1. Replay.fm
  2. #11 監査ログちゃんとしてます..
2024-11-29 1:12:47

#11 監査ログちゃんとしてますか?の回

Sota Sugiura
Sota Sugiura
Host

以下の記事についてわいわい話しました。


https://sota1235.notion.site/11-14abb64fc8cf80e09ea9ed6aaa6fb104?pvs=74

00:01
こんばんは、Replay.fm 第11回です。
こんばんは、ゾロ目ですね。
ゾロ目だ。
そう来たか。
記念すべき、初のゾロ目回でございます。
ありがてー。
次はね、また11回過ぎですか。
111回目指していきたいね。
111回、そうだね。
111回、うん。
211回まで行けば、ポッキー…
リスナーの皆さんにポッキープレゼントみたいなのできるかな。
今何人くらいいるんですか、ちなみに。
え、リスナー?
うん。
リスナー何人いるんだろうね。
いやー、でも10人いないんじゃない?
多分。まだ、まだ中間。
どんなもんでしょう。
ステム開いてるわ。
うん。
えっとね。
10…10…ううん、10…嘘嘘。
えっと、あれ?フォロワーってどこで…
フォロワー…フォロワーはアナリティクスとかじゃないかな。
でもなんかSpotifyのフォロワーしか見れないかな。
だからApple Podcastとかを聞いてる人とかはわからんかな。
でもオールプラットフォームでオーディエンスサイズが15ってなってるから、
まあ15人…過去7日間でユニークユーザーで15人なんじゃないですか。
オールタイムだと…
オールタイムでも15人だ。
だからもう15人の方が聞いてくださってると。
ありがとうございます。
いいね、まあそこそこどんな人が聞いてくれてるのか。
多少分析しがいのある人数になってきてる感じがするから面白いね。
そうだね。
ありがたい話ですよ。
徐々にね、まあまあ。
でもね、やってきますよ。
ジングル考えましたか、ジングル。
考え…そんな話してたわ、そんな話。
考えてねー。
じゃあ22回までに考えてください。
チャットGPTに考えてもらおう。
なんとかっぽいジングルを考えてください。
個人の教授としては絶対やりたくねーなー。
ミュージックラバーなんで。
アカペラで、アカペラでじゃあ。
アカペラいいよ、全然やるよ。
タロックする?
ええやん。
ちょっとアイデンティティあるよね。
ギター弾けるエンジニアなんて多分めっちゃいるけど。
アカペラ…いやでもちょっと喉鍛えるわ。
ガラガラなんで。
いけるいける。
じゃあそういう感じで。
次回アカペラジングルお披露目ということで。
やりましょう。
やりましょう。
じゃあ一番上からお願いします。
03:01
僕ですか、はい。
三菱、いろんなところでニュースになってるんですけど、
引っ張ってきたURLはニッテルニュースさんのやつですね。
三菱UFC銀行の元行員が客の資産を摂取する事案発生と発表。
被害総額が次回十数億円程度というニュースですね。
ちょっと前の野村証券のやつとかもそうですけど、
なかなか世の中何を信じたらいいのか。
闇バイトの話とかもそうだし、こういうのもそうだけど、
世の中ちょっと物騒すぎんかっていう。
これ、記事は割とシンプルというか、
60人の客の貸金庫から盗む、
金を盗む、でも直って言ってるから何を盗むか。
金に限らずだと思うけどね。
貸金庫だから利き物。
金類とかか。
確かにね。
で、店舗に対して、あれか、
貸金庫の管理責任を担う立場にあったから、
無断で開けて取ると。
これ、どうやってバレたんだろうな。
まあでも、バレるか。
なんでバレないと思ったんだろうな。
すごいな。
いや、というより、
分かんない。
4年間やってるのか。
嘘、その、なんて言ってるんだろう。
真偽は分からないけど、
Xとかで流れてくるような話を見てると、
ちょうどこの4年半とか、
4、5年ぐらい前からこういう話ってぼちぼち、
いろんな人が告発し始めていて、
でも銀行は取り合ってくれないみたいな話とかが、
ポロポロあったらしくて、実は。
真偽は分からないけれども。
で、結局その、なんて言ってるんだろう。
貸金庫って別にそういうものですよ、
大丈夫なものですよっていう前提があるから、
多少なくなったとて、
要は銀行の側も、
銀行側は中に何入れてるかって知らない前提だから。
そうだね、そうだね。
誰も、本人がなくなったって言ってるだけっていう状態が生まれてしまうと、
なかなかその、なんて言ったらいいんだろう。
銀行としては別に知らんふりしてればいいっていう形になっちゃってて、
今までも声を上げてた人はいたかもしれないけど、
まあスルーされてたっていうのはもしかしたらあるかもしれない。
でも監査とかで見つかってないのやばくないみたいな話とかは流れてたりとかして。
そうだね、なんか、
確かに何も把握できないから、
何も真偽判定ができないっていうのはロジックとしてはそうなんだが、
とはいえ、そうだね、ガードレールじゃないけど。
4年半だからね。
結局だから開けた履歴と、
その、開けるようにその申告をしてきた履歴の付き合わせが全然できてないっていう話だと思うし、
06:01
その顧客からの申告に基づいて開けるっていう、
開けているっていうプロセスを踏んでないその、
なんていうか入室とか会場みたいな部分を全然トラッキングできてないってことですよね。
そうだね。
お客さんも気づきづらいだろうね。
なんかそんな毎週毎週開けに来るわけじゃないからさ。
入れてるものにもよるけど、
わかんない、金の延べ簿入れてて、
いやーわかんない、ちょっと金持ち…
何入れるんだろうってそう思うからね。
いやーその気持ちはね、わかるよ。
そうなんだよ。
延べ簿20本入れてて、1本なくなって、
なくなったよって言っても、
でも知りませんって言われたら、
もう19本だったかなみたいなとか、
わかんないけどね、1年に1回開けに来たらそんなんなんだとか。
で、ちょっとお年召した方とかだったら、
わかんなくなっちゃうね。
結構むずい、むずいというか、
銀行目線は。
いやーでも、頑張ってほしいけどね、
信用商売だと思うから。
いやーだからだいぶ崩れるよね。
じゃあ一体何を信用すればいいんですかって話になっちゃう。
家に置いておいたら闇バイトが来るわけでしょ。
そうだね。
闇バイトの強盗たちが来るわけでしょ、家に置いておいたら。
いやすぎる。
ここ、これそうだね。
でもこれも一つのセキュリティだよねってちょっとメモに書いていたんだけど、
結局特権の管理をどうしますかっていう話だから、
事実、特権に対してのオーディットがちゃんと効いてない環境だと、
こういうことが起こり得るよねっていう一例として、
まあ参考になるようなとは思うんだけど。
なんか普通に自分の会社のソフトウェアというか、
金銭に触れるアカウント情報だったらとか、
SaaSだったらとかみたいな考え方は全然、
試行実験としてはやるべきだし。
管理ツールの権限管理どうなってますかとかさ、
認可削減どうなってますかとかさ、
監査ログってどれぐらいの流度で取れてますかみたいな話とか、
監査ログ実際に取ってるけど見てるみたいな話とか、
そうだね。
あとは例えば、今回の話で言えば具体的に、
変なタイミングで銀行開けてないか、貸し銀行開けてないかみたいな、
監査に耐えうるログが取れてるかどうか、
実際にその1年、例えば1年間とか遡って、
全件チェックできるだけの流度でログが取れてるかとか、
それに至るだけいろんなものと付き合わせてチェックができる状態になってるかとか、
ソフトウェアとかに置き換えて考えたら、
いくらでも類似の例って出てくるはずで。
監査ログ観点でちょっと引き合いに出しやすいかもな。
09:04
これはさ、流石にログは、銀行いうてガチガチじゃないですか。
だから何もしてなかったとは僕は思ってなくて。
基本的に多分、鍵を取るときに何かやってるんじゃないかなと思うんだけどね。
例えば社員証とかをピッてやって、鍵が取り出せるとか、
何かそういう形にしてんじゃないかなと思うんだけど。
分かんないけどね。
例えばそういう感じ。
何かどっかしらでログで多分ちゃんと押さえてるはずで、
でもその、頼押しをしてない、頼押しっていうか適切な監査をしてないとか、
監査してるけどそれが形外化するとかめっちゃあるあるな気はしていて。
あるいはこの行員自身が監査のログを維持している立場にあるとかね。
確かにね、あり得るだろうね。
物理も大変だけどソフトウェアでいうと改ざんされてないかどうかのチェックまでちゃんとできてますかっていう。
そこまで踏み込んだ問いが来ると結構、
できてますって胸張って言える企業とか実は少なかったりするかもね。
難しいよね。
いやー、
はい。
いやでも、
気をつけましょうって感じですね。
気をつけましょうっていうか考えさせられる。
まあなんかシンプルに怖いよねって話以上にその、
セキュリティ、情報セキュリティというものに関わる身としては、
身としては、
なんていうかこう、
内部不正ってまあ言うても内部不正だからねみたいな見方はできないんだなっていう。
そうだねそうだね。
常に中の人間は悪さを、
まあ動機と機械が揃えば、
やってしまう可能性があるんだなっていうのは、
常に念頭に置いておかないといけない。
間違いないですね。
いやー、人間は、
人間が脆弱なんだよなー。
常に。
うーん。
まあね、
これは、
人間が脆弱というか、
うーん。
まあ、うん。
人間が脆弱というか、
まあ単純に仕組みが脆弱だっただけだと思うけどこれに関しては。
まあまあまあ。
まあ確かに。
ありがとうございます。
そんな感じですか。
はい。
じゃあ、
今日はねちなみにそんな数少ないんで。
まあ、だからダラダラ喋りたくせないけど。
ぽんぽんいきましょう。
次は僕が、
ピックしたんで話すんですけど、
まあ記事のタイトルはエンタープライズレベル GitHubが作れる、
GitHub Appが作れるようになったぞっていうやつなんですけど、
まあこれ、このGitHub Appの話に限らず、
サイボーズ株式会社っていう会社の生産性向上チームっていうのがあって、
12:03
そこが毎週プロダクトウィークリ、
ん?プロダクティビティーウィークリっていうその記事を、
まあうちみたいな感じか。
そうだね、確かに。
それはそうだね。
それはそうです。
ひどい構造だけど、
まあまあしょうがない。
ありがたくちょっと。
そうです。
僕はね結構、いやでもねいいんですよ。
このあの話するけど、
このピックのね、
シンビゲンは僕はすごい好きなんで毎週、
このポッドキャスト関係なく読んでたんですけど、
まあその中で、
おおって思ったやつがちょっとあったんで、
ピックしてきてて、
でおおって思ったのも2つだけあって、
2つだけ、違う2つ、
セキュリティ関連のやつあって、
まあ1つがその、
まあ記事のタイトル通りで、
そのGitHubのエンタープライズレベルで
GitHub Appが作れるようになりましたっていう、
まあアップデートが来たよって話で、
まあこれは、
まあまんまといえばまんまの通りなんですけど、
結構GitHubを管理する目線にならないと
嬉しさが分かんないと思うんですけど、
例えばその、
まあでかい会社とかだと、
その複数事業やってて、
その事業ごとに縦割りで
行動を管理したりとか権限を管理したりとか
ポリシーを管理したりってなったら、
エンタープライズプランを契約して、
複数オーガニゼーション、
同じ会社内で切って、
でそれぞれで管理するみたいなのが
多分まあ割とどこでもやられてることなんですけど、
そうなった時にそこに対して、
それこそ僕は過去に会社のブログの方で結構書いたんですけど、
そのGitHubのセキュリティ、
頑張っていこうっていうのは
あとGitHubアップを活用するっていうのは
結構避けて通れなくて、
自分たちでGitHubアップを作って
権限を適切に絞るとか、
その辺の管理頑張るっていうのは当然やるんですけど、
オーガニゼーション複数あるってなると、
複数に対して同じ設定のアプリを
頑張って入れなきゃいけないっていうのが結構大変、
だし、片方の設定変えた時に
もう片方の設定も変えるっていうのを
多分同期的にやらなきゃいけなくて結構大変。
APIとかテラフォームとかなくはないんですけど、
テラフォームあんまり出来が良くなくて正直、
APIで頑張るっていうのも
自前でテラフォームやるのと同一なんで
結構大変っていうのがあったが、
エンタープライズレベルで作れるようになったんで、
今言った話は全て忘れて良くなりましたっていうのが
嬉しい話っていう感じですね。
いい話。
シンプルに。
なんかGitHub、
この1年間ぐらい、
1年半ぐらいずっと触ってるんですけど、
主に管理者とか責任的な周りを。
すごいね、
大好きです、僕。
こういう、そうそうこういうやつだよってやつをね、
ちゃんといいペースで出してくれてるんで、
なんか
急に生成AI機能ばっかり出し始めた
15:01
痒いとこに足が届かない
SaaSみたいなのとは全然違うなって思いながら。
いや、別になんか
特典サービスって言ってたわけじゃないんですけど、
すごい本質的なリリースをしてくれて良かったなっていう感じですね。
なんかGitHubの資格とか取ったらいいんじゃない?
あるかな。
あるらしい。
え、あんの?
うん。
え、取ろうかな。
えー、そうなんですか。
今Notionの方に貼ったけど、
GitHub Certificationsっていうのがあるらしい。
えー、
あ、しかも公式でってこと?
うん。
えー、取ろうかな。
でもこれ取ったらなんか、
なんか何ができるんだろう。
分かんない。
なんか取得してみたレポもね、
1個今出てきたんだけど。
えー。
GitHub認定資格がGAになったので、
GitHub Actions Certificatesを取得してみた。
うんうん。
えー。
えー、これ取ってみよう。
ちょっと面白そう。
あ、しかもちゃんとテストセンターまで行って受験するんだ。
うん。
おもろー。
おもろー。
えー。
実務で言うよ。
なんかその、
言うてもなんかその穴埋めっていうか、
網羅的に自分ができてるかはまた差別というか、
自分で客観的に評価できてないから、
しかもこれやったら、
あれそんなのあったんだみたいな、
もしかしたら拾える可能性があると思って。
うんうん。
いや全然あると思う。
えー、
これはちょっといいこと聞きました。
ありがとうございます。
代わり種の資格が欲しい人がいいんじゃないみたいなの、
XA誰かが研究してたのを今思い出して。
あー。
まあそうだね、その文脈でもいいし、
GitHubねやっぱ触って思ったけど、
知らないだけで、
いやこれ活用すればもっとよくなるじゃんってやつ結構あって、
うんうんうん。
そういうの網羅的に知るって意味でもすごいいいかもしんないですね。
うん。
なんかセキュリティメーターはマジで、
本当にね、
本当にいろいろできることあるんで。
うん。
逆にできないこともあるんだけど、
まあまあまあ。
だから難易度によっては、
その、
ちょっと全然記事の話から変わってきちゃうけど、
難易度によってはその、
うちのGitHubの管理者権限を持つためには、
この資格とってはいっためだよとか、
やってもいいかな。
あー、確かにね。
うん。
1回これ受けてねとか、
うん。
やはりかもなー、
ものによるけどね、
どんぐらいのコストとか、
そうね、難易度とかにもよるし、
GitHubアドミニストレーションサーティフィケーションっていうのがあるらしいから、
まさに多分管理者はこれを取れみたいなのが多分あるから、
そうだね。
うん。
このアクションズとかはね、
CICDイジンだったら、
いやアクションズね、
意外とね、
雰囲気でやってる人多いから、
まあ自分もそうだったんで、
すごい、
すごく、
しょうがないと思ってるんですけど、
うん。
なるほどね。
てかなんか、
その自由度が高い分、
なんか、
うん。
ね。
あのー、
そうだね。
いろんなものが世の中にあふれていくよね、
GitHubアクションズがね。
そうだねー。
うん。
本当に。
なんかDockerファイルとかも多分そうだと思うんだよな、
18:00
それで言うと。
あー。
よくわかんねーけど、
とりあえずコピペして動くとか。
そうそうそうそう。
いやー全然あるね。
うん。
いやー、
しょうがない、
本当にしょうがないと思うけど。
Dockerファイルのノウハウとかも知らんものいっぱいあるだろうしなー、
なんか感覚的に。
Dockerファイル、
そうだねー。
うん。
まあGitHubアクションズもそうだけど、
まあその、
ドキュメント読めばいいっちゃいいんだけどね、
そのベストプラクティスのページとか、
DockerもGitHubもあるから、
まあそれ読んで。
いやでもさ、
何にも知らないところから始めるのとさ、
ちょっと知ってるレベルから始めるのだとさ、
なんかその、
うん。
こう、
ちょっと変わってこない?
なんか、
その、
何にも?
うん。
なんて言っていいんだろう、
まあいいや。
ドキュメント読めばいいや、
それはそうなんだけどさ、
うんうんうん。
なんか、
なんとなくあれやればできそうじゃない?みたいな、
なんか、
感覚を持ってしまうともっといいものがあったのに、
みたいな見落としがちだよなーとかさ。
ああ。
何にも知らないところからだとまたちょっと違うよね、
とも思うし。
まあまあまあ、確かにね。
うん。
確かにラーニングパスはいくつかあるとかまだ、
はい。
ちょっと資格を受けよう。
そうですね。
1個目が、
ちょっとレポート待ってます。
またブログ記事書いてくれる?
ブログ書いて。
ここに出すんで。
セルフ投稿します。
そう。
で、もう1個が、
これもね地味に嬉しいなと思ったんですけど、
ニューパッドローテーションプリシープレビュア
アンドオプショナルエクスペリエーション
フォーファイングレインドPATsっていう、
これもGitHubのセキュリティ関連のチェンジログで、
何かっていうと、
GitHubで、
エンタープライズとかオーガニゼーション管理者側で、
オーガニゼーションに所属している人が、
オーガニゼーションに対して権限を持つ、
ファイングレインドパーソナルアクセストークンを
発行したときに、
その有効期限を制限できるようになったっていうやつですね。
これはもともとできなくて、
もともとできたセキュリティ観点での制御としては、
承認性にするか、
自由に作れるようにするか、
全く作れないようにするっていう、
作成に対する制限を、
3段階レベルで変えられるみたいなのがあったんだけど、
作成するPATに対して、
有効期限は最長でこれまでにしなきゃいけないとか、
そういう設定はできなかったんだが、
できるようになりましたって感じですね。
これなくても、
実は管理者側から、
オーグに対して権限を持つ
ファイングレインドトークンに関しては、
全部一覧で見れるんですよね。
いつ作って、どんな権限を持って、
いつエクスパイするかっていうのは見れるんで、
例えばこの機能なくても、
APIでパッドのリスト取って、
なんか分かんないけど適当なロジックで、
ポリシー違反だったらスラック通知するとか、
そういう仕組みを作ろうと思えば作れるんだけど、
仕組みで防げたほうが楽なんで、
この辺のローテーションに対して、
21:00
無制限はやめてくださいとか、
そういうポリシーが社内であるんであれば、
仕組みで適用できるっていうのは、
管理者目線もいいし、利用者目線も多分、
無期限でパッド作って、
そしたらちょこちょこってセキュリティチームが来て、
無期限ダメなんで、
リボークしました作り直してくださいって言われるよりは、
こっちのほうがいいんじゃないって思ったっていう感じですね。
これ一律で適用されちゃうのかな。
一律で適用される認識ですね。
ってことはこの下のほうの、
ファイングレインドPATの有効期限は
無制限にできるようになったっていうのが、
今回の変更に合わせて変更として入ったらしいけれども、
これを無制限にすると、
無制限を許容するようにポリシーを設定してしまうと、
オーガニゼーションの全メンバーが
PATを無制限にできてしまうってこと?
じゃないかな。
無制限も選択できるようになるっていう認識。
それはそれでいいやだな。
多分なんか利便性というか、
でもこれって、
オルグとか関係なくの話だと思うんだよね。
そのファイングレインドPATが、
自体の話。
そもそもね。
だから個人で発行する、
どうでもいいっていうか、
仕事に関係ないPATとかに対しても、
仕様変更が入ったって感じかな。
これは書いてあるけど、
ファイングレインドトークンと
古い方のクラシックトークンと呼ばれる
2種類のPATがあるんだけど、
古い方は無制限で設定できたから、
無制限じゃないといけないユースケースの場合に、
多分移行しない人がいたのかな。
もしくはリターブ側にフィードバックあったのかもしれないね。
こういうユースケースだと無制限にしたいから。
ファイングレインドも無制限に設定できるようにしてくれみたいな。
あったのかもしれないけど、
その辺は知らんが、
流れを追ってないんで。
そこに対して答えたっていうところが書いてあるんですね。
でもオーガリセーションは無制限できないようにするでいいと思うけどね。
基本的には。
要はオーガリセーションの中で、
これ1個だけ無制限にしてるんだよなみたいなのができるのかなって。
多分できなそうじゃん。
できないと思うね。
でも無制限にしたいとき。
結局そこがネックになって、
ファイングレインドPATに移行できないっていうのがまた出てきそうな気がしていて。
難しいところですね。
でもクラシックトークン、
管理者目線で言うとクラシックトークンは、
もはや管理できない領域になっちゃうから。
結構、
俺が無制限じゃないといけないんですって言われたら、
無制限許容してクラシックトークン無効化して、
24:03
無制限のクラシックトークンを使うより、
無制限のファイングレインドトークンを使うほうが100倍マシだからそっちにして、
さっき言ったその仮にもう仕組みで有効期限は縛れないから、
定期的にエクスポートして、
とかになるんじゃないかなって気がするね。
またなんかその辺、
ちょっと良くなりそうな感じがするね。
順々にやっていくんだろうね、きっとね。
それこそ個別で、
許容するとか、
また権限とかもできたら嬉しいなって気はしていて、
この権限は、
難しいところだけどね。
管理機能として考えたときにあんま複雑になりすぎるのも、
それはそれでしんどそうだし。
そうだね。
また今言ったような権限ガチガチに縛りたいとか、
有効期限ガチガチに縛りたいという複雑な余計あるんだったら、
申請制にしてくれっていう話ある気がしてて、
アプローブ制。
そこはやっぱ開発者体験とトレードオフがでかいから、
だからこの権限がついてたら、
有効期限はこの長さまでしかできないよとかが欲しいんだよね。
そうだね、そうなると嬉しいかもね。
リポジトリリードだけだったら、
無期限でもあれもない。
用途によるんだよな。
用途によるけどね。
このリポジトリのリードだけだったらとかは多分あるはずで。
確かに確かに。
まあちょっと難しいとこだね。
あとは、
PATのオーガニゼーションアクセスって発行時だけ設定できるの?
発行時だけ。
発行時だった。
発行の時にUI見ると分かるんだけど、
オルグと自分のアカウントが並列に並んでて、
どっちかを選べるって感じ。
だからどっちも権限を持つものは作れない。
ああ、そういう感じなのか。
なるほどね。
それこそSSOとかが必要なオルグの場合は、
PAT作るタイミングでSSOを求められてするはず。
リソースを選んだ時に。
その辺もね、素晴らしいんですよ。
クラシックトークンどうだったっけな。
もう使ってないから忘れちゃったけど。
クラシックトークンはその辺も結構あんまりいい感じじゃなかったかな。
どうだったっけな。
一応開けられたかな。
今手元で画面開いて見せてますけど、
ここでこうやって選ぶって感じ。
なるほどね。
ここ選ぶと下の部分も、
そうだね、これまさに出ましたけど、
COPCなんでオースライズ中間。
会社のやつやろうとしたらGoogleログインしてないと
作れんぞって言われるって感じですね。
うちの会社のオーガニゼーションのPATは
作った記憶がないな、私。
クラシックPATしかだから作ったことないんだな、きっと。
ファイングレインとPATが出始めてから使ってないんだな、きっと。
27:03
意外とね、なんかそのGitHub連携して
GitHubの情報をいい感じに見れる
デスクトップアプリとか
特定のIDEとか
で必要みたいなパターンとかが多い気がするな。
そうね。
GitHub連携のIDEとかだと昔何か使ってたような気がするな。
うんうん。
社内のユースケースを僕は全て握ってるんで。
個人で使うのは本当そのくらいな気がする。
それ以外は自動化とか。
ね。
でも自動化もGitHubアップとかオースアップで連携できるような
やつとかが少なくはないから。
うん。
まあまあまあ。
特になんてね、少ないほうがいい。
少ないに越しこたないように。
間違いなく。もう管理目線だと。
まあ便利だけど。
ものによるよね。
管理しなきゃいけないものだけ
いかにフィルターして管理ができるようにするかみたいな
方向にたぶん振って
あとは自由にしていいよみたいな世界観のほうが
お互いハッピーだったりとか
まあまあまあそれはまあそうね。
だからこそこのファイングレードな
権限管理っていうのができないと話にならないっていう。
ああそうだね、確かに。
確かになあ、その辺ポリシーまで落としたら
結構いい世界かもなあ。
人間が判断してるうちはね
その一個一個のコスト
判断にもコストかかるから
減らしたくなっちゃうけど
確かにそっちの世界のほうが
ウィンウィンな気がするね。
最低限ここは守るけど
あとの権限は好きにしておいていいよっていう。
間違いないですね。
ありがとうございます。
そんな感じです。
これね、ウィークリは面白いので
ぜひ皆さん読んでみてください。
ヒドリーに登録しました。
あ、マジ回し者やなこれ。
毎回何かの回し者。
はい、じゃあ次
これね、僕サラッとしか読んでないんで
あ、マジですか。
僕一応全部読んだんだけど
ウェブサイトのアクセシビリティーに
どう向き合うっていう
どこで発表したやつか全然
MTDDC Meetup Tokyo っていうとこですね。
ヤマールさんの発表のスライドです。
ヤマールさんは僕らの
キャンパスの先輩なんですけど
しかも僕は同じ研究室でした。
あ、そっか。
なるほどね。
かぶってはないから
面識は
ちょろっとしかないんだけど
何かの授業のSAだかTAだか
やってたんだけど
覚えてないな。
はい。
長いんですよ。
タイトルの通りで
ウェブサイトのアクセシビリティーについての
セッションなんですが
そもそもアクセシビリティーって何ですか
っていう話とか
法的な要求はあるんですかとか
ガイドラインはあるんですかとか
30:01
じゃあ実際どこから始めて
どこから始めるんですか
みたいな話とかを
順々に説明してくれている感じですね。
HTMLとかJSの
JSとかデザインとか
その細かいテクニックとかは
ウェブアプリケーションアクセシビリティー
っていう書籍があって
このヤマールさんも
協助者になってるんですが
その書籍で触れてるので
このスライドでは触れてないよ
っていう形です。
なので
一般で言うと
技術者でない人にこそ
読んでほしいスライドだな
というふうに僕は思っていて
確かにね
技術者も読まなきゃいけないし
技術者でない人も
読んでほしい
というスライドでした。
どう説明していくのがいいのかな
一応サマリーはバーって書いたんだけど
まずアクセシビリティーが高いから
アクセシビリティーが高い状態って何ですか
っていう話から始まっていて
障害者とか高齢者を含めて
より幅広い人たちが
使えるっていうのが
アクセシビリティーが高い状態だよ
っていうふうに言っていて
例えばユーザーの能力とか
操作方法とか
デバイスとかブラウザーの
多様さに対応できる
視覚的に見やすいとかもそうだし
言葉使いが分かりやすい
みたいなものもそうだし
動きとか音とかが
ユーザーの邪魔をしない
みたいなのも入ってくる
し要はその
難しいなと表現してるんだろう
扱いやすいっていうのとは
別に扱いにくさを減らす
っていう観点もあるよ
っていう話ですね
あとはブラウザーを
問わず使えるとか
PCでもスマホでも使える
キーボードでも操作できて
スクリーンリーダーでも読める
だとか
そういうのが実現できてる状態が
アクセシビリティが高い状態ですよね
っていう風に言っていて
なんでそれが大事なのかっていうと
マイノリティを差別しないためだとか
権利を守るためだとか
誰でも何かを知る
教育を受ける
働く
生きる権利っていうのが
ありますよね
っていう話だったりとか
あとは幅広いニーズを
取りこぼさないように
潜在顧客がアクセスできなかったら
どうなるのか
っていう話とか
そんな話を書いてくれていて
詰まるところアクセシビリティに
取り組むことで
多様なユーザーのニーズの
多様なニーズに
行われるようになりますよね
っていう話を
してくれていて
この調子で説明していくと
なんかすごい
大変なことになっちゃうんだけど
なんか感銘を受けた
要素とかがあれば
ピックしてって
感銘を受けたというか
どうぞ
けっこうなんか
キャッチーなフレーズとしては
33:00
ウェブアクセシビリティは
人権であるっていう
表現をしていて
ウェブってもはや
我々の生活に
必要不可欠な
ものですよね
っていう話が
まずあって
実際に
障害者権利条約
っていう条約では
守られるべき
障害者の人権の中に
インターネットも含む
人機器
サービスへの
言及もありますよ
っていう話とか
あとは
日本はまだだけど
諸外国では
ウェブアクセシビリティに関する
法律を定めている国も
多いよとか
アメリカでは
障害者が障害を理由に
使えないウェブサイトっていうのは
裁判で負けるよ
っていうのを書いてくれている
この辺はなんかけっこう
なんていうか
おーなるほど
って思った部分
そうだね
これは
いいパンチラインだな
あとは
これはなんか
アクセシビリティの話
っていうよりは
その
なんていうか
障害と社会モデル
みたいな部分の
話として
ごく一般的に
言われている話
だと思うんだけれども
従来は障害は
個人の側に
存在するっていう
ふうに考えていたけれども
今の
考え方のモデルとしては
障害は社会の側に
存在するよと
社会的障壁があるよ
っていう
考え方を
しているよ
っていうのがあって
僕今
メガネかけてるんですけど
メガネがない時代は
目がよく見えない人
っていうのは
障害がある状態だったよね
メガネが出てくることによって
それが障害ではなくなったよね
っていう
例えば
同じことが
ウェブのアクセシビリティ
っていう部分にも
言えるんじゃない
っていう
はい
とかとか
そんなとこですかね
あとは
この
この
アクセシビリティ
実際に
フリーの事例として
その
合理的配慮が大事だよ
って話が書いてあって
ちょっと
この辺はちょっと
割愛しちゃうんですけど
はい
合理的配慮に関する窓口の設置
とか
合理的配慮委員会を設置したり
とか
してるよ
っていう
フリーの事例が
上がっていて
これは僕知らなかったので
なるほど
と思ったんですけど
うん
はい
いやー
この
ウェブアクセシビリティの
重要性とかを
なんというか
まあ
あの
本質的な根拠を交えつつ
それをちゃんと
実行してるんだよって話と
そのプロセスの話を
まあめちゃくちゃ詳細度が高い
わけでは
ないんだけど
別に詳細な話は別の場所にしてる
だから
あれだと思うんですけど
概要が一通り知れる
割と
とても予期すらいだな
っていう気がしますね
うん
なんか
頑張るって言ってるだけで
本当に
本当に
頑張って
頑張って
頑張って
頑張って
頑張って
頑張って
頑張って
頑張るって言ってるだけじゃない
ってのは結構
なんか
まあ当たり前なんだけど
そのすごい大事じゃないですか
うん
アクセシビリティなんて結構
やってますって
部分的に
いや
部分的に
いっている会社があるって
言いたいわけじゃないけど
やっぱその
みんな大事だと思ってるし
36:00
ないがしもしない
してはいけない
ということが
分かってるんだけど
その
一方でやっぱ
実行しきるのが
難しかったり
正しく実行することが難しい
みたいな領域の
気もしていて
それをなんか
ちゃんと正しく実行
して
本当正しく実行してるっていうのは 素晴らしいなって思いますね
これはでもね 難しい問題だよなぁとも思うんだけど
なんかその すごく雑な言い方をしてしまえば あんまお金にならないじゃないですか
少なくとも短期的には
なんかどっちかっていうと法整備とかで ある程度カバーしてあげた方が早く進むんだろうなとも思うし
でもこの辺の意識がちゃんと根付かないと 正しい形で進んでいかないだろうなぁとも思うし
ちょっとどうあれべきかがすごく難しいなぁとは思いますね
確かにね 現実系のところとしては やっぱりインフラに近いところが
本当にきちんと人数があって 要件としてやりましょうっていうのが
現実 今の状況としてはあるかもね
なんかうちがそうだった… あっごめんなさい
いやいやいや うちがそうだっていうわけじゃないんだけど
そのうちのサービスっていうか エンドユーザーのお客さんに対して
そのスクリーンリーダーを実装したんですよ なんかプレスも出したんですけど
でそれとか結構 割と今言った分かりやすい例に近いというか
そのネットスーパーのシステムを作ってる会社で働いてるんですけど
そのネットスーパーってやっぱインフラに近くて
誰でも食べ物を買ったり水を買ったりしないと 生きていけないっていう中で
目が見えない方とか いろんな方が使うっていう中で
明確に要望としてきたりとか 僕らとしてもインフラである自覚があるので
答えなきゃいけないよねって感じで やったりしたりはしたんで
そういうとこはね よくも悪くも責力が働くというか
なんだけど 難しいのはもうちょっとなんていうか
いやー まあそうね でも本質的にはな 全サイトやるべきだと思うんだけど
うーん
このヤギ社がサマリーに帰ってくれてる スクリーンリーダーのくだりのとこ
あったけど 社内でスクリーンリーダーのプロジェクトやるときに
勉強会とか教育会みたいのがあって そのときもじゃあ今のうちのスーパーを
皆さんこのボタンをポチっと押して そう やってみてくださいみたいな
で やっぱね 面白いなと思う
やったほうがいいよねって言いつつ 僕ちょっと自分で自社サービスそれでやったことないんで
またやってみようと思ってるんだけど うん
ぜんぜんめっちゃやってみるといいと思う
なんかね めっちゃつらつらしゃべるやん みたいな
39:02
難しいよね じゃあこれで買い物ができるかって言うと うんみたいなね
なんかね うーん
そうなんだよねー あと支援技術もなんか結構いろいろあってさ
その自分が当事者じゃない限りはなかなか 知る機会のないものって結構あるなと思うので
スクリーニンギーだなんてそういうものがあるのを知らない人って 結構いるんじゃないかなって思うし
知らなければ配慮もクソもないよねって思うんだけど
確かに確かに いやー確かになんかいつかの回で取り上げた
そのアクセシビティのそのツリーみたいなのを ファッジングに活かすみたいな話があったよね
あーあったね うん
あれでその展示デバイスっていうのが 記事中に出てきたけど
恥ずかしながら僕はその時に そのパソコンをリードするための展示デバイスがあるっていうのを知ったりしたから
なんかいやー
セキュリティもそうあって叱るべきだけど そのアクセシビティみたいなのもさ
なんかそのソフトエンジニアとしてとか プロダクト開発としてやっていくんだったら
そのいや単体テスト書くの当たり前ですよねみたいな感じで
いやこういうのは人通り知ってなきゃ 恥ずかしいですよねって世界になるといいなーって気がしますね
当たり前の範囲がどんどん広がっていくから 難しい部分はどうしてもあって
まあその分専門職と呼ばれるような人たちが その求められるようにもなっていくんだろうけど
そのアクセシビティに強い人 セキュリティに強い人みたいなのが
求められてきたっていう経緯もあると思うし なかなか難しいところなんだけど
まあでもセキュリティも確かに通ずる部分はあって その知らなきゃ気をつけようがないっていうのはやっぱあるんですよね
なんか1回作り込んじゃった 自分で作り込んじゃった脆弱性って
多分なかなか作り込まないと思っていて 開発してる人って
1回誰かに指摘されたら多分 何か意向を気をつけようってなることの方がすごく多いはずだから感覚的には
そうだね いや間違いないですね
これも多分同じようなことが言えるんじゃないかなと思ったのと
もう1個なんか割とこれはセキュリティも一緒だなと思ったのというと
じゃあ具体的にどう進めればいいんですかっていう話の中で
アクセシビリティを必要としている人たちのことを知るっていうのがあって
こういう人がいるんだよっていう前提で インクルシブにペルソナを拡張した方がいいよっていうことを書いてくれていて
例えば目が見えないっていう あるいは物が見にくいみたいな人を想定したペルソナを作って
じゃあその立場でもそのサービスとか機能とかがちゃんと使えるのかみたいなのを
入れるのがいいんじゃないっていうのを書いてくれていたりするんだけど
同じようなものが前々から僕はずっと言ってるんだけど
なんていうかプロダクトとか機能開発とかの要件の定期の段階でもセキュリティの話も差し込んでしまえば
42:00
自然とテストに落とし込まれていくよねみたいな話があると思っていて
これもある種のシフトレフトだよなとは思った
できるだけ前段でいろんなケースを想定する中で
セキュリティならセキュリティの観点が入るべきだし
アクセシビリティだったらアクセシビリティの観点が入るべきだしっていう話だと思っていて
そうだね確かに間違いないですね
だからこそなんかこの要は
例えばHTMLでこうするんだよとかデザインをこうするんだよみたいな話ではなく
そもそも前段でこれが入っていれば自然と落とし込まれていくよね
ビジネスとか開発とかの後段でこれがちゃんと落とし込まれていくよねっていう考え方はすごく大事だなと
うん
間違いないね
また両方とも多分手戻りがしづらいというか
不可逆なものが多い印象あるからそこも共通ことしてあるかもね
なんかちょび雑なんだけど昔Google IONに行った時に
多分アクセシビリティかなんかの発表で
最初から考えないといけないみたいな文脈で
日本のなんかとある病院
どこの病院か知らないですけど
どっかの病院かなんかの前のなんか真改造されたスロープの写真が取り上げられてて
その急な怪談しかもともとなくて
でそのバリアフリー対応を無理矢理して
でも結局何の解決にもなってないみたいな写真で
まあ皮肉った写真というか取り上げ方をしてたんだけど
めっちゃ見たいんだけどそれ
いやーもう多分こう6年前とかだから
セッションの数も多かったしちょっとねパッと出すって言ってたかな今日
まあでもそのなんていうかね
最初からちゃんと考えないとやっぱ難しいよねって気がしますね
いやーでもこれは良きスライドでした本当に
僕は本をポチりましたとりあえず
読まないとね
じゃあ次行きますか
行きましょう
はいこちらもお願いしてよろしいですか
はいLLMのリスク検査手法の探求という記事ですね
チルスタックさんのテックブログから拾ってきてます
LLMの安全性を評価するノウハウがまだ少ないよねっていう現状の中で
まあなんていうか実際に今存在している安全性を検査するツールを見つつ
具体的に何かどういう手法とかどういう観点があるのかみたいなのをちょっと学んでみようという記事ですね
まあなんか記事読んでくださいって感じなんだけど
Galac っていうツールが紹介されてるんですね
45:00
紹介されてる
まあ実際に手元で動かしてみましょうっていうハンズオンっぽい記事になっていて
まあなんか結構たくさんその検証する検証項目があるんだけど
例えばハルシネーションが起きないかみたいな検証とか
プロンプトインジェクションができないかとか
あとはマルウェアの作成につながる行動を生成するかの検証とか
へーおもろ
変動の検証はどうやってやるんだろうなと思いながら読み進めていったんだけど
まあやっぱパターンマッチングらしくってこれに関しては
うーんって思った
でもさその変動の検証を柔軟にやるためにLLMでやろうとしたらまた本末転倒だから
割としょうがない感はあるかもね
そうなんだよ
ちょっとなんかそこが悩ましいなって思うんだけど
確かにね
でこれそうかリスク分析して
でこれ検知されちゃったらどう
どういう場面で使うといいんだろうね
いやなんかさ
SaaSとかにこうLLMのSaaS使いましょうみたいな時とかに使うのか
自分たちモデル活用しようってなった時に使うといいんだろうなって話は書いてなそうだから
まあどうだろうなと思ったっていう
そうねなんかまあまだまだ発展途上ですねっていう話だと思うんだけど
まあLLMそのものモデルそのものに対しての検査にも使えるし
LLMのアプリケーションの検査にも使えるしっていう形ではあるっぽいんだけど
じゃあ何か見つかったらどうするのっていう部分は
そうそうそう
まぁLLMモデル作ってる側だったらねなんかいくらかやれることあるかもしれないけど
うん
使う側だとわかんないけどこの
だから使う側として使うんだったらまあ欲張りだけど
なんか点数じゃないけどさそのスコア出してほしいかもねわかんないけど
それ出るのかな
でも別に
あーでも出るのか
結果がそうHTMLで出るから
うんなんかそれっぽいスコアとして出しては
はいはいはい
じゃあまあなんかわかんないけど3つぐらい候補があって
なんかこのスコア見て比較とかできなくはないさそうですね
まあでも確かにこういうのないとやってらんねーよな
まあねあのなんて言ったらいいんだろう同じ検証項目を持ってとりあえず横並びで比較するっていうのは
うんうん
これがあればこういうのがあればかなり便利にできるだろうけど
でも多分だけどこれをハックしてその
だって結局打ち込んでくるテストパターンはさ
テストの用のプログラムとはさ一緒なんでしょ
確かに
それがハックされるよね
確かにね
あと言語によってその動作の差があるみたいなの普通にあると思うし
48:03
うんうんうん
じゃあ何カ国語何いくつの言語に対して対応しないといけないのみたいなことかな
結構キリがないっていうか
もうちょっとそのまあできるのかどうかわかんないけど
なんかもうちょっとその根っこの部分でなんかうまいことやる方法が出てこないもんかなとは
そうだね
えー確かに
いやーでもそうかこの間ってなかったな
これはちょっと今後の進化に期待したいですね
うーん
まあちょっと返答の検証をどうする問題が結構悩ましいね
なんか
いやでもハルシネーションは正直
そのこういうツールじゃなくて別の評価ショーの方がいいんじゃないかなって気がして
あのハルシネーションだけの話ね
その評価用のデータセットって世に無限にあるから
なんかそっちの検証でいいんじゃないって気はするけどね
いやそのどっちかというとプロンプトインジェクションとか
そのまあ危険な行動が生成できるかとかは確かに
そのデータセットとかで検証できないっていうか
それを検証するようなモデルを評価するときのデータセットに
まあそういうの多分入ってないと思うから
それをチェックするツールがあるっていうのは確かに嬉しい気がする
うーん
いやーあとはなんだろうね
あとはそんなのあるんだと思ったのは
OWASP TOP10 for L.A. Games っていうのがあるらしくて
そうですね
知ってました
知らなかった
珍しく僕が先に知ってるやつだ
素晴らしい
これ面白いですよ
何が面白いかっていうと
あの意外とwebと同じじゃんと思うから面白い
意外とね原理一緒というか
イニシャルのプロンプトからどうやって抜き出しますかみたいな話とか
プロンプトインジェクションの話とかもそうだもんね
インジェクションもそうですし
出力時の
その
XSSとかも入ってるんだよね
XSSが入ってるというかは結局出力された結果をちゃんと信用しないで扱ってないかとか
データ汚染とかはLLM特有だけど
サプライチェーンとかは別にLLM関係ないというか
どっかに何か入ってたらダメだよとか
プラグイン設計はちょっとまぁLLMめっちゃLLMかな
まぁでもなんかそう意外とね
アカデミックな知識なくても全部理解できるって意味ではすごい
1回読んどいてもいいかなって個人的には思ってます
まぁざっと今
まぁでもイントロダクションだけざっと読んだけど
サクッと読める分量ではあるよね
読んでみます
はい
じゃあ次
これ
あれ?
ヤギ足が追加して僕が読んだのか
はい
もう読んでるからいいやと思ってスルーしちゃった
まぁ別にほぼその
そんなにね紹介する中身ないんだけど
そうですね軽くじゃあ触れると
51:00
米司法書をGoogleにクローン売却を求める方針
っていう記事で
ブルームバーグの記事なんですけど
このニュース自体は多分他のメディアでも取り上げられてんじゃないかなって気はしてるんですけど
内容としたタイトルの通りで司法省から
なんだっけな
反トラスト法か反トラスト法に違反してるぞっていうので
Googleに対してChrome事業売却しろっていう
命令が出たわけではなくて命令を
提案してるって感じなのかな裁判所とかに対して
日本で言うとこの独占禁止法ですね
うんうんうんですね
っていう記事です
でって感じかな
まあそれ語るびっことしたらこれぐらいで
でなんか僕がメモで書いたのは
なんか前なんかで見た時は
売るんじゃなくて分捨化するみたいな話だった気がしてて
そのChromeと広告事業かなんかがガッチャンコしてるのがダメだから
完全分捨しろみたいな
でだからその時は分捨化しちゃった
あれかなモザイクFMで聞いたのか
分捨化しちゃったらChrome単体で儲けられなくねみたいな話をしてて
確かになーと思ったんだけど
もう売れって話になってるなーっていうのと
でこれ別の記事でちょっと見つけられなかったのでまだ貼ってないんですけど
Google側が結構温度感高い反対声明を出してて
まあその運10億人の
その運10億人をセキュリティディスクに晒すことになりますよみたいな話を
なんかすごい威厄するとそういう話とか
今までどんだけ安全性に投資してきたかみたいな話を書いてて
マダンコとして戦いますみたいなこと書いてて
僕は割とどっちを味方するかと言われたら
Google側の味方じゃないですけど
逆になんかGoogle以外がこれをこのChromeを
マネージできる未来が全く見えないし
マネージできる企業があるとしたら結局Googleレベルの
わかんないですけどAppleとかマイクロソフトとかそういう企業しか無理じゃんってなると
振り出しに戻るというか
マイクロソフトはだって無理だったじゃん
ああそうだね確かに事実ねそう
無理だったじゃんまあ別にエッチマイチで
要は力を入れるところを変えたっていう話だから
まあそうだね
まあでもその一定の勝ってる部分は結局あるって話ではあるもんね
事実としては
別にChromiumとしてさ
Webの世界に対してフィードバックはしてるわけ
還元はしてるわけじゃん
そうだねそうなんか
いやーなんともなっていう気がしてますね
ちょっとなんかあんまり意味のない
なんかもうちょっと詳しい人に裏側の意図みたいなの聞きたいけど
54:00
これなんかどういう政治なんだろうなっていう
結構まあでもちょっと見守りたいなって気持ちで
僕は思ってます
結局そのブラウザとその広告とみたいな感じで
全部インテグレーションしていくと
なんていうか
その市場の独占具合が高すぎるよねっていう話だと思うんだけど
まあアンドロイドにビルトインされてたりするわけでさ
まあまあまあまあそうだね
でも一方でその広告側も突き上げがきてきちんと
彼らに答えようとはしているし
まあでも見えてる
立場が違うから見え方が違った話あるんだろうな
なんか僕ら目線だとやっぱその
彼らのウェブへの貢献とか
そのウェブに対してその真摯に向き合いつつ
どうバランスを取るかみたいな
見え方をしてるけど
まあまあまあそのウェブ業界とか知らんわみたいな
外部から見たときに
まあロジック上そういうロジックになるのは
まあ確かにと思わざるを得ないが
もうちょっと寄り添ってほしいなって気はしてますね
はい
まあ聞いてざっと読むと
もともとはそもそもAndroidの売れみたいな話を
多分してたんだよね
まあなるほど
っぽいよね
まあだからしょうがない
Chromeだけでもいいよっていうなんか
その交渉術のやり口みたいな
オーバーラップする部分はあるけど
別に内包されてるものじゃないじゃんって話だし
だからそのAndroidが割とスタート地点だったのかなきっとね
うーんなるほどね
そんなんじゃもうサファリも売れよって話しろ
はいすみません素敵なこと言いましたすみません
うーんまあね
まあそうかこの部分とか引っかかってるって感じか
それじゃあ例えばChromeを中国企業に売りましたとか言ったらどうなるんだろう
いやもうやばいよね
さすがにやらんだろうけどやらないしやれないだろうけど
国家レベルのセキュリティーインシデントだよね
それこそそのこと自体が
いやーなんか
いやまあ難しいな経済って難しいな
わかんないけどさそのSaaSとかをさ
いろんな会社がやってく時にさ
成長していこうってなるとオールインワンになっていくわけじゃないですか
でその市場をタムを取るじゃないけど
でChromeこれもさ別になんか世界を支配しようとしたっていうか
そのスマホの市場も取れてて
ウェブの市場も取れてて
ズルしたわけじゃないというか
その結果生まれたシナジーってビジネスをしてる中で
いやーなんか
いやでも法律家の意見聞きたいな
なんかちょっと僕のアサイのお味噌じゃあまり語れることがないわ
57:01
うーん
はい
はい
じゃあ次行きますか
はい
お願いします
脆弱性取り味ガイドライン作成の手引きっていう
なんて言ったらいいんだろう
脆弱性診断士のスキルマッププロジェクトからの
成果物として
まあそういうものが出てきましたよという紹介ですね
以前第1章まで公開されてたんですが
それの続きが先日出まして
取り味の精度向上と取り味に利用できるフレームワーク
CBSSとかそういうものの紹介とか
あとは取り味後の対応とか
なんか実際のその事例の話とかが一応
追加で出てきているものです
ものとしてはその自分とこの脆弱性取り味ガイドラインを
策定するための手引きなので
これを見てどうこうっていうよりは
そのまま使えるようなものではなくて
これを見て何を作りますかっていう話なので
いやー
まあ別に中身はもう紹介しないんだけど正直
今ちょっと手元でパラパラ見てるけど
素晴らしいアウトプットだな
素晴らしいですね
いやなんかその
それこそ僕みたいな
そのセキ…
わからないここに書いてあることって
セキュリティ業界でキャリアを積んできたり
セキュリティエンジニアとして活躍してる人たちからしたら
その見え方としてはなんていうか
そのいい感じに過不足なく
大抵的にまとめた資料みたいな見え方になる気は
という予想してるんだが
僕みたいなその
まあ何もわからんけど
セキュリティの課題に取り組まなきゃいけないとか
仕組み作っていかなきゃいけないっていう
メンバーにとっては
これが欲しいんだよっていう
なんていうか
その流度であり
なんか情報濃度だなって思いますね
なんかね説明のコストが下がるよね
うーん
これいっぱいあるだけで
そうだね
って思いました僕は
確かに
とりあえずこれ読んどいてって言える
うん
間違いないね
あとなんかこれがない時の世界戦で
いやなんか実際に僕がそのセキュリティチームに作って
一番最初にロトに迷ってた時期に起きてたことは
そのなんかCISベンチマークというのがあるらしいとか
うーん
NST800というシリーズがいいらしいみたいに読みに行って
うん
結構
その
なんか
わかるよ
あらゆる組織で100点を取る方法みたいな
オモオモって言うね
そうそうそう
いやなんかその
いやうちは今まだ50人でみたいな時
なんかそのギャップがやっぱそのセキュリティは
性質上あると思ってて
言い悪いじゃなくて
やっぱその最大公約数取るとああなるっていうのはもう
1:00:02
完全に理解してるんだけど
NSTとかさそもそもアメリカのその
なんていうか
公共の
なんて言ったらいいんだろうな
なんかそういうところ向けのガイドリンクがさ
ちょっと性質が
そもそも求められるレベルも高いのであれだけど
CISベンチマークもまあ
CISベンチマークを参照するぐらいの会社って
それなりの規模なんじゃないかなと思うし
そう
もうちょっとなんかその
野良のセキュリティ屋さんみたいなところに対して
響くのはどっちかっていうとこういう
ものだよね
そうだね
みたいな場が
そう
こういうのがこういう形であるって言ってたりするのは
とても嬉しいです
いや明日社内で教育しよう
なんか現実の課題に向き合うには
こういうのがやっぱ必要だと思うんだよね
うん
いや本当にそう思うね
いやーこれいいな
開発チームにそのままこのページ読んでってぶん投げられる
まあでも別に
これを見つつ手引きを作りましたの
手引きを見せるでもいいと思うし
うちではこのとりあえずに利用する
とりあえずにこのフレームワークを使ってます
みたいに採用してますみたいなところとかも
他にはこういうのがあるけど
これこれこういう理由で
まあある種デザインドック的にその
なんていうかこういう
なんていうか強み弱みとかがあって
まあこういう違いがあって
うちはこれを採用してますみたいな時とかに
参照できると思うし
まあ別にその一時ソースに当たればさ
いくらでも定義とか書いてあるんだけど
ここに一箇所にまとまって書いてあるっていうのが
結構助かるなって思うし
そうだね
いやここのちょっとこの
このリポジトリというか
リリースちゃんと追っておこう
この脆弱性診断
診断しスキルマッププロジェクトか
結構いろいろあるね
ありがとうございます
じゃあ最後これね
まさかのめっちゃ変わりだねなんですけど
ゆるっと話していいですか
一緒一緒オフトピでオフトピですか
ほぼオフトピだと思う
これなんか記事じゃなくて
僕が今週一で
パーソナルトレーニングを一回やってるんですけど
そのトレーナーさんから聞いて
ちょっと面白いなと思った話を
書きたかったって感じで
ちょっと記事がないんで
何の話を聞きたかちゃんと
後で文章に書くんですけど
サウナ詐欺の話を聞いたんですよ
で知ってます?
サウナ詐欺というか
サウナ買わせる詐欺って知ってます?
知らない
知らないよね
ココナラの法律相談が出てきたけど
サウナ詐欺って
調べると一番上に出てくるね
でこれなんかそのどうだろうな
どれぐらい流通してる詐欺なのか
分かんない一方
雑にググるとちょこちょこ出てくるから
なんかめっちゃレアな
詐欺じゃなさそうな気がするんですけど
1:03:01
何かっていうと
そのトレーナーの知り合いの方が
実際に詐欺に会われたっていう話を聞いて
どういう詐欺かっていうと
そのサウナを
今サウナブームで
自分でサウナ持つって
割と現実的な選択肢じゃないですか
100万とか払えば買えるはずなんですよ
100万じゃなくても
たぶん20万とかでも
自宅に作るとかできるはずで
そういうようなやつで
200万円ぐらいで
こんな良いサウナが庭に作れますとか
家の中で作れますみたいなやつがあって
でその買いましたと
買ったんだけど
届きませんっていう
もうただそれだけの詐欺
で一つマジかと思ったのは
その届きませんってなった時に
これ騙されたと思って
警察に相談したんだけど
警察的には
物がないから動けないって言われたらしくて
そのググった時にも出てくると思うんだけど
その買いましたで
ただそこに納期の約束とか契約状はなくて
その半年内に
納品できなかったら検期しますとか
そういうポリシーがないから
警察的には物が届いて
それがあまりに違うとか
もしくはその届かずに
連絡が取れなくなったとかだったら
詐欺案件として動けるんだけど
なんか連絡取れちゃうし
なんかその
物も届ける意思がないわけじゃないっていう状態だと
動けないみたいな感じで
その泣き寝入りするしかないっていう状態になっちゃってる
っていうのがあるらしいと
そうなのって思ったんだけど
っていうのが
で賢いなと思ったのと
もう一つが
それでその人がその相談先探して
取り返してくれますっていう人見つけたらしくて
それも詐欺案でしょ
そう
だから
そこに20万ぐらい振り込んじゃって
もう帰ってこなくてみたいな感じで
いやマジ賢いなと思っちゃって
その方は本当に
お金返ってきたらいいなって思ってますけど
やっぱカモ見つけた時に
いかに効率よく絞り取れるかというか
やっぱ1回騙せる人はもう1回騙せるよねっていうので
裏側でうまいことやってるんだろうなって思って
ちょっと
なんとか攻撃者は賢いなっていう風に思って
物理的な詐欺ではあるんですけど
ちょっともっと
話したかったって感じですね
話したかったっていうか
ちょろっと共有っていう感じです
うん
いやー
悪意あるよね
いやー
怖いね
うーん
うーん
怖い
本当に
うーん
いやー気をつけないとなって
思いましたね普通に
なんか
ちょっと調べた感じだと
そのサウナ買うとかも
めっちゃ怪しいサイトで買ったとかじゃなくて
1:06:00
すごいちゃんとしてそうで
なんか
もうページは本当ちゃんとした会社っぽいところで
ちゃんとしたホームがあってみたいな感じなんだけど
買うとそうなるみたいなんで
その
僕はサウナ買おうと思ったことないから
引っかかってないだけで
じゃあなんかサウナ以外で
ちょっとお金のかかる趣味で
なんかそれがブームとか
自分で持とうみたいな流れがあったときに
じゃあ引っかからずに住むかって言われると結構
むずいよなーっていうのはやっぱね
車買いはいわばね
よく見かけるけどね
あー車
預けてなかなかその来週納車できますみたいな
そのなんかいじるのに預けて
来週納車できますっていうのが
のびのびになってずっと帰ってこないみたいな
いやーありそう
よく見かける
似たような話だと思ってて
まあ物があるからさ
車返せっていうのはまあできなくないと思うんだけど
多分法的にはね
でもそれがさちょっと着手しちゃってた状態とか
それがすごいややこしそうな
やる気はあるんですみたいな状態になるわけでしょ
そのその
納品するつもりはあるんですっていうのと
そうだね
ややこしいんだよな
なんかリスクエッチするしかないよねその
まあできるのかな
でもそんな知識騙される人はそんなこと多分
まあそうね
まあでもちょっと
いやでも例えば契約とかさ契約書とかさ
そのちゃんと読まないとねっていう
あーそうね
いやーそうだね本当に
そうなんだよな
でもそれ
いやー
学校で教えてくれればいいのにな
まあでも学校で教えても読まないだろうな
長いもんな
まあ注文をちょっとどういう形でやってたのかわかんないけど
うーん難しいな
でも金額でかいですからね
これがね
まあ一種の流行詐欺もあるかもしれないね
まあでも確かに車買うときとかもさ
なんか別に納車の期日とか書かないよね
あー確かにね
ないと思うんだよな
ちょっとこの間の注文書を見てみる
なさそう
なさそうだしなんか延びたって話もよく聞くから
だから向こうは向こうでリスクエッチしたいって話あるんだろうね
あーこれ見積書だ注文書
なさそう
注文書
注文書ってでも
あったか
あーそもそも
いやあるはずなんだよ
いやでもさこの
いやでもそうか
いやそれ言うと俺も
車の領収書探すタイム
いやー俺スキャンしたと思うんだけどな
1:09:00
サインはしてるはずでさ
そうだね
注文書
でもやっぱさこうやってさパッと出てこなかったりさ
覚えてないってことはさ
いやでも買う先にもよるよな
まあ納車されてるからいいけどね
そうね
うん
そういうやり口とかもあるだろうな
奨学のやつでちゃんと納品されるじゃんで
高くね使わせてとか
うん
いやーまあ
まあだからその監修所はさ
いっぱいあると思う
そのなんか
実はその
そのままこう
なんていうか
伸ばし伸ばしにされたら
なんともならなくなっちゃうやつとか
うーん
まあただ車に関しては
その
納車されるその瞬間まではキャンセルできるので
理屈上は
うん
まあ普通にできんじゃん
だから
うん
まあ普通にできになると思うけどね
あんまり
そうだね
できるから
契約解除はできないのかね
なんか
そうねなんか
まあでももしかしたらそもそも契約してないとか
そういうのもあんのかもね
あー
もはや
ちょっと具体的にどういう状況なのかもわからないけど
まあなんとかなってほしい
そうですね
本当に
そうなかなか
はい
まあでも短だなって思いましたね
そのワンホップで
そういう人がいるっていうのは
うーん
なかなかね
皆さん気をつけましょう
サーナーに限らず
金額でかい
まあ金額まあそうね
まあ嫌ですね
まあね
貸金庫の話しかりね
いや本当にね
いやできんならみんな
悪さしないよねでやりたいよね
できるなら
本当に
まあでもその悪さ
自分の仲間が悪さしなくても
その先の人が悪さするとかさ
まあやっぱ難しいね
失うもののデカさを考えたら
ちゃんと安全にやっていくしかない
はい
今日はそんなところですか
13456788個ぐらい読んだ
はい
じゃあ次は12月ですね
年末になりますけど
うわー
アドベントカレンダーが
始まるのかな皆さんの
だからちょっと
再来週読む分は入んないけど
再来週読む分からもしかしたら
豊作になっていくかもしれないから
めちゃくちゃ忙しくなる可能性がある
ねえ
リプレイドットFM
アドベントカレンダーをやらないと
誰が書くの
1:12:00
俺らが12
12記事ずつ書くわけ
何書くんだよ
このニュース面白かった記事書く
いいかもしんない
なんか無しじゃないかもね
今年カレンダー予定ないから
全然やるわ
それぐらいしか思いつかないな
逆に
ちょっと考えておきますか
考えておきますかって
もう遅いよな
そっかいつか
間に合わなかないけど
なかなかだよ
じゃあ録音切った後に
ディスカッションしましょう
ここから有料で
有料コンテンツなんで
はい
じゃあまた来週もお楽しみにしていてください
皆さんおやすみなさい
おやすみなさい
01:12:47

コメント

スクロール