技術日誌

DB,Java,セキュリティ,機械学習など。興味のあることを雑多に学ぶ

第14回 セキュリティ共有勉強会に参加

5月10日開催。テーマは認証

新しい知見や感想を箇条書き

  • パスワードマネージャー

    • 流行ってない
    • 課金しての業務利用を推奨している
    • あまりセキュリティの専門家がパスワードマネージャーを進めてる印象はないが・・・
      • 強いパスワードは運用コストが高いが*1、実際現場できちんと運用するにはどうすれば、というところはあまり語られない気がする。
        • パスワードマネージャは良い提案
    • ちょっと調べたが、トレンドマイクロがパスワードマネージャーを提供しているらしい*2
      • これならお堅い会社も導入しやすい気がする
    • 主催者の方はAppleのkeychainはバグの対応などが遅い印象があるので使わないらしい。
  • Slackのエンタープライズ版の課題

    • SAMLのidPが1つしか使えないらしい。 
      • 複数のワークスペースの認証情報を管理することができないという問題がある。
    • keycloakというOSSを仲介に使う。
    • あまり関係ないがApple Watchでの2段階認証かっこいい。
      • PCのWEB画面でパスワード入力後、Apple Watchに通知が来る
    • Slackの社内利用を推したいけど、こういう課題があるのを知れたのは良かった。*3
  • FIDO認証がすごい。

    • RSA認証っぽい(秘密鍵と公開鍵)
    • 始めて知った
    • 端末・リテラシに依存しない
    • 各ベンダが作り始めてる
    • TCPだけでなくBluetoothでも動く。
    • 認証情報を送らないから生体情報をパスワードに使えるかも?*4
      • ググってみたがすでにそういう取り組みもある
  • CAPTCHA(開発会社の方がLTをされました)

    • 開発会社の人は苦情が気になるらしい。
    • パズルをはめるようなCAPTCHAはマウスカーソルの軌跡を分析するらしい
    • BOT側に難読なCAPTCHA機械学習で突破する研究とかあるけど、その辺のイタチごっこが気になる。
  • パスワード定期変更の是非

    • 例の総務省のポリシーが変わったやつ
    • 定期変更はPマークやISMSの必須要件となっている
      • それがボトルネックになり社内運用を変えられないケースが多いらしい。
    • まだ定期変更が有効なケースもある
      • パスワードが漏洩した場合
      • パスワードを共有するような運用をしている場合に人事異動が起きた場合
  • インフラ勉強会

    • リモートでやってるやつ
      • 羽目をはずすとログに残る
    • 地方の人は都内の勉強会とか羨ましい感じらしい
      • 地方転勤が辛いらしい
    • アメリカ人の好きな食べ物はだいたいピザらしい
      • 秘密の質問「好きな食べ物は?」が…
    • 認可と認証を混同してはいけない。
    • 自衛隊の誰何は3回聞いて返事が帰ってこなかったら撃っていいらしい。

    返事がなく、3度誰何しても答えない場合は「捕獲するか、刺・射殺」します。

    http://kamiya-masanari.com/JSDF_Word/index.html
    • 現実的な覚えやすく強いパスワードを決める際はここで推奨されている方法がいいらしい。
      • こちらで高木氏が勧めているものも同じ

*1:人間が覚えるという意味での運用コスト

*2:https://www.trendmicro.com/ja_jp/forHome/products/pwmgr.html

*3:多分1社でほそぼそと運用するには問題にならないだろうけど。

*4:生体情報は個人情報なのでサーバー側で管理するのはリスクらしい