Program Pythonで「パスキー」認証の実装。ID・パスワードとの比較
最近「パスキー」という言葉をよく耳にしませんか?これは、従来のパスワードに代わる、より安全で簡単な新しい認証技術です。パスワード認証には、漏洩、使い回しによる不正アクセス、フィッシング詐欺など、多くの問題点がありました。パスキーは、これらの...
Security
Program 
Security 多要素認証(MFA)ガイド:セキュリティを高めるMFAの種類と設定方法
突然ですが、Webサイトやサービスにログインする時、「パスワード」だけを使っていませんか?もしそうなら、今すぐこの記事を読んでください。パスワードだけのセキュリティは、もはや「鍵のかかっていない玄関」と同じくらい危険な状態です。近年、不正ア...
Security クリックジャッキング解説:Webの「見えない脅威」
「無料クーポンかと思ったら、意図せずSNSをフォローしていた」「面白い記事を読もうとしただけなのに、気づいたら商品を購入していた」――そんな不思議な経験はありませんか?その裏には、あなたのクリックを乗っ取り、意図しない操作をさせるクリックジ...
Security Pythonで学ぶOIDC入門:サンプルコードで理解する認証フロー
今回は、モダンなWebアプリケーションの認証で広く使われているOpenID Connect (OIDC)について、Python (Flask) で実装されたシンプルなサンプルコードを動かしながら、その仕組みを解説していきます。「OAuth ...
Security Pythonで学ぶ:mTLS(相互TLS)の仕組みと実装
このドキュメントでは、ローカルのPC上でPythonのWebフレームワークであるFlaskと、各種クライアントツールを使用して、mTLS(相互TLS認証)の仕組みを実験する手順を解説します。この記事の内容PythonとFlaskを使ったmT...
Security Python Flaskで実装するAPI経由のサーバー間ファイルアップロード(サンプルコード有り)
サーバー間でファイルを連携・転送する方法として、SFTPやFTPSは長年のデファクトスタンダードです。これらは非常に堅牢で信頼性の高いプロコルですが、時には「このためだけにSFTPサーバーを立てたり、ファイアウォールのポートを新しく開けたり...
Security JWTの仕組み:ステートレスな多要素認証ログイン方法の実装
IDとパスワードのみに依存した認証システムは、情報漏洩や不正アクセスのリスクを常に抱えています。この問題を解決する強力な手法が「多要素認証(MFA)」です。本記事では、サーバーに状態を持たないステートレスなMFAフローを支える認証トークンと...
Security サーバー間API認証 :APIキー、JWT、OAuth 2.0をサンプルコードで比較してみた
マイクロサービスアーキテクチャや外部サービス連携が当たり前になった昨今、「サーバー間(M2M: Machine-to-Machine)のAPIリクエストをいかに安全に認証するか」は、すべての開発者にとって避けては通れない課題です。「とりあえ...
Security クライアント証明書の仕組み:Webのメニューを制御してみよう
はじめにこのドキュメントでは、特定の物理的な場所(例:本社ビル5階の機密エリア)のPCにのみクライアント証明書を配布し、そのPCからアクセスしたユーザーにだけWebアプリケーション上で特別なメニューを表示する方法を解説します。他のフロアのP...
Security 脆弱性データベースの解説:リスク管理と活用法
近年、企業や組織を狙ったサイバー攻撃は巧妙化の一途を辿っており、その被害は甚大です。2020年のSolarWinds事件や2021年のLog4j脆弱性事件は、サプライチェーン攻撃やゼロデイ攻撃(未知の脆弱性を悪用した攻撃)の深刻さを改めて浮...