏洩報告書によると、55%は組織的な犯罪集団によるもので、38%は国家や政府が関与する活動によるものだったとのことです。 […]
Read moreロシアによるウクライナへの侵攻は、物理的な世界とデジタル世界の両方においての戦闘です。 双方にとって、情報戦は戦場において人類史上最も重要な役割を果たしていて、最大の攻撃ベクトルと脅威は脆弱なログイン認証情報です。 大手政府系エネルギー企業のウクライナのサイバーセキュリティ担当者によると、未遂も含むインフラへの攻撃は2021年全体では2万1000件でしたが、2022年2月24日から3月24日の間だけで76万件以上と、3519%も増加しました。 3月4日、Yubicoは認証パートナーであるHideezから、ウクライナの重要インフラの保護への協力を依頼されました。 戦争が勃発した時、Hideezチームの多くはウクライナに留まり、最大の標的となるウクライナの企業やITシステムのために自分たちの専門知識や製品、サービスを提供する決断をしました。 […]
Read more多くの企業では、セキュリティリスク、高額のITコスト、ユーザーの不満の原因となっているパスワードやモバイルベースのソリューションであるレガシー認証に悩まされています。 共有ワークステーションや共有デバイス環境を持つ組織では、これらの問題は更に深刻です。 ヘルスケア、製造、小売、サービス、金融、エネルギー、公共事業、石油・ガス、教育などの業界で一般的に使われている共有ワークステーションでは、実際には最もリスクの高い慣行が適用されているのです。 共有ワークステーション環境で、ユーザーの危険な行動が助長される原因と問題への対応策 まず、ヘルスケア業界から見ていきましょう。 […]
Read moreサイバー攻撃が増加する時代にあって、制限のない自由な研究への欲求と、研究をサイバー攻撃から保護する必要性とのバランスをどのように取っていますか? これは、科学研究コミュニティのリーダーであるCERNが直面する課題です。 その解決策は? 特権データの構成を明確に表現し、より高レベルなセキュリティに関するユーザビリティの障壁を部分的に取り除く、柔軟なセキュリティポリシーを作成します。 1954年に設立されたCERNは、創造性、革新性、コラボレーションを重視する「科学技術のフロンティア」を使命として推進する活動をしています。 […]
Read more企業や組織を見ると、安全な認証に取り組むときに存在し得る多くのビジネスシナリオがあります。 共有ワークステーションであれ、リモートワーカーであれ、特権アカウントであれ、問題となるものは、モバイルデバイスが制限された職場です。 デリケートな仕事を行うため、何らかの方法でモバイルを制限する職場は常に存在すると言っても過言ではありません。 これらの分野では、機密性の高いシステムやデータへのアクセスを許可するためのユーザー認証など、あらゆる目的で電話を使用することはできません。 「モバイル制限付きアクセス」とは、「安全な箱にスマートフォンをしまう」シナリオだけを指すのではありません。 […]
Read more今では当然のルーチンです… ステップ 1:組織は費用がかかり、当惑させるセキュリティ違反の悪影響を受けています。 ステップ 2:組織は大急ぎで多要素認証を導入しているか、その使用を義務付ける取り組みを強化しています。 […]
Read moreセキュリティの専門家たちに「パスワードレス」と言うと、苦笑いから否定まで、さまざまな反応が返ってきます。 情報セキュリティのコミュニティは「パスワードレス」という言葉が使われていることを知っています。同時に業界では、このトピックに関し、さまざまな矛盾した立場が存在するのです。 このブログの目的は、パスワードがもたらす課題、「パスワードレス」の意味、パスワードレス認証が成熟するにつれて企業の受ける恩恵を理解するための客観的なアプローチをとることです。 パスワードレスについて話し合うためには、まずパスワードについて話し合う必要があります。 パスワードのパラドックス […]
Read moreSolarWindsおよびColonial Pipelineにおけるサプライチェーンのセキュリティ侵害は、ソフトウェアへのサプライチェーン攻撃を主流にした2つの(多くの)インシデントです。世界的に、病院および燃料輸送が最近の目標となっています。途中で監視する必要のあるエントリポイントが数千とは言わないまでも、数百はあることを考えると、サプライチェーンの防御は容易ではないということが、企業にとっての主な課題となっています。ただし、ベンダーとデータをやり取りまたは交換するための、十分に計画された戦略と組み合わせれば、サプライチェーン攻撃リスクを軽減するベストプラクティスとなります。 サプライチェーンの広い視野を持つ サプライチェーンには幅広い関係が含まれます。一般に考えられる物理的な商品や構成要素をA地点からB地点に輸送することだけではありません。サプライチェーンには企業が持つ可能性のあるパートナーシップと事業関係も含まれているため、あらゆる企業は、そこに荷札がついていなくても、サプライチェーンを持っています。実際、企業独自の製品またはサービスを開発するために使用される任意の製品(ソフトウェアまたはハードウェア)およびサービスを、サプライチェーンと呼ぶ場合があります。パートナーのシステムと貴社のネットワークにアクセスするシステムが適切に保護されていることを確認して、侵害や停止のリスクを軽減する必要があります。 ソフトウェアをサプライチェーンの一部として考えると、それは貴社のシステムにコードを提出するサードパーティーと協力するソフトウェア開発チームを意味するかもしれません。また、コードベースに統合されているサードパーティーのソースからIT製品またはコードを購入することも意味します。 […]
Read moreSSH、RDP、およびVPNアクセスには2要素認証が必要です。 ✅導入の簡単さ ✅迅速なユーザーログイン ✅ […]
Read more