Security Strings News

Security Strings News 2014.12.2

ご挨拶

「蒔かぬ種は生えぬ。」
何か事をなすにあたっては、先ず、自ら行動をおこさなければならない。依存心を断ち、自ら動かなければ何も始まらないという事の大切さを示したもので、私の座右の銘の１つです。
先月のメルマガ挨拶文でもご紹介いたしましたが、昨年12月に起業し早１年が経ちます。正に動き続けた１年でしたが、お陰様で動き続けた結果が目に見える形で現れて来た事、皆様方のご支援、ご協力の賜物と心より感謝申し上げます。
今後の１年、更にその先の１年、今から非常に楽しみです。来年の今頃どのようなメルマガ挨拶文を書いているか、今からワクワクしてます！
12月は、忘年会にクリスマスそして年度末への追い込みと皆様お忙しいことと思います。また、寒くなり風邪が流行る季節です。時節柄どうぞお身体ご自愛ください。

株式会社ネットワンシステムズ様導入事例完成!

Swivel PINsafe の導入事例を掲載しました。こちらでご確認下さい。

SecurityStrings Webサイトリニューアル!

Global Relayの取り扱いを開始したため、Webサイトをリニューアルしました。こちらからご確認下さい。

【アナリストの目】リモートアクセスに2要素認証は世界の常識

クレジットカード情報を扱うシステムのセキュリティ要件として業界が定めている PCI DSS（Payment Card Industry Data Security Standard）の最新バージョン 3.0（https://ja.pcisecuritystandards.org/minisite/en/pci-dss-v3-0.php ）がいよいよ来年1月1日から適用開始となる。日本では、PCI DSS は、クレジットカード業界の標準ととらえられているが、海外では、主に商業銀行がクレジットカードやデビットカードを発行していることから、金融機関が順守すべきセキュリティ基準ととらえられている重要な国際標準である。その要求事項の決定には多くのセキュリティの専門家や実務家が参加し、セキュリティの向上に不可欠なベストプラクティスを示してくれている。したがって、クレジットカードに係らない企業や組織にとっても参考にすべき基準といえる。

リモートアクセスには 2 要素認証が必須

その PCIDSS の 8.3 に、リモートアクセスには 2 要素認証を必須とする要求事項が挙げられている。

「8.3 従業員（ユーザと管理者を含む）および第三者（サポートやメンテナンス用のベンダアクセスを含む）によるネットワークへのリモートアクセス（ネットワーク外部からのネットワークレベルアクセス）に 2 要素認証を組み込む。」

2 要素認証とはいうまでもなくパスワードに代表される「記憶」、トークンに代表される「所持」品、指紋に代表される「生体」認証のうち、2 つ以上を併用する認証方式のことである。2 要素認証方式の例として PCIDSS では、「トークン使用の RADIUS（Remote Authentication and Dial-In Service）、トークン使用の TACACS（Terminal Access Controller Acceess Control System）、および 2 要素認証を促進する他の方式があります。」と記述されている。
トークンレスをうたっている PIN Safe の SMS やスマートフォンへのメールを使用したワンタイムのセキュリティストリングスの表示方式ももちろんこの 2 要素認証に該当する強力な認証方式だ。

ベンダーのアクセス認証強化を要求しよう

PCIDSSの要求は、リモートアクセスの危険性に対応するには、もはや記憶のみに頼った固定パスワードの限界を示したものといえる。
一方、リモート保守の委託契約を行っている企業や組織も多いが、その危険性についてどれほどの注意が注がれているだろうか。リモート保守のアクセス権が悪用された場合の影響は計り知れない。PCIDSS の要求事項 8.3 で「第三者（サポートやメンテナンス用のベンダアクセスを含む）」としている点は、我々の盲点であるリモート保守の危険性について改めて気づきを与えてくれている。今一度、ベンダーからのリモートアクセスの現状について精査し、セキュリティ上の弱点がないか総点検されてはどうだろうか。
ユーザーからベンダーに2要素認証を要求しないかぎり、ベンダーが認証強化に取り組まないのもまた現実だ。社会全体のセキュリティ水準を向上させていくためにもユーザーから声を上げる必要がある。

SecurityStrings Tech Information

Office365（ADFS）とSwivelとの連携について

今月は最近特にお問い合わせの多いOffice365へのログイン認証時にSwivelを使用する際のシステム構成および認証フローについてご説明させていただきます。
Office365でのユーザ認証ではADFSを使用します。SwivelではADFSプロキシサーバにインストールする”ADFS Filter”(※１)を用意しています。ADFSとSwivelの組み合わせによりOffice365へのログイン認証をより強固なセキュリティにすることができます。

（※１）ADFS Filerについては下記URLをご参照下さい。
https://kb.swivelsecure.com/wiki/index.php/Microsoft_ADFS_2_Integration

まず、一般的な構成とデータフローを下図に示します。

＜図の説明＞
① Office365へのアクセス
② Office365からのリダイレクト命令
③ リダイレクト先アドレス解決（社内/社外DNS参照）
④ リダイレクト先（ADFS プロキシサーバ）へのアクセス
⑤ ユーザ認証画面の表示/認証情報の入力
⑥ Swivel PINsafeサーバとの連携
⑦ OTP認証
⑧ ドメイン認証
⑨ ADFS認証トークンの付与/Office365へのアクセス要求

続きまして、「社内からのアクセスと社外からのアクセスでセキュリティレベルを変えることはできますか？」というご質問を多くいただいておりますので、下記にてご説明させていただきます。

上図の構成では、社外DNSの設定と、社内DNSの設定を変えれば可能です。
例えば、社内からのアクセス時には通常のID,Passによる認証を行いたい場合、社内DNSの設定を「Office365からのリダイレクト先FQDN＝社内ADFS Server」とすれば、社内からのアクセス時はID,Passのみによる認証にすることが可能です。
逆に、社外からのアクセスでも社内からのアクセスでもSwivelによる認証を行いたい場合は、社外/社内DNS共に「Office365からのリダイレクト先FQDN＝ADFS プロキシサーバ」とすればOKです。

社内も社外も共通のDNSサーバをお使いの場合は、スプリットDNSを使用する必要がありますが、このスプリットDNSの設定内容に関しましては別の機会にてご説明したいと思います。

Offce365との親和性の高さはSwivel PINsafeの大きな特長の一つです。
ぜひ、御社環境で検証を実施し、拡販につなげてみてはいかがでしょうか。

茅ヶ崎のサーフィン文化

湘南のサーフィンの幕開けは、1960年代に外国人がサーフィンをしているのを見た地元：茅ヶ崎の若者達がそれを真似て始めたと言われています。当時、湘南地域は別荘地、避暑地として利用されていたこと、またアメリカ軍の基地が近隣にあったことから、独自のサーフィンスタイルで定着したようです。（諸説有り）
そして1970年代に入り、サーフィンブームが訪れ、湘南地域にも多くのサーフショップがオープンし、全国にサーフィン文化が広がって行きました。
茅ヶ崎には、「パーク」「裏パーク」「チーパー」「チサン」等々、多くのサーフポイントがあります。波の状況が良い時には、平日でもまるで週末のように海はローカルサーファーで賑わっています。年輩（キャリア数十年というベテラン）からキッズまで、勿論男女問わず、多くの方々がサーフィンを楽しんでいます。サーフボードを抱え、若しくは自転車に積んで（湘南独特の自転車用サーフィンキャリアがあります）皆惹きつけられるように海へ向かいます。夏には、当然ですが皆水着姿です。すっかり街にサーフィン文化が溶け込んでいます。
サーフィンは、使用するサーフボードにより、「ロングボード」、「ショートボード」、「ファンボード」等に分かれます。同じように見えるボードでも、長さ、幅、厚み、反り方によっても違いがあります。最近は、SUP（Stand-Up Paddle Surfing: ボードに立ってパドルを漕ぐ）が世界的にもブームになっています。SUPでは、クルージング、波乗り、釣り、ヨガ、ペットと一緒にサーフィン等、いろいろな楽しみ方があるのも魅力の１つです。ちょうどこの日曜日（11月30日(日)）、茅ヶ崎で第三回SUP Fishing大会が開催され、私も参加いたしました。
そんな私も、サーフィンを始めたのはつい先日、50代に入ってからです。地元のサーフショップにメンバー登録し、プロサーファーにマンツーマンでレッスンを受けました。茅ヶ崎には、幸いにも素人を快く受け入れてくれる雰囲気もあります。そしてゲティングアウト、パドル、テイクオフ等のサーフィン技術は基より、波の起る原理、天気図、波の起る予想の仕方等々、初めて習う事ばかりでした。とても良い刺激を受け、人生の新たな趣味として「大切な宝物」を発見したという幸せな想いで心が満たされました。お陰様で週末は完全燃焼！（勿論、仕事も完全燃焼がモットー！）また、サーフィン繋がりで地元の知り合いも増えたことも大きな宝となっています。仕事も趣味も、新しいことに何歳からでもチャレンジし（年齢なんて関係ないです！）、そして大いに一度きりの人生を最高に思いっきり楽しみましょう！！！

本メールは、過去に弊社出展のイベント・セミナー等でアンケートにご回答いただきましたお客様、名刺交換をさせていただきましたお客様、
弊社Webサイトより登録されたお客様へお送りしております。
本メールに掲載された内容の無断複製・転載を禁じます。
本メールの配信停止をご希望の方は、marketing@securitystrings.com までご連絡下さい。
Security Strings 合同会社 | 東京都千代田区一番町6番地相模屋本社ビル7F


	新着ニュース株式会社ネットワンシステムズ様導入事例完成! Swivel PINsafe の導入事例を掲載しました。こちらでご確認下さい。 SecurityStrings Webサイトリニューアル! Global Relayの取り扱いを開始したため、Webサイトをリニューアルしました。こちらからご確認下さい。


	【アナリストの目】リモートアクセスに2要素認証は世界の常識クレジットカード情報を扱うシステムのセキュリティ要件として業界が定めている PCI DSS（Payment Card Industry Data Security Standard）の最新バージョン 3.0（https://ja.pcisecuritystandards.org/minisite/en/pci-dss-v3-0.php ）がいよいよ来年1月1日から適用開始となる。日本では、PCI DSS は、クレジットカード業界の標準ととらえられているが、海外では、主に商業銀行がクレジットカードやデビットカードを発行していることから、金融機関が順守すべきセキュリティ基準ととらえられている重要な国際標準である。その要求事項の決定には多くのセキュリティの専門家や実務家が参加し、セキュリティの向上に不可欠なベストプラクティスを示してくれている。したがって、クレジットカードに係らない企業や組織にとっても参考にすべき基準といえる。リモートアクセスには 2 要素認証が必須その PCIDSS の 8.3 に、リモートアクセスには 2 要素認証を必須とする要求事項が挙げられている。「8.3 従業員（ユーザと管理者を含む）および第三者（サポートやメンテナンス用のベンダアクセスを含む）によるネットワークへのリモートアクセス（ネットワーク外部からのネットワークレベルアクセス）に 2 要素認証を組み込む。」 2 要素認証とはいうまでもなくパスワードに代表される「記憶」、トークンに代表される「所持」品、指紋に代表される「生体」認証のうち、2 つ以上を併用する認証方式のことである。2 要素認証方式の例として PCIDSS では、「トークン使用の RADIUS（Remote Authentication and Dial-In Service）、トークン使用の TACACS（Terminal Access Controller Acceess Control System）、および 2 要素認証を促進する他の方式があります。」と記述されている。トークンレスをうたっている PIN Safe の SMS やスマートフォンへのメールを使用したワンタイムのセキュリティストリングスの表示方式ももちろんこの 2 要素認証に該当する強力な認証方式だ。ベンダーのアクセス認証強化を要求しよう PCIDSSの要求は、リモートアクセスの危険性に対応するには、もはや記憶のみに頼った固定パスワードの限界を示したものといえる。一方、リモート保守の委託契約を行っている企業や組織も多いが、その危険性についてどれほどの注意が注がれているだろうか。リモート保守のアクセス権が悪用された場合の影響は計り知れない。PCIDSS の要求事項 8.3 で「第三者（サポートやメンテナンス用のベンダアクセスを含む）」としている点は、我々の盲点であるリモート保守の危険性について改めて気づきを与えてくれている。今一度、ベンダーからのリモートアクセスの現状について精査し、セキュリティ上の弱点がないか総点検されてはどうだろうか。ユーザーからベンダーに2要素認証を要求しないかぎり、ベンダーが認証強化に取り組まないのもまた現実だ。社会全体のセキュリティ水準を向上させていくためにもユーザーから声を上げる必要がある。


	SecurityStrings Tech Information Office365（ADFS）とSwivelとの連携について今月は最近特にお問い合わせの多いOffice365へのログイン認証時にSwivelを使用する際のシステム構成および認証フローについてご説明させていただきます。 Office365でのユーザ認証ではADFSを使用します。SwivelではADFSプロキシサーバにインストールする”ADFS Filter”(※１)を用意しています。ADFSとSwivelの組み合わせによりOffice365へのログイン認証をより強固なセキュリティにすることができます。（※１）ADFS Filerについては下記URLをご参照下さい。 https://kb.swivelsecure.com/wiki/index.php/Microsoft_ADFS_2_Integration まず、一般的な構成とデータフローを下図に示します。＜図の説明＞ ① Office365へのアクセス ② Office365からのリダイレクト命令 ③ リダイレクト先アドレス解決（社内/社外DNS参照） ④ リダイレクト先（ADFS プロキシサーバ）へのアクセス ⑤ ユーザ認証画面の表示/認証情報の入力 ⑥ Swivel PINsafeサーバとの連携 ⑦ OTP認証 ⑧ ドメイン認証 ⑨ ADFS認証トークンの付与/Office365へのアクセス要求続きまして、「社内からのアクセスと社外からのアクセスでセキュリティレベルを変えることはできますか？」というご質問を多くいただいておりますので、下記にてご説明させていただきます。上図の構成では、社外DNSの設定と、社内DNSの設定を変えれば可能です。例えば、社内からのアクセス時には通常のID,Passによる認証を行いたい場合、社内DNSの設定を「Office365からのリダイレクト先FQDN＝社内ADFS Server」とすれば、社内からのアクセス時はID,Passのみによる認証にすることが可能です。逆に、社外からのアクセスでも社内からのアクセスでもSwivelによる認証を行いたい場合は、社外/社内DNS共に「Office365からのリダイレクト先FQDN＝ADFS プロキシサーバ」とすればOKです。社内も社外も共通のDNSサーバをお使いの場合は、スプリットDNSを使用する必要がありますが、このスプリットDNSの設定内容に関しましては別の機会にてご説明したいと思います。 Offce365との親和性の高さはSwivel PINsafeの大きな特長の一つです。ぜひ、御社環境で検証を実施し、拡販につなげてみてはいかがでしょうか。


	【湘南通信】茅ヶ崎のサーフィン文化湘南のサーフィンの幕開けは、1960年代に外国人がサーフィンをしているのを見た地元：茅ヶ崎の若者達がそれを真似て始めたと言われています。当時、湘南地域は別荘地、避暑地として利用されていたこと、またアメリカ軍の基地が近隣にあったことから、独自のサーフィンスタイルで定着したようです。（諸説有り）そして1970年代に入り、サーフィンブームが訪れ、湘南地域にも多くのサーフショップがオープンし、全国にサーフィン文化が広がって行きました。茅ヶ崎には、「パーク」「裏パーク」「チーパー」「チサン」等々、多くのサーフポイントがあります。波の状況が良い時には、平日でもまるで週末のように海はローカルサーファーで賑わっています。年輩（キャリア数十年というベテラン）からキッズまで、勿論男女問わず、多くの方々がサーフィンを楽しんでいます。サーフボードを抱え、若しくは自転車に積んで（湘南独特の自転車用サーフィンキャリアがあります）皆惹きつけられるように海へ向かいます。夏には、当然ですが皆水着姿です。すっかり街にサーフィン文化が溶け込んでいます。サーフィンは、使用するサーフボードにより、「ロングボード」、「ショートボード」、「ファンボード」等に分かれます。同じように見えるボードでも、長さ、幅、厚み、反り方によっても違いがあります。最近は、SUP（Stand-Up Paddle Surfing: ボードに立ってパドルを漕ぐ）が世界的にもブームになっています。SUPでは、クルージング、波乗り、釣り、ヨガ、ペットと一緒にサーフィン等、いろいろな楽しみ方があるのも魅力の１つです。ちょうどこの日曜日（11月30日(日)）、茅ヶ崎で第三回SUP Fishing大会が開催され、私も参加いたしました。そんな私も、サーフィンを始めたのはつい先日、50代に入ってからです。地元のサーフショップにメンバー登録し、プロサーファーにマンツーマンでレッスンを受けました。茅ヶ崎には、幸いにも素人を快く受け入れてくれる雰囲気もあります。そしてゲティングアウト、パドル、テイクオフ等のサーフィン技術は基より、波の起る原理、天気図、波の起る予想の仕方等々、初めて習う事ばかりでした。とても良い刺激を受け、人生の新たな趣味として「大切な宝物」を発見したという幸せな想いで心が満たされました。お陰様で週末は完全燃焼！（勿論、仕事も完全燃焼がモットー！）また、サーフィン繋がりで地元の知り合いも増えたことも大きな宝となっています。仕事も趣味も、新しいことに何歳からでもチャレンジし（年齢なんて関係ないです！）、そして大いに一度きりの人生を最高に思いっきり楽しみましょう！！！

本メールは、過去に弊社出展のイベント・セミナー等でアンケートにご回答いただきましたお客様、名刺交換をさせていただきましたお客様、弊社Webサイトより登録されたお客様へお送りしております。本メールに掲載された内容の無断複製・転載を禁じます。本メールの配信停止をご希望の方は、marketing@securitystrings.com までご連絡下さい。 Security Strings 合同会社 \| 東京都千代田区一番町6番地相模屋本社ビル7F