セキュリティ・認証– category –
-
ランサムウェア — データを人質に身代金を要求する暗号化攻撃
ランサムウェアは、感染した端末やサーバ上のファイルを暗号化し、復号鍵と引き換えに暗号資産での身代金(ransom)支払いを要求する悪意あるソフトウェアの総称です。1989年にJoseph L. Popp博士が配布したフロッピーディスク「AIDS Trojan」が世界初の事... -
SQLインジェクション — 入力欄からデータベースを乗っ取る古典攻撃
SQLインジェクションは、Webフォームやクエリ文字列に入力された文字列が、そのままサーバ側のSQL文に連結されてしまう実装の隙を突き、攻撃者が任意のSQL文をデータベースに実行させてしまう脆弱性です。1998年にハッカー雑誌Phrack誌54号の論考「NT Web ... -
CSRF — 認証済みの利用者を踏み台にする偽リクエスト攻撃
CSRF(Cross-Site Request Forgery、クロスサイトリクエストフォージェリ)は、標的のWebサイトに既にログイン済みの利用者を、別の罠サイトから誘導し、本人が意図しない送金・設定変更・退会といった操作を実行させる攻撃です。2001年にネットワーク技術... -
XSS — 信頼されたサイトに他者のスクリプトを差し込む攻撃
XSS(Cross-Site Scripting、クロスサイトスクリプティング)は、攻撃者が用意したJavaScriptコードを、被害者がアクセスする正規Webサイトの応答に紛れ込ませ、そのサイトを開いた利用者のブラウザ上で実行させる脆弱性です。1990年代後半にマイクロソフ... -
SAML — エンタープライズSSOの定番認証プロトコル
SAML(Security Assertion Markup Language)はOASIS(標準化団体)が2005年にv2.0として完成させた、XMLベースのシングルサインオン(SSO)プロトコルです。「ユーザがIdP(Identity Provider)にログインすると、そこに紐づく複数のSP(Service Provider... -
HashiCorp Vault — シークレット管理のクラウドネイティブ標準
HashiCorp Vaultは2015年、Terraform 等で知られる HashiCorp 社が公開したシークレット管理ツールです。「DBパスワード、APIキー、TLS証明書、SSH鍵などの機密情報を一元管理する」目的で設計され、クラウドネイティブ時代の「シークレットを安全に配るイ... -
TLS 1.3 — 安全とパフォーマンスを再設計した暗号通信の最新標準
TLS 1.3は2018年8月にIETFがRFC 8446として標準化した、トランスポート層セキュリティの最新メジャーバージョンです。前バージョンTLS 1.2(2008年)から実に10年ぶりの大改訂で、設計上の根本的な見直しが行われました。ハンドシェイクの簡略化、危険な暗... -
OAuth 2.0 — 「パスワードを渡さずに権限委譲する」業界標準プロトコル
OAuth 2.0は2012年にRFC 6749として標準化された、認可(Authorization)のためのプロトコルです。「他社サービスに自分のデータへのアクセスを許可するとき、パスワードを渡さずに済む」という発想で生まれ、「Googleでログイン」「GitHubで連携」のよう... -
ゼロトラスト — 「社内なら安全」を捨てる新時代のセキュリティモデル
ゼロトラスト(Zero Trust)は、「社内ネットワーク内なら安全」という従来の境界型セキュリティを捨て、あらゆる通信を「信頼しない前提」で都度検証するセキュリティモデルです。2010年に米Forrester社のジョン・キンダーバグが提唱し、リモートワークや...
