1. セキュリティのアレ
  2. 第71回 修正パッチとADとゲス..
2021-01-19 1:21:35

第71回 修正パッチとADとゲスト!スペシャル!

Tweet【関連記事】 ・新しいセキュリティ更新プログラム ガイド (Security Update Guid[...]

The post 第71回 修正パッチとADとゲスト!スペシャル! first appeared on podcast - #セキュリティのアレ.

00:01
なんかもう体がなんかもう生ってしょうがないんですよ なんで運動は本当にもう運動ってそのやっぱり歩くだけだとあんまりで何かも
どうですかねあの2人はどうかわかんないですけど首とか凝ったりします もうこれ首とか肩とか慢性的に凝るずっと痛い凝ってますだからたまにねマッサージ行き
たいなとかね言ってますもんね今でも行けないじゃんマッサージとかちょっとそうそうそう なんですよそれでそのなんか僕も結構なんかそういう肩こりの激しい
血筋で家族全員そうなんですよ 血筋の問題なんですかね そんな血筋あんの?
そういうもんじゃないの? 初めて聞いたわそんなの いやなんかそういう血筋だって母から聞いてるんですけど
もうあの前回のたこ焼き以来も辻さんの言葉は疑ってかかるようにしたんで 学習されてしまったわけですね
ほんま凝りすぎて気持ち悪くなるぐらいあったけど首をねこう左右にこう 向くとねあの首を回すとシャリシャリ聞こえるぐらい凝るんですよ
あー音がする そうそうそう首回しとかしてたりするんですけどやっぱりどうしても家からあんまり出ない
生活するときついなぁと思って何こう思ったのかふっとあの youtube でエクササイズ動画を見てやってみようと思ってダンスを
見えたみたいなやつ 今結構人気ですよね そうそうそう でも隋さんもともとダンスもやってたでしょ
まあまあその大体動き自体はついてはいけるんですけどね体力的な問題はあれありますけども あれなんで間が空いてるんでね
やってみたんですよねちょっとねー 軽いやつから始めたらいいのにちょっと見た奴が激しくてね
であの11分ぶっ続けて動くっていうのをやってしまいまして結構きついですねなんで そんなんでしょ
ちょっと触れ幅が大きすぎ11分って相当ですよ 11分でどんなもんかなと思ってちゃんとあのやり切ったんですよ
すごいやりきりはしたんですけどやりきることができたんですけどあのたった11分で ね足に豆できたんですよ
急に激しいであると逆に危なくないといやちょっとねあの apple ウォッチの脈拍見たらね 140となりましたそれ高すぎるよ
やばい一時的にですけどねやばいやばいそうなんですよそれでちょっとねあの でもちょっと続けたいなぁとかっていう運動
歩くだけやっぱね燃焼効率も悪いしなぁとか せっかくこないだファスティングもしたのにね
なのでじゃあちょっとね足の豆できるのも良くないとヨガマットとかもね買っちゃい まして
であの 任天堂のですねあのリングフィットアドベンチャーっていう
あーなんかすげー人気でやつあそうそう今ちょっとそれを説明しようと思ってた それをねそれをね買ったんですよ
はいまさに今日届いたん あ今日なんですかこれからそう足の豆ができてまた箱から出してないんですけど
03:00
出せよ エリア源源間に玄関に置いとちょっと置いといくんですよ
僕はこの頃な対策ですよそうなんだ シュッシュって消毒してからね
なんかお二人もそういうあの注文とかしたりするでしょ あのネットではいその時にピンポンつって何か来るじゃないですか
あれに今日ちょっと多く違和感を覚えまして ピンポンってあるとあの上からこうあのオートロックを開けるんですけども
オートロック開ける時にあのじゃあ玄関先に置いといてくださいみたいな感じでやるんですよ その時に最近ねなんかあの例えばその配達業者が大和ですとか
あの郵便で s とか佐川で s みたいな感じで来たり するんですけど最近ちょっとなんか別パターンが出てきて
amazon のお荷物ですって来るんですよ それあるよ普通にそうそうそれでもそれもなんかちょっと名を名乗れと思ってたんですよちょっと
で最近なんかもうどんどんアマゾン多いんですかねなんかもう段々こう短くなっていって いうのが知らないですけど amazon ですっていらっしゃるんですよ最近
amazon ですってお前アマゾンちゃうやろうみたいな なんかそれがちょっと最近嫌やなって思っていること
シャアライアンそれアマゾンアマゾンですって言われたらこう僕とかだと思う 仮面ライダーかみたいな感じ
古すぎるすぎる結構無理じゃないですかそれ いやいやでも amazon といえば仮面ライダーでしょ
それだいぶねリスナーの多分半分以上ついてこれないよ とですかでもあれですよあのアマゾンアマゾンもリバイバルされてますから
そうなんだめっちゃかっこいいめっちゃかっこよくなってもともとかっ 元々かっこいいのに知らんギギとかがどうでしょ
そうそうよくご存知じゃないですか知ってるよそらさすがさすが っていうことでねこれポッドキャストなんですよ
知ってますよ 始まってるんですね始まってた久しぶりに来た始まってた
来た来た言ってなかったけど始まってました 始まってたカメラ回っとんねカメラはどっから始まってるのかって感じですからね
本当に 本当ねそういうことで
今日はねあの前々回ですかに引き続きまたまた ゲストの方がいらっしゃいます
スペシャルなゲストが ということで今日はゲストにですねあのゆりかさんという方がですねこのあのポートキャストの
リスナーでもあるんですけれども ゆりかさんという方がもしかしたらハッシュタグ見られてる方いらっしゃったら
あの方かなっていうふうにピンとくるかもしれないですけども今日はちょっと 思いの丈がたくさんあるそうなんですね話していただきたいということもあってよお呼びいたしました
簡単にこんにちははいツイッターではイチゴ 振り巻いておりますこれイチゴで良かったんですねやっぱり
イチゴアイコンですね 天王イチゴですこれ天王なんですか
天王だったなるほどマイクロソフトの 絶対わからないですよマイクロソフトの
06:06
ゆりか先生というキャラクターもちょっと使ったりしておりますマイクロソフトの 製品やサービスにある脆弱性の対応する
最近の流行りの言葉で言うとあのマイクロソフトのピーサーとってやつですね 今はいおりまして一番皆さんの目の目に触れる仕事だと
月齢セキュリティパッチとかパッチを出したりとか あとはあの脆弱性を報告いただくための
脆弱性報告窓口ですね 保証金出したりバグマウンティーやったりするやつなんかもやっております
なんかマイクロソフトだと毎月毎次さあの すごい数のすごい数と言っちゃうとなんか悪い意味っぽいけどすごく対応してって
すごい数の脆弱性とかやってるから仕事大変そうだよね そうなんですそうなんです
そうなんです3回大事なことなので3回ぐらい いやいやすごいすごいなぁと思ってよりか先生てさちょっと変な話
変な質問だけどいつからよりか前世なの俺なんかだいぶあったのだいぶ昔な気がするけど 最初からよりか先生だった気がするんだよな
僕もお会いした時はそうでしたねくらいかなぁ約長いよねー 年くらい前に自らよりか先生ですとかなってたわけではなくてとある
こうご家庭ユーザー向けに4番店さんとかにおいていただくためのセキュリティー 型ハウスパンフレット作りましょうってなったんですよね
その時になんかキャラクターを使ってやりましょうってなって 私の名前を取って別に私に似せてすごい私を売り出すために作ったわけじゃないんですけど
えっとよりかっていう先生がやろうみたいな感じでやってって後々これが本人です っていう関連付けがされていったっていう
私が元になっていたんです
そうだそうだ思いました キャラクター先に知ったんだそうだ
キャラクターが先に出てて別に
そうだ後から仲の人知ったんだなそうだ
それを作る時に実材が作ってる人をちょっと似せて似顔絵とかも作って書きましょうみたいになって
セットで売ってたわけではないんですけど結果的に
今でもそのキャラはいなくて仲の人だけ残ってるんだよね
キャラいますよ
いるのキャラ
いますよいますよ
MSの中で一番不人気のキャラです
一番目立たない
一番マイナー
たまにゆりか先生のセキュリティ講座とか
youtube のビデオとか
youtube に出すような啓発ビデオとかパンフレットとかでたまに登場して
09:01
そうですよちょっとねぎすさんアップルのサイトばっかり見すぎなんじゃないですか
すいませんこれからチェックします
じゃあ結構絵もだいぶ長いんですよね
MSですか
ゆりか先生になってから
そうですね10年くらい
すごいね
じゃあもうそろそろゆりか校長とかに
確かに教頭ぐらいだなそろそろ
そうですよね既に10年です
そういうあれなんですね
学年主任ぐらい
学年主任ぐらい先が長いな
これから先2代目ゆりか先生が出てくる
確かに確かに
朝宮崎的な感じの
また古いやつを
だいぶ古いやつ
古いのばっかり言ったろうかなと思って今日も
そんなゆりか先生なんですけど
今日いろいろマイクロソフトの脆弱性の話とか
いろいろ普段ご苦労もあるでしょうしね
マイクロソフトの人としてお話をしていただけるわけですからね
そうですね
マイクロソフトとして
いろいろパッチとか
マイクロソフトの脆弱性とか脆弱性対応
どういうふうに対応してるのかって
最近ピーサーとも話題になってきてると思うんですけど
あまり表に出てしゃべる
呼ばれればどこでも行くんですけど
あまり呼ばれないので
いやいや寂しいこと言わないでくださいね
今日せっかくお呼びいただいたんで
今日はまず一つに脆弱性の
まつわるエトセトラなお話をして
みなさんが思ってて
いつも思ってるけどなかなか聞けないとか
インターネットにそういうところの情報はないなみたいなところを
質問をいっぱいお答えできればなと
素晴らしい
今日は大きく分けて
2つぐらいのお話に分けて
思いの丈を語っていただきつつ
僕らが3人で質問をしたり
いじったりしていくという感じに
していきたいなと思ってるんで
ガッと突っ走っていただいて大丈夫なんで
早速なんですけど
一つ目のやついきますかお話
一つ目はですね
やっぱりその脆弱性なんですけど
辻さんの言葉をお借りして言うと
脆弱性を正しく怖がってほしいなと思って
いろいろ情報発信をしたりとか
やってるんですね
脆弱性っていろんなニュースとか
ところで目にしたり
いろんなタイプの脆弱性もあるんですけど
脆弱性ってそれぞれによって
経路とか特色も違いますし
同じ一つの脆弱性だったとって
どの環境で使われてる製品にあるものなのかとか
パッチが公開される前なのか後なのか
攻撃コードが出る前なのか後なのか
発見者さんがライトアップを書く前なのか
12:00
後なのかによって
危険度とかディスクってすごく変わると思うんですよ
そういうのを
例えばリモートコード実行だから
全部怖いとかではなくて
リモートコード実行で何でもできるっていう
技術的にはそういう定義になるわけなんですけど
それを攻撃するためのコードが
実際には現実可能なものは
作れないようなものなんじゃないかとか
あとは脆弱性があっても今は
攻撃自体を防ぐ緩和策って言われるものが
すごく発達しているので
その緩和策によって防げるものなのか
みたいなところもきちんと見極めて
脆弱性って
自分の環境にとってはどうなのかなっていうのを
IT環境の管理者の方には
ぜひ見ていただきたいなというふうに思っています
なんかねデフォルトの設定では
そもそも攻撃が成立しないとか
っていうのもあったりしますもんね
そうですね
ちょっといじってたりとか
この機能をオンにしているときに限り
大変なことになるとかっていうのもあったりする
そうですね
それと影響範囲が多分
狭いだろうとかっていうことも考えられるので
その辺もちゃんと知っておかないといけない
っていうことですよね
そうですね前提条件がありますし
攻撃ができるとしても
タイミングに依存するような
脆弱性の攻撃とかだったり
攻撃コードが動くと
みんな百発百中で成功するわけじゃない
ですよねっていうのもあるわけですよね
確かに確かに
そういうところとかを考えながら
例えばピースアウトをやって
ハンドリングするような人間の方であれば
そういうところも脆弱性の重要付けに
活かしてほしいですし
対応する側ユーザーとして対応する側も
そういった辺りの情報って
メンバーからIT管理者向けによく出てる場合もあるので
そういうところをよく見ていただきたいなと
今の話で脆弱性の情報の発信というところだと
例えば最近マイクロソフトの
セキュリティー更新プログラムガイドって
なんか新しくリニューアルしたじゃないですか
あの辺の内容とかもそういう工夫が入っているんですかね
そうですね今までって文章で
この脆弱性は何たらかんたらでっていう感じで
全部口頭で説明するような
口頭じゃないか文章で説明するような感じだったんですけど
CVSSに揃えたんですよね
そうそうあれだからちょっとね
今までのマイクロソフトの独自路線から
ちょっと変わったなって思ったんだけど
そうなんですよ
やっぱりユーザーさん側から見ると
MSの説明に合わせてユーザーさん側が
毎月リスク評価のためにあれを読み解くのって
非常な負担になるわけですし
ベンダー間での重要度がどれくらい違うのか
っていう比較もできないですね
あともう一つはやっぱOSS
15:00
オープンソースのバイナリも増えてきているので
私たちの製品の中にある
私たちの製品の中で使われているOSSのものを
私たちの中で出す場合もあり
私たちのアップデートのメカニズムの中で
出す場合もあったりするので
そういったことを考えていくと
CVSSって広く使われてきているので
そこのユーザーに合わせてスルー値で
管理ソフトを使って自動化して
リスク評価を容易にできるようにしていこう
っていう思惑というか
そういうのを目指してリンクアップしたんですね
なるほどね
でもあれでしょ
さっきの話で言うと
CVSSのスコアだけ見てちゃダメよ
ということも言いたいんだよね
たぶんね
そうですね
CVSSが高いもので
全く危険じゃないものっていうのは
なかなかないんですけど
特に企業環境においては
なんですけど
プラスアルファでマイクロソフトだと
マイクロソフトの
服用可能性指標だったりとかも
これは公開されているとか
ベンダー情報以外で
いろんなサイトから
スプライトの状況がどうなのかっていうものを
発信しているので
そういったところを合わせて確認してほしいなと
さっきのでも逆はあるよね
CVSSが高いやつが危なくないことは
まあまあないけど
低いけど危ないってのはあるじゃん
そうですね
低いけど
簡単とかですね
そうそう
辻さんよく言うじゃん
よく言いますね
そうですね
CVSSの中に
コードの作りやすさみたいな指標はあるんですけど
なかなかスコアとしては上がりにくいのと
特権昇格みたいに
もともと単体の脆弱性としては
高くない
それだけを見ると
高くないんだけれども
標的型攻撃の中において
その特権昇格が
どういうふうに使われているかっていうことを
考えると
特権昇格もちゃんと修正しないとやばい
っていうふうになるようなものが
結構ありますね
それちょっと伝わりにくいよね
そうなんですよ
ユーザーさんには
それ難しいなといつも思うんだけど
そうなんですよ
脆弱性の技術的な特性上
昔から使っている
マイクロソフトの緊急度であると思うんですよ
緊急とか重要
あれが
特権昇格とか
セキュリティ機能のバイパスって
重要なんですよ
Important
Critical
緊急じゃないんですよね
なので
昔から特にそういう立場
鍵絞ってされているようなところだと
緊急のものは全部対応するみたいな
一つの
見方で全部決められている場合とかが
結構あって
そういうところだと
特に
特権昇格が漏れていて
標的側の攻撃にあったときに
被害が拡大しちゃう
18:00
ようになっているとか
あと一個ちょっと聞いてもいいですか
さっき話に出てきた
悪用可能性
Exploitability Index
あれがちょっと前々から疑問に思っていて
あれ本当に実態と合っているのかな
って思うことが時々あるんだけど
そういうことないですか
あれはですね
すごく難しい指標だなと思っていて
賛否両論やっぱりすごくあるんですよね
あれって脆弱性を修正している側から見て
脆弱性修正している側はもちろん
ソースコードとか脆弱性の位置とか
検証コードとか
その他のコンポイントとかを考えて
これって攻撃コードが
安定した状態で作りやすいのかとか
そういうことを見ているわけなんですけど
その他の要因として
例えば発見者さんが外部の方で
心を変えて
後日修正を行った後に
ものすごい細かい修正内容とか
こういうふうに攻撃するんですよ
っていうことを公開した場合
悪用可能性指標って
本来ならば高いべきだったんじゃないか
って言われるわけですよね
でもそこまで私たちが予想できているのか
完璧に予想できるのかっていうと
なかなか難しくてですね
それ予想できないけど
後から変えるってことできないの
あの指標はですね
変えないことに決めてるんですよ
そうなのか
そうなのか
だからか
それは
ネギさんとか僕はちょっと考えてると思いますけど
そうそうそこも誤解のポイントで
あれは定義のページにも書いてあるんですけど
これは変えない
じゃあ一回
例えば2位とかで悪用される可能性が
低いに当たるものを出したら
その後に攻撃コードが
ボンとすごい簡単なものが出たとしても
もうそこは2のままなんですね
これは公開時点で
どういう状態であったかっていう状態で
その後は変えないってことですね
もう一つは
その悪用可能性コードが出てきやすいか
出にくいかっていうのは
大体目安として
30日以内に出てくるだろうかどうかっていうところが
結構念頭に置かれてるんですね
なので
大体1ヶ月くらいのサイクルで
月例で私たちも出してるので
1ヶ月以内にパッチを適用いただくような
リズムを考えてるわけなんですけれども
その1ヶ月以内に
例えば
弱性の情報がゼロで
公開されてなかったとしても
リバーセンデニアリングとかをされて
攻撃コードが開発されて
攻撃者側にも時間がある程度
必要になってくるわけですけれども
そういうのを加味した上で
これはすぐ出てきやすいのかどうなのか
っていうところもやっぱり入ってるんですよね
最初の緊急重要警告注意
21:00
4つのやつがあるじゃないですか
あれが僕CVSSの基準になる
基本値のところだと思ってたんですよ
Exploitability Indexが現状値
時間とともに変化していくものに
相当するんだと思ってたんですけど
そこは変化しないので
ちょっと言い換えると
30日以内の
悪用可能性指標みたいな感じ
捉えた方がいいってことですかね
かつパッチを公開した時点での
マイクロソフトの見解
だとすると
最近のマイクロソフト製品に限らないけど
パッチが出た後の
攻撃可能性の変化って
わりとスピード感があって
攻撃側のPOC出た攻撃が
実際にIn the Worldで観測されたとか
数日とか早ければ
1日とかの単位で
バンバン変わるじゃないですか
僕らはその辺を気にしていて
それが変わった時に
そういうツールが出たとか
取り込まれたとか
リスクのレベルが一段階上がって
会社の中に警告しなきゃいけないとか
お客さんに警告しなきゃいけないとか
そういう状態を普段感じてるんだけど
マイクロソフト製品で
マイクロソフト側から見た時に
おそらく内部でも
ちょっと違ったってことがあると思うんだけど
そういう場合の
フォローする手段って
今のところ何もないの?
ものすごく悪用が広まっている場合とかは
広くブログで公開したり
っていうのはもちろん
注意喚起をするっていうのは
まず一つありますし
あとはですね
ディフェンダーAPPとか
そういった製品で
ちゃんとアラートを出して
これはリスクが上がってますよ
っていうような
アラートを出したり
それは脆弱性自体に
どれぐらいの
リスクがあるのかっていうのは
パッチを作ってる時点
脆弱性を受け取った時点から
発見した時点から
脅威情報のモニタリングとともに
脆弱性の優先度を
測ってるんですね
それは
テレメトリーで
どれぐらい出てるのかっていうのを
エンドポイントの
テレメトリーとかから見てるっていうのもありますし
MAPっていうプログラムで
各セキュリティベンダーと
情報交換したりして
その脆弱性が
どれぐらい
博用が既に出ているのか
っていう
あるいは公開した後であれば
すぐ出始めてるのか
出始めてないのか
セキュリティベンダー製品の
この裏に参加されている方には
3日前の脆弱性の情報を
渡しして
セキュリティベンダー製品でも
ディテクションをつけれるように
してるんですね
24:00
自社製品の脆弱性なんですけど
パッチの当日には
MSの製品でも
他社のセキュリティベンダー製品でも
ディテクションがその日にできるように
してるんですね
そういう交換プログラムっていうのが
やっていまして
情報を検知したり
課長が当ててなかったとしても
ディテクションできるように
するようなプログラムを
整えて対応していこうと
いう感じになってますね
さっきちょっと僕
質問の仕方が意地悪だったけど
その辺のパートナープログラムの
話とか
たぶんやってる側っていうか
僕らの側はわりと知ってるけど
たぶん一般の人はそういうことちゃんと
マイクロソフトがやってるって
もしかしたら知らないかもしれないから
贅沢性情報出しっぱなしじゃないよ
ってことですよね
そうですね
そういうのすごく今
重要で公益側に
いち早く追従していかないと
僕ら遅れを取っちゃうんで
そういうところを
しっかりやってくれてるっていうのは心強いですよね
そうですね
最近のソロリケート系の
事件とかでも
声明として結構
公的なところで
私たちをお伝えするように
ブログに書いたりとかしてるんですけど
セキュリティ業界で
うちの製品のほうが早く検出する
みたいなところでそういうのじゃなくて
共有情報とかどうやったら
刺激するのかどうやったら被害カスタマーのうち
早く検出して対応できるのか
っていうのをソラウィンズ社と
ファイアー社と
私たちと協業して
一緒にやっていきますよっていうの
今回初めてかな
すごく書いたの
っていう風に推し出していって
敵ってライバル会社
でもあくまでも敵は敵
外のね
攻撃者側にあります
っていうスタンスでやってますね
ああいうのって初めてだったっけ
そうかもしれないね
プログラムを出してますみたいなことは
前から出してるんですけど
この攻撃において
協業して対応しています
ホットネットのテイクダウンとか
法執行機関と協力して
やってたとかありましたよね
ホットネットを広く
広まると
みたいなのあったんですけど
今まさに起きていて
他者が侵害されて起きたことが
起点になっている
ものとかに対して
いろんな方面から
大体的にそこを強調して
強くメッセージを出した
っていうのは私が記憶している限り
初めてかな
思いますね
それぐらい
ベンダー間で
しなみ揃えて強調して
やっていかなければいけない相手
というか攻撃というかそういう認識
ってことですよね多分今回のやつは
そうですね
これからもどんどんそういうのも
出てくるだろうね
いろんなところが協力して
さっきユリカさんが言ったみたいに
27:00
ほとんど適当っていうのはすごく
いい取り組みだと思いますね
今までなかなかできてなかったと思うし
そうですね
そういうのがどんどんまだ課題は
いっぱいあるとは思うんですけど
そういうのをどんどん
やったらいいなと個人的にも思いますね
そうですね
ちょっとさっきの話に戻っちゃうんですけど
そのパッチの出てる
その脆弱性修正する脆弱性の
ヤバさみたいなのを僕はマイクロソフト
から
本当の危なさはこうですみたいなものは
もっと出していってほしいなと思うんですよね
そうですね
緊急だから危ない
危ないけどこっちの方がねとかっていう
見方
そうですね
私たちも結構手探りでして
脆弱性について
ガイランスとして
何かを訴え出すのって
すごく難しくて
そのあたりは
日本とか
アジアに対してやっていくのが
私の仕事の一つでもあるんですけど
すごく難しいなと思っていて
これが危険なのかっていうのって
どこでどういうふうに使われているかに
乗るところが非常に大きい
脆弱性がやっぱり
多いんですよね
例えば
0ログオン
ネットログオンにある脆弱性で
CBSSが10.0だけど
あれはAD環境の脆弱性
なので
ADを使ってない時は
全く関係がない
全く関係がない
っていうことになるわけですね
あれはすごく危険で
ADを使っている人には最高危険度なんですけど
私たちが
プレイスリリースを出して
やると
多くの人に目が止まるんですけど
その代わり
ネットログオンって何ですか
ADって何ですかみたいな
山のように来ちゃうわけですよね
そこにやっぱり
無駄な能力ではないんですけど
やっぱりオーバーヘッドが
かかってしまうので
適切な人に適切なレベルの
脆弱性の
リスクを評価していただくために
十分な情報を渡さないといけない
っていうのがやっぱりすごく難しい
ですよね
一つとして
マイクロソフトがやっているのは
まず一つご家庭のユーザーさんに向けては
あんまり
今日パッチの日です
早く何とか当てましょう
ってことは昔ほど言ってないんですよ
昔はすごい言ってましたよね
確かにそういえばそうかもね
昔はメディアさん向けに
説明会を開いて
ぜひメディアに載せてください
という感じで
やってたんですけど
それって自動更新が
ものすごく進むようになってきた
自動的に
そのうち
適用されて
しかも私たち側で
教育情報を
パートナーさんと組みながら
モニタリングしているので
この脆弱性が
30:00
ご家庭のユーザーさんまでに
どれくらい危険度が
深いものなのかっていうのを
把握しているので
そこまで標準に当てないと
あなたのコンピューターがやばいです
っていうレベルのものではないのに
標準に当てろ標準に当てろっていうのは
パソコン使うご家庭のユーザーさんとっては
負担でしかないわけですよね
そういうのは
もういらないのでやめましょう
特にWindows10だと
さっきもちょっと触れた
脆弱性緩和技術があるので
脆弱性があっても
それを人間に防ぐようなものも
いますし
日常的に今日はパチマリレースやめましょう
やめましょうってなると
代々的にやつはあまりなくなってきている
シームレスに自動的に保護されている
とにかく
自動化していきましょう
その限り
IT企業のユーザーさんに関しては
いろんな場所で使われていますし
セキュリティの対応することも
重要だけど
運用が止まるっていうのを避けなければいけない
わけですよね
なので
ちゃんとテストをしてから当てる
ということを推奨しているので
例えばマイクロソフトとかだと
個別の
マイクロソフトにサポートを
テンダー契約を認めるお客さんに関しては
個別の説明会を毎月開いたり
メールとかで送って
これはこういうのです
外部の一般としては
記載していないような
細かくこういうの
こういうことが考えられる
リスク評価をしてください
サポートもあったり
パッチに関する質問であれば
エンタープライズでも
コンシューマーでも誰でも
マイクロソフトのサポートに電話した場合
無償でOKしているんです
無償でサポートも同時で
対応しているので
聞いていただければいつでも
そういう必要な方には
届けるようにしています
あとは
パブリックセクター
公共系ですね
政府公共系には
政府公共系の方に向けた
ガイダンスを出したり
あとは
広くITプロにお知らせしなければ
こちらからプロアクティブにお知らせなければ
あとはブログで書いたり
例えばゼロロゴンとか
会社は追加のブログを出したり
追加のレターを出したり
あまりにも重要なことなのであれば
製品ニュースレターとかの
ヘッダー
フッター
ああいうのに入れたり
そういうことをやったり
あとはIPAさんとか
JPサードさんとか
注意喚起をやってらっしゃる
公共機関さんと協業して
こういう情報を載せてください
毎月注意喚起をして
くださっているので
内容の協力をしたり
そういったことと
いろんな
外のパートナーさんとも
組んでやったりとか
しているので
適切な人に適切なガイダンスを
33:00
出していくということを
心がけて
まして
ただどこまでどういう情報を出すのか
足りないよって言われたり
多すぎるよとは
言われないかもしれないですけど
あまりにも
そこまで必要じゃないことを
こちらが騒ぎ立てすぎて
パソコン使うのも
めんどくさいみたいになって
こられたらIT業界全体にとって
のマイナスなので
その辺の加減って難しいなっていう
でもそれすごく大事なことを
言ってて
セキュリティだけを最優先でやるのが
正しいわけじゃないから
今の話すごい
ユーザー環境の違いとか
今の実際のリスクの
攻撃の脅威の状況の
変化を
きちんと見ていて
バランスよくというか
強弱つけて
やってるんだなっていうのがすごく
分かったなっていう感じですね
何でもかんでももっと出せとか
もっとやれとかって言えばいいってもんじゃないよ
っていうことだよね
うんうん
それでもそれやらないと
いざって時に
本当に大事な時に大事だってことが
伝わりにくくなっちゃうから
大事ですよね
そうですね
やっぱり変に
取られちゃったり
すると
自社製品への悪影響もある
っていうこともあるんですけど
やっぱり変な情報を
受け取ってしまって
自社の管理だとか
ご家庭ユーザーさんの管理だとか
変なトラブルを起こしてしまったり
例えば
ご家庭ユーザーさんとかだと
私たちはOMのメーカーの
サポートさんとも協業してるんですけど
マイクロソフトとか
Windowsで何かあったら
ご家庭ユーザーさんがどこに
問い合わせるかっていうと
マイクロソフトではなくて
買った購入店とか
パソコンのメーカーとかに
パソコンが壊れたって言って
連絡しますよね
パソコンはこれなんだっていう風になる
ケースがやっぱりすごく多いんですよ
なので
私たちはそういうところとも協業して
例えば
大きな広がっているものがある場合は
自社でももちろん出すんですけど
皆さんね
マイクロソフトのページなんか見ないので
OMのメーカーさんと協業したり
こういうのも来る可能性があるので
コールセンター向けの
コールセンター向けの
クローキングスクリプトなので
みたいなサポートしたりとか
そういうことをやったりしています
なかなか細かいね
大変でかいと大変ですね
やっぱり
ありとあらゆるところで
Windowsとかマイクロソフトの製品って
使われてるからな
でもこれが1日にしてできたかというと
いろんな痛い経験を踏まえて
今の形に来ていると
いうのがやっぱり
大きいですね
確かに
36:00
MSの人前に言うのもあれだけど
Windowsって本当10年前とかと比べても
驚くほどセキュアになったから
下手にいろいろ
何かやるよりも
本当にWindowsのバージョン開けたほうがいい
本当そうですね
いろんなところで言われてるから
すごいよね
今のパッチ毎月の取り組みも
多分10年くらい前から
やったと思うけど
マイクロソフトが最初にやり始めて
結構みんなあちこち真似して
今も続いてるからいいモデルとして
運用されてるもんね
こういう取り組みもすごいなと思って
そうですね
いつかこういうのをやってます
最近Pサートって盛り上がってきてるので
こういう風に
私たちはやってます
これがいいですという
一つの答えってないと思うんですけど
私たちは
こういう経験に移って
こういう風にやるのが一番ベストだと思って
今やってます
シェアリングをするように
最近は心がけていて
といっても私一人しかいないので
特に日本は
なので
日本語で何かをやろうと思うと
ジャケンだったら私になるので
可能な限り
最近はPサート
コミュニティとかも
出来上がってきたりしているので
脆弱性対応とか
ある日突然ツイッターにゼロで書かれたら
どうするべきかみたいな
そういうのとか
ある日リアに取り上げられたら
どうするべきかみたいな
一人なんですか?
そうですね
アジア圏担当一人
一人Pサートってことですね
一人Cサートっていたよね
どっかにいましたね
なんですけど
誤解がないように言っておくと
Pサートってないんですけど
マイクロソフトでPサトって
決めてるわけじゃなくて
セキュリティレスポンスっていう
大きいググルになってるんですけど
ものすごく仕事が
細分化されているので
こういう仕事をやる人の
アジア地域担当
みたいな感じになっていて
この人はこれをやるという
巨大なチームの一つ
でも細分化されているとは言ってもね
今のお話聞いても
すごい幅広いですよね
チャネルがすごいあるもんな
主にカスタマーガイナスと
脆弱性情報ロケット
外とのやりとり部分
っていうんですかね
僕はあれなんですよね
マイクロソフトに
お礼を言わないといけないんですよ
実は
どうしたんですか?
今この仕事は
セキュリティの診断とか
アプリケーションテストを
するために東京に出てきたんです
その仕事をしたいと思って出てきたんですけど
それは僕が学生の頃に
独学で
セキュリティに興味を持って
ネットワークとか勉強をしだした頃に
マイクロソフトのWindowsが
39:00
脆弱だったからなんですよ
それはあんま嬉しくないな
こういう仕事を
しようって
面白そう楽しいって自分で
例えば当時だったら
NimhだとかCordletとかあったじゃないですか
あとは似たようなタイミングで出てた
Slammerとかありましたね
ああいうのがあって
自分の検証用のWindowsを
ネットに直接つないで
共有フォルダにポコって
ファイルが作られるっていうのを
見たりとか
それを自分の手元の
家の中のLANで検証機を用意して
その当時VMとか買えなかったんで
古いパソコン使って
検証してとかっていうのをやって
これ仕事にしたら面白い楽しいやろうな
と思ったのがきっかけなんですよ
それをやってて
診断行って今日の対象はWindows
サーバーって聞くとよし
っていう気持ちになってたんですよね最初は
これまた
ブラスターが使ってる脆弱性で
いけるんちゃうかとかね
そういうのでいろいろやってて
2008年ぐらいまでは
そういうワームとかも
あった頃じゃないですか
そっからどんどんどんどん
2003ぐらいからやっぱりちょっと
堅牢さが出てきて
なんかWindowsの脆弱性で
侵入できるというよりはパスワードだったり
とかあとはそれに入れてる
アンチウイルスの管理コンソールが脆弱だから
入れるっていうのしかなくなってきたんですよ
最初診断をやり始めた
この楽しさを与えてくれたMicrosoftが
どんどんどんどん固くなって
いいことなんですけどね
どんどんどんどん固くなってきて
いいこと少ないみたいな感じになったんで
ちょっとペネトレーション以外のことも
やろうかというきっかけを与えてくれたのも
Microsoftなんです
なんか無理こじつけてんな
こじつけてないよ
ほんまにそうなんですよ
だから本当に
Windows見るねっていう診断やってて
最初の頃から興味を持った頃から
変わりましたよっていう話なんですよね
そうだねだいぶ良くなったもんね
看護さんさ
聞きたいことないの
質問の機会はずっと伺ってたんですよ
ずっと伺ってた
大人しいからさ
止まるかなと思って
止まんないから割り込んで
聞きに徹底をかなぐらいに
思ってたんですけど
さっき
脆弱性情報を
どう届けるか
みたいな話の中で
特にWindows10とか
最新の体制に変わってからは
あんまり特にコンシューマー向けには
大きく
メディアとかを通じて
共有するとかっていうのは
若干控え気味にしてるっていう話はされて
らして
私も2,3年というか
特に一般報道とかで
それこそ
よっぽど一発で
Windowsがやられてしまうとかっていうレベルのものであれば
報道はされることはあるかもしれないんですけど
以前にも比べると
全体数としてすごい漠然と
ではあるんですが
42:00
やっぱ減ったなと
思ってはいて
気づくと
今日パッチチューズで
第2水曜日
なってるなぐらいな
それぐらいな感じになってて
私なんか
これっていい面と
悪い面っていうか
ちょっと気にしておくところがあるかな
と思ってるんですけど
呼吸をするかのごとく
気づいたら最新のような
セキュリティが担保された状態にも
常に常になっていますって
すごい楽じゃないですか
使ってる側からすると
もう本当にそんないちいち脆弱性情報とか
細かいこと気にせずに
常に使っているだけで
問題ない状態に改善されていく
ってそれすごい
いいことだとは思ってるんですけど
先ほど言うとITプロとか
IT管理者とか
そういう立場に立った時に
自分から
頑張っていかないといけないかな
みたいなのがあって
周りの空気感みたいな
なんて言うんだろう
言い方が難しいんですけど
あれですかね
無菌室にしすぎて抵抗力なくなってきてるんじゃないか
的なことですか
自分でも調べるようにしていかないと
与えられるだけじゃ良くないんじゃないの
っていうことではなくて
ちょっと難しいんですけど
脆弱性に対する興味っていうのが
本当に好きな人じゃないと
追いかける人って
すごい少ないんじゃないかな
っていうのは気にしてて
なのでそういう発信が
しっかりされている場合
それをちゃんと見てる方であれば
しっかり対応されると思うんですけど
なんていうか受け身のような
当然自分自身とか
その組織でできるできないとか
あると思うんですけど
上手く情報が取れてない
ところがいると
そのままになり続けないかな
っていう心配があって
それでもどっちも言えない
多すぎても麻痺しちゃうし
少なくても
ないものと思っちゃうし
っていうことだと思って
どっちもあると思うんで
そのバランスをいかに取っていくか
ってことなんじゃないのかな
難しいなーとは思ってて
それどうしろって言ってるの
ないんですよ
言い換えはなくて
皆さんはそういうのを感じたりするの
あんまり大人しくしすぎちゃうと
世間の注目っていうか
感度が鈍っちゃうなとか感じることある?
そうですね
重要なものは
しっかり出していかないといけないな
っていうところの
やっぱ難しいんですよね
どこまで広げて
目につかないところまで出していくべきなのか
っていうのはすごく
難しいなと思っていて
やっぱり
何かしらの形で
いろんな形で
発信できるところを
増やしておくのが
やっぱりいいのかな
っていう風にも思っていて
45:00
例えばIPAさんから
出してもらうとか
あとはセキュリティベンダーさんのアラートの中で
何かしらセキュリティベンダーさんを
使ってらっしゃる
IT環境多いと思うので
セキュリティベンダーさん同士に
脆弱性の情報とか
脅威情報を流して
これは本当にやばいっていうものを
管理製品のアラートの中で
出してもらったりだとか
プロアクティブなメールを出したり
だとか
そういったところでいろんな形で
MSのものだけ
MS発信のものだけじゃなくて
増やしていくのも必要なのかな
と思っていて
その一つがもちろんメディアなんですけれども
メディアさんが
何を取り上げるのかっていうのは
私たちはあまりコントロールができない
例えば製品情報じゃない
脆弱性説明化をしたとしても
それを取り上げるかどうかっていうのは
メディアさん次第なので
私たちは
メディアをあんまり
コントロールはもちろんできないんですけれども
セキュリティベンダーさんとか
管理ベンダーさんだとか
公的な
機関だとか
そういうところのいろんなところを
増やしていくのは
継続して拡充していかないとな
っていうのは常に
直接でMSがやらなくても
間接的に伝わるチャネルが増えると
っていうのはあるかもね
そうですね 間接チャネルを増やす
っていうのは
5、6年ですものすごく増やして
いて
MS製品を使って
なくても脆弱性情報の
ものが出たり
だとか
あと結構昔から
IPAさんとかと協業して
JPサートさんとかと協力して
いろんなことをやってたりもするけど
他の国とかでも
サートさんと協力したり
国の機関で
セキュリティを
担保したりセキュリティのアラートを
出したりするような機関ですね
日本だとNISQとか
そういう機関とかからも
出してもらったりだとか
そういう風な多角的なところを増やそう
っていうのがここ数年で
すごくやったところでありますね
ちょっといろいろ難しい
バランス取りながら工夫してやってるな
というのは今日の話で
すごい伝わってきました
難しいですよね
本当に
メディアでやっぱり脆弱性情報が
増えるのが少ないっていうのは
セキュリティの話の
多様化がやっぱりすごく
あるなと感じていて
5、6年前
I0でがものすごく
話題になった時があって
はい ゴールデンウィークのやつですよね
公共放送でも
I0でありますみたいな
のがなったり
とかしたんですけど
あの時って
ブラウザーにある脆弱性ってすごく
トレンディングなトピック
というかやっぱ攻撃ベクターとしても
大きかったですし
ものだったんですけど今って
48:00
また違ういろんなセキュリティの中の
トピックが出てきているので
ゼロでがあるっていうだけで
すごくニュースに
取り上げられるっていうのは少なく
なってきているのかな
というような印象を受けますね
確かに ちょっとその辺で
さっきのお話とも
関連するんだけど
2つ目の話題というか
ちょっとぼちぼち
移っていきたいなと思うんだけど
さっきね 情報の出し方
っていうかマイクロソフトも
あれちょっとやり方変わったかな
っていう気がしたのが
最近あって
アクティブディレクトリー関連の
ドメイン環境での脆弱性
さっきちょっとゼロログオンの話
紹介してましたけど
いくつかそういう脆弱性が最近見つかっていて
それに対する
マイクロソフトの対応が
フェーズを分けて適応するってことをやってるじゃない
互換性とか
他への影響とかも考慮して
一部有用機関を設けて
強制適応するまで
ワークションを置くみたいな
ああいうのって
前からやってましたっけ
前からあるのは初めてではない
ですね
何回かあります
規定値を変え
最初機能を入れて
規定値を変えるっていうのは
さほど珍しくもないんですけど
そっか
今回のように
AD環境を今3つ
有効化するんですけど
3つが一気に来るっていうのは
なかなか珍しくはありますね
そういうことか
なんか急に来たなって感じで
そうですね
3つ被ってるのは
珍しいですね
AD前にもありました
規定値を変えるっていうのは
来月ちょっと集中して
更新強制になるってのがありますよね
そうですね
ゼロログオンのネトログオンの
安全な脆弱性のない
ネトログオンの通信を
強制するための
パッチをドメインコントローラーに
出します
来月やります
来月の9日でしたっけ
来月のパッチのCですね
ゼロログオンは前にちょっと
ポートキャストでもちょろっと取り上げたんですけど
やっぱり
特に標的型攻撃とか
内部に侵入してきた
後あれか
ついさんが追っかけてる
ランサムウェアの攻撃とかもそうかもしれないけど
AD取られて
内部掌握されちゃうっていうのは
やっぱり致命的なので
そこをもうちょっと
注力していかないと
僕らもダメかなと
思ってるんだけど
MS的にそれに関していろいろ
言いたいことがあるんじゃないかなと思うんだけど
どうですかいかがです
そうですね
今ADをエクティビティディレクトに
使ってる環境の方
すごく多いと思うんですけども
伝統的にやっぱADって
長く使われていることも
51:00
多いので
複雑な環境をしていて
かつ
境界領域防御
に守られているので
パチ当てないとか
こういうことはやらないみたいな
セキュリティが結構甘くなってる環境って
すごく多くて
それによって
侵害が広まって
被害を受けているっていうのは
ものすごく多いんですよね
それって今でも変わってないんですか
変わってないし
増えてると思う
正確な統計を
とってるわけではないので
感覚的な話なんですけど
すごく増えて
標的型攻撃でADを
守っている環境の方だったら
何かしら絶対は使われてますよね
それって対策を
していく必要が
あるんですけども
ここで私がちょっと言いたいのは
ADを保護
していく必要があるんですけれども
ADを
標的型攻撃から守るために
保護していくための
対策って
無償でできるというか
標準で備わっている機能で
できたり
無償で出しているツールでできたり
あとはAD環境を
綺麗にしたい
特権管理をきちんと運用する
といったような
全くお金がかからないとは言わないんですけど
運用費とかもあるので
例えば追加のソリューションを
バンバン買わないと
これって絶対回らないんですってものじゃなくて
ちょっとAD環境を
見直していただくと
攻撃の緩和になるというか
これがあったら
ここで何かしらワンクッション
攻撃につけられた
かもしれない
クッションというか壁がね
あったかもしれないというのがすごく多くて
それが
そういう設定の見直しだとか
無償通路だとかそういうものでできるものが
たくさんあるので
そういうのを知らない方が結構
被害組織にこういう設定ですよ
って話をすると
これかみたいな
こういう無償通路あるのか
みたいなことになるので
もっと知ってほしい
知ってもらえるように
頑張らなきゃいけないなと
思ってる
確かになんか僕も感覚だけど
あんまり知られてない
気はするよね
例えば具体的に
言うと
ドメインの環境の3Tierの
モデルで管理するような
ガイダンス詳しいやつもいっぱい出てるし
アドミンのパスワードを
変えるためのツールとか
細かいこと言わせたらいっぱいあるじゃないですか
標準というか
今言った無償で使えるような
ツールやガイダンス類って
でもなんか
そんなに知られてる
使われてる感じがしない
しないんだよね
侵害の事例を見ても
これやっとけば防げたんじゃないのかな
54:00
みたいな思うやつがちょいちょい
あるんで
それは
答え方が
十分なのかな
そうですね
一つには
やっぱり日本語の
ロケットが少ないっていうのは
一つあるのかなという風に
用意として考えて
個人的に
勉強会とかでスライドを作って
Twitterとかスライドシェアとかに
公開したりとか
してるんですね
テックネットじゃないや
Microsoft Docsとかで
英語のものを翻訳された
日本語で出てくる
テレビとかもあるんですけど
なかなかそれを読み解いて
組織に
当てる形でいく
っていうのは
それを読むだけではなかなかすごく難しい
と思うんですよね
なので
セミナーとかで
お客さんとか組織のところに
営業さんとか
こういうのをやりたいと思ってらっしゃる
組織さんとかから
お声掛けをいただければ
お声でもいつでも言って
ちょいちょい説明して回ってるんですけど
なかなか
地道ですね
なかなか地道な
タッグとして
あとはJPさんとかが
AD侵害事例のドキュメントを
どういう風にロケットで
研修するとか
ドキュメントを出してくださったりして
それに協力して
こういうのを
ヘルプをしたりだとか
やっぱりそこも
パートナーさんと協力して
パートナーさんが出すところに
載せてもらったり
一緒にホワイトペーパー協力させてもらったり
そういうのも
地道に地道に
つなげてやってるんですけど
なかなか日本だと認知度が
まだまだ上がらないといけないな
っていう感じですね
なるほどね
JPさんのあのドキュメントは
非常に良くて僕も結構紹介したりするんだけど
なるほど
いろいろチャンネルは
頑張って増やしてるのか
あと英語の問題ね
それはなかなか難儀だな
ゼロログオンみたいな
本当に悪用されている
実際に使われている事例って結構聞くから
ああいうのが
出た時に
いくら組織の中の
協会の中にいるとはいえ
メインコントローラーすぐに対応しないと危ないよ
みたいなのが
僕らと同じような温度感でね
どれくらい伝わっているのかっていうのがやっぱり
ちょっとまだまだ疑問に感じるというか
あんまり伝わってない気が
するんですよね
そうですね
伝わってなかなか伝わりづらい
っていうのもありますし
伝わっていても
AD環境の場合って
なかなかいじれないですよね
ああそうね
DCのメインコントローラーに
タッチを毎月必ず
57:00
即時上げている環境って
世の中にどれくらい
あるだろうか
なかなか現実
ADのDCのパワーを
再起動するだけでも
なかなかの調整が
いる環境って結構
多いと思うので
確かに
なかなか
それがそういう問題に気も付いていく
ADの信頼事例を
見てみると
こういう風に攻撃ができます
こういう風になりますよ
っていうのは結構あるので
そこについて結構知っている方って
まあ
割といるかな
AD環境のセキュリティみたいな
方もいらっしゃるかな
っていうイメージはあるんですけど
起きた時に
この対策のこの設定を変えてください
こういう風に今後はしていきましょう
じゃあ信頼を埋めたので
すぐADに変更して
これをバンバン機能変えていきましょう
できるかっていうと
実際みんなお客さんできなくて
その間に次の信頼が起きて
みたいな
あとは
じゃあこの
アドミンレベルの権限を持っている
ユーザーを見つけ出しましょう
バーって見つけ出しましょう
なんでこのユーザーのグループあるんだっけ
みたいなところから確認していかないといけないので
そういう対応が
難しいなって
いうのがあって
信頼の方法だとかこういうのも
多いんですよって話とともに
ユーザー環境を管理しやすい形で
健在化していくってことも
すごく重要
だろうなと
思ってるんですよね
確かにそれでもね
すでに長年
大体の会社がもう運用
していて結構複雑な
設定があちこちにあるから
それを健在にするってやっぱり
難しいですよね
そうですね
この設定を変えるのに
いろんな製品も入れて
いらっしゃいますし
アプリケーションも入れているので
この設定を変えるとどういう影響が出るのか
という影響確認で
1ヶ月くらいかかると思うんですよ
それって
そういうものだっていうのはあるんですけど
そういうところを
もう付け込まれてるっていうところもある
いい自然と
でも
最近というか
ここ何年かの傾向というか
アクティブディレクトリーが
活用されるって
よっぽどのことがないと
なかったっていう
言い方あれだけど
いわゆる標的型攻撃で
国家を背景とするような
攻撃者グループに狙われて
入られるような
特殊なケースっていうかね
そうでなければ
うちは関係ないよねで
ちょっと前までは確かに住んでた気がするんだけど
ここ数年は
さっきのランサムエアの事例だったり
攻撃者が
使う攻撃手法に
1:00:00
あんまりそういう区別がないというか
普通の犯罪者も
普通に入ってきて普通にAD侵害していくし
そういう意味で
対策しなければいけない
層が
広がったような気が
若干するんですよね
そうですねやっぱりクレデンシャルセット
っていうか
視覚情報
ああいうのの対等が
すごくあって
実はそこの契機に
さっきWindows10が
すごいセキュアになってきたって話があるんですけど
そこの契機にWindows10から
Windows内における
セキュリティの境界線
っていう考え方を改めたんですよね
今までって
クレデンシャルセットって
あれってローカル管理者権限がないという
見方でメモリから情報を取れないんですけど
今までって
それに対してWindowsが
どういう風に考えてたかっていうと
コンピューターの中にすでに
ローカルで入っていて
ローカルの管理者権限を持っている攻撃者が
何でもできるだろうと
管理者だから
何でもできるだろうと
セキュリティの境界線の考え方として
管理者権限を取られたら
もう何をされてもしょうがない状態だろうと
だから
管理者権限を前提として
何かの脆弱性を
攻撃が行えるっていうのは
ある意味脆弱性とは考えない
っていうような
極論で言えば
そういうバエンダリを持ってた
だって管理者だもん
なんですけど
そういうことを
そういう境界ではなくなってきた
この耳かつとかが出てきて
それが本当に攻撃に非常に使われるようになって
そこで
インドネシアから
セキュリティバンダリを
ハードウェアルートトラストとか
そういう方向に変えていって
管理者権限を攻撃者が持っていたとしても
侵害されないのに
するべきだと
っていうのが
バーチャル
ハードウェア、バーチャルウェイスセキュリティみたいな
クレデンシャルガードとか
管理者権限を持っていたとしても
資格権限は
管理者権が既に乗っ取られたことを前提として
Windowsを設計していきましょう
っていうモデルにすごく大きく変わった
ですよね
なので10までのWindowsの
セキュリティの考え方と
8.1までの考え方って
ものすごく大きく違うんですよね
そこをちょっと聞きたかったんだけどさ
結構Windows 10の
今のクレデンシャルガードもそうだけど
いくつかの重要なセキュリティ機能が
バーチャライゼーションベースの機能が
ベースになってて
それが使えないやつでは
使えないじゃないですか
そこのハードルが若干高い気がしてるんだけど
そんなことないの?
どのくらい使われてるのかなっていうのは
ちょっと僕知りたかったんだけど
エンタープライズエディションだとか
ハードウェア要件が揃わないといけないとか
すごく高いですよね
それはすごくやっぱり
私たちの問題として考えていて
それで
1:03:00
ついに
セキュア
セキュアコアPCっていうモデルシリーズを
OEMさんとクールで
出すようにしたんですね
まず
セキュアコアPCのラインナップであれば
全部使えますよっていう
それを広げましたと
というのがまず一つと
サービスプロセブンプラスから
全部のエディション
でその
セブンプラスのものであれば
全部規定で有効化した状態で
使っていきますよということで
どんどんハードウェアベンダーさんと
組んで使えるハードウェアを増やして
規定でその状態で
有効化された状態で市場に
出荷するっていうのを今頑張ってる感じですね
僕それすごい
いいと思って最初からやっぱり
機能をオンじゃないとみんな使わないから
そうそう公園とか工芸とかで
セキュアコアPCいいよって紹介してるんだけど
実際のところ
これ使われてるのっていうのが
周りで使ってる人は見たことないんだけど
難しいですよね
エディションの問題もあるんですけど
ハードウェアベースのセキュリティになると
やっぱりそのハードウェアに依存
してくるので
どうしてもチップセット
ハードウェアと
それを出してくださるハードウェアメーカーさんと
協業して
やっていかないといけない
そこの協業に
もうやっぱり力を
手に渡るようにしていて
協業して
ハードウェアさんと組んで
開発もしていくし
市場に手に渡るように
していこう
まさに頑張ってる
なるほど
直近ではその辺と組んで
普及を目指すっていう感じですか
そうですね
なるほどね
なんかでも無料でできることとか
無料で使えるさっき言った
パスワード変えるやつとかもありますけど
これはやっといたほうがいいよとか
いろんな多分
対応されてきてると思うんですけど
上げだしたら
キリがないと思うんですよね
これを保護するとか
このグループに入れといたほうがよかったんじゃないのとかってあるんですけど
あるあるみたいなものとかってあるんですか
ローカル管理者のパスワードを
一緒にしないっていうのが
まず
いろいろな
日本で去年とか起きている事例とかを見ても
事例報告とかを見ても
それがまず要因としてありましたっていうのが
出てくるケースっていうのは
絶えないので
これ
無償なのにっていう
こういう
無念感がある
まずそれは一つ
やっぱキッティングの問題上とか
管理の問題上
同一っていうのはあると思うんですけど
そこをぜひ
見ていただきたいなっていうのと
あとはやっぱ
特権管理ですね
特権を持っている
ユーザーとかグループの見直し
誰が特権を持っていて
1:06:00
その特権の人が
どういう
ステーション
ワークステーションからのみ
登録をできるようになっているのか
ドメインアドビーのレベルなんか
そうそういらないでしょっていう感じ
そんなにたくさんいらないですもんね
そんなにたくさんいらないでしょ
みたいな
その見直しっていうのを
やっておくと
防御の面でも役立ちますし
事後何かあった時の
対応のしやすさがやっぱ
違うと思うんですよね
そこの見直し
まずIRの時間を取られる
っていうのはすごく
ラプスって
あれって
クライアントに配布するじゃないですか
クライアントに
入れますよね
あれってクライアント
こないだちょっと僕ラプスについて
調べないといけなくて調べてたんですけど
あれってローカル側の方にも
パワーシェルは動かないとダメなんでしたっけ
パワーシェルは動かなくても
大丈夫じゃないですか
大丈夫ですよね
そっちは大丈夫なんですよね
パワーシェル元の方のサーバーは動かないとダメとか
そんなやつでしたっけ
あれはグループポリシーで
元のサーバーというか
ADの中に
属性を拡張して入れて
そこにパスワードを変更したら
書き込みに行くように
クライアントを構成する
クライアントサイドテスティングで構成する
っていう動きなんですよ
クライアントに何をするべきかを
設定を入れとくっていうだけのものですね
その
ラプスの管理者サーバー
みたいなのがあるんですけど
それは別に
何かのサービスを入れて
建てるってわけではなくて
ただ単にADのアトリビュートを見てるだけ
なんですね
ただADのアトリビュートに
書き込まれてるのを
誰でも彼でも
DCの上から見れるみたいなことにすると
誰でも彼でも見れちゃうので
Token Workstationみたいなのを作って
権限を絞って見れるサーバーを絞って
アクセス権限で
このサーバーに電子とかこういう人がいないように
しましょうという風にしてる
のでそういう意味で
サーバーがいるんですけど
サーバーを用意しましょうっていう風に書いてるんですけど
そのサーバー自身に何かの
サービスを入れて動かすというわけではないです
結構じゃあそんなに
ハードル高くなく
入れやすくはなってるっていう
ところなんですかね
そうですね
あれ使われてるところって
あんまり僕の見てる範囲と
知ってる範囲ってあんまりないんですよね
そうですね
ちょいちょい
入れてますっていう環境とか
どういう風にやりましょうっていう
お問い合わせとかは企業さんから
Microsoft Supportに寄せられているものが
ありますし
日本語で
日本語版の解説
リーダーガイドを作ったんですけど
1:09:00
あれを出してから
結構これをやってみたいと思って
どうしたらいいですか
みたいな問い合わせとかが
昨日とかがやっぱり日本語を
作ってよかったなってその時に
ダウンロードするの結構
ありますしね
ラプス入れられなかったけど
この設定を
オンにしたっていうのを聞いたことがあって
ネットワークからこのコンピューターに
アクセスを拒否するみたいなやつあるじゃないですか
あれをオンにしてラプスは入れずに
こっちにしたとか聞きましたけど
せめてこれをみたいな
それもありますね
これやっといたらいいよ
設定のうちに
私が一つ
設定してるんですけど
LSSSっていう
資格情報とか
絵の管理してるところに
ティルダーガイドで
禁止するとか
メモリーに残さないようにする
クレデンシャル部分を
メモリーに残さないようにするとか
いろんな各種設定があって
そういうのとかも
設定でできるようになってるんですね
LSSSとかだったら
レジストリを変更すると
耳かつが
エラー入って聞かなくなったりとか
っていうのもあるでしょうし
フィルタドライバー入れないようにしたら
いいんですけど
ただLSSSにフィルタドライバー入れるっていうのは
パスワード管理とか
パスワード無くなった要件とか
要件とかするために
パスワード管理系の
ソフトでやってらっしゃる場合があるので
なかなかちょっと難しいっていうのは
あると思うんですけど
いろんな各種設定があって
そのうち
取り入れやすいものを
見ていただくと
これ一撃で
全部防げますって
やっぱないじゃないですか
シルバーブレッドがないってやつ
なんですけど
防げるというのを見ていただくと
やっていただくと
効果は相乗して
出てくると思うので
そうですね
いろんな設定とかありますし
プロテクテッドユーザーグループに入れると
パスワードキャッシュしなくなるとか
あったりするじゃないですか
いっぱいあるけど
できるやつからまずやろうっていう風な
発信もしないといけないのかな
そういうおすすめのガイドってないんですか
設定ガイドみたいな
ドックスに全部ありまして
ADをセキュアにするために
特権管理をしましょうとか
こういうのをしましょうっていうのが
全部ドックスの上に
ありましてかつ
今から始めましょうっていう組織のために
まず
先のフェーズ1として
まずこういうとこから手をつけましょう
フェーズ2として
中長期的にこういうところをやりましょう
フェーズ3として
設定していきましょう
段階的にこういうのはまずやっていってください
っていうガイドもあるんですね
なのでそういうのを
どこから手をつけていいのか
1:12:00
みたいな方はそういうのを見ていただけると
そういうのはね
もっと知られると多分いいですよね
あとはあれかな
なんかそれをいじったりとか
これをちょっと入れたりすると
他が動かなくなるんじゃないかっていう
漠然とした恐怖感が
こういうのを邪魔しているところも
あると思うんですよ
はい
まさにそうで
ADのやってもらうときに
絶対にこれってどういう副影響が出るのか
っていうのを確認しないと
適応できないので
私がいつも心がけて
こういう設定はこういうものなので
こういう懸念があります
こういうところに影響が出る可能性があるので
こういうチェックをしてから
テストしてから
入れてくださいとか
そういうのを加えるように
心がけてるんですね
ADを守るとか
Windowsを守るための
おすすめ設定
無料でできるおすすめ設定
でもここは気をつけてね
これが動かなくなったっていう
慣れ地があるみたいなものとかって
結構重宝されるんじゃないかなと思うんですよ
そこをクリアにすれば
今よりももう少し
やってみようかなっていうのが
ハードルが取り払われるんじゃないかな
って思うんで
ユリカさんそういえばブログ始めるんでしたっけ
そこかそこか
それは公式に書いても
いいかもしれないですけどね
公式の方がいいですよね
おすすめの設定の時に気をつけるべきこと
みたいなものばっかりまとめられてたり
とかすると
今年の目標はね個人ブログを始めることなんですけど
なんかこう
自分が知られてて書けたいことがあると
すぐ公式に書いちゃうんで
逆バージョンいいんじゃないですか逆バージョン
おすすめの
セキュリティ設定したらこれが止まった
みたいなことを全部
ナレッジにしていくっていうのって
ADは情報システムの部分が
大体やるだろうから
やっぱりなんか影響ありそうなやつって
どうしても手つけたくないんですよね
彼らはねたぶん
止まったら責められるからね
そうなんですよ
それはすごく重々承知で
結構そういう意味で
こういう可能性がありますっていうのは
すごい
いろんなところに
KBアーティクル
KB情報に
意外に結構書いてたり
するんですね
そういうのを
どんどん発信していこうというのも
してますし
MS製品
以外の製品と
使われてることが多い
組み合わせで発生する問題ってすごく
多いので
組み合わせで発生してる問題にも
ちょっといろんな
関係上ベンダーの名前を流し
して書いたりとかできないことも
あるんですけど
そういうのをまとめて
サポート締結してるお客さんには
場も出していったりだとか
あまりにも
大きな問題のとき
1:15:00
大きな問題が発生する可能性があるときには
ちゃんとKBに書いていったりだとか
月曜の
月曜のパッチのときには
事前テスティングをやってるんですね
なので
事前にパッチを
これくらいかな
世界で200社以上かな
の環境とかに
事前に入れてもらって
そういう
副作用が発生しないかをテストして
発生した問題があれば
事前に直しますし
直さないというか互換性の問題
というようなものであれば
パッチの当日にきちんと
KBに書けるようにして注意喚起を
流していくとか
そういう取り組みを実はやっていて
こういうADのところでも
一部ホワイトペーパーに
結構書いてあるんですけど
もっと進むと
受け入れやすいかもしれないですね
知ってもらうということよりも
不安を取り払ってあげるという
取り組みっていうのとか
どうしてもさっきの冒頭のほうの話でも
出てましたけど特権ユーザーが
権限昇格されるとか
何か1個か2つぐらい
ハードルを超えた後にやられること
という印象が強いと思うんですよね
なのでそういったものって
メール一発開いたら終わり
なわけじゃないですか乗り越えられてしまうし
なのでこういうシナリオで
危ないから気をつけてね
っていう風な啓発の仕方も
ちょっとしていかないといけないかな
と思うんですよね
リモートだけが脆弱性じゃないよね
っていう風なことはもうちょっと強めに
僕も言っていきたいなとかって
今日の話を聞いてても思いました
だいたい僕らが疑問に思ったり
こうしたほうがあって
思ってることは
今日聞いた感じだと
だいたいマイクロソフトはやってるね
まだまだ足りないところはありますので
やってる
既に認識してるっていうか
よく考えてるなと思って
ちゃんとそこまで考えてやってるな
バランス取ってやってるな
そういう配慮がすごくあるな
っていうのは感じた
それがもっともっと知られるといいのかな
っていう感じですよね
そうですね
呼ばれればどこでも参上する
いろんなところに今年は出ていきたいな
と思いつつ
こじブラグも始めるし
逆に
今日これ喋りたいことできたから
ちょっと来週くらい出してくれへんかな
そんな感じなんですか
そういう出方あれだよね
こういうこと考えてんねんけど
突っ込んでくれへん
でもその
私たちの歴史もいろんなフィードバックを
受けてきた歴史なので
本当に何でもあれば
別にツイッターで言っていただいても
それこそなんか
こういうのあったらいいのになって言われて
書いたブログとかもあるんですよ
日本語のドメインテイクオーバーの
ケーキとかも
あるしから
1:18:00
こういうの
日本語のドキュメントがないから
あったらいいのになみたいな
言って
じゃあブログ書こう
いいですね
そういう機敏な動き
僕もそういうの言おうかな
ぜひぜひ何でもあったら
バンバン言っていただければ
今すぐ1個あるんですけど
1個言っていいですか
さっき
言いそびれたんですけど
脆弱性のヤバさみたいなものを
表すときパッチのやつで
緊急重要警告注意
でしたっけみたいなやつが
上から順番にヤバいものから言っていくじゃないですか
なのに
エクスプロイタビリティインデックス
悪用可能指標性って一番ヤバいやつが
ゼロなんですよ
逆にしてほしいなと思ってね
だって危険度って
数字が上がれば上がるほどヤバいじゃないですか
紛らわしいと
影響度ゼロって言ってるのに
悪用の事実を確認すると
一番ヤバいじゃないかみたいな
それはさぁ多分ね
ワールドマイドで調整が必要だから
これでもちょっといいですか
もし変わったら
俺が言った案件にしましょう
誰か他にも言ってるってきっと
絶対言ってますよね
言いつくことは誰かが言ってる
それはなんかの
アラートのゼロが一番
ゼロってか数字が小さい方が
高いっていうアラートの
モデルに従ってるんですよね
確か
ちょっと今ウロウロなんですけど
そういう下がって
小さいのが高いモデルになってるはず
なんですよね
でも
意地フィードバックですね
受けたまりました
もう多分
秒殺で却下されたやつ
いやいや
でもなんか
幅広いことでも
言っていただけると
本当に
私たちもすごくありがたいですよね
どういう風に使われているかって
提供している側からは
見えないので
やっぱその
セキュリティパッチとして
対応している側としては
リスターさんにインストールされて
守られているまでが
パッチの提供なので
もう遠足みたいな
そうなんですよ
パッチは出して終わりじゃないんですよ
なるほどね
リスターさんもマイクロソフトの
パッチについて言いたいことがあれば
バンバン言いましょうと
ハッシュタグをつけてね
聞いている方には
言っていただければ
ゆりかさんも見ていただけるんじゃないかと
ハッシュタグはゆりか先生か
そんなハッシュタグ作ったら
恐れ多すぎません
ゆりか先生の
アレとかですかね
普通にセキュリティのアレでいいと思いますけど
ということで
1:21:00
聞きたいことも話したいことも
山ほどあるわけですよ
結構喋ってますよ
全然時間足りないですね
また来てもらいましょう
呼ばれればいつでもどこでも参加しますので
今日はそんな感じですか
そうですね
またこのゲストに来ていただければなと
もしくは逆に出せよと
言っていただければなと思います
今日はありがとうございました
ありがとうございました
みなさんバイバイ
01:21:35

コメント

スクロール