00:00
こんばんは、Replay.fm 第20回です。
こんばんは。
あれなんだっけ、20回の企画?
忙しいので、30回に持ち越しです。
30回が来る頃までには、もうちょっと色々やわらいでると嬉しいんだけど。
いや、待って、だって30回っていつ?
10週間後なんで、2ヶ月半。
4月の8日らしい順調に行くと。
ちょっと、まあでも新学期のあれで忙しいかもしれないですね、もしかしたら。
俺はまあ関係ないけどな。
もしかしたら、やわらいでるかもしれないね、私は。
なんか、企画考えるか、いや真面目に30回までに。
でも、なんか、生きるのに必死で全然頭が回ってないわ。
まあ、なんかでも、だらっと長く続けて気づいたら100回行ってました、みたいなのも全然いいと思うけどね。
なんかゲスト呼ぶ回とかはそろそろ1回やってもいいんじゃないかなと思ってる。
なんか、そのフォーマットがさ、ちゃんと定まってきたから。
確かにね、まあなんか、喋りたい人は無限にはいるから、
どういう理由づけをして呼び出すかやな。
まあ、こないだ言った、点5の回を設けて。
ああ、確かにね。
記事紹介じゃない話をワーッとする回とかでもいいかもしれないし。
確かに確かに。
いやー、なんかな、あとは手動かしたいな。
そうね。
その、掘り下げてそれだけ話す。
まあでもそうね、いろいろちょっと考えましょうか。
30回目の宿題として。
ああ、やばい、まだ届いてない。
パスキーのすべて。
パスキーのすべて届きましたよ。
私、もう2章まで読みました。
早いな。
結構なんかね、ちょっとだけ前提知識があったからかわからんけど、
ワーッて流し読みで進められる。
文字もそんな小さくないから、かなりサクサク読めるので。
おすすめです。
わかんないけど、今2章まで読んだ感じ、いい塩梅。
個人的にクレデンシャルIDが結局何なのかよくわからんなみたいなことを、
Web Authenticationの仕様、
W3Cの韓国読んでたときとかによくわからんなみたいなことを思ってたんだけど、
その辺がコラムで紹介されてて、
ああ、なるほどねみたいなのが理解できたりとか、
なんか必要なことを必要なだけ書いてくれてるっていう感じが、
今のところすごく感じるので。
なるほど。
とてもおすすめでございます。
03:01
読みます。
読んでみたを、
来週ぐらいかな。
私はいつも通り静かなインターネットに、
パスキーの全てを読んだって記事をたぶんそのうち投げると思うので。
なるほど、皆さんウォッチお願いします。
大したこと書かない、読んでくださいっていう話しかならないんだけど。
静かなインターネットってRSSあるの?
ある。
あるんだ。
いやー、全然書いてないな。
まあいいや。
まあでも技術系の記事書くんだったら全然いいと思うし、
書式向いてないよ。
使えるマークダウンの書式がめちゃくちゃ少ないので、静かなインターネット。
それがいいところでもあり、
何でもかんでも静かなインターネットで書きたいっていう人にとっては、
かゆいところに手が届かないような感覚を覚えるところでもある。
まあなんかコンセプト的にもあれだもんね。
つらつらと誰も見なくていいものを書き残すって感じだから。
このポッドキャストと一緒。
本当だね、確かに。
俺ら静かなインターネットだったのか、
静かなインターネットの住人でしたね。
俺が静かなインターネットだ。
一番しっくりきたかも今までのなんか自己認識として。
俺ら静かなインターネットだわ。
じゃあもうあんま宣伝せずに知る人ぞ知る場所として。
ポッドキャストも静かなインターネットに書いとこう、名前。
それは色々問題あるんじゃないかな、思えるで。
静かなポッドキャストにするか。
静かなポッドキャストにする。
まあいいけど。
ひっそり、まあいいや。
読みましょう、読みましょう。
無限に話してしまう。
はい、じゃあ1個目いきますか。
僕読もうかな。
Android Enhance is Safe Protection with Identity Check and Expanded Featuresっていう
Googleのセキュリティブログなのかな。
Googleブログありすぎてちょっと。
Googleセキュリティブログ。
ありがとうございます。
内容としてはAndroidに
アイデンティティチェックって呼ばれる機能を実装したよって話して
これ何かっていうとタイトルにある通り
盗難防止の機能ですと。
盗難防止の機能は
僕らの認識が間違ってなければ以前からあったんですけど。
そうなんだ。
ありました。
あったんですけど
多分それを拡張するものなのか
新しくアイデンティティチェックっていう機能が入ったのか
ちょっとその辺は理解が終わらないんですけど
今までできてなかったところができるようになったっていう
解釈で言ったらいいかなと思ってて。
具体的にはざっくり言うと
AIによる判定とか
位置情報の判定によって
盗難を検知して保護する仕組みですよっていうところです。
06:00
これがまだAndroidの全OSというか
全デバイスで展開されたわけじゃなくて
PixelとSamsung Galaxyだけなんですけど
順次全端末に
展開されますよってことが書いてあるんですけど
僕はたまたまPixelを使ってるんで
手元にちょっとオンにしてみてよっていうところも
メモ書きに書いていて
この機能自体は
盗難保護みたいな機能
機能名が画面上では書いてあるんですけど
オプトインで有効にできるって感じで
今は多分デフォルトでオンになってるわけじゃなさそうで
動かしてみたら
まずは一つはデバイスの持ち出しを
検知すると画面ロックする機能みたいなのがあって
この持ち出しの判定がおそらく
AIの判定とか場所判定なのかなと思って
さすがに検証できないんで検証してないんですけど
その記事を読んでる感じは
例えばひったくりにバッて
手でいじったスマホを取られて
バーって走って
画面開けて悪さみたいなことをしようとしたときに
もうすでに画面ロックがかかってますみたいな感じっぽいんで
もしかしたら加速度センサーを
位置とか場所の位置とか
いろんなものを総合して判定してんのかもっていう感じ
これはね何か
試してみたいんですけど
ひったくりしてくれる役の人が必要なんで
まあちょっとまだ
やるか今度
ちょっとやってみようか今度
デモンストレーションちょっとしてみたいなっていう
20回記念ひったくりやってみた
YouTubeライブで流すか
これ私のPixel
どこにあんの
これね分かりづらくてね
システムアップデートのインストールを試しにしてしまっていて
めちゃくちゃ時間かかるわ後で探しに
めちゃくちゃ分かりづらいんだ
設定アプリの
なんかPixelの場合はなんですけど
いろんな設定がバーってあるんですけど
一番上にそのGoogleのアカウント
Googleのサービスの設定みたいなのが
自分のGoogleのアカウントのところを押すと見れて
そのGoogleのサービスの中の一つとして
トーナー保護っていうのが入ってるって感じですね
僕は最初見つけられなくて
この記事読み直して
探したんですけど
あとはデバイスがオフラインになった時に
すぐに画面ロックをするっていうのもあって
これはなるほどなと思ったんですけど
なるほどなと思ったけどどういうことなんだろう
でも盗んでなんか悪さしようと思ってオフラインで
リモートロックを防ぐためにオフラインにするみたいなことかな
もしかしたら
っていう時にすぐにロックするっていうのと
今言ったリモートロックみたいなのもあって
これ知らなかったんですけど
Android.comスラッシュロックっていうURLに行って
09:02
その端末の電話番号を入力すると
その端末がオンラインでネットにつながってる場合は
リモートでロックができるっていう機能があって
なのでこれも一緒に
多分オフラインのロックとセットで有効にすると
基本的にはロックがかけられる状態になるのかな
っていう感じですね
面白いねAndroid
なんかこの辺はiOSより強いのかな
なんかiOSもひったくりなんか見たような気がせんでもないけど
でもそうね結構手厚いというか
あともう一個は
最後はあれかなデバイスを探すみたいな
iPhoneも設計がありますけど
これはあるね
あれ経由でデータを全部消すっていうのができるらしい
これは怖くてさすがに検証できないなと思ってます
Android.comロックは便利だね
iCloudの場合は探すに入らないととにかく何もできないイメージがあって
確かにね
そう
確かにね
iCloudへのログインができないと割とカジュアルに済むんだよね
だからなんかPC持ってなくてスマホしか持ってないみたいな人が
パスワーマネージャーにiCloudのIDパスも入ってますってなってると積みそうだね
もしかしたら
そう
確かに
その辺の話はちょっと来週興味深い記事を紹介したいと思います
それ多分同じ記事思い浮かべてる
Jackさんの記事が非常に良かったので
これそれでいうと今ふと思ったけど
俺の電話番号を知ってる人は俺の端末をロックできるのかもしかして
やってみようか
ちょっとやってみて
画面をロックするだけだからね
多分ね
別に俺が手元でやればいいのか
でもIPアドレスとかで判定されちゃいそうだから
ロックするリクエストが送信されました
1分で
ロックされ
ちょっと待って
今のがタイムアウトでロックされたのかな
判別がつかないから
こうやって今画面をいじいじしながらロックしてみます
やばい 読み上げそうになった
まあいいんですけど
どうせこうもう
闇市場に
ロックされた
ロックされましたね
でなんか通知きてるわ
デバイスはリモートでロックしましたみたいな
これ何 手元で解除はできるの
もちろん
端末
あくまで画面ロックだから
画面ロックを指紋認証とかじゃなくて
番号でやってて
その番号が割れてるとかだと
まああんま意味ないって感じかな
なるほどね
あくまでロックであって
ワイプとかではなくて
それで言うと iCloudの探すは
多分だけどニオス認証ないんだよね
今試したんだけど
なかったよなと思って試したらやっぱなくて
12:01
だから
IDとパスワードさえ分かれば
誰かのデバイスさえ借りられれば
なんとかなるっていう形には一応なっている
なるほどね
やべ
その辺はなんか考え方がなんか
ちょっと見えてて面白いね
なるほど
今ちょっとやべって言ったのは
リモートで画面をロックできる回数は
1日に2回までらしい
あそうなんだ
3回目は俺だわ
なんか
3回目は俺だわ
3回目は俺だわ
だからいたずら
計らずもそのいたずらでさ
ずっとこう
こう食い続けるみたいな
できないっていうのが分かったね
できるとしても1日に2回までしか嫌がらせができない
分かんないけど
盗む前に2回ロックして盗んだら
突破できるかもしれない
それでもその
この持ち出し検知に引っかかれば
まあまあロックされる感じ
いや面白いな
なんか
ちょっとメモのとこにも書いたんだけど
その認証器としての重要性がめちゃくちゃ高まったと思っていて
最終的に何かどこをケアしなきゃいけないかっていうと
端末盗まれたときどうなるんですかっていう
だいたい生体認証通せないよねとか
なんかパスコードはまあ分かんないよねみたいな
そのところで思考を止めてしまうんだけれども
でも実際じゃあ本気で
その人の端末をどうしようと思ったときに
どうするんだっけ何ができるんだっけ
自衛手段が何があるんだっけみたいなところとかって
正直あんま考えたことがなくて
これ自体なんかめちゃくちゃ興味深いですね
今のこのやり取りが結構興味深いやり取りだった
面白いね確かに
いやそうなんですよなかなかね
結構確かにねパスキーもあり
マネージャーもあり
最初ボイラインなもんね完全に
そうなんだよ
でもなんか今いろいろいじって思ったけど
結構いい塩梅の東南方式のな気がするな
今のところは
割と本当に相当本気で狙わないと
画面ロックが解除された状態で端末盗むっていうのは
できない状態になってる気がするね
まあね
あとは結構
なんて言ったらいいんだろうな
パスキーのすべてでも触れられてるんだけど
例えば直近ちょこちょこ出てるようは
クッキーの中身を取りに行くような攻撃とかに対しては
ログイン時にパスキー通してるから大丈夫だよねって話にはならないし
この端末が盗まれますみたいな
端末盗まれたらどうするのみたいな話とかもやっぱり
ログイン時にパスキー通してるから大丈夫ですっていう話には
安直に言うと多分安直にそういう考えをしてると
下手すると罠にかかりかねない可能性があると思っていて
15:04
あくまで何かしらの手続きをさせるときに
パスキーを通してるか通してないか
どれだけフレッシュな
なんて言ったらいいんだろうな
認証パスキーで保護されたセッションを持ってるかみたいなのを
重視しないといけないはずで
意外とどこで何を要求するかみたいなのが
それなりに難しい世界なのかなとは最近思っていて
っていう中で
ここの最後の取り手の部分にいろいろ手を打ってくれるのは面白いし
ありがたいですね
確かに
これなんかデバイスごとに精度の差とか出んのかな
多分ハードウェア依存だよね ある程度は
まあその辺はちょっと各メーカーさんが頑張ってもらってるって感じなのかな
まあでもそんな今時めちゃくちゃなサブはないのかな
まあリファレンスキーがあってみんな大体そこを真似しにいくって考えると
まあまあまあなんかなんとなく似通った感じになってくるんじゃないかな
よっぽどのそのなんか廉価版の機種とかじゃなければ
確かに
そんな感じです
いやーいつもお世話になってますピクセルさん
お世話になってます
じゃあ次いきますか
はい
えーっと
トヨタモビリティ東京
トヨタモビリティ東京株式会社に対する行政処分について
財務省関東財務局の行政処分のお知らせですね
えーっと
これちょっとニュースとして何をやらかしちゃったのか
ちゃんと追っかけてなかったんだけど処分の理由のところを見ると書いてあって
えーっと
なんて言ったらいいんだろうな
トヨタ自動車株式会社の直営の自動車ディーラーであるこのトヨタモビリティ東京が
えーっと
本業のほかに要は車のディーラーとしての本業のほかに保険代理店として動いている
要はその車のディーラーに行くとその保険も
営業の人がだいたい保険も取り扱っててお勧めされたりするんだけど
まあ兼業してるよっていう
で本業において
えーっと
なんか保険金の課題請求をしてたみたいな話とかがあったりとか
したようという感じ
らしい
不正車検の多数発覚
不正車検もかあったねこれもね確かにね
でこの辺の話を受けてえーっと
まあその辺の話はあれか前段の話だったね
でえーっと
18:00
直近保険業法上の規定に基づく立入検査を実施したら
えーっと
なんて言ったらいいんだろう
なんか
まあまだまだ掘ったらいろいろ出てきてるって話なのかな
そうだね結構前に
お叱り受けてるってやってますって言ってたのにやってなかったみたいな認識をしてる
去年の8月か8月に
まあ内部管理マニュアル作ってきちんと内部統制
を取り組んできたって言ってるけど立入検査したら
またありましたよっていう
うんうんうん
こういう感じか
でかつ修理に使用していない部品代金を保険金として課題に請求するっていう
まあやっぱ課題請求もやってたよと
うんうん
うんやってたよっていうかまあやってる可能性が高いねっていう
うんうんうん
うん見え方をする
なんか事案がいっぱいあったよって
うんうんうん
結構なんか厳しいかきっぷりで
そうだね
そうなんか保険事業に関しては本業ではないっていう意識が根底にあって
その保険業法に精通した十分なリソースを確保してないとか人材育成を行っていないとか
3ラインオブディフェンスによる取り組みそれぞれの取り組みが形外化しているとか
なんか内部統制上問題があるよっていう話とか
あとは経営審議部担当部署は個人情報の保護に関する法律についてのガイドライン等の存在すら認知していないためみたいなところとか
厳しいよね
あとなんだっけ
結構そう結構詳しく調査してるんだなって思ったけど
個人データの技術的に安全に管理するところで
個人データの利用者の識別及び認証アクセス制御制限
管理及び外部からの不正アクセスを防止する措置等を講じなければならないとされてるけど
オンラインストレージで保有してる個人データのアクセス権限やパスワード設定を各部署の判断に委ねており
その適切性について全く確認してないため
結果的に特定部署においてオンラインストレージで保有してる
2.3万件の個人データのアクセス権限を
これなんか漏えい
文言としては個人データの
漏えいだね
アクセス権限を与えている大規模な情報レージングが見られたみたいな
これね
まあちゃんと上から管理してなくて現場の裁量でやってたらダメでしたって話だよねざっくり言うと
まあちょっと実態がどんなもんだったのかは何とも言えないけれども
なんかある種の情報資産管理がちゃんとできてないよねって話なのかなと思っていて
そうだね
21:02
これちなみにどっから拾ってきたんですかこのニュース
Twitter?
Twitter
TwitterX
Xいいね
僕は全然キャッチできてなかったんで追加してくれたのを読んで
おお厳しいっていう気持ちで読んだんですけど
結構なんかその印象深いなと思ったのは
そのまあやっぱ会社の責任であり
まあすなわち経営の責任であるっていうところで
まあ一貫しているっていうところとその経営が
経営の責任だし握るべきなのに実態として
このガイドラインは把握してない
なんか本業でない意識もあるみたいな
で管理も行き届いてないから担当部署がこんなやっちゃってるみたいな結構
なんていうか
まあきちんとその批判対象は経営と会社であるっていうところは印象深くて
それこそIPAが出してるようなガイドラインとか
あと直近4なのは総務省か金融庁か忘れたんですけど
まあお国が出す割と固めの経営者向けサイバーセキュリティガイドラインみたいなやつとか
すごいすぐ一瞬で読めるやつとかあるんですけど
まあ一貫してサイバーセキュリティ対策っていうのは
経営の責任であるっていうのがどれも一貫して書いてあって
だからその現場任せとか担当者任せっていうのは
絶対にやっちゃいけないよってことが書いてあって
まあ個人的には言うはやすし実行は難しいっていうのは正直思いつつも
まあまあまあ一定そうだよねと思う部分があって
だからそれにそのスタンスがやっぱそのまま
この処分内容の文章に厳しさとして出てるなっていうのを思ったりはしましたね
何だろう国が出してるのはサイバーセキュリティ経営ガイドラインかな
そうですねそれこそ前のスクラップで書いたんですけど
ああそうっすねサイバーセキュリティ経営ガイドライン
これも結構経営者が認識すべき三原則みたいなことで
何だっけな何か人任せに
単なる指示じゃなくリーダーシップを発揮することとか
あとは何だろうな
その担当者任せに絶対すんなよみたいな文言とかがあってね
結構強めに書いてるなと思った記憶があるんですよね
面白いな俺もちゃんと読もうかな
すぐね30分ぐらいで読んだけど
意外と短いね
でも読んだ結果がここにスクラップでまとまってるから
これ読めばいい
それもそうかも
でもね本当文量はそんな変わんない本文と
大したことも書いてないし
解釈がどう変わるのかも含めて読んでみる
24:00
そうだねそれはいいかも
読んでみるか
メモには書いてないけど結構そうだね
現場の判断に委ねてそれをできてるって言うなよみたいな
多分そういう示唆を僕は感じた
経営者からCSOと責任者への丸投げは許されないみたいな
そうだねそういう判断が
丸投げってさ
これはこの次の次にまた面白い記事が控えてる
ちょっと温めておきましょう
温めておきましょう
これはね
本当は分かんないですけど
別に特定の誰かとか自社の話をしたいわけではないけど
経営者が読むべき記事でもあるだろうなっていうのは
フラットに思うかな
責任を取るのが経営なんじゃなくて
実行するのが経営なんだよっていうところは
多分ちゃんと意識した方がいい気がするね
どうなんだろう
責任を取るが何かって話とかあるかな
うーんと
まあいいや
次の次の記事との話の繋げ方が難しいなと思って
責任を取るもそうなんだけど
うーんってちょっと思った
意外とこのセキュリティと経営って相性悪いのかなってちょっと思った
今のこの一連の話で
流れでこれ行きますか
行っちゃいますよ
僕読んでないんでぜひ
僕もね
ちゃんと一回読み直していけばよかったな
大企業の幹部がやっていることについてっていう
くまぎさんが別のブログ記事を
かいつまんで紹介してくれてるっていう記事なんですが
大変興味深かった
個人的には結構いろんなことが
腹落ちしてちょっとスッキリした記事なんですが
えっと
なんて言ってるんだろう
四大企業の経営幹部が何をやってるのっていう
結構メンバーから見たときに確実した世界に生きてるんだなっていうのが
よく分かるような記事だったんですが
幹部の仕事とは文化と価値を定義して共生し
良い決定を承認することですっていう
一言言うとそれに詰まってる
ノーションAIのサマリーが思いっきり違うこと言ってて面白い
じゃあ無視してください
無視したほうがいい
なんて言ったらいいんだろうな
エクセクティブの仕事として意思決定が典型的な仕事と主張されることがあるけれども
実際に意思決定することはほとんどないし
意思決定をすることは幹部の仕事ではないっていうことを言っている
27:04
現実問題として幹部まで上がってくるようなものは
実際にはもう承認することが確定してるし
通らないようなものが上がってくるんだったらそれ以前の問題があるよねみたいなことが書かれていて
面白いなと思ったのが
何々さんならこういうんじゃないみたいな
仮想の何々さんがいろんなところにいる状態を作るっていうのが仕事の一つだよっていうことを言っていて
それが要は文化と価値を定義して共生するっていう仕事
みんなの中に仮想の何々さんがいることによって
あるいはそれがレポートラインを通じて下に下にっていうふうに伝播していくことによって
結果的に全員が自分と同じ自分に近い
自分が定義した文化と価値に沿った意思決定をしてそれが上がってくるみたいな
でそれを承認するのが幹部の仕事ですよっていう
なるほどね
ことを言っている
いい声です 確かにね
その表現は割としっくりくるかもな
ものすごく大雑把に言うとそういうことを書いていて
めちゃくちゃ結構腹落ちした
何が何がの部分を全く説明できない状態に話してる
大人が言う
そうそうそう話せないっていうその方が正確なんだけど
確かにね
でなった時にさっきのそのなんていうかこう
系が責任を持つっていうのが果たして何を意味するんだっけみたいなのは
これを読んだ後だと結構よくわかんなくなっちゃう部分があって
そのね
難しいな何だろうね
そうするとだからむしろボトムアップでそのなんていうか
セキュリティに関する意思決定が進んでいって
これはセキュリティまあうちの文化なり価値なりに沿ったセキュリティの
なんていうか考え方意思決定戦略だよねっていうものを承認するっていうのが
幹部の仕事なんじゃないのっていうふうに思ってしまう部分もあるし
じゃあそれを丸投げそれは丸投げではないのかどうなのかみたいなのはちょっと思っちゃうし
むしろ意思決定に幹部が入ってくるとなんかいろいろ崩れるよ壊れるよみたいなこともなんか書いてあるはずこの記事の中で
なんかわかんないけど
いやーわかんないねなんかすごい要素分解して整理したくなる気持ちに駆られる
30:06
そうそうそうそうだから幹部が意思決定しちゃうと幹部の顔色を伺うことが部下の最適戦略になってしまうっていう
なんかセキュリティの話で言うとそのなんだろうな
いやー難しいななんか意思決定にもなんか
あんま頭の中で固まってないまま話しちゃいますけど
そういう意思決定にもいろんな種類があると思っていてその中で
割と機械的に意思決定をしていいものと
その関係各所で議論を重ねなきゃいけないものがあるとした時に
後者は多分この記事のフレームに当てはまると思っていて
あーなるほどね
ただ前者はなんかその例えば特権くれってなんか業務委託の人から言われた時に
なんかうちの幹部だったらどうしよううちの文化的にどうだろうって考え
毎回考えるわけじゃないというか毎回考えるとめっちゃ大変じゃないですか
だしその状態がなんか多分正しくはなくて
その後時に社員目線だとあると嬉しいのはあると嬉しいというか
嬉しくない人もいいかもしれないけどあると嬉しいのは
この会社ではこういう理由に基づいてこういうセキュリティポリシーがあってこういうルールがあるから
それどおりにとりあえずやってください
例外があるんだったらじゃあ議論しましょうかみたいな状態になってると多分やりやすくて
じゃあそれを作るのが誰かっていうと
セキュリティチームなのかカバナンスチームなのかわかんないけど
社内の誰かが決めるはずで
それを決めてくれっていう言い出すべきなのが誰かっていうと
言い出しっぺが経営である必要はないけど
その最終的なやろうっていう意思決定は経営がやるべきなんじゃないかっていう気はする
だからなんか
さあどうなんでしょう
わかんないけどいやでもわかんないな
さっきのサイバーセキュリティ経営ガイドラインとか読んだりとか
あとはその自分の仕事をしてて
言い分がわかる一方でマジで厳しいなと思ってるのは
経営者になる資格とかないじゃないですか
どの組となったときに
じゃあ経営メンバー創業メンバー
どんな企業の規模感でもいいんですけど
経営メンバーの中で
じゃあサイバーセキュリティをちょっとでも理解してる人が
いなかったときにどうするのっていうのは結構思っていて
その責任持てよ管理しろよちゃんと認識しろよは
それはその通りだと思うけど
でも知らなかったらおしまいというか
だし重要性をボトムアップで教えてくれるメンバーが
33:01
長い間いなかったりしたら
きつくないというか無理じゃないっていうのも結構思っていて
だからこそサイバーセキュリティ経営ガイドラインは
そういう言い方をしてるんだろうねきっと
そういう環境を踏まえて
あなたが認識してあなたがやらないといけないんですよっていう言い方を
確かにね
あえてしてるんだろうね
そうかもね
確かに確かに
もしかしたらね
そうね
でもなんかみんな漠然と不安に思ってるみたいなのはあると思っていて
っていう状況の中で
これは大企業の話
っていう正しがきはちゃんとあって
この話は現場の方が問題の詳細に詳しいっていう
大企業に限られた話であるし
定義される価値観というのは自明なものであってはならないのかな
みたいな話とかが書かれてるんですが
だからあらゆる企業でそうとは限らないんだけれども
でも幹部の仕事が
よりなんていうか
幹部の方が会社としての価値観っていうところにすごく近い存在
会社そのものの価値観
っていうものを体現する存在であるとしたときに
幹部自身が意思決定をするのではなく
それに沿った意思決定を承認するっていうところに
ロールがあるんだよっていう風に考えると
個人的には結構腹落ちするというか
だからこそ難しいな
経営と現場レベルでのセキュリティっていうのを
つなぐ人間が必要なんだろうなと思うし
要は経営のレイヤーに持っていける
幹部のレイヤーに持っていける
セキュリティの話を持っていける人間っていうのが
必要っていうのはつまりそういうことなんだろうなと思うし
個人的にはそっちの考え方の方が
割と腹落ちするというか
経営が全部やんなきゃいけない
経営ができるだけ把握して指示を出さなきゃいけないっていう考え方
よりはどっちかというと
幹部を支えられるセキュリティを分かっている人間が
なぜ必要なのかっていうところの答えがそこにあるんじゃないかなって思った
なるほどね
いやー面白い
一回大企業で働いてみたいな
戻ってきますか
僕なんかじゃもうダメですよ
今さら何もできないです
今いる会社が大企業になればいいんですよ
そうだね それできたら一番面白いよね
そのちっちゃい頃から
壊さないけど壊れ得るとか
絶対ブレークポイントがあるよね
36:00
これもたしかXで誰かが
リポストしたのが回ってきたんだけど
上場前後で見られる変化っていうのはこういうことなのかもね
みたいなことを誰かが言っていて
あーなるほどね
私はまさにメルカリという会社で
上場直前に入って
そこから上場直前の
よくわかんないけどこれやってよみたいな話が
降ってきて不愉快な気持ちになりながら
こうした仕事もあったりしたんだけど当時は
そういう中での
そこから上場して
会社自体が
いろんな変化をしていくっていうのを
2〜3年近くに渡って体験してきていて
めちゃくちゃいろんなことが腹落ちした
なるほどね
そこ繋がるのはめちゃくちゃ
資産だね
これちゃんと読もうか
読めてはないんで
組織作りむずいよな
でもこの考え方自体は割と
言い悪いっていう話ではないのかな
とは思っていて
そういう
ある種のフレームワークなんだろうなと思っていて
そのある種のフレームワークの中で
セキュリティっていう文脈において自分の動きを最適化する
ためにはどういう
何が必要なのかなみたいな考える上では
この考え方は結構頭の中に入ってないと間違える
なるほど
立ち回りを間違える
それは今のメルカリの中でもそうだったろうなと思うし
そうなんだろうなと思うし今後もそうだろうなと思うし
あれは私間違えてたなって思う部分も
思い返してみればある
なるほどね
意思決定をしてもらうっていうよりは
難しいな
っていう気持ちを持った上で
それをどう認めさせるかっていう動きをしないといけなくて
だからこれとこれどっちがいいですかって
決めてもらおうとしても
動きとしてはちょっとミスってて
これもこれもあるけど
これが絶対いいと思いますなぜならこういうことです
うんわかったって言わせないといけない
確かにね
なんか大企業に勤めたことがあるとは言えないけど
僕も思い当たる節は思い返すとある気はしますね
その分見ると
多分どこの会社も一定あると思っていて
別に大企業じゃなくても
こういうフレームワークで回っている会社っていうのは
絶対あると思うし
3人5人とかそういう規模でやってますみたいな会社では
39:02
多分ないと思うけれども
一定会社ですって
別に会社の定義はそんなもんではないんだけど
会社ですって言えるぐらいそこそこ人数のいる会社だったら
多分このフレームワークで回っているっていうのは
全然あり得ると思うし
全部がそうじゃなくて部分的にそうっていうのは普通にあると思うし
確かに確かに
これなんかすごいバズってたっていうか話題になってたよね
すごいぶくます
久々に見たのこんな
みんな共感なしですか
みんな大企業の幹部がやっていることに興味があるんですね
ありがとうございます
面白かったですね
ちょっとこれは僕は結構なんか面白かった
確かにこの視点を持って
さっきの行政処分とかの話を考えると確かに難しいな
見方があれでしょ
ありがとうございます
次は
これ読もうかな
これなんかサクッとでいいんですけど
トランプターミネーツDHSアドバイザリーコミュニティメンバーシップ
ディストラクティングサイバーセキュリティレビュー
っていう儚い記事ですね
内容としては
トランプ政権に変わりましたね
変わったんですけど
DHSっていう国団情報省の委員会の
メンバーシップを解消して
サイバーセキュリティのレビューを妨げているというような記事ですね
政権が変わって
即メンバーシップを解消していて
その中にはCISA
皆さんご存知CISAのメンバーとかも含まれているというところで
一部のプロセスに課題が出ているよというところですね
これサクッとっていったところのシーンと
わざわざ取り上げた理由としては
他のニュースかなんかでも見たんですけど
政権が変わっていろいろ
何なら既になのかな
バイデン政権時代に出された
サイバーセキュリティ系の大統領令とかが
サイバーセキュリティに限らず
いろんな大統領令を
概念的にはどうなんですかね
執行するのか取り下げるのか分からないけど
いろいろ変えるぞって豪語していて
実際に変わり始めてみたいなところがあって
サイバーセキュリティ方面でも結構いろいろ影響が出てそうだなというところで
ちょっと注視したいなという
僕なりの宣言の
1記事目として取り上げたかったというところと
ケンゴさんがまた暇になって
撤回された大統領令について
42:01
また楽しみに
これどう追っかければいいかが結構分からなくて
結構どうしようかなと思ってるんですよね
主要な大統領令が撤回されたとか
多分記事で見れる
ブリーピングとかコンピューターとか管理室で流れてくると思うんですけど
ちゃんと追おうと思うと結構
分かんねえなと思って
そうですね その辺はちょっと
僕の課題かなと思いつつ
取り上げたって感じですね
どうなんでしょうね
別のやつで
別のボーボットキャストで聞いたのは
バイデン政権のもう終わるよって直前に
サイバーセキュリティの大統領令を出していて
ただ大統領令の中身みたいな
策定みたいな部分は
トランプ政権に変わった時の
新しいメンバーとの連携はしてませんみたいな
のが記者会見で言及があったから
その状態で政権変わって大統領令どうなんだろうね
みたいな話とか
大統領政の長官も変わるみたいな話を
その時に聞いたのでどうなんでしょうって
ちょっと怯えながら注目したいなって
気持ちで入れた感じですね
ノーションのメモに貼るけど
ホワイトハウスがさ
1月の20日に出してるのが多分
取り下げたというかリボークって書いてある
リボケーションって書いてあるからリボークした
無効化したエグゼキティブオーダーの一覧なんじゃないかな
なるほど
結構でもなんか
多いしタイトルがなんか結構
エグいんだよな
無効なエグゼキティブオーダーだよ
すごいタイトルだよね
ジェンダー周りとか宣言通り取り下げてるんだね
大統領令っておもろいよな
もうちょっとちゃんと知りたいな
飛び道具感あるよね
アメリカの政治上大統領の権限が結構強いっていうのは
多分あるはず
拒否権の話とかもそうだしさ
日本とはだいぶ事情が違う部分だよね
人工知能の
これなんだろう
パッと見そんな
国家サイバー局長のオフィス内での継承順位の規定
ちょこちょこありそうなやつはありつつ
45:02
ケンゴさんの記事とさ
照らし合わせればいいのか
そうだね
照らし合わせれば
暇なので
暇なのでじゃ検索ひっかかんないわ
暇だし過去15年間のだね
これか
2017年以降のやつとか
それがいいね2017年のほうがよくて
ほぼ2021年のやつだから
マジでバイデンのときのやつばっかり落としてると思うんだけど
14028
14028入ってない
ちょうど飛ばしてるね027と029は落としてるから
しかもこれしか書いてないじゃん
バイデン政権の時代の
そうだね
この記事書いたときに出てない新しいやつがあったんだけど
あるかもね
2025年の1月のやつとかも落としてるから
その中にもしかしたらあるかもしれない
それがどれだったかな
139とか
なるほどねこの記事は知らなかった
ちゃんと見てみますわ
なんだこの記事は
いやすいません検索したら翻訳しただけの記事が出てきちゃうんで
また生成AIかと思いながら
いやー派手だね
どうなることだやら
セキュリティに限りませんよ
生きていけるかしら
見守るしかないんで
深掘りっていうよりかも
こういうニュースが今年は多くなるかもしれないなって気持ちがある
というところですね
次いきますか
いきましょう
高級ホテルの客室タブレットに潜む危険
他客室の操作等調可能だった脆弱性を発見するまで
という
ラックセキュリティコンタニーブログさんの記事ですね
しゅうとくんの記事ですね
しゅうとくんは我々のためですね
ああそうなんですね
セキュリティキャンプの同期です
どうでしたか
面白かったですね
前役者のコメントを見て確かにって思ったけど
素直に
ガチハッカーの視点で人取りながら見れたのは
結構面白いなって思いましたね
あとこれ対策する側
しんどすぎるかなって気がしていて
ハードウェアとかOSによって
48:02
結構変わっちゃうんじゃないかなって気がしていて
辛そうっていうのと
っていうのもあるし
じゃあ誰が対策するべきなのっていう話もあるよね
そっか
だって別にこれはホテルが開発してるわけじゃないでしょ
それはそうだね
どっかのソリューションを入れてるんだと思うから
ソリューション提供してる側じゃねと思ったけど
端末はコントロールしてるかどうかしらだよね
この端末でこのアプリを動かしてって言ってるのか
アンドロイドでこれを動かしてって言ってるのかで
結構話違うなって思ってて
それこそある種のサプライチェーンの問題なのかなと思うし
確かにね
この全体のシステムが出来上がるまでに
誰が関わっていて
じゃあいつどこで誰が
何をするべきだったんですかみたいなのは
結構難しい問題だと思っていて
私はホテルが
最後の責任を持つべきだと思っている
そこにある状態で
ホテルが責任を持たなきゃいけない
例えばだけどホテルのネットワークに問題がありますとかだったら
例えばWPSエンタプライズを使えば
うんたらかんたらって話もあったわけでしょ
この話の中で言うと
確かにね
エンタプライズで
運用していれば
例えば悪い人の端末をポンとつないで
アプリに
Webブラウザでアクセスしてみたいなのは
出来なかったはずだよねみたいなのがある中で
1個1個の
物を作って提供して
納品している側からすると
そんなところまで知らない
確かに確かに
それで言うと
経営者ではないけど
いやーこれ難しいな
確かにっていうか
今ヤゲジが言ってくれたのに概ね同意で
ホテル側が最後の取り入れだし
誰が被害を受けますかっていう
被害を受けるのは別にホテルじゃないじゃん
ホテルのお客さんが被害を受けますよっていう前提に
立った時に最後に責任を持たなきゃいけないのは
やっぱりホテルだよね
ホテルがある程度認識
まず認識しないとダメだよね
一部をシステム化している部分で
そこに
本質的には使っているドアの
カードキーの脆弱性っていうか
入れちゃわないんですかとかそういうのと同列で
本当は考えるべきで考えた時に自分たちで
51:00
当然内製なんてしてるわけないだろうから
分かんないんだったら専門家に相談しましょうとか
その調達先に対して
セキュリティチェックシートなんか分かんないけど
これって本当に安全なんですかとか
どういう風に使ったら安全なんですかとか
じゃないかなっていうのと
あとその行動までもたどり着けない企業が
世の中は大半なんじゃないかっていう
想像していて
結構難しいなって思ってたっていう
感じだな
一方で
これを作って納品する側も
それは織り込み済みでやらなきゃいけないわけですよ
そうだね
だから双方に一定の責任
責務があると思うんだけれども
難しい問題だなっていう感じですね
言葉を今選ぼうと思ってるんですけど
サービスとか物を売る側って
需要を売るじゃないですか
これが欲しいっていう需要があって
そこに対して売るわけで
需要の中にセキュリティ要件が必ずしも
入ってこないというか入ってないことの方が
大半な気がしていて
そうだね
その前にも何かで話したと思うけど
心理としてはどちらかというと何ができなきゃいけないかなんで
その時の心理ってね
ここで言うセキュリティの話ってどちらかというと
何ができてはいけないかという心理なので
全く真逆のことを考えなきゃいけないっていうのと
その通りだと思う
その状態で提供側が
ここまで理解してやれんのかとか
そこに投資する判断できんのかっていう話もあるし
使う側がめっちゃセンシティブになってたら
売る側もやらざるを得ないじゃないですか
でもそういう構造は生まれづらいだろうなっていう
これが実態と違ったら本当にすみませんなんですけど
でも受給バランスで見た時に
ここにお金をかければかけるほど
サービス製品としては高くなっていって
興味のない人にとってはなぜ高いのかわからない
安くて安全じゃない製品を使った方がいいっていう話になっちゃう
っていうのはその通りだと思っていて
そこがなんか
これを本質的に解決しようと思うと結構
難題だなって思うね
普通に
なんかまたちょっとさっきの話に戻ってきちゃうけど
自分がじゃあ
これに関して意思決定をするとして
それぞれの立場に自分が立った時に
54:01
何を決めて何をどう動くべきかみたいな
思考実験をしていくと
頭が痛くなる
そうだね
自分勉強不足で分かんないんだけど
分かんないけど
これがIoTデバイスにガイドするかどうかとか
IoTデバイスの言葉の定義は一旦さておかせてもらうとして
IPAとかからこういう機器を購入する時のガイドとかは
ありそうな気はするんだよな
なかなか
そういうところが現実的には取っ掛かりになるべきなのかな
っていうのをちょっとふと思って
IoT開発におけるセキュリティ設計の手引きっていうのがあります
作る側はそうだよね
あとは総務省からIoTセキュリティガイドラインっていうのが出てます
これはなんか買う側とか設定する側
だよね
IoTセキュリティガイドラインに経営者がIoTセキュリティにコミットする
高級ホテルのオーナーがそれできるかって言われると
相当すごいよねできたら
別にオーナーってしかも
雇われじゃんね
そうだね支店の方は
いやー難しいな
IoTセキュリティガイドライン
これがIoTかと言うとIoTではないと思うけど
そうだね
いやー難しいな
難しい
そういう意味で言うと
この記事はXでちょっと燃えてたけど
会社のブログでこれ書くのは
なかなかすごいねって気持ちもある一方で
ある種の注意喚起としては
よく聞くものなのかもなと思うし
なるほどね
これ燃えてたの全然知らんかったな
面白いですけどね自分は
わかんないまあまあ
あんまコメントせんけど
無許可でやってるって事実は変わらないわけで
なるほどね確かに確かに
当然あると思うし
その懸念自体は真っ当なものだと思うし
それを会社のブログで書くっていうのが
果たしていいのか悪いのかみたいな議論は
別に
正しい議論だと思うし
結局最後の最後で宣伝につなげてるんだけれども
弊社では客室タブレットシステムを含む
あらゆるものに対してのペネトレーションテストを
行っております
最後には上手に宣伝につなげてて
まあ面白いんだけどまあなるほどねっていう
57:02
いやー難しいな
昔読んだ
タイトル忘れちゃったんですけどセキュリティの歴史本みたいなやつに
こういう話も書いてあったなと思って
セキュリティの敗北史かな
ああそうです野良ハッカーの
なんていうかね
その話はそれじゃあ気になる方は読んでくださいって感じですね
面白かったです
あとはなんか派手な話でありつつ
問題5個ぐらい記事中で増えてくるんですけど
5番目の問題とか普通にウェブのレイヤーだなと思ったりして
それはまあなんか
まあ僕でも分かるなと思ってちょっと
ちょっと面白かったですね
個人的にはすごい楽しく読みました
ソフトウェアとハードウェアの話が言い交じつつ
でもやよしさんが言ってくれたところの示唆は面白かったな
確かにな
こんなただの面白記事からなんかちょっと深い話をしてしまいました
いやでもめちゃくちゃ面白かった
こういうのとか知らず知らずのうちに
悪用されていろんなことが起きてるのかもしれないね
知らないけど
いやなんかその
なんて言ったらいいんだろうな
セキュリティに関わる人間の一人としては
世の中のこういうのを良くしたいんだよ
そうだねそうだね
間違いない
ものの一つだと思っているし
まあね難しいね
できるところからですね
じゃあ次いきますか
お願いします
マスターカードの
DNS Error Went Unnoticed For Years
という記事ですね
マスターカードのDNSの話
記事はそこそこの長さというかボリュームがあるんだけれども
英語だからそう思うだけなのかもしれないけど
マスターカードの
なんかのドメインの
NSレコード
ネームサーバーレコードの
向け先が赤マイの
ドメインだったんだけれども
それをタイポしてて
それがたまたま空いてたドメインで
みたいな話を書いている記事です
他にもタイポしている人が
タイポしているところがいっぱいあるらしくて
そのドメインを取ったらいっぱいいろんなところからDNSの
通信が来たよみたいな記事を書いてくれていて
何年もそれに気づかないっていうのは
マジで怖いなと思ったのと
1:00:02
普通に結構
アウトなやつなんで
これはどう防いでどう検知すべきなのかなっていうのは
ちょっと考えてみたけど
難しいなと思った
これNSレコードタイポして
タイポした手先が向こうだったときに
動いちゃうのかな
向こうだったときには動かないと思うけど
別にDNSのポートも空いてなくて
動かない
別のNSレコードで
指し示されているところに問い合わせに行くだけだから
それは大丈夫だと思った
ホールバックがあるのか
それでいうと
確かにどう気づくべきなんだろうね
ちょっといまいち
軽く調べたんだけど
プライマリーとかセカンダリ
ずらっとこのNSレコードが並んでいる中で
どれをチョイスして
問い合わせるかみたいなのは
いまいちロジックがよくわからなかったんだけど
調べたけどよくわからなくて
上から順に見ていく前提において
問い合わせで返すときに
順番を変えてラウンドロービンさせるか
あるいはこの問い合わせをして受け取った側で
ランダムにチョイスして
問い合わせるかのどっちかと思ったけど
どっちにしろでも実際に通信が行ってるってことは
なんだかそれが選択されるケースがある
っていう話だと思っていて
一定割合だけそこに通信が飛んでいく
っていう
普通に一定割合が
ネームサーバーが
誰かのコントローラーの中に置かれてしまった状態に
状態で
悪意される
何かにアクセスする状態になる
直近別のやつで
聞いた
読んだんじゃなくて聞いた話なんですけど
SPFレコードの設定ミスで
SPFレコードって
ホワイトでリストでやって最後に全部ディナイ
ってやつをやるときにマイナスを指定しなきゃいけないんだけど
それを間違えてプラスにして
全部承認するみたいなミスに基づく
そっちか それはあんまあるあるじゃないね
そうそう
多分チルダオールと
マイナスオールかな
チルダか そう
それが紹介されてて
1:03:01
それの話を
その話でも言ってたし今の話も聞いて思ったけど
結構
DNSレコードの設定ミスみたいなのを
原理上
なくすことはできないというか
設定するからなくならなくて
それを外形監視というか
どこで防ぐかとかでやっちゃったときにどう検知するかって結構
むずいというか
今回の例もそうだけど動いちゃうじゃないですか
動作確認としては
どうしたもんだろうなっていうのも
もし
でも難しいな
普通の良い外形監視ができていれば
たまに通信ができないケースっていうのは要は
名前解決ができなくてこけるっていうケースが
起こるはずで
なのでめちゃくちゃ
良い具合に外形監視が決めてれば
発見し得る事象ではある
だからなんかもう
SRE強い人呼びたいな
わかんないけど
外から撮れるレコード全部を
スナップして撮っちゃって
デイリーで比較するとか
もしかしたらいいのかもしれないよね
スナップショット自体のコードレビューを徹底するというか
どこまで行っても人間が見るしかない
今回のそれで防ぎとかって言われると
タイプに気づかないっていうパターンも全然あり得るしな
結構むずいな
何で読んだのかな
何かの本で書いている内容をまとめたブログの記事か
なんかあった気がするんだけど
その
一番最初に始めるべき監視
っていうのは
外から普通にアクセスができるっていうのを
まず監視するべきだよね
ネームサーバーが
DNSの問い合わせをした時の
リザルトが何なのかっていう
監視をするんじゃなくて
単純にそのドメインにカールで
アクセスして
ちゃんとレスポンスが返ってくるか
そういうレベルの監視からまずやるのがいいよ
だいぶ
記憶から抜け落ちてるから
全然違うこと言ってる可能性があるんだけど
オライリーの監視本とか
とかを読んだ
話をまとめてる記事だったのかもしれないな
SLOか何かの話で読んだんだよね
なるほどね
1:06:00
その時にreplay.fmもやっていれば
このlotiondbも検索すれば
SLOの
アンチパターンみたいな話だった気がするんだけどな
確かにその辺
体系的な知識ないから勉強したいな
勉強したいことばっかりだな
分かんないことだらけだよね
そういうのがちゃんと機能してれば
一定確率でコケるよっていう
理由は分からないけど
ちょこちょこコケてるねっていうのが
名前解決でしかもコケてるねみたいなのが
見つけられるかもっていうのは確かにあるから
設定しちゃうと
アウトなんだよな
っていう意味でいくと
さっきのSPFレコードの話とかもそうだけど
人がやる以上みたいな話になってきちゃうんだから
だからなんか現実的には
頭ひねって何個か対策組むしかないんだろうね
設定しないようにするのと
設定しちゃった時になる早く気付くっていう
それでSPFのやつとかは
トラフィック監視しても気付かないっていうのが
めちゃくちゃ難しいというか
改ざんメールをあえて送るっていう
外気監視をしてれば気付けるのかな
そこまでやるべきなのかもね
確かにね
興味深い マスターカードそうだね
まあ良かったねって感じで
5年間無事で
攻撃者じゃなくて良かった気付かなくて
キュルブルス1世紀
はい ありがとうございます
面白かったね
じゃあ次もお願いいたします
ゆるふわ記事なんですけど
共通テスト AIの得点率91%
東大分一のボーダーを超える
共同通信の記事です
別にそんな大したことは書いてない
タイトル通りの記事なんですけど
ちゃんとGPTで解かせると
これ何科目?
1,2,3
1,2,3,4
5,6
6教科
1,2,3,4,5,6,7
8,9科目ってとこなのかな
分かんないけど
数え方がセンター試験時代の人間だから
僕はもう大学受験してないから
分かんない
そうか
91%だって言ってますね
1:09:02
記事にそれぞれの得点率とかが
載っていて
おおむね90%超えてるんだけど
数一Aと歴史総合日本史探求ってやつが
80倍以下になっていて
足を引っ張っていく結果
約91%って
意外と全評価そうなんだけど
満点は取れないんだなっていう
のが個人的には意外だった
センター試験と今の共通テストで
難易度がどれくらい違うか分からないんだけれども
91%っていうのは感覚的には
思ったより低い
科目数的に誰でも取れるっていうほどでは
ないんだけれどもさすがに
割と各科目だけ見ると
その辺にいるレベルかなっていう
得点率で
あと日本史が弱いのは分かる一方で
数一Aが弱いのはなぜなのかなとか
なんだろうね
数一A思い出せねえどんなのだったか
あとは誰かがXで書いてたけど
一昔前だったらAIに
テストの問題を解かせるっていうことそのものが
割と大きなニュースになってたぐらいだったのに
LLMが出て一気にゲームチェンジしたねって
どれだけ取れるかっていう
かなり質が変わったねっていう
のを誰かが言っていて
はーって
面白いね
コメントに書いたけど日本語特化してたら
解けるかなとか想像したけど
そんな単純な話じゃないかもな
そんな単純な話じゃないかもしれないし
単純な話かもしれない
それぞれ得意不得意はある気がするんだよな
面白いですね
高校の前職は
僕がいた頃からすでに世世愛の
事業がちょっと手を出してたんですけど
多分オフィシャル情報なんで言っていいんですけど
制度みたいなところの測定で
東大系のスタートアップだったんで東大生
集めて問題解かせた
時の生徒率とモデルに
解かせて生徒率比べたりしてましたね
それで勝てる部分もあるし
みたいなとか
そのことちょっと思い出してしまして
そういう風にやるんだとか思いながら
いやー
そろそろ仕事辞められるかな
うーん
どうだろう
1:12:00
いや冗談ですよ
まあまあまあでもだいぶ賢くは
裏返すと100点取れないってことは
まあまあハルシェンションの恐れはまだまだあるよね
っていうところもあるし不得意な領域は
っていうところもあるし
何年分解いたのかな
今年のやつを解いたって話でしょ
言い換えるとさ
90%で足りるんだったら全部これでいいじゃんっていうのは言えるんだろうね
まあまあ確かにね
だから90%じゃ足りない領域でこそ人間が
輝かないといけないっていう話になってくるはずで
確かに厳しい戦いをしているよね
東大分一ボーダーを超えないと
雇ってもらえないかもしれない
まあ東大のその
二次試験って言えばいいのかな
まあ私立しか受けてないことが丸分かりなんだけど
そうなんですね
僕は何も分からないですよ
改造的に
すみません続けてください
はいはい
そっちはまただからまた事情が変わってくると思うんで
全然解けないとか普通にあると思うし
確かに確かに
いやーそのうち転職するときとかに
キリンさん雇うぐらいだったらチャットGPT月額
プレミアムプランでいいですって言われる日が来るかもな
知らんけど
えそのGPAならちょっと
チャットGPTにできないことは
あなた何ができるんですかとか詰められる時代が来るかもしれない
なんか
ねその
分かんないね
でもなんか世の中のこの騒ぎを見てるとさ
なんか別に
普段の俺らの仕事って
もっと大雑把でもよかったんだなと思うよ
そう
そうね
あれで足りるってことでしょ
この騒ぎをってことは
要はみんな90点で足りる仕事をさ
なんかそんなカリカリさ
やってたってことでしょ
すごい分かんないけど
これで喜んでる界隈の人たちにとっては
普段の仕事って
90点で足りる世界だったわけで
でもまあまあまあ
まあ別に
90点ですらないかもしれないけどね
もうちょっとふわっとしたテーマって
普段の仕事の中にはそこそこあるはずだから
90点にも満たない
80点70点で全然済む制度の仕事しかなかったとして
人間は
1:15:02
90点を目指して
普段仕事してたかもしれなくて
ほんと70点80点足りたんですって話だったら
ハーって感じだよね
何人かを的に回しそうだけど
騒いでる人たちの一部は
ブロックチェーンで騒いでた人たちの同士だと思うんで
まあまあ気にしなくていい気はする
ちゃんと課題に向き合ってる人は
この90点取れるところを
どこにはめ込むかっていう考え方なのかな
って気はするよね
結構ほんと便利は便利で
ちゃんと自分が分かってるって前提においては
めちゃくちゃ便利
コード書くときとかほんと便利だし
使いどころだよね
ポッドキャストでは話してないけど
僕自身あんま物を作るっていうところに
そんなに喜びを感じないタイプなんだなと
最近気づいて
そう考えると別にコードを書くことそのものに対して
そんなにモチベーションがないから
むしろ向いてるのかもな
確かにね
別に自分で書きたいわけじゃない
吐き出してきたものを理解することができるから
確かにね
それが正しいことを担保する方法も分かっている
書くことだけがめんどくさい
結構ニュースになってたんだな
ありがとうございます
じゃあ次最後ですか
最後3連続ですけど
お願いします
セキュリティ企業の取材で絶対に聞いてはいけないこと
オクタジャパン株式会社 CSO 板倉慶子
インタビュー
スキャンネットセキュリティさんの記事ですね
ちょっと前にオクタがやらかして
それと前後してなのかな
いつだったのかなタイミング的には
わからんけどそれと近いタイミングで
リージョナル CSO に就任した方の取材記事ですね
記事自体は読んでくださいっていう感じなんだけど
すごい本当失礼なこと言うんだけど
別に記事自体はそんなに
割とどうでもよかったんだけど
中止論文の話がチラッと出てきてて
実際のセキュリティ
プライバシーリスクの大きさと人間の選択には
どのような相関があるのかとか
その他の要素価格取引相手の信頼性などは
どう人間の選択に影響を与えるのかっていうテーマになった
1:18:01
面白い
これは結構面白いなと思って
最近予想通りに不合理を読んでるんだけど
これは行動経済学の本で
この中止論文の研究内容も
割と行動経済学のものの見方に近いのかな
と思って
セキュリティ領域とかって
かなり ROI を見積もりにくい領域だと思うんだけど
例えばこれをやると顧客の行動が変わりますよ
みたいな
行動経済学っぽい観点で
予測・計測するようなアプローチって
実はいいんじゃないかなってこれを読んで
ちょっとふと思った
確かにね
行動をコントロールするというか
いろんな場面で使えるかもね
結果的に安全に使ってほしいという目的になった時に
どういうところでやると
そこにたどり着いてもらえるのかとか
確かにね
っていう頭で
予想通りにフゴを今読んでるので
めちゃくちゃ面白くなってきて
面白いよね
その考えが頭によぎった瞬間から
一段上の面白さになるので
非常に良い本ですね
ちょっと進まないけど意外とプリウムが
カロリーがちょっと高めかも
あとはリクイジョナルCSOって
実際どんな業務するのかなみたいなのを読んでて思ったところで
言い方悪いけど
実務面でどういう効果があるのかがよく分かってない
確かにね
っていうのも一応記事の中では
回答されていて
イタクラが現在取り組む主要業務は
Oktaのセキュリティに対する長期的な取り組みである
Okta Secure Identity Commitmentをベースに
ロードマップを作りそれぞれのチームに依頼する
具体的なタスクの内容を監修したり
あるいは外部に向けた情報発信を行うこと
そしてさらにインシデントで失ったかもしれない
日本のユーザーの信頼を回復すること
と語った
咀嚼すると
どこかのリージョナルCSOで
特に日本のリージョナルCSOであれば
日本市場での売上向上を自身の利益として
そのために必要な仕事を
セキュリティという軸で持って
ある程度何でもするようなイメージなのかなと
解釈したんですが
合ってるのか合ってないのかよく分からない
ビジョナリーでいいリーダー像だなと思ったので
記事の内容はどうでもいいとか言っちゃったんだけど
1:21:02
ちゃんと全部読んだ上で
いいリーダー像だなとも思ったし
リージョナルCSO
グローバル企業だな
世界にサービスを展開できてる企業の概念ですね
それで言うとオクタジャパンがそもそも
どれくらいの規模感で動いて何をしてるのか
次第かなと思って
日本だけで
単一国で
リージョナルCSOを置いてるのは日本だけって書いてある
だからそれが答えなんですよね
市場の規模としても
市場としては重視してるということだと思うし
結構
シリコンバレーのビッグテックあるあるとして
日本に支社はあるけど
営業部隊だけとか
カスタマーサクセスだけとかが結構あるあるかなと
気はしてるんだけど
それよりは
オクタジャパンの
採用情報を見れば
僕はスポーティファイとかが好きなんで
スポーティファイの日本支社ができたっていう時からずっとたまに
採用ページを覗いてるんだけど
セールスしかずっとないんですよね
募集職種
ディレクターセールス
エンタープレーサーカウントエクセ
セールスが多めだけど
他っぽいのもあるし
あとは職職種が出てないだけでっていうのもあるかもな
でもセールスっぽいな
セールスが基本かもしれないですね
全部セールスだね
なるほど
でもこのミッションの抽象的には
そんなに
支援層か
っていうポジション自体は違和感はないけど
気になりますねもうちょっと
リストで呼ぶか
リスナーが100倍くらい増えたの
うんそうだね
なんでもない
全世界ではどうなのかなと思ったんだけど
このページからだと見えないわと思って
でちょっと一人ごと言ってた
なるほど
ご就職者こちらってリンクがあるじゃん
あったわ
ほんとだな
でもそんな市場でかいんだな
なんか日本
愛されてるのかな
一応先進国
1:24:01
意識が高いんじゃない
もしかしたらね
確かにあるのかもね
なんかスラックとかもさ結構日本に本格的に乗り出してきた時に
個人的にはびっくりしたというか
へーって思ったりはしたんだよね
山手線でスラックのCMを見ることになるとは思わなかったな
とか思いながら
スタッフAPIセキュリティエンジニア
スタッフエンジニア
スタッフプロダクトセキュリティ
いいですね
テクニカルプログラムマネージャー
エンタープライズセキュリティ
日本史写待ってます
いやあるんだけど
なるほどね
僕もちょっと読んでみますこの記事は読まなかったんで
読んでみよう
なんかすごい一家世話な話だけど
奥田のリージョナルCSOっていくらもらえるんだろう
血世話な話だな
でも
奥田基準の待遇に
場所の係数かけてって考えても
相当
もらってて欲しいけどねめちゃくちゃ
普通に
面白いよね
どうやってこのポジションに行ったんだろうね
最初は海外で働いてたとこだったかなさすがに
その辺もね
ちょろっと触れられてなかった
そうなんだ
楽天グループで
数千万セッション単位のコンシューマーサービスの
ID管理の経験を経た後に
海外で電車情報セキュリティ責任者
いわゆるCSOを務めて
そこから奥田ジャパンのリージョナルCSO
結構飛んでるね
すごいね
機会があったのかな
Twitterアカウントがありそう
きっかけそのものはCSOのポジションがオープンして
人事の方からその話をお聞きしたことです
だからオープンしてたんだねきっと
プレスリリースも出てる
去年の9月とかに多分始まってるから
ここからもしかしたら日本でいろいろ
実際に僕らから見えるアクティビティとか組織拡大とかが
もしかしたらあるのかもしれないですね
面白い
ちょっと中止しとこうか
1:27:01
ありがとうございます
この奥田
セキュアアイデンティティコミットメントっていうのも
読んでみたいな
これ面白いな今読んでるけど
全案件ですね
次のお客様のベストプラクティスの推進の
次のステップの中にサイバーセキュリティの
ROIを証明するためのガイドっていうのが
ぜひお願いします
喉から手が出るほど全員欲しい
早く出してくれよ
これなんかもう
できないのが心理だったりすんのかな
なんか
まあまあまあ
ちょっとこれは確かに読んでみましょう
そんな感じでございます
よしよし
今回すごいね1記事しか読まなかった記事がないね
逆にね僕はあんまり読めてなかったんで
アザスとかですね
精度がすごいね
面白かった
なんだかんだ面白いな
毎週この収録の日の朝とかに
今週あったっけなみたいな
なんか薄いかもなとか思うんだけど
まあ2人でやってるからこそだと思うんだよね
話の広げる余地が出てくるとか
確かに確かに
ホテルの話とか
終わっちゃうと
そこで終わっちゃうから
ある種のサプライチェーンが
ある種のサプライチェーンの話があるよね
っていうところに
広げられるのは2人いるからこそと思うし
サイバーセキュリティガイドラインの話から
大企業の幹部がやってることはなんだかっていうところに
2人いるからこそだし
いい塩梅で回ってるんじゃないですかね
ありがとうございます
ちなみに20回記念だし見てみようと思って
スポーティファイの管理画面見てるんだけど
今フォロワーが16人になりましたね
増えてるのか減ってるのかわかんねえな
増えてるのかなさすがに
年末の時点で11人だったので
今日までで5人増えてる
本当だ あとあれか
だいぶ前に見た時に9人になった記憶があるから
そっからは結構増えてる
16人
これスクショさ
公開ページの音源の上とかに貼っといたら
多分公開されるよね
見える
1:30:03
これフォロワーのキャプション入れとくか
フォロワー数の推移
いつもお聞きいただき
なんか1月17日に
結構熱心に
熱心地なのかわからんけど
結構聞いてくれて面白い
それで言うとノーションページみんな見てるのかな
さすがに見てないのかな
そう考えるとこっちもグーグルアナリティクスとか仕込みたいよね
一応GDA入れなくても
できるんだ
アナリティクスは見れるんですよ
でもアクセスあるわ ありがとうございます
12回見られてる
ユニークビューは2回
ユニークビュー7の日もあるから
見に来てくれてるんですね ありがたい
見に来なくても僕らのためにコンページは作り続ける
ありがとうございます
こんな感じでまたやっていきましょう
こなれてる?
こなれてます?
こなしてはないよ めっちゃ真剣に
向き合ってますよ僕は
大丈夫ですよ
なんか
おもろいね
例えばモザイクFMとかって
フォロワーって言うと何人くらいいるんだろうね
スポーティファイ以外で
聞いてる人もいるだろうから
僕らからは見えないんじゃないかな
見えないね
でも
スポーティファイの星の
レビューを投稿した人の数は見れるから
14
みんなレビュー投稿しないよな
うちですら3ある
3のうち1は俺だけど
1は俺だけど
1人の愛してくれてる人が
貴重な
ありがとうございます
いつもお世話になってます
リスナー層が面白いな
ごめん面白くなかった
もうちょっとデータが詰まってくると
あれかスポーティファイ以外の
オールプラットフォームで言うと
もうちょっとあるかもね
オーディエンスサイズ6か
違う最後7日間しか分かんないから
全プラットフォームで何人聞いてるかは
正確かは分かんないですね
でもまあまあありがたいです
1:33:01
エピソードランキングで言うと
やっぱ第一回が多いんだね
ライバシーって難しいの回が
一気に2位に上がってきてるのは何なんだろうね
タイトルで聞かれたのかしら
タイトル意外と大事なのかな
基本的にはさ
かいつまんで聞くっていうより
コツコツ聞いてくタイプのやつではあると思うから
積み上げ
って感じになってくるだろうね
ほんとだなんでだろう
分かんないな全然
3位のタイトルとか適当だから
タイトルはあんま関係ないんじゃない
年取ると風邪ひいた後の回復が遅いよねが3位なんで
まあまあまあ
まあこんな感じでやっていきたいな
しかもさプライバシーって難しいの回のさ
プライバシーさもう一番最後のテレグラムの記事の話だけじゃ
全然タイトル関係ないから
タイトル回収されるのかなって思いながらみんな聞いてる
意外とね
タイトルみんな見てんのかな僕見ないんで
意外と
気にせずにつけてるけど
つけてくれてもいいんですよ
毎回配信するとき
編集作業するときに何が印象的だったかなって
思い返してフィーリングで決めてるから
あんまり
どれくらいの長さ話したかとかね
全然考慮に入れてないです
地味にそうなんですよ
じゃあ今回のタイトルはこんな感じで入れといたんで
ありがとうございます
じゃあ30回記念に向けて
コツコツ頑張るのと企画は考えましょう
誰か呼ぶか
呼びたいね
ぜひここに来て話したいという人が
出てきてくれるといいな
16人いるんだから1人ぐらいいいそうだよね
16人のうち2人は俺ら
そうだね
どういう属性の人がいるかしらかな
そうだね我こそは
お願いします
今回はそんな感じで
また次回もお楽しみにしてください
おやすみなさい
