1. Replay.fm
  2. #7 組織って難しいねの回
2024-10-25 2:14:04

#7 組織って難しいねの回

以下の記事をワイワイ読みました。


https://sota1235.notion.site/Replay-fm-7-t-128bb64fc8cf80d09afbdcbe764165a4

Summary

第7回のエピソードでは、サイバー犯罪業界のイニシャルアクセスブローカーについて議論され、これらのブローカーが特定の業界に特化した不正アクセス情報を販売している現状が掘り下げられています。また、サイバー攻撃に対するリードタイムや、企業が直面する内部不正のリスクについても見解が示されています。組織運営の難しさやセキュリティに関するトピックが取り上げられ、AWSの最新機能やフィッシング対策についても議論されます。特に、フィッシングURLやDMARCの重要性が深く掘り下げられています。 組織におけるセキュリティ意識の重要性や、Microsoftによる巧妙なHoneypot戦略が議論され、イーセットの代理店がフィッシング攻撃に利用されているケースについても触れられます。サイバーセキュリティの脅威に対抗する方法について考察が行われ、組織運営における顧客視点や代理店との関係の難しさも語られています。特に、2023年のゼロデイ脆弱性の増加とその悪用手法について深く考察されています。 このエピソードでは、30代における成長やコミュニティの重要性、そして学びを続けるための習慣作りが議論されています。特に、わからないことを素直に認めることの大切さや無理のない読書習慣の形成について話し合われます。組織の問題解決における難しさと、有効なアプローチについても深く掘り下げられ、問題を適切に管理することの重要性と、それに伴う複雑な依存関係について考察がなされます。 組織内での評価やコントロールの仕組みが、人間の動きに与える影響についても深い考察が行われ、上層レイヤーでの意思決定やコミュニケーションの難しさについても触れられています。組織におけるピープルマネジメントの重要性とその難しさについて議論が展開され、さまざまな組織の選び方や人間関係のリスペクトの必要性が語られます。さらに、Trickmoというマルウェアの攻撃手法やその影響についても詳しく解説されています。 今回のエピソードでは、VPNの使用に関する再発防止策や社内の表現問題についても議論され、パスキー管理に関するワンパスワードやWindows 11の新機能が紹介されます。パスキーやセキュリティ技術者向けのツールについて議論し、その便利さとリスクが探求されます。セキュリティ技術者としての課題や、パスキーの普及に向けた取り組みについても考察がなされます。 ソフトウェアセキュリティの課題について議論が展開され、攻撃者と守る側の視点からの複雑さやバランスの取り方について考察が行われます。特に、ゼロデイリスクロージャーや公開情報がもたらす影響について深く掘り下げられています。組織の複雑さとそれに伴う課題について話し合い、今後の取り組みに関するもやもやした思いを共有しています。

イニシャルアクセスブローカーの解説
こんばんは、Replay.fm 第7回です。
こんばんはー。
こんばんはー。
第7回。
第7回ですねー。
なんか毎回… キリがいい。
キリがいいのか。
毎回さ、出た後は一応チェックで聞いてるんだけど、 なんかこなれてきた感じがするよね。
あ、ほんと? なるほど。
それは、いいね。 なんか…
こなれてきたんだけど、なんかでも処理してる感もね、 同時に出てきてる。
なー、というのかと思った。
いやー、でも、まぁ…
いやー、そこはいいんじゃない?
いやー、難しい。 なんかそのー、いやー、ものによるかなー、 その処理…処理っていうか、裁く気持ちでいくと、
まあ、裁…なんか裁かれちゃって…
いや、日本…今日日本語不自由かも。 なんかね、何が一体…
なんか、俺がよく聞くルイージのポッドキャストは、 あのね、うちの10倍ぐらい裁いてる感あるんだけど、
あー、そうなんだ。
それはそれでね、聞く側目線だとその、 あー、まあこれはそういう温度感かー、みたいな。
グラデーションがわかるって意味では、 なんか悪くないかもなと思う。
なるほどね。
というか、あんま悪いことだとは思ってない。
あー、確かに。 うちはあれだね、よくわからんとこで深掘り始めるからね。
そうそうそう。
そこが…あー、なるほど、そこが…
あのー、専門家とセキュリティ取り組んでるソフトエンジニア的には、 ひっかかるのね、みたいな。
うん。
わかんない、そんな頭使って聞いてる人が いるのかっていう話はあるんだけど。
いないよね、大体からしてそんなにいないでしょ。
まあ、あれもね、あ、そう、なんかツイートしようかなと思ってたんだけど、 その、なんだっけ、総再生数が100を超えましたよ。
やったねー。
うん。
おめでとうございます。
おめでとうございますですね。
結構、1週間…先週くらいか、あ、まあでも112回今。
ちょこちょこね、112回だし、
Spotifyでフォロワー10人ですよ。
10人か。
10エピソード配信したら、100回また積み重ね、 各地で積み重ねるんですって。
なるほどねー。
うん。
いやー、有名になっちゃったな、俺らも。
そうっすよ、あの、SaaSと一緒だから、あの積み上げていくものなんでね。
なるほどね。
あの、チャーリ、別にいいんだけど、0人でも。
まあでも、わりとなんか頻度的には多数で聞き続けてもらえそうな頻度ではあるよね。
そうだね。
あとその、なんか、なんだろうな、あの、まあ追いつけなくてもいい類の。
そうだね。
そういうものでもあるかなって気はしてるから、
いろんな形で使っていただければと思いますね。
はい。
はい、じゃあ今日も上から順にやっていきますか。
よろしくお願いします。
じゃあ、僕からですね。
お願いします。
はい、1個目がサイバー攻撃で暗躍するイニシャルアクセスブローカー、
犯罪凶悪化の温床にもっていう記事ですね。
GDNETさんの記事でして、
イニシャルアクセスブローカーっていう、
言葉自体僕は初めて耳にした、目にしたんですけど、
サイバー犯罪の業界もかなり分業が進んできてるよっていう話を踏まえて、
特定の組織とか、特定の業界とか、特定の業種とか、
なんかいろんなジャンルのイニシャルアクセスというか、
何て言ったらいいんだろうな、ユーザー名とかパスワードとか、
ありとあらゆるクレデンシャルとか、
そういうものを販売している人たちがいるらしいよっていう話でした。
どんな業界の組織なのかみたいなのだけ多分明かして、
オークション形式で出したりとか、
いろいろやってるみたいで、
取引をビットコインで一応やってるらしいですね。
実際に調査した中で、
Fortinetっていうところがイニシャルアクセスブローカーの動きを調査したところ、
あるイニシャルアクセスブローカーは電力や石油ガス業界の組織に特化した、
不正アクセスのための情報を0.5ビットコインからオークションで販売していたというふうに記載があって、
なるほどっていう感じ。
0.5ビットコインはまあまあいいお値段だよなって。
攻撃のリードタイムと市場原理
相当。
それを投資してもあまりあるリターンが得るべき人が得たら、
取れてしまう可能性がある情報とかね。
っていうことなんでしょうね。
あとはなんかこの、
なんて言ったらいいんだろうな。
これって要は、いろんな人の手に渡っていくことによって、
マージンを取るビジネスが成立してるってことですよね、たぶん。
そうだね、そうだね。
市場自体がどんどん大きくなっていくと。
いやー、いやになっちゃうね。
これなんか今、これ事前に読んだ時は思わなかったけど、
今読んで話聞きながらちょっと思ったけどさ、
この分業が進んでるのが最近みたいな、
その記述をいろんな記事でよく聞くところを考えると、
まあ昔は別にそうでもなかったのかなっていう、
昔僕そんな動向ってないんで知らないけど、
そんな分業じゃなくて、まあそれこそ、
一番最初の偵察から最後のエクスプロイトまで、
一人とか、まあ組織で頑張るみたいな感じだったのかなって思うと、
いやでも物によるか、なんかその自分にこれが、
このじゃあイニシャルブローカーに自分のサービスの情報が何か漏れちゃって、
売り回されるってことを考えた時に、
その、なんかリードタイムって変わって、
攻撃に至られるまでのリードタイムって何か短くなったのか、
長くなったのかっていうのが何か気になってて、
その、例えばこれウルメセンだと、今その、
あれか、どっかに書いてあったね、制御系システムか。
その、割合的にはそのOTシステム、制御系システムへの不正侵入とかがトレンドっぽいとしたとして、
じゃあ攻撃者目線ではその手元にあるもののうち、
まあその辺から優先して高値で、今だっていう感じで、
なんか出品するみたいな世界観になってる時に、
じゃあ自分のサービスがそのトレンドから外れてるような業界とかだったりしたら、
なんか売りに回されるのが後回しになったり、
まあでも鮮度が大事だからそのまま売られるのかなと思ったり、どうなんだろうみたいな。
まあその時の時価で売られるんじゃないですか。
鮮度が大事っていう意味だと。
逆に言うと鮮度が落ちていけば落ちていくほど安くなっていくんだろうし。
うんうん。
ワンチャン、そこでなんかあんま売れないとかなったら、
インシュアルアクセスは取られてるんだけど、
まあでも分かんないな、家庭で。
まあまあでもだからこそオークションだと思うしね。
なんか。
ああ。
うん。
その市場原理に従って勝手に価格が決定されていって、
誰かしらが買っていくっていう流れがもうできてるんだろうし。
うん。
まあでもその適正な値段で市場が回ってるって考えると、
昔よりはリードタイムは短くなってると思っといた方がいいのかな。
その昔だったら途中でできなかったけど、それが分業してるから、
まあしかるべき値段で情報が回って、それぞれの。
まああそこを攻撃しようと思ったときに、
その調査の時間がいらない、離婚の時間がいらないっていうのは、
まあ多分明確にあるはずで、そのリードタイムが短くなってるっていうのは言えるんじゃないかね。
内部不正とセキュリティの課題
うん。
あとはここから調達できるもののうち、狙えそうなものを狙うみたいな感じでもたぶんなってるよね。
多分ね。
うん。
いやー、なるほどね。
なかなか。
これでもさっき言ったように、そのマージンを取るようなビジネスが仮に成立しているとして、
市場価格が高くなってるわけじゃないですか。
市場価格が高くなってる。何の市場価格が?
そのイニシャルアクセスの市場価格が。
あー。
内部不正とかにかけるコストが安かったり、
えっと、
あんまりにもその対応が悪かったりすると内部不正が起きてしまったりとかするところまで考えると、
まあ、守る側としては結構難しい状況ではありますよね。
なるほどね。売り先が。
動機が生まれるじゃん。
そうだね、そうだね。
動機が生まれるから、なかなか。
いやー、確かにな、1000万であなたの、
なんなら、個人を特定できないような、まあ結局特定できると思うんだけど最終的には。
分かんない、ちゃんとやってたらね。
でもその、個人に紐づかないAPAキーとかそういうものをここに流したら、
0.5ビットコインもらえるかもってなって。
1個あなたのプロダクションのサービスのコードに、
バックドア仕込んでくれたら1000万あげますよって言われて。
いやー、確かにね。
全員が全くなびかないかと言われると、
なんか、なかなか難しい。
なびく人がいる前提で考えなきゃいけないだろうね。
まあ元々そうなんだけど、その出口が上でしまってるっていう。
っていう前提に立った時に、たぶんかかるコストが上がってくるじゃないですか。
その、内部不正対策とか、社内での監視とか。
そうだねー、そっか、そういう形で、確かにそれはそうだな。
うん。
うーん、面倒くさいな。
まあだから要は、まああとはより、なんていうか、取れちゃったけど、いらねーなっていうものとかもたぶん、
その高値で処理できるっていう状況になってきてると思うから、
その必要な人が助かってくれるっていう前提が出てくると思うから。
そうだね。
うん。
いやー、厳しいっすな。
うん。
なんかさっきのリードタイムのやつは、
ちょっと思い出したけど、今日も読む別記事にもって、
書こうと、書こうっていうか、話そうと思ってたけど、ゼロデイの、
ゼロデイゼルダキスの悪行期間が短くなってるみたいな話があって、だから、
まあ効率化してるんだろうね、普通に。
全体的には進んでしまってるし、
内部性、内部性ねー、そうだねー、はい。
いやー、こういうの追うの価値あるなー。
なんかこういうその、あのー、まあいろんな本読むとその、
まあブラックハッカーたちの動向を、きちんと追うっていうのが業務の一つとして大事とか、
まあ海外のでかいところだと、なんかそれのVPを立てるとか、
なんかCなんたらOみたいなのを立てるみたいな話とかを、
なんだろう、インテリジェンツオフィサーとか。
あ、そうそうそうそう、そういう感じのって書いてあって、
まあなんか理屈はわかるんだが、結構、
その自分の世界とつながってこない感があったけど、
まあ最近こういうのを読み込むにつれてちょっと、
なるほどなって気持ちになってきたわ、いい意味でね。
なんかでも、どうだろうね、まあ意味がないとは言わないけど、
なんか意味がないとは言わないけど、どうなんだろうなー。
わかんないけど、その、その会社によるけど、例えば俺とかだと、
その今の会社の希望館とかだと、
で、そのセキュリティ大事、だから大企業でもうすでに投資してるとかは別にいいと思うんですよ、
いいと思うんだけど、例えば僕の場合だと、
その、わかんない、社員100人もいかなくて、プロダクトもまだ別に、
めっちゃでかいわけじゃないのにセキュリティに投資すんの?みたいな、
意思決定を経営者が考えるってなった時に、
まあこういうなんかその、まあワーストの脅威とか、
その攻撃者側はまあこんだけ効率化してるっていう状態で、
ノーガードで守りきれるわけなくないですかっていう、
その説得というか、説明をする時の材料として、
あのこういう引き出しを持っておくっていうのは結構悪くないんじゃないかなって気はする、個人的には。
なんか正直俺も、この辺キャッチアップするまでは、
その分業が進んでるとか組織が進んでるとか、
なんかその辺知らなかったから、
なん、ちょっと思ったより、
なんか逆に絶望してるんだけど、
いやもう守りきれなきゃいけなくねみたいな気持ちになってるんだけど、
まあでもなんかその絶望感も、
組織とその特性
そのちゃんと説得代理を持って伝えるっていう意味では悪くないんじゃないかなって気はする。
うん。
まあその差事加減はあると思いますけど、
うん。
って感じかな。
まあ、なんか投資のバランスを考える上でこういうのが情報としてはヒントになるのかもしれないけど、
うん。
ど、どうなんだろうな。
いや結局、いや実際に狙われたときに弱いところが狙われるっていうだけの話だと思っていて、
その、うーん、意味のないことだとは思わないけど、
なんかここにそんななんかVP多くほどかとはちょっと思っちゃうけどね、正直。
まあどういう。
そのVPの下に何人いるのよって話で、
その分他に投資した方が良くないって気はせんでもないけどね。
なるほど。
まあでも分かんない。会社としてそれがすごく大事なその、会社というか組織としてそれがすごく大事なものなのかもしれないし、特性としてね、そこは。
なんか一概にその要不要をそれだけで語ることはできないにしても、
うんうんうん。
なんか一般的な会社においてそこまでやる必要があるかというと、まあいいんじゃないと思うし、
その分他にお金使えばいいじゃんと思うし。
まあ多分やることひととりやった上でって感じではあるとは思うけど、
うーんうん。
まあそのやることひととりやれる、やりました、やったよねって言うとこまでいける会社が。
そこにかけるコストの分、なんかみんなの給料ちょっとずつ上げた方が内部不正のリスクとか減らせるのかなと思っちゃうんだけど。
まあまあそれもそうだね、それもそうではある。
うん。
はい、そんな感じですかこれは。
はい。
ありがとうございます。
AWSとその機能
じゃあ次。
えーと、これはまあセキュリティっていうより変わった感じですけど。
はい、AWSがコンソールの操作をコードに変換してくれるAWSコンソールとコードを正式リリースしましたよっていう、
まあリリースを紹介しているパブリックキーさんの記事でございます。
まあなんかタイトルの通りで実際に触ってみたわけでも実はないんだけれども、
うん、便利そうですねっていう話。
便利そうだね。
なんかAWSコンソール版のセレニウムIDみたいな動きを多分してくれるのかなと思ってて。
うんうんうん。
まあ対応しているサービスはまだそんなに多くないみたいなんだけど。
うんうん。
なんかね、テラフォームとかよりも楽そうだなとは思っちゃうんだけどどうなんだろうね。
うん。
多分住み分けすべきものなんじゃないかなって気がしていて、
そのテラフォームはその性質上その状態を記述していくものに対して、
これって例えばなんかそのオペレーションがあったときにそのオペレーションをコード化できるとかっていうのがあるといいのかなって気がしてて。
なるほどね。
うん、まあそのオペレーションもテラフォームで再現できるって話もあるかもしれないけど、
でも結局テラフォームをどうこうする何かが必要なわけだもんね。
そうすると最初からコードで出してくれた方が実行するのが楽だしいいじゃん。
そうそうそうそう。
あとその状態の変化が止まらないようなオペレーションとかがあったりとかした時に、
まあテラフォームではできないから結局手でやらないといけないとか。
そういうのがコード化されるとすごいいいよねっていう。
これはね、夢があるけど、まあ半年後にどうなってるかって感じかな。
AWSしかできないんじゃないかな、Azureとかはどうなるかわかんないけど、
Google Cloudはちょっとあんま期待できないなと思っていて、
あらゆるものがAPIで動かせてる世界観だから結構できてるのかなっていうのをちょっとぼんやり思ったりしたけど。
でもGCPもなんかAPIはあるわけじゃん。
ある、あるけど、なんかなんだろうな、裏仕様みたいなのをすごい使ってると多い印象があって、
まあAWSもそうなのかな。
どうだろうって感じは気はするな。
ちょっと利用事例とかこれから出てくる気もする。
その辺をウォッチしたいなって気がする。
AWSを個人的に触ってねえからな。
実際にユースケース何があるかって言われたら結構パッと思いつかないから、
本当実業務で取り組むされることがあるときにこれを覚えておくと多分使える場面があるぐらいなんじゃないかな、今の状態としては。
どうなんだろうな。
でもEC2のインスタンスを起動します、落としますとか。
そうね、例えばその辺とかかな。
インスタンスってどうなんの、テラフォームで。
まあでもテラフォームだとできないよな、多分。
だからそういうのは確かにいいかもね。
いやー確かにね、API叩いてとかやってるだろうからな。
いやーでもこの生成されたコードメンテとかどうなんの。
いやなんか結構ね、夢もあるし、個人的にはその1年後みんながこれを覚えてるかどうかをねすごい見たいなと思ってる。
パペッターのさ、コードを自動生成してくれるのがあるじゃん。
Chromeの拡張で。
へーそんなあるんだ。
ChromeのDevToolsか。
DevToolsの中にあんのよ。
でね、まあ1回触ってみたほうがいいんだけどね。
結構大変だったな。
うん。
まあ別にいいんだよ、動くんだけど、そのなんていうか、冗長なものが多いというか、別にこれなくてもやりたい操作は実現できるんだけどなっていうステップがめっちゃ間に挟まんの。
なるほどね。
いやー、UIを触るみたいなのは結構多分限界があるよな。
フロントエンド側もさ、ゴロゴロゴロゴロ変わっちゃうし。
どっちかというと多分裏方としてはコールしたAPIが何だったのかみたいなのを見てるんじゃないかなと思うんだけどね、これに関しては。
うん、これはそうだと思う。
出てくるコードが、なんかそんな感じだもんね。
うん、そうだと思う。
はーい、そんなとこっすか。
今後に期待。
今後に期待。
フィッシングとその対策
今後に期待ラベルつけたいね。
何様だよって感じ。
今後に期待しまーす。
はい。
じゃあ次は私っすね。
名前忘れちゃった。
フィッシング対策協議会の月次のレポートが出てたんで、軽く紹介したいなと思ってます。
で、先月結構そのレポートの全容というかどういうことが書いてあるかっていうところをがっつり読んだんで、
比較はちゃんとしてないんですけど、かいつまんで気になったところとかを話すと、
まあ、なんか方向件数は先月比ダウン、フィッシングURLの数も先月比ダウンしてるらしくて、
ブランド件数は11件増加してますらしいです。
で、後の方にちょっと書いてるんですけど、URLが減った一つの要因には、
えーっと、なんだっけな。
リダイレクト用の、違う同一URLがめちゃくちゃ増えてるっていうのが書いてあって、
まあどういうことなんだいっていうところがわかんないんですけど、
まあ一つのURLを使い回せる期間が長くなっちゃってるって解釈すればいいのかなっていう感じですかね、迷うかな。
で、まあ件数のところはそんな感じで、全体中身の傾向としてはAmazonフィッシングは先月比の2割増加。
で、報告の30%を占めるんで、まあ相変わらず多いと。
これ、あれかな、プライムで狙われたとかあんのかな。
えーっと。
結構デカめのセールだったじゃん。
どうだろうね、わかんないけどね。
あれプライムで今月じゃないの、あれ。
いや、先週末の土日とおしまい。
ああ、そうだそうだ、だから9月か。
ああ、じゃあ関係ないっすわ。
10月のレポートで爆増してたらそうかもって感じか。
うん。
まあでも2割くらいは越さないのかな。
まあちょっと、まだ読み始めなきゃいけないんですけど。
で、次で1万件以上の報告のボリュームデカいのが東京電力、JCB、大和運輸、JAバンクっていうので。
まあAmazonと合わせるとこれがもう65%ぐらいは占めてますよと。
先月はなんかイオンカードかなんか入ってた気がするから、それはアウトしたって感じかな。
うん。
で、1000件以上の報告とかも合わせると全体の94.4%なんで、
残り5%は1000件以上報告されてないような小粒のブランドが多分ロングテールに並んでるって感じっぽいですね。
うん。
で、これなんか前回あったか忘れたけど、
スミッシングの報告に関しては東京電力と金融機関がめっちゃ多いみたいなことが書いてあって、
これはなんでなんだろうなと思いつつ、スミッシングは正規の機能としてあるからなのか、
まあその辺は触れられてないって感じですね。
うん。
スミッシングはでも変わらず多いっていう感じなんじゃないかな。
前回は東京電力が増えてるよっていうのを言ってた。
ああ、なるほど。
じゃあ変わらず多いって感じですね。
あとGoogleメッセージのRCSチャット、これ読み直してた。RCSチャットってなんだ?
何でしょう。
リコミュニケーションサービス。
ああ、だからあれでしょ、iMessageのAndroid版みたいな感じなのかな。
ああ、なるほどね。
iMessage、Android版っていうかGoogle版。
はいはいはい。これに対するフィッシングの報告も少数ですがあります。
新しいものもどんよくね狙ってる感じ。
品を買えですね。
そうだね。なるほど。
なんか結構…いったん話しちゃってください。
じゃあサクッと読んじゃうと。
あとは使い手のリダイレクト用URLの利用ケースが多いらしくて、
報告25%ぐらいがリダイレクト用のURLを使ってる。
だから送ってURLにアクセスするとリダイレクトしてフィッシングに飛ぶって感じなのかな。
この2つはちょっとまとめるのめんどくさかったのでそのまま引用しちゃったんですけど、
あれかな、クラウドサービスとかCNAサービスで付与できる、
多分正規のドメインですよね、おそらく。
そういうもののドメインを利用したり、
短縮URLとかリダイレクト機能があるサービスを不正利用するケースが増加傾向となりましたと。
もともとあったんだろうけどそれが増えてるよっていう。
しっさとしてはメールフィルター回避とか相変わらずしたそうっていうのと、
あともう一つなるほどねと思ったのが、
なりすまし、DMARC文脈で触れられてたのが、
7月からなりすまし大量送信の被害を受けてたある事業者、
ある事業者としか書いてないのでわかんないんですけど、
がそのDMARCポリシーをノーンからガランティに変更したんですけど、
なりすまし送信が減ることがなかったと。
9月、先月リジェクトに変更したことで、
なりすまし送信メールは減ったんだけど、
代わりにポリシーがノーンの事業者の名をなりすまし送信するようになり、
報告は増加傾向となりましたってなってるんで、
弱いところからきちんと狙われてるってところが。
見てるんだね、DMARCのポリシーね。
そうだね。
これは裏を返すとDMARCちゃんとリジェクトで対応するっていう価値は高そうっていう。
話かなっていうのを思ったところですね。
なんか事業者の皆様へっていうところの最初の段落の後半部分、
オンラインサービスを提供している事業者はDMARCレポートで正規メールが利用者に届いていることを確認しながら、
最終的にポリシーをリジェクトに変更し、
なりすましメールが受信者に届かないようにしてください。
クアランティーンでは迷惑メールとして届くため、
受信者は正規メールも迷惑メールとして認識するようになり、
ブランドへの信頼度が次第に低下しますっていう、
この2文はいいなと思って、
この最後のブランドへの信頼度が次第に低下しますっていうのをちゃんと言ってくれてるのがいいなと思って、
これ確か毎回言ってるんじゃないかなと思ったんだけど、
こう微妙に変えてるんだよね。
表現を。
表現をっていうか、表現を、そう。
組織におけるセキュリティ意識
最後の一文がね、全回避で増えてるのかな、たぶん。
あー、なるほどね。
それだけその、
あー、ほんとだ。
毎回書き足しちょい変えみたいなことをやってるのかなと思うと、
なんだろう、なんか温かい気持ちになってくる。
解けたいという意思をすごい感じるね。
なるほどね。
人の手の温もりを感じる文章だなと思いました。
これはいい話だ。
そうですね。
そうですね、まぁ一旦ざっくりやります、そんなとこっすね。
ほぼね、でも変わんないんだよね、書いてることね。
前回と。
毎月こんな感じなんかな、たぶんね。
うん、そんな気はする。
なのでまぁ、定点観測って感じかな。
どうしたんすか、どうしたんすか。
え、いや、なんか、その、マーシモンみたいでちょっといいなと思って、俺らね、フィッシングテストとか。
フィッシング攻撃の現状
まぁでも、なんて言ったらいいんだろう、やんない理由もないよね。
やんない理由もないですね。
まぁちょっと見せると、やらかすと大変だったりするけど、まぁやんない理由もないと思うし。
確かにね。
うん、確かにね。
うん。
じゃあ、次。
はい。
次はね、まぁツールネタなんで軽くでいいかなと思うんですけど、
TRIFOGっていうシークレットスキャンのOSS兼有料版丸やつがあるんですけど、
それの記事でして、シークレットスキャニングエンコーディター&アーカイブデータっていう記事ですと、
最終的にはそのTRIFOGの機能紹介のところなんですけど、
何の話かっていうと、エンコードされたシークレット、
シークレットって呼んでるのはAPIキーとかの話、
AWSね、キーとか、Googleクラウドの久々かの時とかああいう、
SSHキーとかそういうやつなんですけど、
それがエンコードされてるパターンとか、
あとそのアシスタントキーとか、
そういったパターンがあるんですけど、
それがエンコードされてるパターンとか、
あとそのアシスタントキーとか、
ああいう、SSHキーとかそういうやつなんですけど、
それがエンコードされてるパターンとか、
あとその圧縮されてるパターンをどうやって見つけるかって話をしてて、
で、例えばそのベース64エンコードみたいなされた、
AWSのキーがあった時に、
そのAWSキーの場合は、
そのフォーマットで先頭の文字が何文字かが固定だから、
それをベース64エンコードして検索すると実は結構見つかるよみたいな話をしてて、
で、実際にそのGitHubのパブリック空間をベース64でエンコードしたら、
僕はまだ試してないですけど、
文字列で検索すると、
4.2Kコードが引っかかるっていうのが書いてあって、
おお、みたいな感じ。
で、なるほどって思ったのは、
このベース64でエンコードしたもの、
コミットしたらまずいんですけど、
一方でGitHub Advanced Securityとかは、
これ検知してくれないんだよって話をしてて、
まあ、なんていうか、
その辺トリフォーグはできるぞって話が言いたいための伏線って感じなんですけど、
ああ、そうなんだって思ったっていうところ。
なるほどね。
で、じゃあトリフォーグどこまでできるのかって話で、
エンコード部分は、
4種類ベース64、UTF-8、UTF-16、EscapeとUnicodeに対応してて、
実装はこんな感じですよって話と、
圧縮のところも、圧縮がちょっと多すぎて、
ちょっと記事読んでくださいって感じでしちゃったんだけど、
まあいくつかアーカイブしても読めるよっていうのが、
4つぐらいかな、書いてあって、
で、実装も書いてあって、
でも原理上は、
回答してチェックすればいいっていうだけではあるから、
いや、回答してチェックだと、
遅いっしょ、多分。
遅いか。
ああ、まあそうか。
遅いと思うよ。
そっかそっか、じゃあいい感じにやってるのか。
ZIPとかをどうしてるのかは分かんないね、でも確かに。
ZIPとか、圧縮されたアーカイブはどうなの?
っていうのは確かにその通りだよね。
多分戻さない、復元しないといけないのかもしれない。
ああ、そうだね。
円弧のほうは。
順序から見たときに、
どこで、どこにあるのか分かんないと思うから。
うんうんうん、そうだね。
そう、なんで、っていう記事です。
で、なんか、なるほどなっていうのと、
GitHub Advanced Security対応してないんだと思いつつ、
まあこれなんか切りなさそうと思って、ちょっと。
でもなんかベース64はある気がしてて、
なんかあらわれでそのGitHub Actionsで
Secretsに設定して、
その、昔かな、なんか複数行対応してないから、
ベース64に突っ込むみたいなのとかがあったんです、
というか、まあ僕はたまに見たんですけど、
まあそういうノリで行動にコミットしちゃうとか、
なんかそういうのは普通に起きそうだなって。
ありそうだね。
まあこれ検知してくれるのは嬉しいですね。
ありがたいね、嬉しいですね。
仕事でね、触ってるんで結構、
個人的にはこのツール推しなんですけど、
なるほどこういう概念がっていうネタでした。
なるほどね。
これね、覚しっとくといいかもね、普通に。
なんか知らずにGitHub Advanced Security安心で
漏洩してアウトとかだったら、
まあでもな、まあそう、なるほどって。
だから圧縮すんなよとか、えんことすんなよって話なんだけど多分。
まあまあまあまあまあみたいな。
まあまあまあと。
感じです。
いやーこれは確かにそうね、言われてみれば。
はい。
まあ記事自体めっちゃ短いんで、興味ある方は読んでみてください。
全然関係ないけど冒頭のなんか
TruthFog Automagically Scans for Secrets
っていうこのAutomagicalっていう。
これぞ?
AutomagicallyとMagicalの複合の造語らしいんだけど。
へー。
これ、なんか声に出して使いたい英語っぽい。
オシャレだね、Automagically Scans.
これはオシャレだなあ。
知らなかった。
勉強になるね。
なんと自動的に。
なるほどね。
うん。
いや面白い。
はい。
全然関係ない話だった。
ありがとうございます。
はい。
感想ありがとうございます。
じゃあ次行きましょう。
次も僕が読んだ記事なんでやりますけども
Bleeping Computerの
Microsoft Creates Fake Azure Tenants to Pull Fishers into Honeypot
っていう記事です。
これ結構、わかんない?
なんか僕は知らないだけで一般的にはおかしいんだけど
結構面白いなと思ってて、どういう記事かっていうと
基本的にはタイトルの通りで
Microsoft自身がAzure上に
Honeypot的なテナントを作って
攻撃者を誘い込んでるっていう話ですね。
目的としては攻撃者側の情報収集で
アクセスモーターIPだとか
攻撃の手法、どういうツールを使って
何をしようとしてるのかみたいなところを観察して
情報源としてますっていうところです。
これ自体はHoneypotの普通の
一般的なHoneypotと同じなんですけど
面白いのが、このワナテナントの
ログイン情報みたいなのがあったときに
それを攻撃者が展開してるフィッシングサイトに
記事の内容から察するように
自動で入力して回ってるっぽいんですよね。
なんですけど、ワナのIDパスとか
そのIDみたいなのを
自動で攻撃者側に送って回ってる。
攻撃者目線だと
ワナに引っかかったまたバカな消費者の人が
IDパスを入れてきたからそれを使って
HoneypotとなってるAzureのテナントにアクセスするんだけど
実はそれはMicrosoftのワナですよという話ですね。
実際この手法でどれくらい誘い込めてるかで言うと
ログインまで至る割合が5%ほどっていう書き方してあって
何に対して5%かっていうのをちゃんとソース見てないんですけど
巻いてる情報に対してなのかなという感じの
多分そうなんじゃないかな
そのぐらいの認識でいいかなというところで
実際ログインしてきた時に
これ平均なのかな
大体30日間ぐらいは攻撃者が時間を浪費して
いろいろトライしてくれてるっていうので
攻撃者の時間を食いつぶすっていうのにも役に立ってるし
あとしょぼいハッカーから結構組織的な
キャンペーンとかに基づく攻撃とかも
たしたような攻撃を誘い込めてるよって話をしてますって感じですね
おもろっていうか強いなって思いました
これの面白いところはMicrosoftならではのポイントだと思っていて
Defenderによって識別されたアクティブなフィッシングサイトにアクセスし
っていうところから連なってるのがすごくいい
そうだね
巻くためのデータベースが自分たちの手元にある状態ではね
別にどこの会社も自社サービスのフィッシングサイトを探すっていうのは
できなくはないと思うし
実際にログインできるクレデンシャルをそこに送ってみるみたいなのを
やってるところは多いんじゃないかなと思うし
それが実際にログインされたことをもって
そこのフィッシングで取られたのが今使われてるんだねみたいなのがわかるよみたいなのも
別にどこもどこもどこもではないかもしれないけど
割といろんなところでやってるんじゃないかなと思うので
なのでこれの特に新しいところは
サイクルがマイクロソフトの中で一通りできてるっていうのが
かなり面白いポイントかなとは思いますね
確かにその通りですね
ありがてえなって思いました
結構皮肉というか
あーと思うのがこの25,000のフィッシングサイトのうち
20%に認証情報を提供していて
それがキャプチャーとかその他のボット対策メカニズムによって
ブロックされているっていうのが
難しいポイントだなっていうのはちょっと思いましたね
そうだね攻撃者側もなんていうかな
自動化に
そうだね
結構な割合だよね
そんな感じです
じゃあ次いきますか
次も僕の記事
僕の記事じゃないです
僕が読んだ記事なんですけど
ブリーピングコンピューターで
イーセットパートナーブリッジとセンデートワイパーズとイスラエルオルグス
っていう記事で
これも結構おもろいっていうか
怖って思ったやつなんですけど
インシデントの記事でして
ざっくり言うとイスラエルのイーセットって
ウイルス ウイルスソフトですかね
有名どころのソフトを売る代理店みたいなところが
正規の代理店があるらしいんですけど
その代理店が丸夜感染しちゃった話で
丸夜感染して何が起きたかっていうと
この代理店経由で
おそらく顧客に対して
このイーセットを買ってる顧客に対して
偽のフィッシングメールっていうのを大量に配布して
そのフィッシング踏んじゃうと
丸夜に感染しちゃうみたいなことがされてしまいましたと
メール自体の内容は
イーセットの架空のチーム
脅威対策なんたらチームみたいな
を名乗って
サイバーセキュリティの脅威への対策
こういう危険なことがあるから
今すぐこのソフトウェアをダウンロードしてください
今危険なんで無料ですみたいな
後端末まではアクティベートできるようになってるんで
みたいな感じで結構
本腰入れて騙すような内容だったっていうところですね
多分そのまいた丸夜はランサムっぽいらしいんだが
ウイルストータルにも
登録されてるらしいんですけど
挙動みたいなブリーピングコンピューターのスタッフかな
が見たくて見ようとしたけど
仮想環境とかだと動かないようになってたんで
ちょっと具体的な挙動は見れませんでしたみたいな感じで
記事は締めくくられてますと
なんか個人的に学びだなと思ったのは
このしてはなかったというか
顧客目線結構きついなというか
顧客目線もきついしサービス提供側でもきついなと思ってて
顧客目線は
なんでしょうね
代理店を通して何かSaaSを契約するとかって
年に何回もあるようなイベントじゃないけど
たまにあるわけで
1回契約してそこからずっとやり取りするとか
身近にぱっと思いつくとか
Googleクラウドの代理店契約とかって
結構どの会社も縁があるんじゃないかな
AWSとかもあるのかな
前提はわりと信頼して
ずっとやり取りすると思うんですよね
その先からそれっぽいメールが来た時に
騙されずにいけんのかとか
騙されてマンチュリストーストア入れてるから
セーフなのかとかいろいろ話あるけど
結構怖い経路だなと思ったし
逆に自分がサービスを提供していく時に
ビジネスタイルによりますけど
2Bのシステムで
販路を拡大するために代理店みたいなところに
依頼するってなった時に
その代理店の選定とかでこの観点を
多分ちゃんと持たないといけなくて
なんか大変だなっていう
大変中で
きりがない
じゃあきりがないんだけど
でもこういうのを防ぐための
コード署名の仕組みなんじゃないのと思ったけどね
それはそうだね
結構いいみ嫌われてはいるけど
パスキーよりもパスキーみたいな扱いを
受けてるような気がするけど
俺もめんどくせえなって思うことはあるんだけど
でも詰まるところそういうことでしょ
侵害の度合いによるけど
代理店側が
でも代理店はいいセットの署名持ってないじゃん
署名書き持ってないじゃん
そうだね
確かに確かに
だから侵害制度も大丈夫なのか
そうそう
その日線の周り合いに対して
いいセットそのものがもうやられちゃいましたってなったら
それは話がまたちょっと変わってくるけどさ
そうだね
このレベルの話だったら別にコード署名が
ちゃんと検証されてれば
コード署名がないとインストールできません
コード署名を検証するときにコケますっていうのができてればさ
確かに
まぁまぁまぁただ分かんないけどね
その正規のコード署名
正規のコード署名を
いわゆる別組織のコード署名を持って
正規のコード署名を付けてくるとかはありそうだけど
まぁまぁまぁ可能性の話をしだすときりがないんだけどさ
そうね
あとまぁ騙し方で
そうそうそうインストールする側がそこをちゃんと見てるかどうかとか
は分かんないし正直
そうだね
うん
確かに
いやぁ難しいところやな
いやいいセットからっていうのがやだなぁ
なんか
まぁ確かにキリはないですね
うん
はい
まぁちょっと
いや気をつけていくしかない
まぁ気をつけていく
まぁまぁまぁそのね
ゼロデイ脆弱性の増加
気をつける一個のポイントとしてちょっと心に刻もうかなと思いました
うん
うん
まぁそんなんじゃない
ここだけで守れるわけじゃないから
代理店代理店なんてまぁそんなもんだよ
まぁそれも確かに
はい
日本の良いセットの代理店のXSSとか昔報告した気がするもんだって
やめろって
もう直って
もう直ってる
いやいや
どこのどこの会社だろうなと思って
だいぶ昔らしい
ちょっと確かにそれぐらい認識にしよう
えーじゃあ次の記事
これもまぁ一応僕が読んで追加したんで書きます
ですけれども
これね結局あれかな
あのごめん
ノーションにはブリーピングコンピューターの記事を貼ったんだけど
結局元ネタのGoogleのブログを読んだ
あ違うわ
ブリーピングコンピューター読みましたすいません
でも元ネタもなんか軽く目を通した気がするんで
まぁ元ネタ読むのがいいかなと思いつつ
まぁブリーピングコンピューターもカイツマンで説明してくれてるんで
その辺の話をすると
記事のタイトルは
Googleが70% of exploited flows disclosed in 2023 world zero days
っていうタイトルで
Googleにのなんだっけな
セキュリティ製品のアナリストによる
分析レポートみたいな記事が紹介されてますと
どういう記事かっていうと
タイトルの通りではあるんですけれども
脅威アクターによる攻撃で
ゼロデイ脆弱性が悪用される割合が増えてます
っていうところの話をしてます
ここでいうゼロデイ脆弱性っていうのは
パッチもないしそもそも公開もされてないような
公に知られてない脆弱性っていうのを悪用してるっていう話で
具体的には2023年のデータとしては
全部の攻撃を調査スコープみたいなところは
全世界行ったわけではないと思うんですけど
積極的に悪用されたと公表された脆弱性のうち
約70%がゼロデイとして悪用されましたと
70%はもう利用者が脆弱性を把握したり
もしくはパッチを適用する前に悪用されちゃってるんで
結構防御目線つらいよねって話がありますと
2020年から2022年は60%ぐらいだったんで
10%ぐらい割合が増えてるのと
これはゼロデイが増えたんじゃなくて
ゼロデイじゃないやつが減ったんじゃないのみたいな
ところに対してもいやそういうわけではないよっていうところが
確か記事では触れられてますと
あとはタイムとエクスプロイトですね
脆弱性が出てから侵害されるまでの期間も短くなってて
個人的にはこっちの方がだいぶ変化大きいんじゃないかと思ったんですけど
今は今じゃない2023年は5日程度まで短くなってる一方で
2018年19年は63日で2021年22年は32日ってなってるんで
だいぶジャンプしてこれ多分平均とかだと思うんで
全部5日ってわけじゃなくて1日のものもあれば
30日ものもあるっていうものはあるもののかなり短くなっているよっていう話があります
これ平均値なの中央値なの
件数がそんなに多くないから多分
わからない
元記事の方がだいぶもうちょっと詳しく書いてるのかな
でも平均なんじゃないか
まあいいやきっとでも数がそんなにないから多分どうなるか
そうだね
数がそんなにないとはいずれる可能性はあるのか
まあでもそんなに大きくは離れないよね多分数が多くない限り
よほど極端に極端なやつがいない限り
そうだねそもそもレポート記事のやつは138個の脆弱性を調査してるのかな
悪評されたって公表されたってことだから
アベレージって書いてるねそこのその表
本当
これか
この表が素晴らしいですね
公表されたって言ったらKEVとかが主なデータソースなのかな
あとその辺まで追ってないですけど
でもゼロでイニシアチブとか持ってるよねGoogleってまだ
ゼロでイニシアチブって何ですか
ゼロでイニシアチブっていうのがあるんですよ
Googleは持ってるんじゃなかったっけこれHPだっけGoogleじゃなかったっけ
おおこんなものが
ごめん嘘つきましたゼロでイニシアチブGoogleじゃない
Googleもあったよねこういうの
GDIじゃなくてGoogleがなんかさゼロでイを見つけて
予告して一定期間なんか修正がされなかったら公表するよみたいな
やってなかったっけ
Googleプロジェクトゼロ
それだ思い出した
これ
違うかなそれかな
分かんないなんか
違うかも
なんかあった気がすんだよ
GDIじゃない失礼しました大変失礼しました
GoogleじゃなくてGoogleやってたと思う
まあじゃあGoogleもGoogleでデータソースを持ってるって話かな
持ってるんじゃないかなと思うんだけどそれは使ってないっていうことなんだろうねきっと
これ読んでもったのはきちいなっていう
なんかパッチ最速で当て続けてれば安全と言い切れないっていう
まあどうやらパッチを最速で当て続ける以外にできないよね
WebだったらWAFとかで
そうだね
エクスプロイとか分かってればいいけどさ
そうだね
そういう意味でだからデータいっぱい持ってるベンダーとの付き合いとかが実は大事なのかもしれないね
まあこれ内容なんかそれもそうし
なんていうかもう毎回どっかのタイミングできそうに立ち返ってる気がするけどその
何だろうな何枚も壁を頑張って張って維持する地道な取り組みをし続けるしかないのかなって
まあしみじみに思ったりはしました僕は
なんていうか
そのパッチ当てる領域が貫通された時に
分かんないけどWebアプリケーションとWebアプリケーション貫通された時に
まあ別の防御機構がWAFとかがあるとかそのデータベースが
というかインフラ周りのところをちゃんと守っておくとか
まあ地道にやるしかないよなって思ったって感じですね
これなんか裏できっと流通してるよね
そうだね
こんなに極端に短くなるとね
こういうところにもさっきの分業みたいな部分が現れてきてるんじゃないかなと思ったけど
ブラックハッカー界でのバグパウンティーじゃないけどあってもおかしくないよな
探して売るみたいなね
バグパウンティーの話をする時によく比較として上がるというか話として上がるのが
結局なんて言ったらいいんだろうな
報酬金だとブラックマーケットに流した時に得られる報酬を上回ることって難しいよねみたいな話はあって
見つけた側からするとブラックマーケットに流したら絶対儲かるんだよねみたいな話もよく言われてたよね
それでも善意の人たちに報いるっていうのは大事だと思うから
バグパウンティー自体は難しいね
そういう切りごと抜きにしても自社で見つけきれないものに対してバグパウンティーを出してあげることによって
バグハンターをうまく活用できるっていうのはあるだろうから
絶対流通する経路はあるはずでこの辺の日数の短縮っていうところにもその辺は現れてるんじゃないかなとは思いますね
バグパウンティーの活用
ちなみにプロジェクトゼロであってました
あってました
失礼しました
リンク貼っとこう
どうしてもこのGDIとか頭の中でこっちになっちゃったけど
なるほどね
プロジェクトゼロとGDI これちょっと後でちゃんと読むのも勉強不足でございました
はい そんな感じです
はい せーの
すごいカンマ球体の30秒雑談なんだけどキーボード新しくしたからね
タイプ音がすごいうるさくなくなったと思います
えっ
2つ名前 以上です
えっ
うるさい?
前のやつはね
コンコンこれで
あー
あー
でもうるさいんだそっち目線
あのね今まではその遠慮して叩いてたからたぶん小さかったんだけど
それ変えてからそこそこちゃんと使えてるでしょ
あーいや
結果ね変わらない
いやセキュリティで見たセキュリティ本で読みましたそういう概念も多く
安全装置があると調子に乗るってやつですね
ちょっと遠慮して叩きます
30代と成長
はいじゃあ次の記事お願いします
えー40歳になるので30代でやってよかったことをまとめたっていう記事でございます
まあなんかいつものゆる…ゆるはネタって言っちゃうと失礼なんだけど
あの何て言ってんだろう
オフトピ
オフトピ
オフトピ壮大さんの記事ですね
はい壮大さんご存知ですか
壮大さん一方的に知ってるPHP界隈PHPカンファレンスかなんかに結構
出没する印象があるから
えー
うん
まあ僕は全然知らないんですけど
うん
まあいい記事だなと思って
うん
まあ僕らもね
DBマーケットが強いね
うん
あそうなんですね僕らもね30代の端くれとしてなんか
そうだねー
読んでもいいかなと思って
いやー皆さん読んでくださいって感じですね
まあなんか詳しくは読んでくださいって感じなんですけど
えーと書いてあることだけ何て言うんだろうな
そのヘッダーだけまとめていくと
習慣を作れるようになる
所属するコミュニティを複数持つ
アドバイスはとりあえずやってみる
基礎を身につける
わからないことをわからないと言える先人から学ぶっていうのが上がっていて
これねー
いやー大事よ
大事なんだけど
それぞれに具体例がね上がってるんで
えーとぜひ記事の方も読んでほしいんですけど
はい小林さんどうぞ
いやその
これこの見出しをさ見てさ
いや大事じゃないっていう30代
わかんないわいらの同世代プラマイ10歳世代はいないと思うんだけど
わからないことを認める
いやでもさ
いやわかんない
どういう振り返りからさこれが来てるのかわかんなくて
まあでもそうだね30代でやってよかったな
もっと早くやってもよかったなっていうようなことを書いてくれてるから
まあそうね
やれなかったことも入ってるわけでしょ
あーまあそうだね
だから30代になった当初は別に大事だと思ってなかったことも
もしかしたら入ってるかもしんないね
あーなるほどね
そっかそっか
なんか全部大事じゃんって個人的には素直に思いつつ
まあ実践するの大変だよねってシンプルに思ったっていう感じだな
どれが一番難しいですかね
難しいのは
うーん
まあでも
いや難しいねこう続けがたいけど
まあ1個目を引いたのはこのわからないことをわからないと言えるは
あの個人的に死ぬほど意識してて
そうね
これ結構ちゃんと意識しないとできなくなると思ってる個人的に
なぜならできてない自分より年をすごいたくさん見てきてしまってるから
その技術力とかその仕事の能力が高くても
これをできない人って俺の目線だと結構出会ってきたから
すごい強く意識しないとできないことなんだなって
分かるうちに
まあそうね
俺そんなことないよって言おうとしたけど
まあでも思い返してみると確かにあったなと思ったな
確かになんか後で
いやごめんなさいちょっと下かぶりしてました失礼しましたっていうのはあったなって
あーその意識してても多分やっちゃうし
ちょろっと最初の部分だけ勉強してきてちょっと理解しました
あーそうだね
なんかそうなんだろうね
なんか人間の特性な気さえしてる個人的な
もう歳取ると分かんないけどプライドなのか何なのか分かんないけど
何なんだろうね防衛本能なのかね
うーんそのねそうなのかもね
社会で生きていくために身についてしまう能力な気がしてて
でも一方でやっぱそのさっきのさGDIとかさ前回の
核実験のインシデントの名前とか
あースタックスネット
そうそうそう分かんないって言ったじゃないですか
でも結構内心はすごいビビってる自分めっちゃいるんですよね
これを分かんないと
いや常識なのかもしんないみたいなこの業界で生きる上では
知っとかなきゃいけないのかもって思うけど
でもそのやっぱ言わないと
あれなんだっけ聞かぬ聞くは一生
聞くは一生の恥聞かぬは一生の恥か
なんかもうあれでしかないなっていう気持ちで
すごく結構結構意識的にやってる
でも無意識からやれないと思ってる
確かに気抜くとなんかやっちゃいそうだよねこの辺は
習慣作りと読書
気抜くとやっちゃう
あとなんかやりましょうさその関係性があるからいいけど
関係性が強くないその同僚とか社外の人とかだと
もっと難しいから結構ねちゃんと
てかなんか自分がアドバイザーとかオブザーバー的な立ち位置になった時に
これができるかって結構かなり難しいよね
難しいね
めっちゃ難しいよね
期待値があるからね
分かってて欲しいというそのさ
目を向けられるわけじゃないですか
難しいよね
難しい
いやでもそこで分かんないっていうことはなんか
むしろ業界のためであるかもしんないって今ちょっと思ったわ
なんかその
そこで分かるっていうやつが前にするとさ
アドバイザリーとかコンサルティングに対する信用自体がどんどん落ちていくわけじゃん
そうね
なんか私そういう人もいるじゃないですか
なんか全然いる
出会ってきたとは言わないがすごい少なくないと思うんで
自分だけはね
自分への評価って意味でもね
自分回り回って自分のためになるっていう意味でね
僕は思いましたけど
僕はね
アドバイスはとりあえずやってみるっていうところの中で
勧められた本を買うっていうのが紹介されてるんですけど
これはなんか僕割と最近やってて
この間も教えてくれた予想通りに不合理っていう本を買ってあるんですけど
まだ読んでなくて別の本今読んでるとこなんですけど
これね買うとこまでできんのよ
買うとこまでできんのよ
買ってある本いっぱいあるのよ
いやーなんかね
エネルギーいるよ
なんか
なんか直近なんか誰かが例えててなるほどって思ったけど
もう使い古されたスポンジだからさ俺ら
23歳とか4歳の頃はさ
新品の水ちょっとかけたらシュッて吸うようなタイプだったからさ
本積んでてもさガンガン読めたけどやっぱ
吸収力がね下がるっていうのがあるから
それも自覚的になってすごいアクション取らないといけないんだろうなって気はするね
いやでもわかる
もう積んでる
積んでる
いやでも積んでること自覚して
その通ってる病院の待合室とかで
必ず何かを持って行ってコツコツ進めるとか
そうなんだよね
バランスがほんと難しくてさ
もうちょっと手動かして
別に大した行動じゃなくてもいいから
手動かして趣味でちゃんと行動書かないとな書きたいなって言ってるんだけど
なんかむずくない?
むずいむずい
時間をどこにどう割くのっていうのもありつつ
もう体力が全然なくって
日々の仕事でもう疲れ果ててて
首も肩も痛いしみたいな
週末はサーキットに通ってるしみたいな
っていう状況の中でさ
難しいのよ
いやちょっとね
時間が足りないよ
全知全能になりたくなる
全知全能になりたくなるよう頑張って抑えないといけないなって気がして
全部やりたいじゃんほんとに
全部やりたいマジで
全部本読みたいし
全部トレンド
何でもできるようになりたいよね
やっぱもう無理だから
優先順位をつけて折り合いをつけていくしかないよね
でもなんかやっぱ持続可能性が大事な気もしてて
そういう意味では
それだけじゃなく
何をするにしてもそれをどう持続するかどうモチベーション維持するかっていうのが
かなり大事になってくるんだろうね
だからこそその習慣を作れるようになるっていうのが冒頭に来てるっていうのは
多分そういうことなんだろうね
うんいやほんとに
これは全部繋がり得るね
これがないと
何にもできないもんね
何にもできない
それでいくとこのポッドキャストは割と良かったなって
いやそうなんよそうなんすよ
狙い通りなんすよこれは
もうねサボれないんですよ
いやサボれない
プレッシャーがね
そうそうそうそうちゃんと
やっぱねチェックポイント作るのは大事だよな
本とかはそこがちょっと難しいよね
誰にもチェックされない
孤独な戦いだよね
そうそうそうそう
俺の場合はその病院に行くのが定期的に来るから
それが1つチェックポイントのうちの1つにできてるのかなって
でもなんか結構ね考えないといけないっていう事実は
難しいね
なんか多分毎日この時間帯は本を読むとかを多分やらないといけないんだろうな
いや絶対サボりそう
いや時間
なんかね習慣の本じゃないけど健康の本で習慣の作り方が書いてある本があってね
すごい良かったんでまた積ませて頂きました
是非是非積ませて頂き
慎んで積ませて頂きます
結構ね面白かったよね
何というタイトルでしょうか
健康になる技術っていうすごいストレートな本だけど
すごい良かったよ
タイトルがタイトルなんで健康の本なんですけど
なぜ習慣の話が書いてあるかっていうと
健康になれない理由のかなりの割合を占めてるのは
そもそも習慣が作れないからって話があって
運動とかね
運動
睡眠とかね
そうそうそうそう
習慣を作るための技術で一生分丸々割いてて
すごい良かったよ
アンチパターンみたいなの何個か書いてある
何時にやるって決めると守れなかった時に続かないからやめた方がいいとか
何か必ず毎日やることにくっつける形やるとうまくいきやすいとか
あとはその習慣づくのって
どんなに
最低5、6ヶ月見た方がいいからまずはそれを続けるっていうので
頑張らないといけないよとかそういうのがね
色々エビデンス交えて話してあるんで
はい
ちょっと注文させていただきます
ぜひ
今注文しております
これはね
注文しました
これもね
これも30代のうちにみんな読んでおけばよかった
もう手遅れなんでね
ガンとかになって
ガンなんてなるときあると思うんですけど
色んな病気になる前にね
読んでおけばよかったってなるかもしんないんで
ぜひ
30代FMとしてね
やっていきたいですね
それでいくとなんか本をさ
複数並行して読むのってどうなのかなって
最近ちょっと気になってて
あれも読みたいこれも読みたいっていうのがいっぱいあるんだよね
でも今日はあれの気分じゃないっていうのもあってさ
あるねあるね
今日はあれの気分じゃないが続くと
永遠に進まないんだよねその本が
なんか
個人的に仮説としてあるのは
今日もこれの気分じゃないってなる本は
読まなくていいんじゃないかっていう
それはね思った
俺それで何冊かね読むのやめて
でもそれをよしとしてる
時間も有限だから結局
ノーションで読書ログつけてんだけど
なんか諦めっていう
ボタンを一個も置けて
これは諦めましたっていうのはやってたりするね
なんかその読みたくなったりする
読みたくなったりためになる本が
やっぱ相対的に存在するときは
そっち優先した方がいいんじゃないかな
無理して読んでも
本の読み方と興味喪失
本当に本当によくないんだけどさ
最初の一章読んだら
大体わかるような本って結構ない
ありますねあります
もういい大体わかった
うんみたいな
わかんないけど
経験的にもうこれはうんわかったみたいなのがさ
あるじゃん
その瞬間興味を失ってしまうんだよね
まあわかんない
本当によくないんだろうけど
読み切ることに価値があるのか
なんか自分の理解を確かめることに価値がある
まあケースバイケースだね
うんケースバイケースだし
いやわかんないけど目次音で想像できちゃったら
割と優先度下げていいんじゃないかな
読むのがなかったら読めばいいと思うけど
他に読みたいなのに
頑張って読む意味はあんまり
入ってこないしね頭に
なんか
本の読み方で
1時間ぐらい話そうやな
そう思いますよ
いや読みてえ読みてえけど
この本読んでると
永遠になんか
次が読めねえなみたいな絶望感
なんか
ねえまあまあまあ
だいぶ本筋から外れちゃったけど
まあそんな感じ
まあ優先度つけて
これもね毎回多分
多い時
30はないかでも
5期時からね
結局厳選してんのこれも一緒ですよ
次行きますか
行きましょう
問題解決の重要性
すみませんすみません
ページ移しながら話し続けちゃった
そうそうそうそう
なんか今すごい戸惑ってたんだけど
あれいつの間に
みたいな感じになっちゃったんだけど
次行きまして
また
オフトピなんですけど
問題を放置さえしなければちょっとずつ
良くなっていくんですよっていう
まあなんか僕もう見つけてから
めっちゃ気に入ってしまったコニファーさんの
ブログからなんですが
えっと
でおっしゃるかもう完全にタイトル通りなんですけど
問題を放置しなければ
ちょっとずつ良くなっていくらしいよという
記事でございます
えっとコニファーさんの
同僚さんが問題を放置しないが
口癖らしくて
仲間麻痺している
痛いところをついてはすぐに何かしら
して状況を変化させているっていう
ハイレベル問題解決
ブルドーザーっていう風に呼ばれてるんですけど
分かると思って
分かるね
これはね
分かるし
このハイレベル
問題解決ブルドーザーをねできてる
できる人って多分
超良い人材なんだよな
誰にでもできることじゃないなっていう
結構なんか特殊技能じゃないかなと思うな
個人的に
そんなことを言いながら
自分で言うとすごいやらしいけど
自分は割とそっち寄りだと
勝手に
思ったりしてるんだけど
でもなんか
これの難しいのは
いつまで
今は放置するっていうのを決めたのであれば
それは放置していない
っていうことっていう風に
同僚さんは言ってるらしくて
ここまでは分かるんだけど
放置すると決めたものを管理するのが多分一番難しくって
じゃあこの人がいなくなったときに
放置すると決めたものを
後で誰が拾うのっていうところが
そこを完全に
俗人的なものにしてしまうと
その
組織として良くなっていかない
部分はあるよなと思っていて
あとはなんか
問題が複雑化していったときに
その
物事に依存関係があるときに
これを常に考え続けるって
かなり難しいよなと思っていて
かつその抽象度が高い
課題に取り組んでいる
確実性が高い課題に取り組んでいる
ときに
一個一個依存関係を紐解いて
なんていうか
要は
放置できるかどうかの判断をするのに
まず依存関係を解決しないといけないみたいなのが
出てきたときに
それが連なっていくとめちゃくちゃ大変
だよなと思っていて
まあ
そうだね
なんか前者の話は間違いなく
いやー
なんかその有はやすし案件を今から
二つ言うんですけど前者は個人的には
組織の問題というか
組織デザインの話かなって気はしてて
その小倉さんの会社とかは
規模がめちゃくちゃ大きいわけじゃないから
その一定規模まで
こういうその
こういうスタイルの問題解決が
できる人が
そのチームに何人かいて
それでどうにか回すっていう
アプローチは個人的にはなしじゃないというか
現状そうせざるを得ないっていう
組織がすごいたくさんあると思う
一方でじゃあそれが
分かんないかい?チームでいうと10人だったら
50人になりました100人になりましただったときに
同じスタイルで回し切れるか
っていうとその後者の話に
繋がって消えるというか
その問題自体の流用度がどんどん
大きくなるとか依存関係が生まれる
とかってなってきたときに
普通にその人対問題
っていうのスキームで
解決できないっていうのは間違いなくあるから
あーいいね
人対問題のスキームで解決できない
あー確かにね
チーム対その問題にできるか
とかその組織対問題にできるかとか
それをなんか漏れなくやるってのは
結構
ほんと言うはやっしーなんだけど
まあやっぱ一定向き合い続けなきゃいけなくて
なんか
でもその問題の流度が
でかくなる前にちゃんと
だからその管理で
探知するとか
依存関係が複雑になるような
状態を作んないっていうのも
言うはやっしーだけど
でもやんなきゃいけないと思ってて
その
いやでももう未来史が必要だよそれやるの
いや
まあ物によってはそうなんだけど
だからその
予測できなかったものが
絶対物事ってなんか想像した通りの方向に
進んでいくよねみたいな話だと思っていて
うんだし
いやなんかね
頭の中に思い浮かべてほしいのよその
自分の会社でその流度のでかい
雇用問題ってなんだろうと思ったときに
多分大半は
いや2年前にもう分かってたやんって問題だと思うんすよ
うん
なんか
それ言うとその予測不可能
だったものの
割合って実はそんなに多くないんじゃないかと
個人的には思ってて
やるべき
だから放置しちゃいけないものを放置してたから
こうなりましたよねっていう話しかないものが
実は多いんじゃないかと
僕は
評価と仕組みの設計
裸感としては思うし
まあそれ別に文句を言うわけじゃないけど
その放置するなら
放置するんだ
するのと放置したときにどうなるかってのは
分かっててそれでも
放置するって組織が宣言したら
僕はなんも言わないけど
放置してほしいなって思ったりはするかな
まあね
分かるよ
めちゃくちゃよく分かる
身に染みてよく分かるけど
そうそう
このコードだと
ソフトウェアはすごいあるあるだと思うんで
みんながチープな言葉で言うと
不採とかが多分
不採とかってもうそうじゃ
分かんないけど
5年後に死ぬの分かってるけど
いやもう今はこういうので分かってるから
死に続けようとか
まあまあまあ
いつそのコストを払いますか
っていうだけの話である
分かるんだけどさ
そうね
あとちょっとうまく説明できないんだけど
さっきのその人対課題からチーム対課題
組織対課題へっていう話が
あったけど
それを実現していく過程で
全然うまく説明できないんだけど
その過程の中で
セクショナリズムとどう戦うか
どうそれを作り込まないか
めちゃくちゃ難しいよな