#identity

いまの攻撃者は、パスワードだけでなくsession token（ログイン後の「入場券」）まで狙ってくる MFA（多要素認証）を通っても、攻撃者がその認証を横取りする手口が増えている Zero Trustでも、実際には「ID確認だけ」に寄りがちで、device securityが後回しになっている デバイスの状態（暗号化、patch適用、endpoint protectionの有無など）を継続的に確認するのが重要 「誰か」だけでなく「どの端末か」まで見ないと、アクセス制御はかなり弱くなる BleepingComputerの記事は、「Identity（本人確認）だけではもう不十分。device security（端末の安全性）も一緒に見ないと危ない」という主張です。 これ、かなり筋が通っていると思います。昔は「正しいユーザー名とパスワードを入れたら、それでOK」という世界でも何とかなりました。でも今は違います。攻撃者はかなり賢くて、盗んだ認証情報や乗っ取ったセッションを使って、見た目は普通のログインに見せかけて侵入してきます。