5月10日開催。テーマは認証

新しい知見や感想を箇条書き

• パスワードマネージャー

  • 流行ってない
  • 課金しての業務利用を推奨している
  • あまりセキュリティの専門家がパスワードマネージャーを進めてる印象はないが・・・
    • 強いパスワードは運用コストが高いが*1、実際現場できちんと運用するにはどうすれば、というところはあまり語られない気がする。
      • パスワードマネージャは良い提案
  • ちょっと調べたが、トレンドマイクロがパスワードマネージャーを提供しているらしい*2
    • これならお堅い会社も導入しやすい気がする
  • 主催者の方はAppleのkeychainはバグの対応などが遅い印象があるので使わないらしい。

• Slackのエンタープライズ版の課題

  • SAMLのidPが１つしか使えないらしい。　
    • 複数のワークスペースの認証情報を管理することができないという問題がある。
  • keycloakというOSSを仲介に使う。
  • あまり関係ないがApple Watchでの２段階認証かっこいい。
    • PCのWEB画面でパスワード入力後、Apple Watchに通知が来る
  • Slackの社内利用を推したいけど、こういう課題があるのを知れたのは良かった。*3

• FIDO認証がすごい。

  • RSA認証っぽい(秘密鍵と公開鍵)
  • 始めて知った
  • 端末・リテラシに依存しない
  • 各ベンダが作り始めてる
  • TCPだけでなくBluetoothでも動く。
  • 認証情報を送らないから生体情報をパスワードに使えるかも？*4
    • ググってみたがすでにそういう取り組みもある

• CAPTCHA(開発会社の方がLTをされました)

  • 開発会社の人は苦情が気になるらしい。
  • パズルをはめるようなCAPTCHAはマウスカーソルの軌跡を分析するらしい
  • BOT側に難読なCAPTCHAを機械学習で突破する研究とかあるけど、その辺のイタチごっこが気になる。

• パスワード定期変更の是非

  • 例の総務省のポリシーが変わったやつ
  • 定期変更はPマークやISMSの必須要件となっている
    • それがボトルネックになり社内運用を変えられないケースが多いらしい。
  • まだ定期変更が有効なケースもある
    • パスワードが漏洩した場合
    • パスワードを共有するような運用をしている場合に人事異動が起きた場合

• インフラ勉強会

  • リモートでやってるやつ
    • 羽目をはずすとログに残る
  • 地方の人は都内の勉強会とか羨ましい感じらしい
    • 地方転勤が辛いらしい

• 他

  • アメリカ人の好きな食べ物はだいたいピザらしい
    • 秘密の質問「好きな食べ物は？」が…
  • 認可と認証を混同してはいけない。
  • 自衛隊の誰何は3回聞いて返事が帰ってこなかったら撃っていいらしい。

  返事がなく、３度誰何しても答えない場合は「捕獲するか、刺・射殺」します。

  http://kamiya-masanari.com/JSDF_Word/index.html
  • 現実的な覚えやすく強いパスワードを決める際はここで推奨されている方法がいいらしい。
    • こちらで高木氏が勧めているものも同じ