Agile Cat — in the cloud

Apple が 明らかにした、A7 Processor の セキュリティ機能とは?

Posted in .Selected, Apple, Post-PC, Security by Agile Cat on April 17, 2014

This Chip Is Apple’s Advantage In Enterprise And Payments
http://wp.me/pwo1E-7pz

Kyle Russell – MAR. 4, 2014
http://www.businessinsider.com/iphone-5s-security-enclave-2014-3

_ Business Insider

Apple, the now-dominant force in enterprise, has been taking some serious heat in recent weeks over some major flaws in its security.

いまや、エンタープライズで支配力を発揮している Apple だが、そのセキュリティにおける大きな欠陥に関して、このところ、熱い議論に取り巻かれている。

First there was the so-called "Gotofail" error that left traffic that should have been encrypted totally unsecure.

最初の Gotofail エラーと呼ばれるものは、暗号化されるべきトラフィックが、そのまま放置されてしまうという問題である。

Less than a week later, security firm FireEye revealed that it was possible to make a "keylogger" on iOS that can track what you’re doing on your device and send that information to a remote server.

それから1週間も経たないうちに、セキュリティ会社である FireEye は、ユーザーがデバイス上で行う処理をトラッキングし、その情報をリモート・サーバーに送信しまうという、Key Logger を iOS 上に仕掛けることが可能だと公表した。

Perhaps to quell some of the fears of enterprise buyers (or the IT guys who have to support them), Apple released a new white paper (PDF) last week detailing the various security systems built into iOS, the operating system that powers the iPhone, iPad, and Apple TV product lines.

そのような背景があるためか、Apple は先週に、新しいホワイト・ペーパー(PDF)をリリースしている。それにより、エンタープライズの購入担当者( または IT サポート担当者)を悩ませる、いくつかの懸念を払拭したいのだろう。具体的に言うと、iPhone/iPad/Apple TV といった、そのプロダクト・ラインにパワーを与える、iOS に組み込まれる多様なセキュリティ・システムを詳述するものである。

The various levels of security built into iOS.

The most interesting bits to read in the otherwise dry security document are the parts detailing the workings of the iPhone 5s — the first device from Apple to combine iOS 7, the A7 system-on-a-chip, and the Touch ID fingerprint scanner.

この、飾り気のないセキュリティ・ドキュメントから読み取れる、最も興味深いパートは、iPhone 5S で機能するセキュリティの詳細でる。それは、Apple における iOS 7 と、A7 system-on-a-chip と、Touch ID fingerprint scanner を、初めて組み合わせるデバイスでもあるのだ。

Built into Apple’s A7 — the chip famous for its 64-bit "desktop class" application processor — is a less well-known coprocessor called the Security Enclave. While it’s not making video play smoother or music download faster, it is doing something that anyone can appreciate: letting you unlock your phone in a fraction of a second while keeping malicious hackers at bay.

この Apple A7 に組み込まれたものとして、64-bit "desktop class” アプリケーション・プロセッサは有名であるが、Security Enclave と呼ばれるコプロセッサは、あまり知られていない。 一方は、ビデオをスムーズに再生したり、音楽のダウンロードを高速化したりするが、もう一方も、誰もが感謝する何かを処理している。 つまり、あなたは自分のフォンを瞬時にロック解除できるが、悪意のあるハッカーは近寄ることもできなくなるのだ。

The Security Enclave goes through a secure boot process independent of the rest of the chip and also goes through its own software updates. It’s kept separate from the rest of the system, but comes in when anything secure needs to happen.

この Security Enclave は、チップの他の部分から独立したかたちで、そのセキュアなブート・プロセスを処理し、また、ソフトウェアのアップデートも他から分離されている。つまり、全体的なシステムから分離されているわけだが、セキュリティに関するニーズが発生するタイミングで登場することになる。

Unlocking your device with your thumb? Fingerprint data from the Touch ID sensor goes to the Security Enclave, where it is compared with data saved on the device. If it’s a match, the device unlocks. Same thing with making purchases via iTunes or the App Store.

これにより、あなたの親指を使って、デバイスのロックを解除できるのか? ID Touch センサーから得られた指紋データは、Security Enclave へと送信され、そこで、デバイスに保存されたデータと比較される。そして、一致するなら、デバイスのロックが解除される。 それは、iTunes や App Store で、何かを購入する場合も同じだ。

The actual processor never touches the data — it’s all forwarded over an encrypted bus that only the Security Enclave can read. And after the Security Enclave deals with fingerprint data, it throws it out, too. The only thing left afterward is a set of data that can’t be used to reconstruct an actual fingerprint and has no data connected to your identity.

実際のところ、このデータにプロセッサが触れることはない。つまり、すべてのデータが、暗号化されたバスに送信されるが、それを読み出せるのは、Security Enclave だけに限定されているのだ。その後に、Security Enclave は指紋データを処理し、その結果を外部に送信する。つまり、唯一のデータ・セットが残されることになるが、それを用いて実際の指紋を再構成することはできす、また、ユーザーの ID に接続されるデータは、まったく残らないことになる。

Apple’s document makes it clear that enterprise buyers (including government buyers, who can now buy the iPhone 5S thanks to its validated compliance with U.S. Federal Information Processing Standard 140-2 Level 1) need not fear buying and trusting the security behind Touch ID. But there’s another use for Touch ID that could prove even more lucrative for Apple: payments.

Apple のドキュメントが明らかにしているのは、エンタープライスの購入担当者が( U.S. Federal Information Processing Standard 140-2 Level 1 コンプライアンスにより、検証されている iPhone 5S を購入する、政府の購入担当者も含めて)、Touch ID を背後からサポートするセキュリティを、信頼して購入できるという点である。そして、Apple が優位性を証明できる、さらなる Touch ID の用途があります。それは、支払いである。

As it stands, Apple doesn’t give any third-party access to the Security Enclave or Touch ID. That stands in sharp contrast to Samsung, whose new Samsung Galaxy S5 now sports a fingerprint reader. Samsung is partnering with PayPal to facilitate mobile and Web-based payments with the swipe of a finger.

現状において、Apple は Security Enclave と Touch ID に関して、サードパーティにアクセス権を与えていない。つまり、新しい Galaxy S5 で指紋リーダーをサポートした Samsung とは、正反対のスタンスである。指をスワイプすることで、モバイルと Web をベースにする支払いを容易にするために、Samsung は PayPal と提携している。

As Business Insider’s Jim Edwards recently documented, it’s becoming rather evident that Apple is going to open up Touch ID-controlled payments to third-party retailers as well. But Apple’s payments solution won’t rely on any third-party services — the payments themselves will be authorized and facilitated within the existing iTunes infrastructure, which Touch ID and the Security Enclave were literally designed for.

先日に Business Insider の Jim Edwards が述べているように、Apple はサードパーティのリテーラーにも、Touch ID でコントロールするペイメントをオープンにするようだ。しかし、Apple のペイメント・ソリューションが、何らかのサードパーティ・サービスに依存することはない。つまり、Apple 自身のペイメントは、最初から Touch ID と Security Enclave を用いてデザインされた、既存の iTunes インフラ内で容易に承認できるようになっている。

We don’t know much about the security built into Samsung’s latest flagship, but considering Android’s poor history with security, it could be a deciding factor in what becomes the leading mobile payments platform.

私たちは、Samsung の最新フラッグシップに組み込まれているセキュリティについてあまり知らないが、Android におけるプアなセキュリティの歴史を考えると、主要なモバイル決済プラットフォームになるための、決定的な要因になり得るのかもしれない。

ーーーーー

TAG indexこの記事が出てから暫く経って、例の Heartbleed の問題が発覚したわけですが、ID/PW だけに依存するセキュリティの限界を、露呈してしまった事件なのかもしれません。 それに換えて指紋を使うにしても、いずれはハッキングされるのかもしれませんが、それにかかるコストが膨大なものになるのなら、サイバー犯罪に対する抑止力になるはずです。 ここは、ぜひ、Apple や Samsung に頑張ってもらって、より強固なセキュリティ・システムを、より安価に提供して欲しいところですね。ac-stamp-232

ーーーーー

<関連>

この月曜日に、記録破りの DDoS 攻撃が仕掛けられた!
Huawei がアメリカ市場から撤退するらしい
手首にパスワード : ウェアラブル PassBan とは?
エンタープライズに必要なモバイル・セキュリティ : 6つの階層って知ってました?
Woz の言うクラウドへの懸念は、正しくもあり、間違いでもあり

この月曜日に、記録破りの DDoS 攻撃が仕掛けられた!

Posted in .Selected, Research, Security, Strategy by Agile Cat on February 11, 2014

Record-breaking DDoS attack struck on Monday, according to reports
http://wp.me/pwo1E-7bU

By David Meyer – Feb 11, 2014
http://gigaom.com/2014/02/11/record-breaking-ddos-attack-struck-on-monday-according-to-reports/

_ Giga Om

Summary: The attack, which appears to have been felt particularly hard in Europe, apparently exploited the protocol that maintains the accuracy of computers’ clocks.

この攻撃は、特にヨーロッパで激しかったようだが、コンピュータにおける時刻を、正確に保つためのプロトコルを、明らかに悪用したものであった。

ーーーーー

photo: Thinkstock

Somebody out there was getting hit hard by a distributed denial-of-service (DDoS) attack on Monday, according to multiple reports. And it looks like this one was even harsher than last year’s Spamhaus incident, at the time the biggest known DDoS attack in the history of the internet.

複数のレポートから推測するに、月曜日の DDoS 攻撃(distributed denial-of-service)を、どこかで受けている読者もいるだろう。今回の攻撃は、インターネットの歴史において、最大の DDoS 攻撃として有名な、昨年の Spamhaus よりも厳しいものだったようだ。

According to Matthew Prince, CEO of anti-DDoS protection outfit CloudFlare:

対 DDoS 防御団体 CloudFlare の CEO である、Matthew Prince は以下のようにツイートしている:

Prince went on to say the attack was running at over 400Gbps (Spamhaus was around 300Gbps), though confidentiality stopped him from identifying which client was getting hammered. He said the effects were being felt particularly in Europe, with the attack being mostly mitigated but still “big enough it caused problems even off our network, which is super annoying.”

Prince は、この攻撃が、400 Gbps 以上( Spamhaus は 300Gbps 前後)で荒れ狂っていると言い続けていたが、大きな打撃を受けているクライアント名については、機密性を考慮するために言及しなかった。特にヨーロッパでの被害が大きいが、だいぶ緩和されてきたとも言っている。ただし、それでも「私たちのネットワークに問題をもたらすほどの、たいへんな規模のものであり、とても迷惑している」と伝えている。

French hosting outfit OVH also reported fending off an attack running at over 350Gbps, though of course it’s impossible to say whether the same attacker was responsible.

フランスのホスティング会社である OVH も、350 Gbps で突進してくる攻撃を、かわしているところだと報告している。しかし、当然のことだが、同一の攻撃者によるものかどうかは、現時点では判明できないとしている。

Reflect and amplify

What’s interesting about the attack reported by CloudFlare is its technique. DDoS is all about overwhelming the target’s servers with more data packets than their switches can handle, and both this and the Spamhaus attack seem to have used an “reflection and amplification” method to achieve this goal.

CloudFlare からのレポートで興味深いのは、この攻撃で用いられたテクニックである。DDoS 攻撃は、あらゆるスイッチが処理できないほどの、大量のデータ・パケットを用いて、ターゲットとあるサーバーを圧倒するというものである。それと同様に、Spamhaus の攻撃でも、“reflection and amplification” の手法を用いることで、その目標を達成しようとしていた。

In the case of the Spamhaus attack, the perpetrators spoofed the IP address of the target and sent off domain name system (DNS) queries – which are usually along the lines of “What’s the IP address for this spelled-out website name?” – to open DNS resolvers that will answer any request from anywhere.

Spamhaus のケースでは、攻撃者はターゲットの IP アドレスをスプーフィングし、DNS クエリを送信することで(通常は What’s the IP address for this spelled-out website name? という問い合わせを繰り返す)、どこからの要求にも回答する、DNS リゾルバ をオープンしていた。

The attackers deliberately made queries that would elicit much larger responses and, because they were pretending to be whoever they were targeting, the poor victim would suddenly have tons of data flung at it, exacerbated by the number of machines controlled by the attacker and used to send out these requests.

しかし、攻撃者たちは、それよりも遥かに大きな反応を誘発させるクエリを、意図的に作ってくる。そして、彼らは、そのターゲットにした誰になりすましているため、かわいそうな被害者は、投げつけられた大量のデータを、そのタイミングで受け取ってしまう。そして、攻撃者によりコントロールされ、それらのリクエストを送信するマシンが増えることで、さらに事態が悪化していく。

The new attack uses a similar mechanism, only it doesn’t exploit badly-configured DNS servers. Instead, it uses network time protocol (NTP) servers – the machines with which your computer will periodically shake hands in order to check what the time is. This was the same tactic used to attack a bunch of big online gaming services last month.

今回の攻撃も、同様のメカニズムを用いているが、設定に不備のある DNS サーバーを悪用するというものではない。それに代えて、NTP(network time protocol)サーバーを悪用している。あなたのコンピュータが、設定されている時刻が正しいことを確認するために、定期的にアクセスするのが NTP サーバーである。先月にも、大手のオンライン・ゲーム・サービスに、大規模な攻撃が仕掛けられたが、そのときの戦術と同じものである。

“Ugly things to come”

As CloudFlare recently explained, the NTP protocol is “ideal as a DDoS tool” because at least one of its functions will return data that is far more voluminous than the triggering request (specifically, the “monlist” command that asks the server for the addresses of the last 600 computers that used it). That post also includes some handy details about updating NTP servers to stop them from being misused in this way.

先日にも、CloudFlare が説明しているように、NTP 機能における少なくとも 1つは、リクエストのトリガーよりも遥かに膨大なデータを返すため、このプロトコルは、「DDoS 攻撃ツールとして理想的」なのである(具体的にいうと、monlist コマンドのことであり、それを直近に使用したコンピュータについて、600件のアドレスを、そのサーバーから参照できてしまう)。この、ClloudFlare の記事には、このよう悪用を防ぐための、NTP サーバーの更新に関する、いくつかの有用な情報が含まれている。

Of course, if everyone kept their publicly-connected servers up-to-date, we’d see a good deal less online crime. But they don’t, so, as Prince observed:

パブリックに接続されたサーバーを、誰もが最新の状態に保っていれば、このようなオンラインにおける犯罪も減少していくだろう。しかし、Prince が観察したところによると、そうなっていないのである。

Related research?

How Hadoop passes an IT audit January 2014
Who to watch in the growing European cloud market September 2013
Key factors IT managers face when deploying SDN solutions August 2013

ーーーーー

TAG indexこのような内容のポストを訳すのは、初めてのことす。 そのため、解釈や用語に不備があると思っています。 セキュリティに詳しい方に、お気づきの点を、ご指摘いただければ幸いです。 ーーー それにしても、とんでもないことを、やってくれますね。 ソチ五輪もターゲットになっているのでしょうかね? 以前に訳した NIST のドキュメントに、「いろいろな意味で、ハッカーがアセンブルしコントロールするボット(botnet)が、クラウド・コンピューティングにおける早期の形態である」という一文があったことを思い出しました。終わりなき戦いなのですね。。。image

ーーーーー

<関連>

SaaS/PaaS/IaaS とセキュリティの責任範囲 – NIST
エンタープライズに必要なモバイル・セキュリティ : 6つの階層って知ってました?
BYOD – エンタープライズは生産性の向上とセキュリティ・リスクを秤にかける
セキュリティ調査 – Sybase – ヒューマン・エラーが 48% で最大の脅威
企業データにアクセスするモバイルと、セキュリティとの関係を、そろそろ真剣に考えよう

Huawei がアメリカ市場から撤退するらしい

Posted in Asia, Government, Security by Agile Cat on December 6, 2013

Everyone hates Huawei: CEO says company is giving up on the US
http://wp.me/pwo1E-6Zq

December 3, 2013 –
Ricardo Bilton
http://venturebeat.com/2013/12/03/everyone-hates-huawei-ceo-says-company-is-giving-up-on-the-us/

_ VB Security

Okay, haters, you win: Huawei is nixing its growth plans in the US.

OK! 嫌っていた、あなたの勝ちだ。 つまり、Huawei が、アメリカ市場上における成長のプランを、投げ出そうとしているのだ。

For years, officials in the US and elsewhere have accused the tech company of being a proxy for the Chinese government. And while Huawei has long denied the claims, it seems like it’s just too tired to do it any longer.

この数年において、アメリカなどの政府当局者たちが、このハイテク企業は中国政府のプロキシであるとして、非難し続けてきた。そして Huawei は、こうした主張を長きにわたり否定してきたが、いまでは疲れ果ててしまい、これからも続けていこうとは思わなくなったようだ。

In a recent interview with French media, Huawei CEO Ren Zhengfei said the company will stop looking for new business in the US, where fears over its alleged spying are the highest.  ”It’s not worth it,” he said, according to a transcript of the interview.

最近のフランス・メディアとのインタビューにおいて、Huawei の CEO である Ren Zhengfei は、同社がスパイ活動をしたという疑惑が、最も深く浸透してしまったアメリカでの、新規事業を停止するだろうと発表した。 そして、インタビューのトランスクリプトによると、「 それは、単なる撤退というダメージ以上のものとなる」と、彼は発言したようだ。

Those fears sound like they’re torn out of a spy thriller: US officials say that Huawei, which makes routers as well as smartphones, could install backdoors into its products, making it easy for the Chinese government to spy on US companies that use them.

同社が、スパイ小説のような世界から、大急ぎで立ち去ろうとしているようにも聞こえる。 アメリカ政府の当局者は、ルーターに加えてスマホも作る Huawei であれば、そのプロダクツにバックドアを仕掛けることが可能だと発言している。 そして、それらを使用するアメリカ企業に対して、中国政府は容易にスパイ活動を行えるというわけだ。

While Zhengfei’s comments were a tad vague, a Huawei vice president told Foreign Policy that the company wasn’t pulling out of the US entirely — it’s just shifting its focus to markets like Europe, which “welcomes competition and investment.”

Zhengfei のコメントは少し曖昧だったのに対して、Huawei の VP は、同社がアメリカから完全撤退しなかったことを Foreign Policy 誌に語っている。つまり、「競争と投資を歓迎」してくれる、ヨーロッパ市場などに、フォーカスをシフトするという話だ。

While the shift seems drastic, it’s actually not surprising given that Huawei admitted as recently as this April that it had been effectively shut out of companies in the US.  That trouble came largely from a 2012 Congressional report that argued that Huawei and its fellow Chinese smartphone marker ZTE “cannot be trusted to be free of foreign state influence.”

このシフトは、ドラスティックなものに見えるが、いくつかのアメリカ企業から、Huawei が体よく締め出されてしまった 4月から、同社に対する認識が変化していないのなら、それほど驚くべきことではない。この問題は、Huawei および、中国のスマホ・メーカーである ZTE が、「 外国からの影響 」という面で信頼できない、2012 年版の議会レポートが主張したことで大騒ぎとなった。

Huawei denied those allegations (which weren’t built entirely on facts), but as the company’s recent news confirms, the damage has already been already done.

Huawei は、これらの主張( 実際には完全に立証されていなかった )を否定したが、最近のニュースで同社が認めているように、それによるダメージは、すでに排除できないものになっている。

ーーーーー

asia-pacificことの真意は、いったい何処にあるのか? それが曖昧なまま、Huawei が撤退してしまうという、きわめて稀な事件だと言えるのでしょう。 同じ、中国メーカーでも、たとえば Lenovo などは、しっかりとアメリカ市場でビジネスを確立しているのですから、やはり、腑に落ちないことだらけです。 文中にあるように、ヨーロッパへの参入がが本格化すれば、それなりの調査が実施され、シロなのかクロなのか、ハッキリするはずだと思います。 ぜひ、そうなって欲しいですね。__AC Stamp 2

ーーーーー

<関連>

中国の 2013年 スマホ 市場 : インフォグラフィックスで ど~ぞ!
Lenovo の Windows 8.1 タブレットは、8-inch で $299 だ!
Quanta と OCP : Server/Storage/Switch/Rack などがデビュー!
タイ大手銀行が愛の告白 : Line キャラのカードを発行します!
Asus と Acer に、合併というウワサが流れているらしい!

アメリカの職場 : 従業員の 29% が仕事中に Facebook を使っている!

Posted in .Selected, Facebook, Research, Security, Social by Agile Cat on October 5, 2013

29% of Americans Use Facebook at Work Every Day
http://wp.me/pwo1E-6K8

BY ZOE FOX2 – Oct 2, 2013
http://mashable.com/2013/10/02/facebook-workday/

_ Mashable

What’s This? How focused are you during the workday? Be honest.

これは、何だと思う? 仕事中に、あなたも、別のことを考えているよね? 正直に答えて欲しい。

Almost one-third of Americans — 29%, to be exact — visit Facebook each day while they’re at work. Gmail, Yahoo Mail and YouTube are also popular destinations during the workday.

アメリカ人の 3人に1人が、いや、正確に言うと 29% の人々が、仕事中に毎日 Facebook にアクセスしている。また、Gmail と Yahoo Mail と YouTube も、職務中における人気サイトである。

Statista‘s chart, below, is based on its own workplace survey that shows the percentage of American workers who visit different websites on a daily basis while on the job.

Statista が実施した職場意識調査をベースにした、以下のチャートが示しているのは、職務時間中に仕事は関係のない Web サイトを訪れている、アメリカ人従業員の比率である。

However, the chart does not convey how many workers use these sites for work-related purposes.

しかし、このチャートは、仕事に関連する目的のために、これらのサイトを使用している従業員が、どのくらいの比率なのかを伝えていない。

___space

___space

Are you on Facebook during work every day? Let us know in the comments below.

あなたは、仕事中に毎日、Facebook にアクセスするだろうか? なにか、あったら、コメントで知らせてほしい。

Mashable composite. Image: iStockphoto, DrAfter123

ーーーーー

research_55昨日の 『 アメリカの職場 : Facebook 禁止は 20% に過ぎない! 』 に続いて、またも Mashable からの爆撃ポストが、エンタープライズの頭上に降り注いでいるという感じです :) 昨日も、「 Facebook や Twitter で、職場へのスマホの持ち込みが許されている以上、会社のコンピュータからのアクセス制限は、もはや意味のないものだ」、という意見が多数よせられました。そして、この 2~3年の動きを見ていると、なし崩し的に、世界の各地で、解放派が勝利を収めているように思えるのです。__AC Stamp 2

ーーーーー

<関連>

Facebook の有償プロモーション : アメリカ政府も御用達だ!
エンタープライズに必要なモバイル・セキュリティ : 6つの階層って知ってました?
Woz の言うクラウドへの懸念は、正しくもあり、間違いでもあり
手首にパスワード : ウェアラブル PassBan とは?
スマホ 利用にマッタをかける、米エンタープライズたち

アメリカの職場 : Facebook 禁止は 20% に過ぎない!

Posted in .Selected, Facebook, Research, Security, Social, Twitter by Agile Cat on October 4, 2013

20% of Americans Can’t Access Facebook at Work
http://wp.me/pwo1E-6JP
BY
TAYLOR CASTI – Sep 24 2013
http://mashable.com/2013/09/24/1-in-5-americans-cant-access-facebook-at-work/

_ Mashable

American employers who block websites in an attempt to boost productivity at work are most likely to start with Facebook. One in five Americans can’t access the social media site while at work. Twitter is a close second, with 15.1% reportedly blocking the site.

アメリカの会社で、職場での生産性を高めるために、Web サイトへのアプセスがブロックされというケースにおいて、その筆頭は Facebook になるようだ。5人に1人のアメリカ人が、このソーシャル・メディアに、職場からアクセスできない。 それに僅差で続くのが Twitter であり、15.1% がブロックされている。

Using data from an extensive workplace survey conducted among 1,021 half-time and full-time employees in the U.S., this chart from Statista shows which websites and services are blocked at workplaces by employers.

アメリカにおける 1,021人の、フルタイムおよびパートタイムの従業員に対して実施された、広範囲におよぶ職場意識調査のデータを用いて、以下のチャートを Statista が作成している。 つまり、職場でブロックされている、Web サイトとサービスのトップ・リストである。

___space

___space

Surprised by any of these blocked sites? Want to gripe about your company’s policy? Let us know in the comments.

これらのブロックされたサイトの、どれに驚きを感じただろうか? あなたの会社の、ポリシーについて不平はあるだろうか? よかったら、コメント欄で教えてほしい。

Creative Commons, Phil Whitehouse

ーーーーー

research_55Agile_Cat の周辺にも、社内のインターネット・ポリシー作成で、頭を悩ませている人がたくさんいます。 すでに、テクノロジーでは縛ることもできず、何が OK で、何が NG というより、こう使うなら OK で、こんな使い方は NG という話だと思うのですが、それをポリシーとして文書化するのは不可能ということなのでしょう。 でも、よくよく考えてみると、業界の飲み会で、イタリアンやフレンチのレストランなら OK で、居酒屋は NG、ましてや、新橋のガード下など絶対に NG というのと、何が違うのかというと、何も違わないような気もしてきます。とは言え、そんなに単純な話ではないでしょうし、う~ん、やはりタイヘンです。 __AC Stamp 2

ーーーーー

<関連>

Facebook の有償プロモーション : アメリカ政府も御用達だ!
エンタープライズに必要なモバイル・セキュリティ : 6つの階層って知ってました?
Woz の言うクラウドへの懸念は、正しくもあり、間違いでもあり
手首にパスワード : ウェアラブル PassBan とは?
スマホ 利用にマッタをかける、米エンタープライズたち

手首にパスワード : ウェアラブル PassBan とは?

Posted in .Selected, Mobile, Security, Wearable by Agile Cat on March 18, 2013

A Password You Wear on Your Wrist
http://wp.me/pwo1E-5ML
Rachel Metz for
MIT Technology Review – Mar 01, 2013
http://mashable.com/2013/02/28/passban-wristban/

_ Mashable

A mobile security startup called PassBan thinks the best way to keep mobile devices secure is to allow people to choose from a bevy of different authentication options—including one that you wear on your wrist.

PassBan というモバイル・セキュリティのスタートアップが、何種類かの認証オプションを選択することで、モバイル・デバイスを安全に保つという、最適な方式を実現している。 そして、そこには、あなたの手首に巻きつける、ウェアラブルなソリューションまで含まれているのだ。

“We didn’t want to be in the business of forcing one factor or another on the user,” says cofounder and CEO Kayvan Alikhani.

「 私たちは、ユーザーに対して、特定の要素や、他の要素を押し付けるというビジネスを望んでいない」と、Co-Founder and CEO である Kayvan Alikhani は言う。

Most of us have to remember countless passwords for different online services, and we are often asked to choose complicated strings of characters to make them harder to guess. A growing number of companies offer alternatives to conventional passwords, including various forms of biometrics.

大半の人々が、それぞれのオンライン・サービスのために、無数のパスワードを覚えていなければならない。 そして、その推測を難しくするために、複雑なキャラクター列を選ぶよう言われる。したがって、従来型のパスワードに代わるものを、各種のバイオメトリクスも含めて提供する、企業の数が増えている。

More than half of cell phone users in the U.S. also own smartphones, and many apps keep users perpetually logged in, thereby bypassing the usual security controls. People also use smartphones and tablets to store and access an increasing amount of personal data, making them ever-more valuable if they’re lost or stolen. And yet, while there are plenty of companies focusing on securing desktop and laptop computers, the market for mobile security is still in its infancy.

アメリカにおける携帯電話使用者の半分以上が、スマートフォンも所有している。そして、数多くのアプリケーションが、通常のセキュリティ・コントロールを回避して、ユーザーを永続的にログインさせるという手段を取っている。 さらに、人々は、大量の個人情報をストア/アクセスするために、スマートフォンとタブレットを使用し、その価値を永続的に高めていく。しかし、紛失や盗難に、どのように対処するのだろう。それにもかかわらず、たくさんの企業が、デスクトップ/ラップトップ・コンピューターのセキュリティにフォーカスしている。 そして、モバイル・セキュリティのマーケットは、依然として黎明期にある。

PassBan released a free Android app in February called Passboard that allows you to secure individual apps on a smartphone with any of more than a dozen verification techniques, including identifying your voice, face, location, or a specific gesture. Initially available in private beta, the company says, anyone will be able to use the app starting Friday.

この 2月に PassBan がリリースした、Passboard という、フリーの Android アプリは、 1ダース以上もの検証テクノロジーを用いて、スマートフォン上のアプリごとにセキュリティを高めるものであり、 音声/顔/場所/ジェスチャーといった識別の手法まで取り込んでいる。そして、この金曜日(3/1)から、初めてのプライベートのベータが開始され、このアプリを誰もが使えるようになると、同社は発言している。

And at a developer event at the company’s San Francisco office on Wednesday, the company showed off a wristband that can unlock a phone or tablet when the wearer makes a simple gesture in the air. It also showed off tools that will let third-party developers incorporate PassBan’s technology into their apps.

そして、同社の San Francisco オフィスで、水曜日(2/27)に開催されたデベロッパー・イベントでは、 着用者が空中でシンプルなジェスチャーをしたときに、フォンおよびタブレットのロックを解除するという、リスト・バンドも披露されている。 また、PassBan のテクノロジーとアプリに、サードパーティー・デベロッパーを取り込んでいくための、ツールもアナウンスされた。

___space

___space

The wristband will be available in a couple of weeks, Alikhani says, and the company hopes to sell it for less than $20. He expects such sensors to ultimately be embedded in watches or other things we carry with us.

このリスト・バンドだが、2週間後には $20 の価格で提供されると、Alikhani は発言している。 そして、彼は、こうしたセンサーは、私たちが常に着用している腕時計などに、最終的にはエンベッドされると予想している。

PassBoard works by intercepting the launch of any app that a user has secured it with. Once you’ve secured your Facebook app, for example, when you tap on it, a PassBoard popup commands you to verify your identity with whatever method you’ve chosen.

ユーザーにより PassBoard と組合されたアプリは、いかなるものであっても、その立ち上げをチェックされる。 たとえば、Facebook アプリとの組合せを選択し、それをタップすると、PassBoard のコマンドがポップアップし、認証のためのあらゆるメソッドを、指定できるようになる。

For those with a wristband, it can be set up to authenticate you with a shake or tap on the wristband, or with just your proximity to your smartphone. Whichever method you choose, it must be registered and transmitted via Bluetooth to your handset to unlock an app.

また、リスト・バンドを装着している場合には、対象となるスマートフォンの直ぐそばで、リストバンドを振ったりタップしたりすることで、認証のための設定を行える。 そこで選ばれた、いかなるメソッドであっても、Bluetooth によりハンドセットに送信され、アプリをアンロックするために登録される。

Alikhani says it is possible for someone who has the wristband and your smartphone to access data on the handset, assuming they know your signature gesture. But if you secure a phone with a wristband gesture and also require another factor—like choosing a sequence of colors—that could make it trickier to access.

ただし、このリスト・バンドを持っている他人が、あなたのジェスチャーを知っているなら、対象となるスマートフォンがらデータにアクセス出来てしまうと、Alikhani は発言している。とは言っても、リスト・バンドとジェスチャーでハンドセットをロックし、さらに、色の配列の選択などの要素を加えることで、そこからのアクセスを難しくできる。

Dan Wagner, a professor of computer science at UC Berkeley, doesn’t think PassBoard offers anything particularly unique or useful, saying that his research suggests that only a minority of users employ even a simple passcode to lock their phones. He expects this is because there isn’t much of a security risk for most people—someone who steals your phone probably just wants to wipe the data and resell it.

UC Berkeley コンピューター・サイエンスの Dan Wagner 教授は、とりわけユニークで有用なものを、PassBoard が提供するとは思っていない。 彼が研究してきた結果によると、ごく少数のユーザーだけが、自身のハンドセットをロックするが、そのときに用いるものは、きわめて単純なパスコードになると示唆している。なぜなら、セキュリティ・リスクを伴うようなケースは、大半の人々にとって無縁のものであり、また、仮に盗まれたとしても、データを消去するだけで、そのハンドセットは売りに出されてしまうからだと言う。

He is intrigued by the idea of wearable authentication, however, though PassBan will have to convince users it’s worth spending the money to get it.

そして、彼は、ウェアラブルな認証というアイデアには興味を持っているが、対価を支払う価値についてユーザーを、PassBan が説得していく必要があると言う。

PassBan isn’t the only company that thinks wearable authentication may be the next big thing in security. Google is apparently exploring the idea of using items a user is likely to have on them anyway—such as jewelry—to log in to a computer.

ウェアラブルな認証は、セキュリティにおける次の大きなテーマであり、また、PassBan だけが、それに取り組む唯一の会社というわけではない。たとえば Google は、ユーザーが常に身につける、宝石のようなアイテムを、コンピューターへのログインに用いるというアイデアを、追求しているように見える。

Homepage image Mashable composite, courtesy of PassBanAndroid and YouTube, PassBan Train

This article originally published at MIT Technology Review here

ーーーーー

imageウェアラブルというと、すぐに Google Glass を思い浮かべてしまう Agile_Cat ですが、このような使い方も、つまり、認証のための情報を、デバイスに流しこむという用途もあるのですね。 いろいろなデータにアクセスできるだけに、それを持ち歩くのが(主に酔ったとき)、少し怖くなってきていますが、この種のウェアラブル認証があると、かなり安心できそうですね。image

ーーーーー

<関連>

Google Glass は、骨振動スピーカーで音声も届ける!
Google の Smart Watch 構想 : スマホ は もう古いって?
Apple に負けるな : Google Store が準備されている?
Docomo と SingTel が手を組む、Firefox OS と HTML5 の戦略とは?
Galaxy S4 は iPhone 5S に敵わない : Apple 投資家筋は語る

Facebook の偽アカウント対策は、どうなっているのか?

Posted in Facebook, Security, Social by Agile Cat on January 19, 2013

How Facebook Is Hunting Down And Deleting Fake Accounts
http://wp.me/pwo1E-5wk
Jim Edwards | Dec. 29, 2012
http://www.businessinsider.com/facebook-fake-likes-and-accounts-2012-12

_ Business Insider

Earlier this year, in its Q2 2012 earnings report, Facebook disclosed that 4.8 percent of its accounts were either "duplicate" accounts (meaning that one person was operating more than one profile) or being used for nefarious purposes that violate Facebook’s rules.

今年(2012)の Q2 収支報告において、 Facebook はフェイク・アカウントについて、全体の 4.8% に達していると公表した。そして、その内訳は、「複写」されたアカウントもしくは、Facebook のルールに反するアカウントであると説明している。

Michael Seto / BI

In Q3, however, Facebook didn’t give an update on its efforts to drive down the rate of fake accounts — and the fake "Likes" that they seem to generate.

しかし、Q3 の Facebook は、このフェイクの比率を引き下げるための、また、そこから生じる Like を消していくための、アップデートを行わなかった。

Facebook’s war against fakes is a work in progress, it seems. The company is due to report new numbers after Dec. 31.

このフェイクに関する Facebook の戦いは、いま進行している作業だ思える。 そして同社は、12月31日以降に、新しい数値についてレポートすることになっている。

The fake like/fake account issue has been a years long headache at Facebook. Even though the actual rate of questionable activity on Facebook is a small percentage of its entire traffic, it harms the social network’s reputation.

フェイク・アカウントおよび、そこからの Like の問題は、数年にわたる Facebook の頭痛のタネである。 Facebook 上の疑わしいアクティビティにおける、実質的な比率はトラフィック全体からすれば僅かであるが、このソーシャル・ネットワークの評判を傷つける。

Facebook has been sued over invalid clicks in the past. There are persistent reports of fake likes coming from the accounts of deceased friends. The system has had flaws in it in the past that have inflated the number of likes on a page. And in October, Facebook began a purge of fake accounts and the likes they generated.

これまでにおいて、Facebook には無効なクリックがあると、訴えられ続けてきた。 たとえば、死亡した友人のアカウントから、フェイクであるはずの Like が、しつこく送られているといった、レポートがある。 このシステムは、欠陥を引きずっており、それにより、ページ上に付けられる Like の数が膨らんでいた。 そして、2012年 10月に Facebook は、フェイクのアカウントと、そこから生じる Like を、追放し始めた

So we asked Facebook’s vp/global marketing solutions Carolyn Everson what Facebook is doing to kill fake accounts. It turns out that Facebook is hunting down accounts and users on an individual basis, rather than en masse via some sort of algorithm. And they’re targeting the obvious villains first.

そのため、私たちは、Facebook の VP/Gloabal Marketing Solutions である Carolyn Everson に、これらのフェイク・アカウントを削除するために、Facebook が行うことを質問した。Facebook は、ある種のアルゴリズムを用いて、それらの一団を捕らえるというより、それぞれのベースとなる、アカウントとユーザーを追い詰めて、捕まえようとしていることが分かる。そして、彼らは、明白な悪者を、最初のターゲットにしている。

imageHere’s what she told us.

BI: What is the situation with the fake users and duplicate accounts rate? I know you were working on that certainly in the first part of the year, but you didn’t update it in Q3. Is that under control now?

フェイク・ユーザーとアカウントの複写について、その比率は、どのような状態にあるのか?たしかに、今年(2012)は、最初のパートに取り組んでいたと認識しているが、Q3 にアップデートがなかった。 いま、そのコントロールは、上手く行っているのか?

CE: It is very much under control now. It’s something we monitor vigilantly. We have user operations teams based in India, in Dublin, in California and Austin that are constantly monitoring. We want to ensure that one of the core tenets of Facebook is that you have your unique identity on Facebook.

私たちは、それらを注意深くモニタリングしている。 India/Dublin/California/Austin にユーザー・オペレーション・チームを持ち、常にモニタリングしている。 Facebook の信条の 1つとして、Facebook 上の誰もが、自身のユニークな ID を持つことを、すべてのユーザーに対して保証したい。

BI: Where are these people coming from? I don’t understand what the point of it is.

それらの違法者は、どこからやって来るのか? その論点が、どこにあるのか、私には上手く理解できない。

CE: There were certain pockets of the world where this was more prevalent in some of the emerging markets, which by the way, is not dissimilar to what happened with search when search first launched. There were a lot of fake clicks happening. It is something the industry at large deals with. This isn’t a FB-specific issue. If anything, we have an advantage because we are a true identity platform so we can quickly figure out if anyone is their true self on Facebook.

この世界には、ある種の孤立地帯が存在していたが、それらは、新興成長市場において、起こりがちなものである。つまり、サーチが初めて立ち上げられたときに、そこで起こったことに、似ていないわけではない。 数多くの、フェイク・クリックがあった。 それは、この業界全体で、対処すべきものである。つまり、Facebook 固有の問題ではない。 どちらかと言うと、私たちは真の ID プラットフォームであるため、Facebook の人々が本物であるかないかを、素早く理解できるという、アドバンテージを持っている。

BI: Does that mean, though, that you will be deleting, for instance, the Facebook page that might apparently be run by my dog?

たとえば、私の犬が運営しているかもしれない Facebook ページを、削除してしまうという意味なのだろうか?

CE: We have not specifically gone to target people that have started pages for their dogs. What we are looking for is people who have widespread fake user ID accounts to make sure we take them out of the system. We call them bad actors and that’s how we identify them.

私たちは、自身の犬のためにページを始めた人々を、ターゲットに定めることはしない。 私たちが探している対象は、広範囲におよぶフェイク・ユーザー ID アカウントを持っている人々である。それならば、私たちのシステムから削除しても、問題は生じないはずだ。私たちは、彼らのことを Bad Actor と呼ぶ。 あとは、どのようにして、彼らを識別するかである。

SEE ALSO:  How Facebook Will Reach $12 Billion In Revenue, Broken Down By Product

ーーーーー

imageネットだからこそ匿名性が重要という考え方もあれば、ネットであっても現実の
社会との整合性が必要というポリシーもあります。 前者の代表例は Twitter であり、後者は Facebook なのかもしれません。 5W1H で考えるなら、どちらも What がターゲットなのでしょうが、Twitter は When Where で補足し、Facebook は Who Why で補足しているかもしれません。 How は、どうなんでしょうかね? :)  まだ、よく分かりませんね。 まぁ、いずれにしろ、Facebook では Who が重要なことは確かであり、この本文で言っている試みが必要なのだと思います。
image

ーーーーー

<関連>

Facebook 広告が、ソーシャルの壁をのりこえ、外の世界へ溢れでる?
Zuck の 姉の Randi も困惑する、Facebook のプライバシー
The Internet は怒っているが、あなたは Instagram を止めないだろう
Instagram が謝罪した : 利用規約を修正します
インターネットの怪物たちは、常識はずれのバトルを繰り広げる
みんなが ワクワク Facebook 2012 特集

 

エンタープライズに必要なモバイル・セキュリティ : 6つの階層って知ってました?

Posted in .Selected, BaaS, Mobile, Security, Strategy by Agile Cat on December 12, 2012

The 6 Layers of Mobile Enterprise Security
http://wp.me/pwo1E-5lA

Posted by
Stephen Feloney, Nov 07, 2012
http://thinkmobile.appcelerator.com/blog/bid/240287/The-6-Layers-of-Mobile-Enterprise-Security

_ Appcelerator

Enterprises are starting to take mobile security seriously. That’s a pretty obvious statement to make, but is it really true? I’m not saying that security isn’t a concern, but are enterprises really doing enough to truly secure their mobile applications and data?

各種のエンタープライズが、モバイルにおけるセキュリティというテーマについて、真剣に受けとめ始めている。 それは、明らかに実施すべき事柄であるが、実際にはどうなっているのだろう? なにも私は、セキュリティに関心がないと、言っているわけではない。しかし、それらのエンタープライズは、自身のモバイル環境におけるアプリケーションとデータのセキュリティを、充分に達成できるのだろうか?

Just recently, a report was published by researchers from Leibniz University of Hannover and Philipps University of Marburg, that showed how user credentials could be captured by ‘Man-in-the-Middle-Attacks‘ from mobile services run by American Express, Paypal, Twitter, Google, Microsoft, & WordPress due to their implementations of SSL & TLS. Also according to the Ponemon Institute, 6 out of every 10 cyber-security breaches occur as a result of a laptop or mobile device.

つい先日のことだが、Hannover の Leibniz University および、Marburg の Philipps University の研究者たちから、あるレポートが発行された。そして、American Express/Paypal/Twitter/Google/Microsoft/WordPress などの SSL & TLS 実装方式により、そこで動かすモバイル・デバイスからの Man-in-the-Middle-Attack により、ユーザーの資格証明が見えてしまうとしている。 さらに、Ponemon Institute は、サイバー・セキュリティー侵害における 10回に 6回が、ラップトップあるいはモバイル・デバイスから引き起こされるとしている。

So while enterprises speak loudly about security, it’s not clear that adequate steps are being taken to properly secure the mobile devices and applications. Security for mobile is not all together different from security in any other IT discipline – An holistic approach is the only way the issue can truly and effectively be handled. While many enterprises will tell you about the MAM or VPN products they are using, few of them actually have complete end-to-end coverage from a security perspective, whether it’s for a consumer app or an employee app.

したがって、エンタープライズがセキュリティの重要性について声を大にしても、モバイルにおけるデバイスとアプリケーションをセキュアにするための、適切なステップが取られているのか、その辺りは明確にならない。 モバイルのためのセキュリティは、他の IT 分野から集められてきたものとは、まったく異なる。 つまり、全体論的なアプローチだけが、この問題を本質的かつ効果的に処理していく、唯一の方式となる。 数多くのエンタープライズが、MAM あるいは VPN のプロダクトを使っていると言うだろう。しかし、そのアプリがコンシューマ用であってもエンタープライズ用であっても、セキュリティの視点から見ると、そのうちの僅かしか 、有効な End-to-End の範囲を持っていないのが実情である。

Data in transit between the mobile device and the backend as well as the secure distribution of the apps are really only two pieces of the of an overall mobile security solution that enterprises need to be concerned with. In all, there are 6 different layers of security that need to be addressed:

モバイル・デバイスとバックエンドの間で転送中のデータに加えて、アプリケーションのセキュアな配信という、2つの要素だけが、エンタープライズにとって必要になる、全体的なモバイル・セキュリティのソリューションとなる。 そして、全体的な視点から取り組むべき、6種類のセキュリティ層が存在する:

  • Authentication & Authorization
  • Data at Rest (on device): Data stored on the mobile device
  • Data in Transit: Data being transferred to or from the mobile device
  • Data at Rest (in the cloud/data center): Data stored in the cloud/data center
  • Application Code Security: Obfuscating and signing application code
  • Application Distribution: How to properly distribute the application to users

___space

  • Authentication & Authorization
  • Data at Rest : デバイス上にストアされたデータ
  • Data in Transit : モバイルデ・バイスとの間で、転送途中のデータ
  • Data at Rest : クラウドもしくはデータセンターにストアされたデータ
  • Application Code Security: 判読不能なかたちで書き込まれたアプリケーション・コード
  • Application Distribution: アプリケーションをユーザーに対して、適切に配信するための仕組み

In some cases the problem stems from the fact that the mobile applications are invariably delivered by the different Lines of Business (LOB), with little to any centralized oversight or governance regarding security. The enterprise may have security mandates in place, but because the apps are developed and deployed outside the purview of IT, governance and enforcement is sporadic at best. In other cases, IT doesn’t have the information required to identify an adequate risk profile, so a heavy-handed approach is taken, which unfortunately impacts the usability of the app, leading to its failure.

いくつかのケースにおいて、各種の Lines of Business (LOB) から常に供給されるモバイル・アプリケーションという現実から、ここでの問題点が生じてくる。ただし、それらの LOB は、セキュリティに関する監視あるいは統治を、いくつかの点でセンタライズしていくものとなる。 そこでは、エンタープライズにセキュリティの代表権があるように思われるが、アプリケーションの開発とディプロイが IT 部門の外側で行われるため、その統治と強制力は、上手くいっても散発的なものとなる。 別のケースでは、適切なリスク・プロファイルの識別に必要な情報を、IT 部門が持たないことも考えられる。 したがって、残念なことに、アプリの有用性に悪影響をおよぼし劣化へと導く、不適切なアプローチが取られてしまう。

There’s a similar analogy to the early days of the web over 15 years ago in response to the inconsistencies of application delivery across different LOBs. To address this, organizations began to establish a centralized group to define guidelines around core functions and disciplines such as backend access, security, and testing.

それぞれの LOB をまたいだアプリケーション配信の矛盾への対応として、15年以上も昔の Web の黎明期に、似たような話がある。 それに取り組んでいた個々の組織は、バックエンドにおけるアクセス/セキュリティ/テストといった、コアとなる機能と規律に関するガイドラインを定義するための、センタライズされたグループを設立し始めた。

To address today’s mobile app issues, including security challenges, some of the more progressive enterprises are starting to establish a Mobile Center of Excellence (MCoE). This group is chartered with many roles, one of which is defining the security policies for the mobile apps and devices as well as its enforcement. The MCoE focuses on all the layers of mobile security, as well as industry-specific regulation and market trends, and serves as the corporate voice to all the LOBs.

そして、いま、セキュリティを含むモバイルの問題に取り組むために、いくつかの進歩的なエンタープライズが、Mobile Center of Excellence(MCoE)を設立し始めている。 そのグループは、数々の役割を与えられるが、その 1つには、モバイル・アプリとモバイル・デバイスのためのセキュリティ・ポリシー定義があり、その実施も含まれる。MCoE は、モバイル・セキュリティにおける全レイヤにフォーカスする。そして、さらに、業界における規定やマーケットの傾向も注視し、企業の声を LOB へ伝えるための役割も担う。

To learn more about these 6 layers of mobile security as well as why native apps are inherently more secure than HTML5 apps, click here to read the whitepaper. 

これらの、モバイル・セキュリティのための 6つのレイヤおよび、ネイティブ・アプリが HTML5 アプリより本質的にセキュアな理由については、この Whitepaper を参照されたい

 

 

ーーーーー

imageimageAppcelerator のポジションは Mobile SDK となり、代表的なプロダクトとしては Titanium SDK/Studio が有名です。 また、いつもの Kinvey:Subway Map で調べると、CoCoafish を買収することで、その勢力を BaaS にも広げている様子がわかります。その他にも、PayPal や OpenShift とも関係を持ち、また、Parse ともつながっているようです。 image

ーーーーー

<関連>

BaaS で自由になる? それとも便利になる? そして DoCoMo の i-Concier は?
AWS イベントでの Parse が スゴそう – BaaS の勢いが加速する?
Ray Ozzie の Talko も、$4M の資金で BaaS に参戦!
Facebook の Open Graph を使うなら、Kinvey の BaaS が良さそうだ
Bloomberg 金融アップストアがオープン : Apple みたいに 30% をイタダキ!

 

%d bloggers like this: