00:00
なんか今日はあれですね、収録屋で今日はみたいな感じしないですよね。 なんで?
昨日会ってるもんね、僕ら。 そうかそうか、確かに。
なんかこう普段さ、なんかこうチャットとかなんてことないチャットとかすることはあっても、音声でってなるのは基本週1回じゃないですか。
毎週のこの収録でね。
なんで今日も声聞けるなって一瞬思ったんですけど、昨日も聞いたやんけって思って。
毎週の感じで思ったんですけど、昨日追ってるわみたいな感じでね。
いや昨日は収録お疲れ様でした。
はいお疲れ様でした。
多分このポッドキャスト聞いてる方も何度か参加してくださっている方もいるんじゃないかと思う。
マイナミのセミナーの収録でして。
あれもう何回?10回くらいやってる?
11回目です今回。
11回目やってんのか、すげーな。
すごいそれは。
いろんなねスポンサーの方も、僕らのパネルとかもあったりするんですけど、スポンサーの方が喋った後に僕ら専門家枠というか、人が質問をするっていうね。
立て付けやってる。
聞いてる人の声とか直接あんまり聞いたことないけどさ、やってる僕らも結構楽しいよねあれね。
めちゃめちゃ勉強になりますよ。
勉強になりますよね。
僕らもほら1参加者としてセミナーに参加したら質問する機会はあんまりないじゃないですか。
特に今ほらリモートやから講師捕まえて聞くってことってできないので。
だからそれを聞けるっていうのはね、かなりこう自分の理解も深まるというか聞きたいこと聞けるんで。
定期的にやると我々の勉強にもなるななんて思って参加してるっていうかね。出演というよりは参加っていう感じで言ってるんですけど。
なんか今回のやつはちょっと回を重ねてきてっていう感じなのかな。
なんかこう、あんまりお金の匂いはしない感じのセミナーでしたね。
どういうことそれ。
やっぱり製品とかサービスっていうのはやっぱりPRする場でもあるわけで。
なるほど。いい意味でそういう押し付けっていうか売り込みっぽい感じがしないってことか。
そうそう。なんていうのかな。
だいたいね、それはいろんなスタイルがあるんだと思うんですけど、そういう製品サービスみたいなものを紹介する枠っていうのって
だいたい40分から45分ぐらいじゃないですか。
それのほとんどが製品の話って多いイメージなんですね。僕は。
それが目的だもんね。
でも逆で、僕あれ逆だと思ってて。
本当に4分の3以上、最近の話とか事例とかそういう話をして
興味あったら製品で解決できるのはうちあるんで、よかったら聞いてくださいよぐらいでいいんちゃうかなと思ってるタイプなんですよ僕は。
03:01
続きが聞きたかったらこちらへどうぞ的な。
そうそう。だって全部話しちゃったら営業に聞こうと思わなくないですか。分かっちゃって全部。
そうですね。確かに。
そういう攻め方もあるよね。
そういう意味で、お金は出てきて当然ですし出てきて悪いわけではないんですけど
事例だとか、お客さんの要望ありきでやったものを製品にしてみましたとか
うちの取り組み困難でこういうこと調査してますとかっていう感じがちょっと強くて自分自身が事例だったりとか
確かに今回はそういうのがちょっと多かったかもね。
なのでちょっといつもと違う感じでした。僕も参加してて。
確かに確かに。毎回そういう意味では同じような商品とかサービスばっかりで紹介してるわけではないから
毎回特色があって面白いよね。
そうですね。
これいつでしたっけ。3月の10日でしたっけ。配信されるの。
10日かな。まだちょっと先だね。
もしよかったら参加してみていただければ。どんな感じなんかみたいな感じで見てもらってもいいのかなっていう。
確かに。
用紙を見てもらう感じでも。
URL貼っておきますので見ていただければなと思います。
よろしくお願いします。
あと一個ね、ちょっと告知じゃないんですけど
Twitterアカウントができまして。
何の?聞いてないよ。
アイキャッチーの。
アイキャッチーに使ってるあの絵結構いろいろ頼りとかもいただいて評判いいじゃないですか。
あれ素敵だよね。
その絵を描いてる方がこれまでのアイキャッチーの紹介でどういう意味でこういうのを作ったかとか
あとはなんかこれを結構聞いてくださってるみたいで
聞いたことの雑談とかのやつを絵にしてみたりもしてみたいなーみたいなことをおっしゃってて。
それいいで嬉しいね。
それのアカウントができたと。
この間のバレンタインの画像まではさっき見たら全部貼ってくれてて。
マジか。教えてよ。
例えばバレンタインのやつだったら
ネギスさんはアイシングクッキーで僕はチョコレートでカンゴさんはパティシエですと。
僕のチョコレートのモデルになったやつがソニープラかどっかに売ってたらしくて
それをヒントに僕の感じにしたみたいな。
ちなみにそのチョコレートのモデルはパン一でしたみたいな。
僕はパン一ではなかった。タンクトップ着せてもらってる感じではあるんですけど。
パン一も面白いな。
だからこのアイキャッチーのやつを過去から振り返ってみたりとかして見てみるのも
そういう理由で書いてるのかとかで僕も聞かされてないんで
単に絵だけをポンと送ってくださるんで。
なるほど。
そうそう。だからもしよかったら皆さんね。
昨日一昨日ぐらいにできたみたいなんで。
06:02
それちょっと見てみてもいいんじゃないかな。
後で見てみよう。
ということでございます。
はい。お便りが来ております。
お願いします。ありがとうございます。
本当にこのポッドキャストのリスナーの人たちは層が厚いというか
滝に渡るんやなって思わされたツイートがあったんですけど
前回のタイトル覚えてます?
何だっけ?
なんとかスペシャル。
それ毎回やから。スペシャルついてなかった時ないのよ。
前回はですね。第168回ロマンスカルテ集計愛に気づいてくださいスペシャルっていうスペシャル。
それに対してですねお便りが来ておりまして
もしかして結成30年ってことでタイトルに取り上げてくれたのでしょうか?
前世紀から今に至るまでライブ行ったり新譜買ってるファンです。
何気にグレーと同じぐらい活動を休止していない方々です。
ロマン以外もおすすめです。というお便りをいただいております。
え?
気づいてないですか?
そのツイートを見たんだけど、それ見て気づいた。
そうですか?
ごめん。俺ねこれ全くノーマークっていうか全然知らなかったんだよね。
そうですか。
僕、ねぎしさんがロマンス詐欺の話をしてる時からずっと頭の中で流れてましたもん。この曲が。
音楽系はコツイさんが言ってくるやつとか結構昔のやつとかもあるからまあまあわかるんだけど
これはね全然知らなかった。
そうですか。ペニシリンというグループなんですけど。
何かに欠けてるんだろうなぁとは思ったけどタイトル読んだ時に。
元ネタあるやろうなぐらいは分かった。
あるんだろうなとは思ったけど元ネタは知らなかった。
そうなんですね。これも僕高校生ぐらいの時かな聞いたの。
そんな前なんだ。
それぐらいじゃないかな。高校生ぐらいの時に出てきたんじゃないかなこのグループ。
ちょっと曖昧ですけどね。高校1年生か20歳21歳ぐらいって結構ごっちゃになっちゃうんですよ。
そうなんだ。
時期的にこれぐらいって言ったらその間には入ってんねんけど18かと思ったらやっぱ21やったとかそういう感じのあったりするんですけど。
でも僕これ結構ちゃんと知っててですね。30年っていうのを知ってました。
さすが。
これ引っかかって、元ネタこれやったら気づく人はいるかなとは思ってたけど。
だって思いっきり歌い始めと曲のタイトルが入ってるから気づくけど。
曲知ってれば分かるだろうね。
でも30周年までちゃんと拾える人がこのリスナーの中にいるとは思わなかったですね。
確かに確かに。
09:00
すごい層が厚いというか。
リスナー有能すぎるね。
あれですごいなっていう感じでしたんで。
これを機にねぎしさんもこの曲聴いていただいて、どっかでセミナーとかでお話しするときには別名合いに気づいてください詐欺ですと言っていただければいいんじゃないですか。
なるほど。
その後の空気は誰も保証してくれない。
確かに。
その時にもし滑って辛かったら僕が抱きしめてあげますよという感じでございます。
もう一つですね。これは僕に対してでもありお二人に対してでもあるな。
辻さんの盛り上げ冒頭小話に二人が冷たい。
それはいつものことだな。
優風な僕に対する優しさかなと思ったらその後に疲労の話なんだからもっと疲労をよという。
上手いな上手いね。
すごいですね。
辻さんより上手いね。
本当に。
これに対してLINEスタンプがあるじゃないですか。
リスナー側が仕掛けた時の辻さんの油断も隙もないっていうのもスタンプにして欲しいという。
確かに。俺よく言うかもね。
たまに言ってますね。
本当に油断も隙もないもんね。リスナー誘導すぎるからね。
そうなんですよ。
すごい完璧なツイートだなと思ってね。
すごいね。
だって自分で話を振ってきて結局自分が上手いこと言っといてみたいな。
で、辻さんに油断も隙もないっていうところなんだよね。
これはちょっと候補に入れとこうかなと。
確かに。
分かった。じゃあちょっと頑張ってこれからもっと拾っていくわ。
そんな無理に拾われても違和感出てくるから。
確かに。
適度がね。やっぱり大事ですね。
次が最後の便りです。
ある人のツイートを引用してですね。
これはありかなしかみたいな標的型攻撃メールの訓練はどうあるべきかを取り上げてください。
このポートキャストでもねちょいちょい。
たまにそういうネタくるね。
そのツイートっていうのがですね。
人事役員から前者宛メールにて怒りのメールというパターンで来たみたいなんですね。
その怒りのメールの内容が
昨晩オフィスで宴会をしたやつがいてゴミが散乱してた。
当社社員としてはずべき行為。
写真の状況に心当たりのある者は早急に名乗り出るべし。
っていうメールが来てたんですって。
でその写真をクリックするとフィッシングメールの訓練ですっていう風になるやつみたいな。
12:03
ほうほうほう。
写真をクリック。はい。
そうそうそうそう。
まあこれが何かこう。
まあ分からないんですけどこのツイートいろいろ見てると社内のアドレスで来たっていう風に書いてあったんですよね。
本当に社内のアドレスで送って偽装して送信元のサーバーとかが実は違っていて
社内のアドレスに偽装してきただったらまあ訓練っぽいけど
ほんまに社内のアドレスで社内のサーバーを送ったらちょっと訓練感ないなって気はちょっとしますよね。
何を目的とした訓練なんだろうな。
そこちょっと不明確かな。
確かにそうですね。
もしかしたらもっと細かい情報があるのかもしれないですけど。
そうですよね。だから目的が何かによるんですよね。
例えばその前者向けに送るメールって会社によったらテンプレートとか送信元のアドレスとかって制限されてる場合あるじゃないですか。
うちなんかもそうなんですけど前者メールってペッて送れないようになってるんですけど
そういったのから来るわけ、こんなふうな前者宛てに来るわけないでしょっていうのに気づいてくださいなのか
何なのかによりますよね。
フィッシングも一般的には外から来るっていうか
身内のアドレスっぽく見せかけて外から来るのに気づきましょうみたいなのはわかるし
あとアカウントが乗っ取られたケースで社員になりすまして社内の他の人にメールを送ってくるっていうケースも報告されてるので
例えばそういうその普段この人がしないような内容だなっていうのに気づいてほしいっていうような意味で
通電をするっていうのはありかもしれないだけど
普段怒らないような役員の人から急に怒りのメールが来たら違和感を感じろみたいな
そうそうそういう連絡とか来そうもない人からなんか変な連絡が来るとかっていう
ちょっとわかんないけどね。どういうところに違和感を感じろって言ってるのかがわかんないと
ありかなしかっていうのもちょっとよくわかんないけど
ちょっと何が目的となのかそれだけ聞くとわかりにくいなっていう印象はあるな
僕も同じようなことを思ったんですけど
結局訓練って開いてしまわない方がいいに決まってるけど
開いた時にどう正しいアクションを取るかっていうのが訓練って名のつくものだと
よく言ってたんですけど今回のこれを見て目的なんなんやろうなとかいろいろ考えた結果
そのフィッシングメールでしたっていう種明かしの時とかに
どういう意図で何を学んでほしかったのかっていうことを
そのメールの内容に照らし合わせた説明ってのがなかったら
ダメかダメとか良くないなって思いましたね
そうだね。そういう訓練とかをサービスで提供している場合とか
そういう種明かしも含めてこういうふうに今後気をつけましょうみたいな
そういうコンテンツが表示されるとかそういうパターンもあるよね
15:01
今回はこういうことを意図していましたっていうね
前者メールって普通人事役員から飛ばせないようになってるんですよ
ご存知でしたかとかっていうのがあると気づきもあって
そうなんやと思える意義のある訓練になるのかななんてことをちょっと思って
勉強になりました僕も考えるきっかけになりましたね
本当にそれを受け取ったのかどの会社のどういう訓練なのか全然知らないけど
もしそういう当事者にこの声が届いてたらぜひ教えてほしいね
そうですね確かに確かに
何を目的としてどういう意図でやったのかみたいなのは知りたいよね
そうですね
そんな感じでお便りをいただいておりましたということでございます
お便りねどんどんまだまだいつでも待ってるんで
シャープハッシュタグセキュリティのあれをつけてツイートしていただいて取り上げたら
ステッカーの印刷コード差し上げますのでよかったら感想とか
こんなニュースありましたよとかでもどんなことでもかまわないので
お気軽にツイートいただければ嬉しいなと思っておりますよろしくお願いします
はいお願いします
中国語でセキュリティのお話に入っていこうかなと思うんですけども
カモさんからいきましょうかね
はい私から聞かせていただきたいんですけども
今日はつい先日報道で出ておりました
前橋市の教育委員会不正アクセスを受けた事件というのが
これ2018年に公表されたんですけども
その件で当事者というのか前橋市と実際に
実際に構築などの構築運用の対応に当たられていた
NTT東日本ですね
その間で損害賠償の裁判が行われていたんですけども
2月の17日に前橋市の地裁ですね
前橋地方裁判所の判決が出たという報道が出ておりまして
すみませんこれは事前に読まれておくんですけど
判決全文を読んでなくて
あくまでも報道されている内容を
前提にお話をさせていただく感じになってしまうんですけども
内容的には裁判がそもそも
どんな事件だったのかというところが
少し振り返った方がいいかなと思っていて
だいぶ前の話でもあるので
こんな時間かかるんだなと改めて思ったんですけども
もともとは2018年の3月に
前橋市が教育委員会で運用している
MENETという公務ネットワークというんですかね
学校の公立校とかをネットワークで結ぶシステムなどが
運用されていたんですね
授業とかそういった情報を取り扱っているシステムというのがあってですね
18:01
その中の一部のサーバーに対して
不正アクセスを受けてしまっていたというのが
2018年3月に発覚をしたという話でして
この原因をその後調査したところ
どうもその構築をした際に
ファイオールの設定に不備があって
有効に機能していないという
そう言われている状態であったというところであったんですけども
これ後日調査委員会というんですかね
検証の報告書というのが出ておりまして
多分それが一番正確な情報だとは思うんですけども
その中の記載されているものとしては
ファイアウォールその問題となったファイアウォールの
試験は一応されてはいたという記録は残っていてですね
その不具合といいますか不備というか
本来は到達できないようなリクエストについて
当然到達しないことを確認したという
そういったテストには結果としてOKになっていたんですけども
事実としてはそうなってはいなかったという
状況でありまして
外から中に繋がる状態が実装されてしまっていたと
そういった状況ではあったんですね
ヒアリハットじゃないんですけども
この不正アクセスが起こる手前からも
運用的な部分というところも含めて
問題点というのがいくつか指摘はされているところで
例えば保守契約
前橋氏とNTT東日本の間で契約締結してるんですけども
契約書上に定例会開催する
大体書いてあるんじゃないかなと思うんですけども
よくありますよね
ただそういった定例会などが開催はされていなくて
あるいはその月次的な報告というのも
その当時はなされていなかったということで
そういったところがコミュニケーション的な問題なども
普段からあったんではないかなと
あとはその不正アクセス以前に
こういったの繋がっちゃうんだけど大丈夫?みたいな
問い合わせみたいなのもあったというところではあったんですけども
それも当事者にしっかり問題という形で伝わらずに
結果的に不正アクセスが起きるまで
そういった問題が解消されないままになってしまっていたという話であったりとか
セキュリティアップデートがしっかりなされていなかった
なんていうのも報告書にはあってですね
その報告書の内容だけ見ると
どうしてそうなった?みたいな状況ではあるんですが
こういった諸々のところが
今回の裁判の方にどこまで認められたのかっていうのは
21:03
ちょっとすみませんさっきも冒頭申し上げたんですが
判決文ちょっと読んでないので
ちょっとはっきりしたことは申し上げられないんですけども
報道で出ている情報としては
契約締結においては
ファイアウォールをやっぱりちゃんと設定していなかったと
本題は適切に設定をして通信制限を行う
そういった責任を負っていたということを認めることが相当だということで
マイハッシーはですね
いくらだったかな
約1億7千万円ぐらいの損害賠償を
これを要求をされて
請求されていたんですけども
それに対して1億4千2百万円ですね
ほぼほぼ
結構ガクッと減るわけでもなくって感じですね
はいですよね
ほぼほぼ認められるような形で
確かNTT東日本の不法行為などは認められなかったんですけども
大部分においては認められるような判決ということで
1億4千2百万円の損害賠償を認める判決が
地裁で下りたということでありまして
SNSなどの反応を見ると
賛否両論というか
当然そのマイハッシー氏側も
委託をする側の立場として
しっかり責任を負うべきではないかという話が
確かこの事件が大夜刑になってからも
そういったご意見というんですかね
そういった考えというか
主張されてらっしゃる方結構いらっしゃったかなとは思うんですけども
そうであるにも関わらず
結構そのマイハッシー側の主張っていうのが
認められる形で判決が出たっていうのは
結構衝撃ではあるなと
どうなんですかね
僕そんなに追っかけてたもんではないんですけど
でもこれちゃんとしてますって
例えば一番この話の中心なのは
ファイアウォールの設定だと思うんですけど
そうですね
先ほど寛吾さんがおっしゃっていた
設置した後って基本テストするじゃないですか
本当にそうなってるかみたいなやつも
した上で大丈夫ですって言っちゃってた
そうですそうです
はい言っちゃってたということですね
それでさっきSNSとかで賛否ありますって言ってたのも
Pの方に関しては
そういう風に言ってても
自分たちでも確認した方がいいんじゃないのってことなんですかね
マイハッシー側も受け入れの試験っていうのは
一応やってはおられたと
自分たちでね
当然ちょっと技術的な深い上まで
どこまでできるのって話は当然あると思うんですけども
やってはいたということではあるんで
だからその片方だけが悪いんじゃないんじゃないの
っていう意見があるってことなんですか
そうですね
詳細がわからないと何とも言えない部分もあるんでしょうけど
受け入れテストもどれぐらいのものやってたのかとかっていうのもあるし
24:04
難しいですねこれなんか
結構難しいなと思うのと
あと前々から言ってはいますし
あと最近も似たようなSNS多いんですけども
ネットワーク制限
ネットワークアクセスの設定を
やっぱりちゃんとやっておかないと
当然こういうアクセスに直接繋がりますし
裁判でもこういったケースが
責任をしっかり負うべきだっていう形で
判決が出たっていうのは
結構事業者側からすると
え?っていう形で
改めてじゃないとは思うんですけども
しっかりそもそもそういったところを含めて
ちょっと契約なされているかとかも含めて
ちょっと契約範囲外だから
十分にできてませんでしたっていうのが
下手したら通用しないように
なるかもしれないんじゃないかと
なるかもしれないかな
ちょっとNTT東の
東米東の今回のケースっていうのが
全部のネットワーク設定不備と
全く同じケースかっていうと
私は結構けうなっていうか
そうはないんじゃないかなとは思いたい事例ではあるんですけど
そうは言っても
何らかの不適合っていうのはやっぱり
人間が作業する以上は起こる可能性っていうのは
全くゼロではないので
そういったことが起きた時に
どっちが責任を負うべきかっていうところが
今回このちょっと裁判
ちょっとNTT東日本はまだ
詳細確認してないので回答差し控えるという形で
正直わからないんですけども
この辺っていうのは
今後も含めてちょっと動きとしては
気になってくるところかなとは思いました
これちょっと今すぐ
どの案件だったか名前思い出せないんだけどさ
今回の事例とは違うけど
ファイアウォール設定とかじゃないけど
開発系の受け負いかなんかの案件で
契約に明記はされてなかったけど
脆弱性の対処が不十分だったかで訴えられて
全面的に負けたケースかなんかあったよね最近
ありましたね
ちょいちょいだからそういう開発とか業務委託とか
いろいろケース
契約のケースはいろいろまちまちかもしれないんだけど
よく契約に明記されてなかったから
自分たちの責任とは思いませんでしたっていうのは
ちょっと通用しないと思った方が
ベンダー側は安全だよね
安全だよねというか
そういうのも含めて契約書にあらかじめ明記しておこうって
やるのが望ましいけど
なかったとしてもないから責任ないって思っちゃうと危ないし
積極的にこれ言った方がいいよね
仮にやらないようにしてもさ
27:00
こういう状態だけどこういう情報あるけど
どうしますかみたいな契約書にはないけどどうしますかみたいな
なんか言った方がいいかもしれないよね
そうですよね
お客さんが言ってこないからいいやぐらいな感じだと
結構危険かなっていうのはやっぱり思いましたね
海外はともかく日本ではこの辺の契約投資で
裁判沙汰になるってことは必ずしもそんなに多くはないので
そうですね
お互いにちょっと異根が残るというか
なかなか難しいところもあるから
だけど事例としてないわけじゃないし
もしもベンダー側は有利ってわけでもないから
契約にないじゃんっていうのは通用しなくなってるなっていうのは
そうですね
ちょいちょい事例で見かけるんで
だから今回の受け取るときもやっぱりかというかまたかっていう気がちょっとしたので
なるほど
そんなに驚きではなかったし
ベンダーサイドとしてはこのあたりちょっと十分注意しないとダメだなという
そうですよね
それは本当に思いました
あと全然関係ないところで気になったんだけど前橋氏だよね
前橋って言ってました?
ずっと前橋って言って
ごめんなさい前橋氏ですすいません失礼いたしました
大変失礼いたしました
前橋氏ですね
確か前橋氏だよね
なんかどうなんかななんか書いてなかったからって言って
安心できないっていうのももちろんあるし
その辺の取り決めですよね
じゃあ何でもかんでもやらなあかんのかってなったら成立しなくなってくる部分もありますしね
気づいてんねやったら言ってよみたいなそういうもんでもないと思うんですよ
きちっときちっと決めとかないと再現なくなるんで
確かにキリがねどこまでってのありますもんね
ですしあとはちゃんとお金を支払ってこういう仕様でやってくださいっていう風にやってもらってたにしても
結局何か被害が起きたときにはそのベンダーと発注者以外の人が不利益を被ることになるわけで
双方で何とかしていかないといけないだから契約はっきりちゃんとしとこうよっていう握りの部分なんでしょうね
べき論ですけど
これまではそこらへんが曖昧でもなんとなく
なんとなくあうんのこきゅうでさうまくいってたんだろうけど
多くの場合ではまあだからそれがうまくいかないケースでこういうのはね
出ちゃうっていうのが問題なんで
多くのケースではだからそこまではっきりしなくてもまあお互いにちゃんとやるべきことに当ててうまくいってるんだろうと思うんだけど
はい創新自体です
そうそうそうそれでは済まされないケースがあるよってことだよね
ネギさんがおっしゃったみたいなこのあうんのこきゅうでこうなんとかうまくやってこれてた部分っていうのが
多い状態はなんかすごいコストもかからなくていいのかなと思うんですよね
30:00
でもこういった例が出てきてこういうことがあると
こっちの責任になってこんな金額要求されんねやってなったら
今までフワッとしててちゃんとできてたことではなく
契約がきちっと縛られてしまって結果的に何か何もしてもらえなくなってしまうみたいになる可能性もあるわけですよね
当然そうなりますよね
どっちがどっちがいいのかちょっとよくわからへんなみたいな
ベンダー側もちょっと守りに入っちゃうと思うんですよ
いやなると思うんですよね
めちゃくちゃ
なのでそうですねそれが本当にいいのか悪いのかわからないですけど
そうならざるを得ないんでしょうね
お互いにとって不利益にならず
あとさっき水谷さんが大事なこと言ったけどさ
実際の被害を被る当事者がこれを使っている人っていうかさ
今回のケースだったら学校の生徒さんとかが被害に実際にあったわけなので
そういう人たちにとって不利益にならないようにするにはどうするかっていうのは
今回たまたま不幸にも裁判になっちゃって敵味方っぽくなっちゃったけど
実際にはお互いに共存の目的に向かって取り組むべき仲間なわけではない
そうなんですよね
お互い一緒の目的を実現するわけなんで
そこらへんうまく取り組めるようにしていかないとダメなんだろうね
なかなか難しい問題ですねこれは
ありがとうございました
じゃあ次はねぎさんですね
私は今日はですねちょっと信用ならない小ネタシリーズでいきたいと思うんですけど
信用ならない小ネタシリーズっていうのはもうそれは小ネタじゃないやつですね
もう自分から言っちゃうけど
今週はですねアトラシアンという会社から従業員の情報が漏えいしましたっていう事件があったので
これを紹介したいんですけども
どんな経緯だったかというと今週の水曜日くらいかな2月15日に
シーズドセックっていうそんな有名じゃないんだけど
あるハッカーグループがテレグラム上
最近テレグラム多いよなよく使われてるけども
テレグラム上でアトラシアンの従業員情報を盗んでやったぜみたいな感じで
データをリークしましたと
でこれを見つけたメディアが報じて発覚したというそういう感じの経緯なんだけども
リークされたデータってのは何だったかっていうと
13000件くらいかな
JSONのデータで従業員情報が入っているデータなんだけど
見たら重複とかも結構あるんで
実数で言うと多分7000人くらいの従業員の情報が含まれていて
会社の所属の部署と名前とメールアドレスみたいな情報が含まれていますと
あとその他にシドニーとサンフランシスコのアトラシアンのオフィスのフロアマップみたいなのも入っていて
33:05
それが圧縮ファイルで固めてリークされたんだけど
ローエスト従業員情報というのはよくよく見ると
エンボイっていうアプリケーションのデータっぽいですねというのが見ればわかるんだけど
エンボイって何かっていうと実はこれもアトラシアンと同じでオーストラリアにある会社の名前で
よくいろんな会社にあるけどオフィスの座席表のデータとか
会議室の予約のシステムとか
そういうオフィスを使う上で必要なサービスとかをまとめて提供しているのがそういう会社なんだろうねこのエンボイっていうのは
アトラシアンもそのサービスを使ってましたということで
そのデータがどうも漏れたらしいということまでがわかって
メディアがアトラシアンに問い合わせたら
なんて答えたかというとアトラシアンはそれはエンボイから漏れたデータですと
自分たちのアトラシアンのシステムも顧客のデータも安全です大丈夫ですみたいな
そういう回答をしちゃったのね
一方のエンボイの方もうちのシステムは別に不正侵入されてませんと
うちから漏れたデータじゃありませんと
調べたんだけど多分アトラシアンの従業員の人の情報が漏れてそこからやられたんじゃないですかみたいな
お互いに自分たちじゃありませんっていう回答を出しちゃったわけよ
ぐるぐる回ってますね
そうでなんでそのメディアもお互いに責任なしつけてるみたいなそういう報道をしちゃって
なんだこれはみたいになったらその1日2日後ぐらいにアップデートがあって
結局どうなったかっていうと両者のセキュリティチームが一応協力して調査をした結果
エンボイが言ってることが正しくて
実はアトラシアンのある従業員の人のクレデンシャルが誤って外部に公開されていて
これはパブリックレポジトリって書いてあったんでおそらくだけど
例えばGitHubとかそういう公開のレポジトリに意図せず
その認証情報とかが入ったままの例えばコードとか設定ファイルとかなんかわかんないけど
間違ってアップしちゃってそれをたまたま攻撃者が見つけて悪用されたっていう
多分そんな感じじゃないかと具体的には書いてないんでわかんないんだけど
そんな感じである従業員のクレデンシャルが誤って公開されていたので
それが悪用されてそのエンボイのアプリケーションに不正アクセスされましたと
だからエンボイ側から見たら正規の従業員がアクセスしたのと変わらないので
全面的にアトラシャインが悪かったわけなんだよね
ということが結果わかりましたということで
その該当の従業員のアカウントは向こうにしたし安全だからもう大丈夫みたいな
そういう一応幕式になったんだけど
36:01
結果それでそうですかっていうことなんだけど事件としてはこれだけなんで
影響としてはその従業員の情報が7000人ぐらいっていうのが
8000人ぐらい社員いるらしいんでだいぶかなりの規模の従業員情報が漏れているので
今後それを使って何か従業員に対してフィッシングが来るなの
逆にアトラシャインの社員の人を語って他の会社に何かするなの
そういうようなことが発生してくるかもしれないのでそれはそれで気をつけなきゃいけないんだけど
僕がちょっと今日取り上げたのはそこではなくてさっき言った
お互い最初は自分じゃないですって相手を非難した形に見えちゃったっていうところが
良くなかったんじゃないかというか
これを見てそのインシデント発生した時に外部の組織と協力して対応するって
意外と難しいんだなっていうことをちょっと思って
今回の結果論だけどアトラシアン側がメディアから問い合わせを受けた時に
今両者で協力して調べてますとか何とか言っておけば良かったわけよ多分
確かにね
だって1日2日で調べがつく話なんだからさ
もちろんメディアからのプレッシャーもあって
うちじゃないです断罪ですって言いたかったっていうのもあると思うんだけど
ちょっとそれは今回のケースに限って今どうだったかなっていう感じで
あともう一つ結果的に両者のチームが協力して調査に当たれたんだったら
その辺の連絡っていうか体制はスムーズに築けたのかなとか
あらかじめそういう連絡ってできるようになってたのかなとかさ
今回のケースで改めてそういうのをバタバタ連絡したのかなとかさ
ちょっとそのインシデントが社内だけ閉じてないようなケースってのはあるじゃない
特に今は増えてるでしょうしねそういうのは
外部サービスの利用なんて別に珍しくもなんともないから
そういうケースでこういうインシデントが起きた場合に
外部の手を借りるっていうことはあると思うし
お互いが被害者っていう可能性もあるから
一緒に調べましょうみたいなケースっていうのはあると思うんだけど
たまたま今回ちょっとその辺の連携がどうもうまくいかなかったのかなっていう風に見えるんで
見えるしあとはその最初の報道でお互いに相手を非難してるっていう風に
メディアに書かれてるとさなんかこう印象が良くないじゃん
良くないですよね
それでこの会社のことを悪く言う人はそんなにいないかもしれないけど
やらなくてもいいことやっちゃったなっていう感じが若干あるんで
結果だけ見て言ってるからそれはなんとも言えるんだけど
何が正解だったのかなっていうのをちょっと
事故対応としてどうだったんだろうっていう目で見ちゃうんでついついさ
どうかなってどう思う?
39:00
何か事故が起きて問い合わせが来たみたいなことって
日常ある日いきなりやってくることなんだと思うんですけど
今までだったらさっき言ったみたいに
ネギさんが言ってたみたいに
自分たちの組織に閉じてることっていうだけじゃないっていうのは増えてきてるって僕も思うんで
連絡先とかどういうふうにどこと連携するのかって
事前にきちんと作ってるところって結構少ないのかなって気がしましたね
僕もそれがちょっと気になったんだよね
サービスを利用してるから当然営業的な繋がりとかサポート的な繋がりとかあると思うんだけど
何かトラブルがあった時にサポートとかね
でもこういうインシデントが起きた時の問い合わせ先とか
スムーズに情報のやり取りができるかっていうと
意外とそうでもないかもしれないじゃん
いやそうだと思いますね
例えばSIやってる仕事をしてるところとかで
何か障害が起きたとか性アクセスっぽいものがあってっていう状況の時に
そこのベンダーにも聞かないといけないけど
そこのベンダーと連絡して迅速にっていうのって
なかなかできてない組織多いと思いますよ
僕もそういうとこちょっと思ったね
システム導入するにしても何にしてもそうですけど
自分たちだけで閉じてお客さんにサービス提供してるって
今時はなかなかないじゃないですかクラウドもありますし
そうですね
そこちょっと何か抜け漏れてるのか
なかなか進められてこなかったのか分からないですけど
そうしないと自分たちは迅速に動いたとしても
問い合わせた答えが出てけえへんかったら動かれへんっていう状況で
結局動いてないと一緒の結果になっちゃうじゃないですか
今回僕今両者で協力して調査してますって言えばよかったって言ったけども
結果そういうふうに動けたからそう見えるんであって
仮にそう答えてたけど
相手側が1週間も2週間も全然動いてくれなかったとかだったら困るよね
いつ来るか分からない答えっていうのになってしまう
まずは第一歩としてうちには問題ないはずですって言っちゃうっていうのは
だから間違いともあらかじめ言えないなっていうね
その辺が難しいところだよね
今ついさんが言ったみたいにあらかじめそういう連絡する体制とか窓口とかが
明確になってれば迅速に対応できるんだろうけど
なかなか漏れるって言ったけど今回のような
正規のアクセスなんだけど従業員情報が実は不正に漏えいしていて
悪用されてたみたいなのを想定してたかっていうと
多分想定してなかったんじゃないかなと思うんで
そういう形で情報が漏えいしたっていう場合の多分
対応っていうのがそれほど事前には明確ではなかったんじゃないかなと
想像するとこんなふうなドタバタっていうか
そういうふうに見えても仕方ないかなという
42:00
そういう感じではあるんだけどね
あるんだけどあえてちょっとそこに
一応問付けようとするともうちょっとなんとかできなかったのかなっていう
そうですね一つの物事やけども利害関係者いっぱいいますみたいなやつは
ちゃんとした最低限まず連絡も大事でしょみたいな話ありますけど
大抵はやっぱ中に閉じてそうやな
中もできてない時もありますしね意外と
そうだよね確かに確かにそれに加えて
外ともそういう連携しなきゃとかってなったら
さらにハードル上がるしね
そうですよね
間に取り持ちじゃないんですけども調整をするような
そういう人というか組織というか
っていうのがやっぱり必要になっていくような感じっていうのは
今ねげしさんご紹介いただいた事例なんかもそうですし
なんかやっぱりここ最近見てる事例
クラウド起因とかそういったのも見てると
あってもおかしくないのかなっていう感じはやっぱりしますね
当事者間だけでうまく解決にどうしてもいかないっていうのが
今回うまく2社間でセキュリティチームが対応してっていう話ではあったんですけど
そうならなかったらどうなるんだっていうのがきっとあるはずなんで
会社によって組織体は違うかもしれないけど
危機管理というか対応するような責任部署というか
内緒は何だろうな
インシデントの種類によってはシーサート的な役割が
担うのかもしれないし分からないけど
そういう関係者同士をつなぐ
円滑にそういう連携ができるようなのを助けるような
人内社組織自体があらかじめないとちょっと難しいかもね
いきなりやるっていうのは
さっきの連絡の話ですけど
いろいろそういう関係者がいる場合とかって
連絡先とかは調べればすぐ分かるかなって今ちょっとふと思ったんですよ
連絡がついたとしてもそんなすぐに答えてくれへんっていうのもあるかな
っていうのは想定しないといけないですよね
まあ確かにね
なんかサポート
製品とかサービスでサポートにも入ってますっていう状態で
安心していたら結構実際有事の時には
はたはたすんのかなっていうのがあって
問い合わせもできるんですよ
でも別にこっちの温度間にあった問い合わせ速度かどうかっていう話なんですよね
たしかにたしかに
例えばね3営業日みたいに回答しますとかさ
週末挟んじゃいますとかね
例えばお客さんとか被害に遭われてるところとか
問い合わせが来たらその3営業日なんて
45:01
そんななかなか待ってもらえないような
そんな悠長なこと言ってらんないみたいなね
だからそういった時にどういう動きをしてくれるサポートなのかにもよりますよね
3営業日でよかったんでしたっけみたいな
たしかにそういう温度感もね
共有できないと困るもんな
そうそうフロントに立ってる側からしたらもうね
電話して聞いてすぐ答えたいぐらいの温度感だと思うんですけど
でもサポートからすると
別に初めから取り決められてることの範囲でやってるんで
別に悪いわけじゃないじゃないですか
そこのパスですよね
だから直接そこの会社の偉い人とつながってる人が
会社にいたりとかすれば多分迅速に動くんですけど
上から落としてもらったりとかしてね
でもそんなの別に通常の経路じゃないじゃないですか
そういう時にサポートってどういう対応してくれるのみたいなものを
システム導入してる側は多分把握しなきゃいけないんだと思うんですよね
これでいいのかなみたいなものとかね
だからこういうインシデント対応時はそういうパスとは
通常のパスじゃないところを通さなきゃいけないのかもしれないしな
僕もいろいろそういう経験ありますけど
たまたまつながりがある人がいたから早く済んだとかっていう例
やっぱありますよ見てると
結構ありますね確かに
ちょっとなんとかならへんのって出てきてくれる人がいればいいですけど
なかったら3日待たなあかんわけですからね
しかもそれ金曜とかやったら同日計算しないですからね
タイミングで言うと
そうですよね
これを想定しないといけないんだなっていうのはちょっと思いましたね
これを聞いててね
今日は悩ましいですね
悩ましい話が多かったですね
パッと見小さなネタっていうか
情報漏洩事件ではあるものの
考えさせられたなっていうか
そんな感じでしたね
自分たちが提供しているものに置き換えて考えてみると
わりとゾッとする部分もあるかもしれないですね
じゃああれですかね
扱う製品がこれ扱いましょうってなった時には
そこの偉い人とのパスも合わせて作っておく
そうだね
それがいいのか悪いのかわからんけど
でも無しじゃないですよね
よっぽど業務にクリティカルに影響する話なんであれば
やっぱ必要かもしれないですねそういう
確かにね緊急時にそういうのも言うかもしれないよな
いや本当そう思いますよ
人の繋がりの部分っていうのに救われる経験って結構ありますよ
本当に
そういうのも視野に入れてみましょうかねっていうぐらいの感じかなと思いました
というわけで最後におすすめのあれなんですけれども
はいお願いします
今日はYouTubeチャンネルを紹介しようかなと思っていまして
そうですね半年ぐらい前に
48:02
これはいいなと思ったやつを紹介するんですけど
今日は何系でした
今日はですねお笑いです
お笑いですか
ませき芸能者っていうところに所属されているお笑いコンビの
岸高野さんっていう方がいるんですけど
ごめん全然知らないよ
多分そうです最近ちょっと来始めたかなって感じですね
なるほど
朝の情報番組とかにも出たりとか
そうなんだ
そうそうそう結構ね来始めたなっていう感じがするんで
ちょっとここらでも紹介しておこうと思ったんですけど
そこの2人がやってる高野さんを怒らせたいっていう
YouTubeチャンネルなんですね
もともとこのチャンネルは岸高野仲良しチャンネルかなんかいうやつやったんですけど
この怒らせたいになってからめちゃめちゃ面白くなって
岸さんと高野さんのコンビなんですよ名前で言うとね
でこの高野さんに対して
そうなのか
そうそう岸さんと高野さん
岸高野っていう名前じゃなくてコンビ名
コンビ名
岸さんと高野さんでやってる岸高野っていうコンビなんですけど
なるほどわかりにくいね
わかりにくいです
でこのチャンネルのタイトルになってから
やることがこの高野さんっていう片方の人を怒らせるっていうやつになったんですよ
わかりやすいねシンプルなやつ
でこの怒らせ方自体が本当に多岐に渡っててめちゃくちゃ面白くて
高野さんっていうのがすごい人の良さそうな人なんですよめっちゃ
怒らないタイプの方なんですね
結構ガーッと言うタイプの方なんですけど
でも怒らせたくなる感じなんでしょうねちょっとね
なるほど
例えば怒らせ方多分この二人と作家一人の方で作ってるんだと思うんですよ
三人で作ってると思うんですけど
この作家の人が多分めちゃくちゃ面白くて
例えば面白かったのが
よく見る広告が全部嘘ドッキリだとかね
例えばYouTubeのチャンネルでゲーム実況やろうと思ってるんですよ
っていうのから入ってきて
で実況の動画を撮るとYouTubeって間々に広告入るじゃないですか
その広告がホンマモンの映像の広告使ってるんですけど
字幕の部分でボケてたりするんですよ
あとはこれが一番面白かった一番バズったやつだと思うんですけど
他に僕面白いなと思ったのはマリオスーパーマリオあるじゃないですか
スーパーマリオであれずいぶん前からありますけど
マリオメーカーかなんかいうのがあって自分でステージを作れるやつがあるんですよね
それをちょっと高野さんにやってもらいたいですっていう風にやってもらうんですよ
そうすると右にスクロールしていくと
どんどん高野さんの個人情報が出てくるっていうステージがあって
51:03
怖っ
ブロックで潰せないブロックで最初090って出てきたりとかして
ちょっとずつ右に進んでいくとこれ俺の番号じゃねえかみたいな
しかも生配信なんですよね
あとは面白かったのはワールドカップあったじゃないですか少し前に
ワールドカップをすごいみんなで応援しようっていう風に言って
カラオケルームかどっかに行くんですよね
そのうるさくするからっていうんで
でちょっと今日あの映像これしか用意できなかったんですよって言って
モニターがiPhoneスマホなんですよ
でスマホで今やってるアルゼンチンのどっかみたいな感じで流してて
うおーって盛り上がってるんですけど
その映像実はゲームなんですよね
なるほど
そのウィーニングイレブン的なやつをゲームでやったやつを録画したやつを流してるだけで
それを見て高野さんが盛り上がって途中でおかしいってことに気づくんですよ
それで怒らせるっていうその怒らせ方がとにかく面白いんですよね
面白いな
えー結構なんか手が込んでるっていうか
そうそうそうそう
アイディアが上手いね
ちゃんと考えられてますね
面白いですよねなんかいろいろなパターンがあって
作家の人すごいなって思うチャンネルなんですよ
おもろいなあこれ
ぜひねちょっとあの作業の合間とかにね見るのにいいんじゃないかなっていう感じなんで
はいちょっとこれ最近来てるコンビかなっていうのも多くて
はいなんか今僕が話したやつとかも多分実際に見た方が絶対面白いんで
まあ確かにそうだよね
はいそうですよね
ぜひねちょっと見ていただきたいなと思って
いつも出るのいつも楽しみにしてるチャンネルの一つなんで
はいちょっと紹介させていただきましたというところでございます
はいありがとうございます
はいということで今週は以上になりますまた来週のお楽しみですバイバイ
バイバーイ