認証とバイオメトリクスとIDとパスワード

だいぶ前の話だけれども、高画質の写真でピースサインをすると指紋読み取られて複製を作られて成りすまされる可能性があるという話があった。

指紋や静脈、虹彩などは複製が困難だったり、読み取りに専門の機器が必要だからある程度安全性があるけれども
考えてみたら顔パスや名前を名乗る昔からの認証方法とは思想はなんにも変わっていないんだなと思う。

名前や顔は、その人を識別できるものだけれども、
人間だったら勘違いや記憶違い、他人の空似などで間違えることがある。… 続きを読む

情報処理安全確保支援士とかいう謎資格

情報セキュリティスペシャリストという資格があるのだが、
日進月歩で進化するセキュリティ界隈において、取りっぱなしで良いのかという声が上がっていた。

10年前の知識で今を戦えるわけないし、ヘタしたら数年前だって怪しい。

攻撃手段は今や多種多様
現代ではスマホやIoTなどもふえて、サーバーやパソコンだけ守ればいいわけではない。… 続きを読む

最低限コレやらないとヤバイことになる。WordPressを公開サーバーでやる時のチェックリスト

WordPressに限らずだけれども
サーバーを借りてWordPressを公開するにはコレをやって置かなければ
最悪ヤバイことになることをまとめた。

どれくらいやばいかというと、
サーバー乗っ取られてマルウェア公開されたり、改竄にあったり、それが企業であれば信用をなくしたり。… 続きを読む

某PCショップで、接続するために店頭に行く系wi-fiルーターをレンタルした思い出

スマホをみたらTwitterの通知が大量にきた!
すわ!炎上か??と思ったが、違う。
6年前にしたツイートを著名セキュリティ専門家のひろみちゅ先生にリツイートされていたのだ!!
Twitterやって数年、こんなことは初めてだ。

一個一個のリツイ数は少ないけど連続ツイートが並列的にリツイされたから通知すごかった… 続きを読む

TLSのチェックサイトでレベルA+のセキュリティを目指す

TLS(https)にしたからといっても、即完全に守られている状態になるわけではない。

脆弱性が報告されている方式を有効にしていたり、サーバーの更新を怠っていたらせっかくサーバー証明書を買ってTLSに対応した意味がなくなってしまう。

セキュリティが強固かどうかはサーバー証明書の値段の高さではない。
値段の高いサーバー証明書とはどういうことか?
それはサイトの所有企業の法的実体などをちゃんと確認して本当にその企業がサーバー証明書を買ったのかどうかを証明している。… 続きを読む