澄んだ青空が秋を感じさせ、猛烈に暑かった今年の夏も終わりに近づいているようです。皆様いかがお過ごしでしょうか。
通勤している東海道線の車窓から、品川駅と田町駅間で建設中の新しい駅の進行具合を見るのが日々の楽しみになっています。この新しい駅のデザインは、日本を代表する建築家、隈研吾さんによるものです。隈さんと言えば、2020年東京オリンピックのメイン会場でもある新国立競技場のデザインを手がけたかたです。隈さんは小学校時代に1964年東京オリンピックが開催され、その時のオリンピック建築を見て、建築家を志すようになったそうです。偶然にも、子供時代に憧れ夢を抱いたオリンピックの建物を、約50年後に自分がデザインすることをその時は思い描いていたでしょうか。正に思考は現実化するですね。

「肌で感じた全てがモチベーション」と語っている隈さん。常にあらゆる方面に意識を向け、オープンマインドと鋭敏な心で全てをモチベーションに変えて、上半期を全力で快走したいと思っております。
まだまだ残暑が厳しく不純な天候が続きそうですが、皆様お体ご自愛ください。

1) 2018年10月１日付けにて、新しいSwivel AuthControl MSPライセンスをリリースする予定です。
-> 主な機能としては、マルチテナント機能、マネイジメントポータル/ダッシュボード機能、仮想アプライアンス・マネイジメント機能、レポーティング機能、ライセンス管理機能等があります。
機能詳細に関しては、下記セミナーで実施予定です。

2) Swivel Secure社ソリューション・セミナー
2018年11月27日(火) 14:00-17:00  東京国際フォーラム
(毎年英国大使館で行っておりましたが、当該ホールが来年夏までリノベーションため今年は国際フォーラムにて実施いたします)
3) Swivel Secure社 SEトレーニング
2018年11月28日(水) 14:00-17:00 東京国際フォーラム

2), 3)の詳細は別途ご案内いたします。

パスワードに対する主な攻撃は、総当たり攻撃(ブルートフォース攻撃)、逆総当り攻撃(リバースブルートフォース攻撃)、類推攻撃、辞書攻撃、事前計算攻撃等々あります。
また認証プロセス等における脅威としては、オンライン上での推測、オフライン分析、DoS攻撃、DDoS攻撃、フィッシング、ファーミング、盗聴、リプレイ攻撃、セッション・ハイジャック等があります。
それでは不正アクセスを防ぐためには、例えばPCI DSS、経済産業省のクラウドセキュリティガイドラインでも二要素認証の記載が追加されています。

    PCI DSS V3.1までは、要件8.3として、外部ネットワークからのリモートアクセス時には「ニ要素認証」を要求していました。Ver3.2では、まずはこれを2つ以上の認証要素を必要とする「多要素認証」と定義し、2つ以上であれば3つでも4つでもよい。また多要素認証を要求する対象を発展的要求として拡張し、コンソール以外の内部ネットワークからの管理アクセスに対しても求められるようになりました。
    8.3:    発展型要件：すべての従業員のコンソールを利用しない管理者アクセスとリモートアクセスには、多要素認証に対応することを8.3のサブの要求事項として拡張した。
    8.3.1:    新しい要件：すべての従業員のコンソールを利用しない管理者アクセスには多要素認証に対応すること
                ※2018年1月31日まではベストプラクティス要件となり、それ以降は要件となる。
    8.3.2    新しい要件：すべての従業員のCDEへリモートアクセスには多要素認証を利用すること（旧要件8.3を組み込んだ）

    経済産業省「クラウドセキュリティガイドライン活用ブック」より、クラウド上のID管理においてはネットワークからの攻撃を受けるため、パスワードの複雑さだけではなく、二要素認証や二段階認証などの単体のパスワードの強度だけに依存しない対策を行うことが重要です。またクラウドサービスを選択する際にも、コントロールパネルやユーザ管理においてこれらの認証機能が選択できるところを選択するのが良いとあります。
    
    不正アクセスを防ぐためにユーザ視点で行うべき対策とは、パスワードの適切な設定・管理、OS/アプリケーションの最新アップデート、フィッシング/不正プログラムに対する注意等が考えられます。また、パスワード認証後の対策としては、ログイン通知機能の有効化、多要素認証の利用があります。
さて皆様はどのような対策をされていますでしょうか？ 未だに静的なID/Password認証ですか？