こんにちは。Yahoo! JAPAN Tech Blog 編集担当の有田です。
2月はヤフーで、ユーザーにセキュリティ意識の向上やフィッシング詐欺などから身を守るための正しい知識を身につけていただくことを目的とした情報発信を行う企画「サイバーセキュリティマンデー」を実施しています。
ユーザーを守るために、ヤフーではさまざまなサービス・機能を提供します。その技術的な背景はYahoo! JAPAN Tech Blogでも発信しています。今回はこのサイバーセキュリティマンデーにあわせ、セキュリティにまつわる記事をピックアップしました。エンジニアのみなさんのヒントになれば幸いです。
※ヤフー、セキュリティ意識の向上やフィッシング詐欺などから身を守る正しい知識を身につけるための情報発信企画「サイバーセキュリティマンデー」を実施(プレスリリース)
セキュリティガイドライン準拠のすすめかたは?
NIST SP800-171は、米国標準技術研究所(NIST)が定めたサイバーセキュリティのガイドライン。システムを準拠させることになったら何から始めればよいのか? ヤフーでの対応事例を紹介しています。
NIST SP800-171へ準拠することが決まったら 〜 FIPSモードを有効化した場合
おそらく読者の皆さんのなかにもセキュリティに関する案件の中で顧客や上司から「NIST SP800-171 について調査してほしい」や「システムを NIST SP800-171 に準拠させたい」という相談を受けたことのある方もいらっしゃるかもしれません。正直なところ、そういった時にいきなり NIST SP800-171 や FIPS 140-2 の原文を読んだところで取っ掛かりがなく、なかなか手を動かし始めるのが難しいと思います。この記事がそういった方々の一助となれば幸いです。
パスワードレス認証での困りごとは?
ヤフーでは、指紋や顔などの生体認証を含む多様な認証方法をログインに使った、パスワードレス化を進めています。認証に利用するスマホを紛失した場合に、パスワードを使わずにどうするか? FIDO認証での解決や、その標準化に向けたヤフーの取り組みを紹介しています。
パスワードレス認証のアカウントリカバリーの必要がない戦略とは
今回はFIDOのアカウントリカバリーの課題と、それに対する解決方法をホワイトペーパーの内容と合わせて紹介します。パスワードのないサービスで、登録しておいたスマホの紛失や機種変更などの場面で困らなくする方法を、FIDO認証で提供することができます。アカウントリカバリーとは、普段使っている方法でログインできなくなってしまった状況を、本人確認などを実施して解決する過程を指します。
パスワードのないログインを目指して 〜 ヤフーのFIDO標準化活動
パスワードレス認証に向けて、さまざまな企業や団体と協力しながら標準化活動としてどんなことをしているか、ご紹介します。標準化という字面から、「硬くて難しい」イメージがあるかもしれませんが、共通の課題を多く人と協力することで解決方法を見いだしていく過程が少しでも共有できましたら幸いです。
また、パスワードレス認証をすすめる上でのUI/UXの課題も研究しています。
ユーザビリティー実験からわかったパスワードレス認証の課題
本記事では、指紋認証の使いやすさにはどのような問題があるか、ユーザーがどういった点に課題を感じるのか、調査結果を紹介します。
WebAuthnを用いたパスワードレス生体認証のユーザビリティ調査
例えば、手が濡れていたり、乾燥したりしていて指紋認証が通らなくて困るという声を聞くこともあります。Webサイトのログインに導入される生体認証は、本当に多くのユーザーのユーザビリティを改善しているのでしょうか? 今回は、WebAuthnベースの生体認証と従来の認証手法について、評価基準による比較、ログの調査、ユーザーアンケートからユーザビリティの検証を試みます。
フィッシング詐欺からユーザーを守るには?
そのメールは本物から送られたか、なりすましか? 判別できる手段の提供もフィッシング対策のひとつです。読者の中にはメールサーバーやDNSを管理している方もいらっしゃるかもしれませんが、DNSのレコードを使うことで認証できる仕組みを、Yahoo!メールの事例とともに紹介しています。
あなたの会社のなりすましが現れたら? 迷惑メール対策方法とYahoo!メールのDMARC導入事例紹介
今回の記事ではなりすましメールについての説明と、その対策としてYahoo!メールに導入した送信ドメイン認証技術のひとつである「DMARC」についてご紹介します。そしてこれらを踏まえ、なりすましメール対策のために何ができるのかをご紹介しますので、参考になれば幸いです。
Yahoo!メールのDMARC導入のその後と、「DMARCレポート」の活用術
今回はその続きとして、この DMARC の効果を中心にさらに掘り下げていくのと、さらにはメールの送信も行っている弊社が活用している「DMARCレポート」についてもご説明します。
おわりに
最近のTech Blogの記事から、セキュリティ関連のものをピックアップしてご紹介しました。2月中は、サイバーセキュリティマンデーでもさまざまな情報発信をしていくので、ぜひあわせてご覧ください。
こちらの記事のご感想を聞かせください。
- 学びがある
- わかりやすい
- 新しい視点
ご感想ありがとうございました
- 有田 宜弘
- Developer Relations
- Yahoo! JAPAN Tech Blogの編集者やYahoo! JAPAN Hack Dayのスタッフをしています。