プライベート認証局（「プライベートCA」や「オレオレ認証局」とも呼ばれます）は、会社など限られた組織内でのみ運用する認証局です。認証局の構築用スクリプトでプライベート認証局を構築運用していたのですが、トラブルが発生した時に手も足も出ず苦労したことがありました。そこで今回はOpenSSLを使って設定の意味を理解しながらプライベート認証局を構築する手順をまとめてみました。 OpenSSLのバージョン 今回使用したOpenSSLのバージョンは次の通りです。バージョンによっては設定ファイルで指定できるオプションに違いがありますので、必ずそのバージョンのマニュアル（man）をご確認ください。 openssl version OpenSSL 3.0.7 1 Nov 2022 (Library: OpenSSL 3.0.7 1 Nov 2022) また、プライベート認証局を構築する際に、OpenSSLの

SSLって何？意味や仕組みをわかりやすく解説！ インターネット通信の暗号化（https化）を担うSSLの役割、用語の意味、暗号化通信が成立するまでの過程をわかりやすく解説します。 SSLとは SSL（Secure Sockets Layer）とは、簡単に説明するとWebサイトとそのサイトを閲覧しているユーザとのやり取り（通信）を暗号化するための仕組みです。 暗号化されていないインターネットは危険！ 意外と知られていませんが、みなさんが利用しているインターネットは悪意のある第三者が通信の中身を盗み見て悪用することが可能です。閲覧しているホームページのアドレスや、掲示板に書き込んだ内容、ショッピングサイトで入力したクレジットカード番号やパスワードなども盗み見ることが可能です。「これでは安心してインターネットができない！」ということで生まれたのがSSLという仕組みです。 例えば、あなたが会社のパ

パスキーの本質はユーザー側としてはパスワード入力機会の削減、サービス側としては企業のセキュリティリスクのユーザーへの責任転嫁とコストカットである。 サービス側 企業がユーザーにパスキーを使わせようと強要するのはログイン情報の流出や流出したログイン情報による攻撃のリスクと責任とコストから企業を守るために認証に関する問題がユーザーの責任によってしか発生しないよう責任転嫁したいからに過ぎない。このため認証情報の紛失や盗難などによる喪失リスクと復旧の困難性やその他新たに発生する問題については隠蔽または矮小化される。企業にとってパスキーとはパスワードの定期的変更の最新版なのでありユーザーがパスキーを強要されるのはパスワードの定期的変更を強要された歴史を繰り返しているに過ぎない。 ユーザー側 パスキーの適切な実装におけるユーザーの本質的利益はパスワード入力機会が減ることによりフィッシング被害を受ける機

半沢頭取は「信頼・信用という銀行のビジネスの根幹を揺るがす事案だと厳粛に受け止めており、お客様や関係者の皆様に心からおわび申し上げます」と述べて、陳謝しました。 そして「今回の貸金庫の事案においてお客様をはじめとした関係者の皆様に多大なるご迷惑とご不安を与えたことを非常に重く受け止めています。銀行にとって、お客様や社会などのステイクホルダーからの信頼、信用が事業の根幹であることを再認識し、お客様が安心して社会生活を営み、企業活動に取り組めるよう、全行をあげて失われた信頼、信用の回復に努めるとともに、その社会的責任を果たしていきたいと考えております」と述べました。 半沢頭取は、経営責任について「現在被害にあわれたお客様への補償、そしてまさに貸金庫を利用していただいているお客様の不安の解消に最優先に取り組んでいるところでございます。今後しっかりお客様に向き合い補償対応をしっかり進めるとともに、

倫獄（リンゴ） @ringo_yakuri Joker先生を含め、オンライン投票に肯定的な意見を持っているコンピューターエンジニアに会ったことがないんですよね。私が一番納得した理由は、人力の不正は大規模化に限界があり選挙結果を左右するほどの不正は困難である一方、電子投票の場合不正一つで選挙結果を覆せてしまう危険があるから。 2024-10-27 18:55:37

このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」（シームレス）を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 X： ＠shiropen2 「組織はユーザーに定期的なパスワード変更を要求してはならない」──米国政府機関の米国立標準技術研究所（NIST）が、そんな内容を含めた新しいガイダンス「SP800-63B」を発表した。パスワードの内容は、セクション3.1.1に記されている。 多くの人々が新しいパスワードを考え出し、それを覚えることに苦労している。セキュリティ上の理由から、多くの組織がユーザーや従業員に定期的なパスワードの変更を要求し、もしくは義務付けている。しかし今、米国政府はソフトウェアやオンラインツールを作成・運用する組織にこの慣行をやめるよう呼びかけている。 これは、Webサイト

"Let’s use a token to secure this API call. Should I use the ID token or the access token? ​🤔 The ID token looks nicer to me. After all, if I know who the user is, I can make better authorization decisions, right?" Have you ever found yourself making similar arguments? Choices based on your intuition may sound good, but what looks intuitive is not always correct. In the case of ID and access toke

この問題ね、まずいよ、非常にまずい。 Google Formの編集画面には、回答にもアクセスできるようになってるからさ！回答リンクじゃなくてこのフォーム編集ファイルを「リンクを知っている人全員」に共有しちゃダメ！ってことなんだよね うっかりそんなこともあるかもしれんやん？そりゃ てことで、もうGoogle Driveで必死こいて「リンクを知っている人」に共有したGoogle Formなど探しまくったね （ひと段落ついた） え？どうやって探したかって？お教えしましょう Google Driveをブラウザで開くでしょ そしたら検索のところに ・「ユーザ」に「リンクを知っている人全員」を指定。 ・「種類」があるのでそこで「フォーム」を指定。 うわー出てきますねー？ ちなみにここで「種類」をスプシ(スプレッドシート)に切り替えてみても、なかなか味わい深いよ... あとは必死こいて不適切な「共有」、

KADOKAWAの臨時ポータルサイトより KADOKAWAにサイバー攻撃を行っていたとみられるロシアのハッカー集団は7月3日、ダークウェブ上に公開していた同社への犯行声明を削除した。ハッカー集団は、同社と行っていた身代金に関する交渉で合意に至らなければ、ダウンロードした同社の情報を公開するとしていたが、7月1日に情報漏洩が確認された。なぜハッカー集団は情報公開から2日後に突如、犯行声明を削除したのか。また、一連の事態を受け、攻撃を受けた企業は身代金の要求に応じるべきか否かをめぐり議論を呼んでいるが、企業はどのような基準で判断しているのか。専門家の見解を交えて追ってみたい。 KADOKAWAに対してランサムウェアを含むサイバー攻撃を行ったとする犯行声明を出していた「BlackSuit」は、同社のシステム基盤を暗号化し、従業員やユーザの情報などを入手しており、同社が身代金の支払いに応じなければ

2024年7月1日、OpenSSHの開発チームは深刻な脆弱性 CVE-2024-6387 が確認されたとしてセキュリティ情報を発出し、脆弱性を修正したバージョンを公開しました。この脆弱性を発見したQualysによれば、既定設定で構成されたsshdが影響を受けるとされ、影響を受けるとみられるインターネット接続可能なホストが多数稼動している状況にあると報告しています。ここでは関連する情報をまとめます。 概要 深刻な脆弱性が確認されたのはOpenSSHサーバー（sshd）コンポーネント。脆弱性を悪用された場合、特権でリモートから認証なしの任意コード実行をされる恐れがある。 悪用にかかる報告などは公表時点でされていないが、glibcベースのLinuxにおいて攻撃が成功することが既に実証がされている。発見者のQualysはこの脆弱性の実証コードを公開しない方針としているが、インターネット上ではPoC

数値上はこうなるものの、意図的な短期的メンテナンスや、意図しない障害でも１回あたりの期間が短ければ、その期間に積まれるはずだった売上は、その復帰後に売り上がる場合も多いでしょう。その辺りは、ユーザーの信頼を損なわない方法や運用を心がけることで、十分に埋められる可能性を含む性質です。 しかしこれが、あまりに高頻度であったり長期間になると、その復帰後に停止期間分を含めた売り上げにならず、そのまま機会損失となる可能性が高まります。いわゆるユーザー離れというやつです。その損失だけで済めばまだマシで、普通に考えればその後に想定していた売上も減少し続け、元に戻すには相応の時間と労力を伴うでしょうから、数値以上の痛手となるはずです。 こう考えていくと、運用関係者が健全であれば、無理に100％の可用性を目指さず少なくとも合計99％以上となる停止猶予を持たせた運用とし、数日を跨ぐような連続した長期間の停止だ

動画配信の「ニコニコ動画」や書籍の出版などにシステム障害が起きている出版大手KADOKAWAについて「BlackSuit」（ブラック・スーツ）と名乗るハッカー集団が、サイバー攻撃によって会社の事業計画やユーザーなどのデータを盗み取ったと主張する犯行声明を出したことがわかりました。 KADOKAWAは今月8日グループ会社のデータセンターのサーバーが身代金型のコンピューターウイルス＝ランサムウエアによるサイバー攻撃を受けるなどしてシステム障害が発生し、「ニコニコ動画」や書籍の出版といったグループ全体の事業に影響が出ています。 27日午後、「BlackSuit」を名乗るハッカー集団がネット上の闇サイトでKADOKAWAのネットワークに侵入し、データを盗み取ったと主張する犯行声明を出したことがわかりました。 サイトを確認したセキュリティー関係者によりますと、データは事業計画やユーザーに関わる情報な

※　おことわり　本稿は、私の有料メルマガ『人間迷路』にて配信されている内容と同一のものです。すでにメルマガを取っておられる方は、お布施でもない限り間違ってご購入されないようお願いいたします。 https://yakan-hiko.com/kirik.html　「いま脅されてる組織の記事を書いちゃったら、犯人の要求を利するだけじゃないの」と話題騒然の本件。記事を書いたNewsPicksにも批判が来ております。確かに一理あって、現在進行形でランサムウェアぶっ込んできた先と交渉している最中に内部リークで記事書くなという川上量生さんの怒りも理解はできます。 ただ、具体的な人身の誘拐犯や立てこもり犯などと違って本件事件の相手はハッカーですし、ニコニコ動画がどんだけハックされようと物理的に人は死にません。単純にBlacksuit突っ込まれてシステムが他サービスごと全面ダウンさせられたKADOKAWAが