再生数とフォロワー数の増加
こんばんは、Replay.fm 第30回でーす。
こんばんはー。
うっす。
うっす。
30っすねー。
30っすねー。
タイトル何にしよっかなー。
ははは、今考えんの?
いや、さっきから考えてんだけど。
あ、ほんと?
うーん、何も思いつかん。 前回のタイトルが…
いや、でも前回のタイトルがセンセーショナルなのにさ、あんまり
いつもと再生数変わんなくてウケたわ。
ははは、ウケる。
マジで、次…今見たら増えてたりするかな。
まあでも、まあそれはそうかと思うよな。
そうだね。
あ、でもまあ、あ、でも、てか徐々に全部増えてんだよ。
まあまあまあ。
うーん。
わかんない。
でも、一周、直近1ヶ月のフォロワー、プラスフォロワー数みたいなのが
なんか確か出るんだけど、それは結構多かった。
まあ、徐々に増えてるよね。
うーん。
なんか、続けてるとなんだかんだ増えるね。
まあ、6人直近超えず。
ありがとうございます、いつも。
リスナーのプラットフォーム
はい、ありがとうございます。
意外とSpotify以外で聞いてる人も多分いるわけだよね。
そうだね、その通り。
あれ、Appleとかにも全部流してるよね、確かね。
Appleは流してるかな、Appleとなんだっけ。
Googleのレセスは流してないっけな、なんか忘れちゃった。
まあ、Appleは流してる。
プラットフォームで言うと、Apple PodcastとOvercastとGetcastとPodcast Addict。
あのね、分析のね。
あ、見れるんだ。
うん、プラットフォーム。
Webブラウザが一番多いね。
えー、意外、そうなんだ。
うん。
これもう一個の方。
Spotifyが22%。
はいはいはいはい。
もう一個の方はね、圧倒的にApple Podcastが多いんだよね。
うーん。
層の違いを感じる。一緒にやってる人がiOSエンジニアだからかな。
あー、なるほどね。
iOSの多分ファンの皆様がね、聞いてるのかもしれない。
まあ、このプラットフォームもさ、このパーセンテージを何のパーセンテージなのか、なんか表現してくれてないから分かんないね。
でも、再生回数のうちっていう感じなのか。
あー、確かにね。
聞いてる人のうちなのかがちょっと分かんないけど。
うんうんうん。
聞いてる人のうちで言うと私のバイアスがかかって、私が入ってるのでSpotifyの中には。
あー、そうだね。
まあでも、一人だったらだいぶ薄まってきたんじゃない?これ。
うーん、確かにね。
うーん、あ、これか。はいはいはい。
えー、プラウザも仕事中に聞いてるのかな。
あー、なるほどね。そういうパターンもあんのか。
うーん、プラウザだと、分かんない。
なんか、ポッドキャストあるあるってその、ランニングしながら聞くとか、流れ劇が多いイメージがあるから、
そうなるとおのずとSpotifyとか、バックグラウンド再生ができる系になる気がする。
うんうんうん。
だから、プラウザってなると結構。
そうね。
まあ、おそらくですけどね。
うんうんうん。
なるほど。
まあ、みなさん感想待ってます。
放送不足だね。
あの、リプレイFMっていうタグを、あの、Xのタグを徐々に浸食しつつあるから。
さりげない。
さりげなく。
知らんかった。
初めて、初めて聞いたわけじゃないけど、知らんかった。
うん。
ジミンね、なんか疲れてそうで意外と誰もツイートしないからね。
うーん、ほんとだ。
アルファベットのリプレイFMやると、俺が配信しましたってやつだね。
上位を占めて。
下のほうがこれだけしかないんだよ。
5ツイートぐらいしかもともとなかったから。
いやでもこれ、なんかでさ、まあ、いけるなあ。
リプレイ.FMってサイトはあるけど、別にこのハッシュタグは空いてるっぽいんで。
いや、おもろっ。
いや、ノットっていこう。
うんうん、ノットでいこう。
やりますか、そんな感じで。
今日はぼちぼちかなあ。
はい。
初っ端からいいですね。
また、またあれだね。
あの、ちょっと待ってね。
うん。
はいよ、OK。
はい。
はい、やりますか。
セキュリティの採用とチーム構成
はい。
セキュリティの人の転職事情あるいは採用事情についてっていう、ヤゲハッシュさんの記事でございます。
うん。
えーと、なんかどうでした?
よかったです。
ありがとうございます。
小学生並みの感想ですけど。
いや、なんか、そう、前回ね、触れてた、口頭で話してくれてたものをまさに文章化したって。
うん。
なんかね、メモに書き忘れちゃったけど、特にあれかな、このセキュリティの人ってセクションがマジでいい言語家だなっていう気がしていて。
うんうん。
ね、なんか分かるっていうのと、あとはあれか、自分たちに足りないところの理解っていうセクションかな。
うん。
その、なんかセキュリティの人っていうところを、まあ取りたいと思った時に、自分。
うん。
あれかな、どっかで出てきたその、なんだろうな、総合、カニさんのあのスライドを引用してるところだと思うんだけど。
うんうん。
その、まあセキュリティに取り組むっていう部分が総合格闘技だよねっていう部分で。
あー。
その捉え方を見た時に、なんか何が足りなくてそれを埋める人は何なんだっけみたいな。
うんうんうん。
ところから、まあ理解しといてやっていくみたいなところを結構。
うん。
なんか。
そうなんだよね。
チーム立ち上げて2年経った今、しみじみ。
うん。
大事だなと思うところだよね。
うん。
なんか、まああと、なんだろうな、実はこれ構成の都合上いろいろ端折ってて。
あ、そうなんだ。
書きたかったけど書いてないことが結構あるんですよね。
うん。
なんか例えばだけど、その、あーでもそれはこれは書いてあるのか。
えーと、まあ結局誰かしらその、そういう人を取ろうっていうモチベーション誰かが持ってる以上は、
その、今何かをやっている、で何かができないっていうそのギャップがあるわけですよね。
うん。
うん。
なのでそこの言語化は多分やっぱ必要だよねっていうのがそこで言いたかったこと。
うんうん。
で、うん。
なのでまあ足りないピースが何なんだっけっていう話を。
うん。
うん。
まあちゃんと考えないといけないよね。
あとなんか結構その、そこの前段の話として。
うん。
なんかセキュリティよくわからないよねっていうので、よくわからんからなんか強い人いるよみたいな。
うん。
なんかそういうところで止まっちゃってないですかみたいな話とかもあると思っていて。
うん。
うん。
いやー。
なんかそういうところは実は書いてなかったりする。
うんうん。
うん。
よくわからないものとしてその理解することを放棄せずに突き詰めてそこの言語化をしないといけないんじゃないっていうその自分たちにとってセキュリティって何なのっていう話。
そうだねー。
まあ大事だよね。
なんかふと思ったけど割とセキュリティに限らずそうかもね。
うん。
なんか特にそのスタートアップやろうってなった時に一番最初に存在しないチーム。
まあなんか存在しないべきかどうかはさておき。
まあね。
なんかその一般的に存在しないチーム。
なんかSREとかQAとかもね。
まあ最近は増えてるのかなと思うけど、でもセキュリティとかもそうだし。
うん。
ね、そういう部分。
あのどういう人でもそのこの領域の一人目が欲しいみたいな時には結構どれも同じことが言えるかもなってちょっと思った。
うんうん。
普通に。
そうなんですよ。
でなんかっていう話を書いた後に割となんか、まあ今スケーリングピープルっていう本を読んでるんだけど。
うん。
なんかその事業運営の基本原則として自己認識力を高めないといけないよみたいなことを言ってるんですよね。
ああこれのことだなあと思いながらなんかすごくすごく慣らして言うとこれのことだなあとか思いながら読んでて。
うん。
面白いなって。
いやーなんかハゲドですわ。
ハゲド。
自己認識。
なんか会社ってスコープで見た時は、にはなんか個人的には死ぬほど大事だと思ってるし、なんなら会社選びのベンチマークにさえしてるわ個人的には。
うんうんうん。
何がダメなのかを正しく自己認識、正しくより早く正確に自己認識できるかどうかが割と会社の命運を握るんじゃないかという。
うんうんうん。
個人的には気持ちがあるわ。
うんうんうん。
真偽はわからんけど。
それをわからずにその採用のマッチングできなくないかなと思うんだけど。
そうだね。
うんうんうん。
だからその、いやー、だからなんか前回も多分同じことを話した気がするけど、そこの解像度を高めるために割と手段を選ばずにそのどろくさくたどり着けるかどうかで割と何ていうか、何ていうんだ、分水型になるというか部分ある気がするな。
なんか前も本当に話したけど、うちがその、まあうちはでもなスタート地点は割と明確ちゃ明確だったけど、その、非決勝した後にじゃあこれからどうしていくのみたいなところで、なんか専門家を入れたいっていう漠然としたウィルはあったけど、
うん。
なんで専門家を入れたいのっていう問いに対する解像度がそのときのメンバーだとどうしても上げられないみたいなときに、そこで止まっちゃうかどうかみたいな起点は振り返るとあった気がしてて、
まあそのときは外部の強い人をつてで業務委託頼んで、まあもともと頼んでたのかな当時は。でもちょっと採用したいんですけどどういうのをかけばいいですかみたいな、相談しちゃうとか。
なんかそういうのって別にどんな会社でも専門家いなくてもできるよねとか。
うん。
これは多分セキュリティーに限らずいろいろだけど、大事な、なんかそうだね、セキュリティーだとあるあるなのかな、それとも保管職種でもあるあるなのかな、なんかセキュリティーに限らない話ではあるよなやっぱり。
うーん。
でもやっぱ漠然と、やらねばいけない感があるけど解像度がないみたいな、ないがちな領域でもあるのかな、ちょっと。
まあその、全社のメンバーに占める割合っていうので見たときに、ある種希少なもの、希少というかそのマイノリティーではあるわけで、そこに対してじゃあどういう人をその会社の機能として当てるべきなんだっけっていうのはなんか、まあ似たような構造を持ってる領域っていうのは当然ありそうな気がするね。
例えばリーガルとかもそうなんだろうなと思うし、あとは会計の人とかも多分そうなのかな、もしかするとね。
なのでセキュリティーだけがめちゃくちゃそうであるとは、とまでは思わないけれども、なんか結構そのなんていうか、一言でまとめられがちで、なんかかつそのなんとなくこうむずいな、なんか固定化したイメージがなんかみんなの中にあるような領域なのかなという気もしていて。
あるいはふわっとしたもの、イメージがあるけれども実体が何なのかっていうのを誰も知らないみたいな話なのかもしれないけど。
そうね。まあどっちもあるだろうな。公社はあるだろうな。なんかサイバーセキュリティ経営外の人間とか今思い出してみると結構、経営者があれを読むぐらいモチベかったとして、あの次にどうするんだろうとか思うと結構わかんねえかもなとかちょっと今思ったわ。
セキュリティエンジニアの役割
うんうん。まあね、突き詰めていくと結局ただのリスクマネジメントですよっていう話ではあるから、なんかむずいな。なんかまあ足りないところって多分絶対言語化できるはずなんだけど、まあまあそんな簡単なものではないよねっていうのはわからんでもないし。
でもそれこそなんかちょっとGPTとかあるわけで今時。
そうだね。
壁打ちとか全然してもらえるから、なんかそこを怠ると、なんていうかミスマッチを見ることになるのかなと思いますね。
まああとは、いやーむずいけど、じゃあ何に名乗るのって感じだけど、そのセキュリティエンジニアという言葉を撲滅させるのも一つの手なんじゃないかって思えてくるな、なんていうか。
まあでも、何らかのソフトウェアエンジニアリングを通じてセキュリティというところに貢献しますよっていう、なんていうか枠でしかないから、別にセキュリティエンジニアという言葉自体はいいんじゃないかなとは思うんだよな。
ただなんか私は私自身をセキュリティエンジニアと呼ぶことにちょっと抵抗があるというか、あんまなんかセキュリティエンジニアだと思ってないんだよな自分のことは。
なるほどね。
なんかセキュリティエンジニアと自分のことを呼ぶにはあまりにもソフトウェアエンジニアリングしてないし、
なんかじゃあセキュリティマネジメントをやってますというにはあまりにもエンジニアリングによりすぎてるしっていう、なんかよくわからん立場。
なるほどね。
どっちかというとなんかセキュリティ領域におけるプロダクトマネージャーみたいな、多分そういう感じなのかな、なんかわからんけど。
そういう、まあでも農業職種も一緒か、ソフトエンジニアもそうでしょ。
ソフトエンジニアとセキュリティエンジニアの言葉の指す範囲の広さっていうのは似たようなもんじゃないかなとは。
少なくとも触れ幅の広さは似たようなもんじゃないかなとは思っていて。
だからセキュリティエンジニアというその、なんていうか、まあその概念があること自体はそんなに違和感がなくて。
まあただ結構いろんな人がいるよねっていうところは忘れちゃいけないというか。
一人目人材の価値
いろんな人がいるという話でなんかちょっとつなげて話すと、
端折った話の中に、僕が勝手に一人目人材って呼んでる人たちの話があって、
要はセキュリティの専門家、いわゆるセキュリティの人っていうのがいない、専門家としてのセキュリティの人っていうのがいない会社において、
セキュリティだったら大体なんでも、まあ得意不得意はあるけど大体なんでもわかりますよっていう人のことを勝手に一人目人材っていうふうに。
僕が呼んでて、なんかまあそういう人ってその、なんて言ってるんだろうな。
大なり小なり必ずシミ出しを求められるというか。
そうだね。
なんて言ってるんだろうな、そのプロダクトセキュリティしかやりたくありませんっていう。
じゃあそのプロダクトセキュリティって何なんですかっていう話とかも当然あるんだけど、
ただどう考えてもこれはプロダクトセキュリティではないよなっていうところまでやっぱりシミ出しを求められるケースっていうのが出てくると思うし、
逆に言うと求めてもいいんだよとも思うんだよな、なんか採用側視点で言うと。
なんかその辺の話は実は書いてなくて。
一方でその、まあ確かにそういう人って希少だよねっていうそのセキュリティっぽいっていう理由で、
まあ大体何でもなんかやれちゃう、あれややろうとするみたいななんかそういう人ってめちゃくちゃ希少だよねとは思う。
一方で、なんかニーズの高さの割にそもそもそういうのを心、わざわざ志すっていう人があんまりいないのかなっていう気もしていて。
今だとセキュリティのなんかあれって何が人気なんですかね。
レッドバーサスブルーみたいなのでなんかちょっと前にXで盛り上がってた気がするけど。
いや全くわからんな正直。
でもなんかその、まあそもそもセキュリティに限らずその何だろうな、
なんかその特定の領域で一人目人材になれる人っていうのがめっちゃレアだよね。
その、まあソフテン、ソフテンなんか、原職で一緒に働いたことある人とかとそのQAチームの一人目の人とかはもう何だろうな、
もう絵に描いたような理想的な一人目人材、タロッポさんっていうもう退職された方なんですけど。
3年後に事業を行ってなきゃいけないよねみたいなその事業の話をまず、
まあ事業の方に染み出してとか、
そうなった時にじゃあそのQAって一口に言ってもその手動テストの世界と自動テストの世界とテスト環境を整えるみたいな、
まあセットって呼ばれるような領域があって、
じゃあそれぞれの領域でまあおぼろげでもいいけどその1年2年3年でこういう風にしていかなきゃいけないよねみたいな。
じゃあ採用計画ってこんなんなきゃいけないよねみたいな何だろうな、
もう理想的な動きをして、
すごく尊敬してる人なんだけど、
なんかそういう動きができる人は出会ったし、
またそのここを指している人がいるかどうかはなんかあんまわかんねえなと思うけど、
なんかやりたくてもやれない人とか、
またその出席自体も限られてるんじゃないかなって気もせんでもなくて、
なんかセキュリティーは多分授業と教育のバランスがちょっとめちゃくちゃなので、
結論と未来の展望
ある意味なんか出席に出すチャンスは相対的には多い気がするけど、
まあでも立ちたいと思っても立たせてくれるだけの自分に立たせてもらうための自分の実力とか経験が、
あるってなるとやっぱり自ずと強い人が求められるっていう部分があって、
その辺かみかみで、込み込みで考えるとやっぱ、
セキュリティーでなくてもパイが少ないし、
そっかセキュリティーってなってきて、
その辺の事情はわかんないですけど、
僕は2年間いろいろ採用活動なりいろいろしてきた肌感で言うと、
なんていうか、別にスキルグラフで綺麗な十二角形を描いて欲しいわけでは全くないんだけど、
でもそれでもなんかやっぱ特定の領域に死ぬほど尖ってるみたいな人がすごくたくさんいて、
それはそれで素晴らしいことなんだけど、
なんだろうな、
今じゃねえんだよなっていう。
そうね、なんかさっき言ってくれたことだよね、
そのプロダクトセキュリティーだけやりたいです。
プロダクトセキュリティーだったら100点取れますって人が入ったときに、
その一人目ってことを考えたときにね、
じゃあなんだろう、
セキュリティーマネジメントの話もあったりとか、
プロダクトセキュリティーもあったりとか、
で、その辺ってなんかやってて本当に思うけど切っても切り離せないから、
なんか何が言いたかったのかわかんないけど、
でもなんかレアだよねってめちゃくちゃ思うし、
志す人がいないかはわかんないなと思うけど、
志すためのスタートラインに立ってる人は絶対少ないだろうなって思うって感じ。
なんかね、難しいんだよな。
その、やってる身としてはなんか結構中途半端だなっていうふうに思う。
いやーわかる、それも。
なんか、そうだね。
いやー、なんかちょっと今の話したせいでちょっとおかしいなことになるっていうか、
そう言いたいわけじゃないんだけど、
僕は自分は割と能力があるとは、
まあそこそこ能力あると思ってるけど、
そのめちゃくちゃ強いとは思ってないけど、
どちらかというと一人目寄りというか、
なんか吉那にやります枠な気はしていて、
なんか、
喋った直後に自分の意見を切り返すことになっちゃうけど、
強い、まあ難しいな。
なんかめちゃくちゃ強い必要はないというか、
思ってるほどハードルは高くない説はあるなって今思い直したのと、
なんかやりゃどうにかなるっていう気も、個人的には。
するけど、ちょっと生存バイアスなのかな。
それはね、覚える。
生存バイアスであるかもしれんけど、
まあでもその、
その側面あるよね、絶対。
相互に染み出しが必要だよねっていう前提があるはずで、
なんかそういう話の中において、
やりゃなんとかなるっていうのは間違いなく相互だと思います。
じゃあなんかセキュリティの専門家の価値って何なのっていう話になっちゃうんだけど。
まあでもそこはやっぱフェーズによって変わってくるんじゃない?
求められるもの。
でもなんかある種ユニバーサルに、
誰もがやりゃできるでしょ、なんとかなるでしょっていう中において、
ある意味中途半端とも言えるような、
なんていうかそういう一人目人材みたいなセキュリティ用の人の価値って何なのっていうのは非常に難しいところで、
だからこそ結構いろんな人がいるんだろうなとも思うし、
逆に尖ってる人の方がなんかそういうところで輝ける側面もあるのかもしんなくて、
非常に難しいところでは。
難しいね。
確かにな。
いやー、一人目人材。
いやー、一人目人材ミートアップしてるな。
一人目人材ミートアップ。
いやー、でもまじで。
結構面白いと思うんだよな。
カニーさんのこの転生しやすいサバイバルガイドは結構なんかバイブル味があるなと思っていて、
なんて言ったらいいんだろうな。
どんな組織においても放り込まれたセキュリティの人がどう立ち回るかみたいなところに対しての。
そうだね、確かに。
ほぼ多分答えに近いものだと思っていて、
ただ割となんて言ったらいいんだろうな、その、
いやー、これはね、順序がね難しいところなんだけど、
いや、この話長くなっちゃうな。
長くなっちゃうんだけど、
この、いやー、このね、
これをなぞるのが大事なんじゃなくて、
これがね、出てくるのが大事なんだよな。
いやー、わかるよ。
それも。
言語化されてて、いや、ありがてえと思う一方で、
その、なんか自分の中からこれが滲み出てこないといけないはずで、
これ見てよくわからんなと思った人は逆に多分危機感を持たないといけないんだけど、
そうだね、それは。
まあ、ちょっとそこまでいっちゃうと上から目線すぎるな。
危機感中かなんか、そうだね。
まあ。
もちろんね、細かいところでその、
いやー、これは違うなとかはなんかなくはないわけで、
その、そういうこともあるんだろうなと思うんだけど、
その周波の違いというか、流派の違いというか。
まだやっぱその一人目環境ってその、
たぶん千差万別じゃん、環境が。
そうだね、規模、会社の規模とかね。
そう、だから課題も全然違うはずで、なんかそうなったときに、
まあ、ある程度その、これっていう正解はない前提のもと、
でもなんかエッセンスを注出していくと、
まあ、最大公約数で取るとこんな感じだよねみたいな捉え方をしていて、
このサーバーヤバイルガイドみたいなとこ。
うんうん。
だからピンとこない人はなんかそういう関係に立ったらことがないのかもしれないっていう気もするし、
あー、まあね。
そもそも。
し、まあなんかにじみ出るようになりたいという、なるべきという話は完全同意しつつ、
まあでもその、なんだろうな、にじみ出る前のインプットとしてはめちゃくちゃシンプルに言うようだなって気がするな。
うんうん。
その、なんていうか、再レンダリングじゃないけど、
これをインプットして、自分でもその自分の手で、
あの、なぞるでもいい、最初はなぞるでもいいから回してみて、
そこでなんかある種、生のフィードバックが自分に返ってくるわけで。
うんうん。
そこで多分、初めて自分の口で心の底からこれはこうが、こういうのがいいって言えるようになるというか。
うんうんうん。
だから実践、だから出席、出席に立ちたい、立つのは大事だよね。
やればどうにかなるっていうのはそういうところにもある気がするな。
増加するフォロワー数の喜び
いやー。
だから始めるときにこれあったらよかったって本当に毎度本気で思うもん。
思う、それはね、めちゃくちゃ思う。
うん。
始める。
いやー、あの頃の気持ち忘れずにメモを解かないとな、なんか。
たぶん会社のノーショナーされば、たぶん試行錯誤の山が全部出てくるんだけど。
ブログに書こう。
ブログに書くか、振り返り。
うん。
ヤビア出入者記念して、これまでの奇跡とこれからの展望。
いいんじゃない?なんかやろうよ。
やりたい。
全然。
やりたいと思う。
うん、やろうやろう。
うん。
いい機会になってね。
いやー、これは。
なんか私、私視点、そうでもこのサバイバルガイドは、いやーそうだよねーっていう、なんか首もげるかと思うぐらいうなずきなんだけど。
いやー、ありがたいです。
なんかこういうの、こういうのがどんどんどんどん出てくるといいね、っていうか。
そうね。
自分も出せるようになりたいし。
なんか、結果的にはなんか同じマインドに行き着いてるんだけど、その、なんか、いやーそうなんだよなー。
なんか某社の面接の中でそのマインドって最初から備わってたんですか、それともそこのマインドチェンジになんか苦労したんですかって聞かれて、うーんってなっちゃって。
あー。
困った記憶を思い出した。
なんだろうね。
うん、そこはなんか、その要は、えっと、セキュリティベンダーからそのインハウスのセキュリティチームっていうところに移って。
あー、そうか。
なんかそれが自分の中では結構大きなきっかけでしたねーって話をなんかして、その中のなんか流れの中でそういう質問を投げかけられて。
うんうん。
でも確かになんかそう言われてみると別にそこのマインドセットを変えなきゃいけないみたいな苦労した記憶がないから、なんか、要はわからんけど自然とそうなったんだなーって。
うんうんうん。
改めてなんか、だからあまりにも生存バイアスっちゃ生存バイアスなんですけど。
うん。
確かにね、なんで、それ面白いな。
いや多分なんかその、変わってたんだよきっと。
その、なんか、どっちかっていうとそのインハウスのなんか人間寄りの思考を持ってベンダーに行ってしまった人間だったんじゃないかなと思ってる。
それはそう、まあ確かにね、それはあるかもしれない。
そうそう。
まあそうだね、これも書かなかったけど、なんかベンダーに行ってなんか違うなと思ってる人を、要はあまりにもタレントプールが小さいので、小さいと言われているので。
うんうん。
ベンダーに行ってなんか違うなと思ってる人を取りに行くっていうのはアリなんじゃないかなと思って。
うんうん。
全然アリだね、アリだし、アリなんだがどうやってリーチするかが。
そうなんだよ。
うんうん。
課題だな。
うん、そうだね。
うん。
まあそれで言うとあとあれだね、その新卒でベンダーに行くべきなのかユーザー企業に行くべきなのか論争みたいな。
あの辺もなんかいくらでも多分語れるんだけど。
そうだね。
まあ機会があれば辞任しようかな。
0点、あの特別会で話したいぐらいだね。
あー。
ベンダー卒の人と、ベンダーの人と話してみたいなそれこそ。
そうだね、ベンダーの人呼んで、なんかイベントやってもいいよね。
うん。
うん。
そうだよな。
別にね、まあ目指す世界は究極的には一緒なわけだからね。
究極的にはそうだね。
うん。
一緒のはずなんだけど、なんか違うんだよな。
まあまあ。
いい悪いじゃないんだけどさ、なんか、うん。
わかるよ。
懐かしいですね。
そんな感じの記事でした。
セキュリティ脆弱性の理解
うん。
30分以上話してしまった。
いやー、これは良きでした。
はい。
ありがとうございます。
ありがとうございます。
次みんな読んでね。
僕から言わないとセルフプロデュースになっちゃうんで。
いや、マジで全部フラットにオススメできる。
ありがとうございます。
よし。
じゃあ次行きますか。
いきましょう。
アプリケーション・ロジック固有の脆弱性を防ぐ開発者のためのセキュリティ観点をまとめたスライド
全員59ページを無償公開しました。
GMOフラットセキュリティブログですね。
フラットセキュリティさんのブログ最近結構紹介することがたまたまなのか多いですけど、
前もなんかのスライド紹介みたいなの無償公開みたいなのあった気がする。
あー、うん。思ってたのと違ったわーってやつね。
脆弱性診断、内製化外製化みたいなやつか。
今回はアプリケーション・ロジック固有の脆弱性診断。
内製化外製じゃないんじゃない?なんか研修コンテンツじゃなかったっけ?
あー、そっちか。そっちだね。
研修をどうするよって話で、
研修コンテンツが紹介されてるのかなと思ったら、
研修コンテンツをどうするかについて考える資料が公開されてる。
そうだね、そうだね。
確かにね。
今回はアプリケーション・ロジック固有で、
これ59ページもあるんで、
1個1個触れることはできないんで、
今日ちょうどツイートしたんですけど、
ソフトエンジニアは全員読んでほしいなと思っていて、
内容としてはタイトルの通りではあるんですけど、
例えば、紹介されてるのは
トップ10で触れられるようなXSSはこうでとか、
SQLインジェクションはこうでとか、そういう話ではなくて、
こういう機能、どんなアプリケーションもあれあれだよねっていう機能があった時に、
そこに潜みがちな脆弱性みたいなところを解説してくれてるようなスライドになってますね。
なんか分かりやすいのあるかなというと、
ログインフォームみたいな、
これはまあ、でもそうですね。
ログインフォームみたいな。
全部分かりやすいんだよな。
そうだね。
いや、マジで全部分かりやすいんだよな。
ログインフォームがあった時に、
試行回数制限がなくブルートフォースアタックができちゃうよねとか、
あとなんかよく結構何個か、
まあそれ系だよねっていうのは、
サーバーでチェックをしてなくてクライアントでしかチェックしてなくて突破されちゃうとか、
結構いろいろあってね。
なんか中には個人的に、
なんかいい正しい表現か分かんないけど、
生々しさを感じるものも結構混ざっていて、
それが好感を持てるというか、
何でしょうね。
いや、本人確認書類をアップロードみたいな機能があった時に、
古い画像を正しく作者さえないとか、
やりそうとか、なんか。
なんならあるよなって。
てかね、もう、なんかね、
経験上ね、
大体見たことある。
いや、なんかね、
なんかね、そうなんだよ。
アイタタタタタタ。
いいとこついてんだよね、ずっと。
大体見たことあるんだよな。
1ページ、もう最初のページ、もうスライド全部通して、
いや、これはないでしょってやつはほんとになくて、
だし、
すごく、すごく
生々しくて良かったなって思うし、
またなんかその、
何だろうな、多分フラットスキーさん脆弱性診断をずっと
多分一番長く授業としてやってるから、
多分ブログとしてもちょこちょこ書いて、
この前書いてたのかな。
あるある脆弱性ランキングみたいなの書いてたけど、
結構その、
生の現場であるものを、
今回もいい感じにまとめて
もらったものなんだろうなって、
ソフトウェアエンジニアの知識
個人的には勝手に推測していて、
それ故にやっぱり生の優しさがあるんだろうなって思ったって感じです。
これ出してくれるのは素晴らしいなって思う。
クーポンのレースコンディションによる利用回数制限回避とか、
なんか私、これ系のやつを面接で聞いてたな。
なるほどね。
データベースのスキマの定義だけ渡して、
これに対してこういう機能を実装するんだけど、
どこ気をつけるみたいなのを、
面接で聞いてた。
なるほどね。
あるあるだもんね。
本当でも痛々と感じるんだよな。
本当それ。
本当に。
一応多分背景としては、
匠の宣伝のために多分公開したっていう部分もありそうで、
最後の方は匠の話が書いてあるんですけど、
別に宣伝よりというか、
結構ちゃんといい資料だなっていう気持ちですね。
これはね、ソフトエンジニアみんな読んでほしいな。
みんな痛々ってなってほしいな。
そうだね。
しかもさ、別にさ、バグやん。
そうね。
なんかそんな特別なものじゃないじゃん、これ全部。
全部バグじゃん。
まあでもその類推可能なURL系とかはちょっと微妙なとこじゃない。
ああ確かに、その辺は微妙だね。
仕様の静寂、なんか表現が難しいんだけど、
まあでもなんか8、9割はバグだね、マジで。
うん。
異常系だよね、基本的には。
基本的にはその正常系でバグってるっていうかは、
なんか異常系を考えるってめっちゃ大事なんだよな。
いや、CSV、Excel、Macro Injectionとかなんか、
ロジックの静寂性なのかって言われるとちょっと微妙だなとか思いながら見てたんだけど。
いやー、これなんかそうね。
あと対策の部分のボリュームがな。
もうどうしようもないんだろうけど、
なんかもっと書けそうな気がするなとか思いながら見てたけど。
まあ、でも全体的にかなり、とてもいい。
うん。
あー、むずいなー、なんかスライド、うーん。
まあ、スライドなのかな。
なるほどね。
いや、でもいいよね。
うん、いやめちゃくちゃいい。
まあ、ここまで書いてくれればどうにかなる感はある気がするから。
まだPDFで落として、ノートブックLMとかに加わせればいいのか。
あー、そうだね。今だったら。
いやー、ソフトエンジニアはみんな読んでほしい。
マジで。
良きでした。いつもありがとうございます。
はい、じゃあ。
いいねー、なんか最近いい感じですね。
うん。
勢いがある。
いけいけだね。
みんな頑張ってほしいね。
これ、どっち読みます?
あー。
あー、僕全部読んだから。
サラッとしか読んでないんで。
まあでも、説明できるわけじゃないけど。
まあまあ、別に全部は説明せんでもいいんじゃん。
ウェブにおけるセキュリティ・セーフティ・トラストの相対性のという記事で、ジャックさんの記事ですね。
で、まあなんというか、どう説明したもんかという感じなんですけど、
タイトルの通りウェブにおける、冒頭の部分が分かりやすかったかな。
なんでしょうね。
いいイントロなんで、イントロだけ読むと。
我々インターネット上において、信頼できるサービスを安全に使うことに安心を求めるみたいな。
その信頼できて、安全に使えて安心を求めるみたいな。
タイトルのセキュリティ・セーフティ・トラストみたいなところで、日本語で言うというところなんですけど。
じゃあそれを求めるというのを実現するためにどうするのっていう話で言うは、
プライバシーは守られて不正な取引には加担せず、詐欺嫌いも受けたくないし、
技術的に言うと通信暗号化されていて、個人は匿名化され、データは否得されるっていう部分。
プライバシーの重要性
で、実現できるんじゃないかみたいな話だけど、本当なんですかみたいなところがイントロとして書いてあって。
で、結構なんか読んでほしいなっていう。
読み物としてそもそもめちゃくちゃ面白いし、
ある種ウェブの歴史みたいなのを読みごたえのあるフォーマットで書き直したものなのかなと、
僕は勝手に解釈したというか、なんか実際そうなんじゃないかと思うんですけど。
一個一個の章で、それぞれいろんなトピックに触れていて、
こういうものがあって、こういう課題があって、こういうふうに解決をしようとしたけど、
最終的に結果こうなっちゃってるよねみたいな部分とかが書いてあって。
なんでその、なんでしょうね。結構その全体的に問いかけというか、
なんか分かりやすいところで言うと、
そうっすね、後半のほうにね。
ちょっとね、一箇所だけ部分的に切り出してどうこうっていう話がちょっと難しいんで。
でもなんか多分後半のほうでちょこちょこ出てくるようになるかつ、
最近このPodcastもなんかおつやになって終わるトピックとして、
そのE2Eの話とか、そのサービスを利用するユーザーのプライバシーを守るっていう観点で、
いろんな技術とか、標準化された技術もあればサービスが提供すべきだよねってなってきてる技術がある中で、
じゃあそれってでも犯罪者も同じように守られるってことだよねみたいな。
犯罪者が安全に盗聴せずに通信できるみたいな世界になっているみたいな話。
これって本当に求めてたのはこういう世界なのっていう。
めちゃくちゃがそういう世界じゃないよねって言ってるんじゃなくて、
そうなのだろうかみたいな感じで問いかけて確証してる。
そこには相対性があるっていうか、何を思って正しいというか、何が正しいのかっていうところに関して、
それぞれの正義があるし、そこは相対的に変わり得るものだよねっていうのがなんかここで書かれてる内容で。
めちゃくちゃわかるし、めちゃくちゃわかるし、私のメルカリでの最後のほうの仕事はまさにこういうところだった。
そうかそうか、なるほどね。
いやー、むずいよねー。
この要はなんていうか、何をやればそのトラストオーシーなサービスを提供できるのっていう、トラストオーシーなプロジェクトを提供できるのっていう、
なんか人にとってのその安心って何、安全って何みたいなのをずっとなんかやってましたね。
トレードオフの議論
うん、なるほどね。
いやー、すごくね。
まあ、考えさせるっていうとちょっとチープな感想かもしれないけど。
でもすごく面白かった。
僕がキャッチアップし始める前のその世界戦の話もある種。
こういう歴史があってとかは結構見えたし、知らない間にもちょっとちょこちょこあったんで。
なるほど、そういうのもあっていうところで。
いやー、よかったですね。
とかJackさんすごいなって思ったな。
セキュリティもこんだけ、まあセキュリティっていう切り口っていうよりかはその、
ウェブの安全安心信頼みたいなところ。
でもウェブの安全性っていう意味では明確にセキュリティなんだと思うし、
まあETCの話とかはそうだけど、
安全性によって利便性がやっぱり何ていうか、
害される部分があるよねっていう話とか、
要はバックアップとかなんもできんよねっていう、
サーバー側でバックアップができないよねって話とかは当然あるよねっていうのも、
トレードオフが生じてるよねっていうのは触れてる部分だし、
あとはパスキーの話、
ノーションの方にもチロッと引用してたけど、
要はシンクトパスキーの場合って、
パスキープロバイダーに対して鍵を預けることになるから、
なんかそれって本当にいいんだっけっていう。
そうだね。
その状態をもって二要素と言えるんだっけみたいな話とか、
まあ確かにね、
それはなんかどっちかっていうと利便性によって安全性が害されているっていう状況なので、
そこはそこでまたトレードオフが生じてるよねっていう。
結構その、なんていうか、
その体験と安全性のトレードオフみたいなのがないようにしたいよねっていうのは、
まあ言うはやすしの典型例だと思っていて、
かなりな、なんか、
まあ昔はそういうことを言ってたし思ってたけど、
なかなか難しいな現実的に、
まあ世の中そういうふうにはできてないなって最近は思うけど、
まあ捨てたくない、捨てたくない夢ではありますね。
そうだね。
いやー、そのユーザーのプライバシーの保護みたいな部分においても多分一緒で、
その、なんていうか、
犯罪抑止、あるいはまあ、
なんていうか、捜査への活用みたいな部分とプライバシーの両立って、
なんか本当にできないんだっけとかは、
なんかずっと考え続けなきゃいけない部分だと思うし。
そうだね。
ただなんか結構この手の話題ってその、
まあしょうがないよねとは思うんだけど、
その、一企業のセキュリティっていう文脈においてはなかなか語られにくいというか、
まあ、
確かにね。
そんな余力は誰も持ってないよっていう話だと思うし、
まあそりゃそうだよねっていうふうにも思うんだけれども、
でもなんか、
ある種のその社会的責任みたいな部分の話だと思うし。
うーん、そうだね。
なんか、うーん、
その僕の、まあ卑下する必要ないか。
なんていうか、その、結構、
余力がないのはマジでそう、
まあ自分ないしは自分の組織っていう意見はちょっと乱暴だけど、
まあ自分のセキュリティチームとか、
余力が、そこまで気を回すほど余力がないっていう現実はもちろんあるし、
うーん、
まああとはその、そもそも一企業でどこまでできるのみたいな話はあるんだけど、
とはいえなんか、そのここまで壮大ではなくても、
なんかそういう、この相対性みたいなマインドを持つのは結構大事だなっていうのは、
周りの皆さんのコメントを聞いてちょっと思っていて、
なんていうか、その、
すごく小さな機能の仕様を考えるときにも、
その、やっぱ、
まあよくあるのはやっぱり面性と安全性のトレードオフみたいなのがめちゃくちゃあると思っていて、
特にうちみたいな2Bの企業になったときに、
その、なんだろうね、
まあお客さんやっぱ安全に、
あの、安心して信頼できるサービスとして僕らを使いたいってなったときに、
まあこういう機能あってほしいとかなんかいろんな要件がある。
まあ要件があるっていうか、
なんかまあいろんなパターンがあるね。
向こうが安心して使いたいからこうしてよっていうパターンもあるし、
でもなんかそれがまた外れっていうか、
その技術的に見たときに、
いやなんかこういうふうにした方がいいんですよみたいな、
僕ら側のビルがあることもあるし、
ただなんかそのいろんな選択肢を並べたときに、
ものによってはその、なんだろう、利便性を損なうっていうのもパターンもあるし、
またその使いこなせないっていうパターンもあるだろうし、
なんかそういう場面で、
その諦めてはいけないと思うのはなんだろうな、
より良い選択をする努力を怠らないというか、
より良い選択することを諦めないというか、
なんか楽な方に流れると、
そういう体験をしたわけではないけど、
まあ向こうがこれで満足するなら、
コースも低いし、本当は安全じゃないけどこれでいいかみたいなことに済ますとかって全然、
なんていうか、
いろんなことで追い込まれたときに、
情報セキュリティの未来
取り取ってしまえる選択肢なんじゃないかなって、
ざっくり思っていて、
なんかそういう意味で、なんていうか、
油断せずに頑張りたいなっていう気持ちは個人的にあるなって思ったっていう、
ちょっとうまく言えてるかわかんないんだけど、
気はするなあ。
そうなんですよ。
いやあ、諦めてはいけないよね。
不合理な、不合理ではマジであると思うんだよな。
うん。
なんかその、
いろんな物事の集合体として世の中ができてるわけだから、
なんかこういう議論を承知した上で、認識した上で、
じゃあどうしますかっていうのを常々考えないといけないと思うし、
まあね、難しいっすね。
そうは言っても会社が死んだら意味ないじゃんっていうのも、
まあそりゃそうだよねと思うし。
いやあ、
まあでも、諦めずに頑張りたい。
僕一回、
この話と、このトピックとはまたちょっと違う話が書いてあったから、
あれだけど、
情報セキュリティの敗北死っていう本を読んだときに一時期、
絶望してたときがあったから。
だからなんか今ちょっと、
あの時の絶望を気づいては乗り越えてたことに気づいたから、
これも絶望せずに向き合っていくぞっていう気持ちだわ。
いい話。
いやあ、
そうね、まあ一企業の一員としてもそうだし、
まあ、業界としても頑張りたいなあ、なんか。
うん。
自分がどこまで何ができるかわからんけど。
うん。
いやでもこれは本当に良かった。
まあ単純に面白いから読んでみてほしいなあ。
ソフトエンジニア全員とは言えないけど、
言えないというか言わないけど。
逆にソフトエンジニアじゃなくても読んだ方がいいと思うけどね。
ああそうだね、それは確かに。
そのウェブでご飯を食べている人は全員読んだ方がいいと思うけどね。
確かに。
サードバーティークッキーアドベントカレンダーもそうだったけど。
うん、サードバーティークッキー。
これもそうだね、それと。
サードバーティークッキーの話も触れてるもんね、これ。
うん。
漏らさずきちんと。
うん。
いやー、でも面白かったな本当に。
もう一回読みたいな、もう一回読もう。
もうガーッて読んじゃったわ。
文章書くのが上手だわ。
はい。
いやー、はい。
この冒頭の不正な取引には加担せずって、なんかこの。
いやー。
ここがさ、難しいよね。
その、難しいんだよな。
超ドライに諸事を見るんだったら、自分の関係ないところで不正が起きる。
要は例えばだけど、自分が使ってるサービスの自分の関係ないところで不正が起きてると、別に知らんわっていう考え方も多分あると思うし、
大多数の人はそうなんだろうなと思うんだけど。
うんうん。
でも一方でやっぱこういうふうに思う人もいるんだよなっていうのはなんか、結構大事な観点だなとか思いながら読んでました。
そうだね。
私もなんか、いやー、こういうことを意識的に考えてない人でもその、なんだろうな。
まあ、ある種気づかずに巻き込まれてしまったりするみたいなことはあるはずで。
うん。
なんかそういう人たちもきちんと守り、いやー、まあ、そうっすね。
守っていきたいなという気持ちと、なんか今、警察って偉いなってすごい一緒に思った。
どうしたどうした?
なんかそのさ、守る対象を選ばないじゃん。
いや、選べないっていうか選ぶべきではないんだけど、選ぶべきではないとはいえ、選ばないってすごい偉いなって思ったっていう。
そのね、なんか別にセキュリティエンジニアって警察じゃないし、誰にも何もその義務を課されてるわけじゃないけど、
だからこそなんか強い気持ちを持たないとなってちょっとふと思ったというか。
そういう気持ちです。
はい。
うん。
いやー、そんな感じですか?
うっす、そんな感じです。
うっす、ありがとうございます。
じゃあ、次はこれまたプライバシーですね。
これが並んでるのいいね。
アメリカ政府のSNS投稿制裁
はい、ビザ申請でSNSへの投稿を制裁。
米国務長官在外交換に指示かっていう。
まあ、京都通信の記事ですね。
はい、えーと、まあなんか別にタイトル通りなんで、そんなに触れることはないんだけれども、
まあここからどんどんその検閲とかする方向に行くのかな、どうなのかなみたいな話とかがあって、
どうなんすかねっていう。
トレンドの一つとして、ちょっとピックしておきたかった感じでございます。
一応なんか検閲対象としては反イスラエルかどうかみたいなのを見てるっぽいね。
いやー。
いやでもさ、実効性の担保がさ、できるのこれ。
うーん。
まあ、本気でビザ申請する人は隠すよね、普通に。
まあでも隠しても、そうか、プロバイダーがアメリカだったら、どこんだかどこまでやるんだろうね、本当に。
うーん。
だし、SNSのその、
何をもってしかもその本人と紐づけるのかみたいな話もあるし。
まあなんか、もう実効性は正直ないだろうな。
でもなんかその、この指示はともかくとして指示をしたという事実が結構。
そうね。
なんか痺れるというか、結構。
いろんな意味でね、なんかその、実効性を持ってやれると思ってることもなんかまあまあ。
そうね。
もにょる部分が正直あるし。
直近のちょっとアメリカ政府の動きはなんか、技術周りは色々。
うーん。
あれだから、あんまそういう意味では個人的には驚いてないんだけど。
うーん。
まあこれ、そうね。
実行するとしばらく。
まあ回避するよね、普通に。
なんか。
これはわかってるんだったら。
何で報道されたんだろうね、隠してないのかな。
全然。
ニューヨークタイムズか。
うーん。
まあまあ、あ、ベゲ政府関係者の話か。
うーん。
うん、なるほど。
まあいいついいい、めくれとは言わずとも、精査ぐらいはしようみたいな感じなのかな。
うーん。
いやー、たまったんじゃないっすよ。
ほんとに。
というか。
なんか、これまかり通ったら、どういう世界になっちゃうんだろうね。
うーん。
匿名が保証されるサービスだけを、レジデンシャルプロキシーを通して使う世界線が来るかもしんない。
いやー。
知らんけど。
きつい、きつい。
これはでも、ちょっと、僕が拾ってこれてなかったんで、おおってなりました。
いやー。
はい。
はい、ありがとうございます。
次行きましょう。
ちょっとアメリカにも行きゃな、ちょっと。
おいおい。
なんかね、ずっと気になってるのは、CSAのレイオフの状況、ずっと気になっていて。
なんかね、結構、自分が見てる範囲だと行ったり来たりしてるんだよね。
そうなんだ。
トランプがガッと切るぞとか、実際に切られたぞって話が出たり、レイオフされたっていうのを差し止めるっていう裁判が起きたり、
で、CSAから、いや大丈夫だよみたいな声明が起きたり、でもなんかこっちの動きでは怪しいみたいな、ずっとね、そんなの2ヶ月ぐらいずっと。
そんな感じなんだ。
うん。だからなんか、ここで話すにはなんていうか、もうよくわかんないなみたいな感じでずっと見守ってるんだけど。
だからそういう意味では、その、この指示とかもなんていうか、なんか大丈夫かなって思ったりしてるんですけど。
まあまあちょっと引き続き、何かアップデートがあれば話しましょう。
はい、次は、打って変わってちょっと新しいニュース。
新しいじゃない、明るいニュースなんですけど。
GoogleアナウンサーセックスジェミニV1 A New Experimental Cyber Security Model っていうGoogleのセキュリティブログの記事ですね。
内容としてはタイトル通りで、そのセックスジェミニ、セキュリティのセックスの、セックスジェミニV1っていうモデルをエクスペリメンタルパブリックプレビューなのかな。
いや、でもパブリックじゃなくて多分クローズドベータでリリースしましたっていう話です。
で、名前の通りこのモデルはセキュリティ方面の、サイバーセキュリティ方面で活用することに特化した、チューニングされたモデルになっていて。
で、なんか読んだ時に匠みたいな感じかなってイメージしたんですけど、ちょっと記事読んでみるともうちょっと裾野が広くて。
いわゆる脆弱性診断みたいなものも多分、言及ないけど普通のモデルもできるっちゃできるんで、そういう部分もあるんだろうなと思いつつ。
サイバーセキュリティ方面の知識を結構学習させてるっていう部分があるんで、記事中で触れられてたのは、例えばソルトタイフーンについて訪ねたり、
その脅威アクター、特定の脅威アクターについてこういう分析をしたいみたいなところに対して正確性の高い解答ができたりサポートができるっていうことが書いてあって、
なるほどねというか、なんでそのコードを見るとか脆弱性探すとかそういう部分以外にも脅威インテリジェンス的な使い方、
もしかすると何かどっかのプロセスを補助するような使い方が多分できそうな感じな気がしてる。
で、アクセス自体はいくつかの多分企業とか研究機関には提供して試してる最中で、
一応フォームがあってリクエストすれば使えそうなのと、
使えそうというかリクエストして通れば使えるかもしれないっていうのと、
また知らなかったんですけど、セキュリティ方面のモデルを評価するフレームワークなのか指標みたいなのがあって、
なんかCTI MCQっていうのがあって、
それのスコアでもいろんな他のモデルより精度が高いっていうのも評められてるって感じですね。
いやーまじもう追いかけきれんなー。
そうだね。
でもなんか個人的に結構Google、
自分が追い切れてない、もちろんそれこそ追い切れてない可能性あるんだけど、
その生成AI周りのなんか攻めの部分というか、
どう生産性を上げるかとかどう価値を出すかみたいな部分ってもう、
なんか目前がするほどノウハウが日々出ててサービスがアップデートしててみたいになるけど、
このセキュリティ方面は結構どっちかっていうと、
なんかこれが危ないあれが危ないとか、
ここ気をつけた方がいいよみたいな。
継承の記事はあっても、
モデルをプロバイドする側の事業者側からそっちにフォーカスしたものっていうのはまだ全然見ないなって思っていて、
まあそういうフェーズじゃないんだろうなと思ってるんだけど、
なんかGoogleは一貫して真面目にもガンガンやりつつ、
この記事もしっかり、もう一個ね、今日取り上げた記事もあるんですけど、
結構守りの部分も同時並行で研究を進めている空気があって、
なんか俺たちのGoogleっていう気持ちがありますね、個人的な。
ガンガンやってほしい。
はい。
ZECGEMINI使いたいです。
これなんか普通にGEMINIのUIから使えるのかな?
Googleの新モデルの紹介
使えるようになるのかな?
なんか、
ブログに貼ってあるキャプチャーは普通のGEMINIのUIで使ってるような。
そうだよね。
UIになってるから、もしかしたら使えるようになるかもしれないし、
GEMINI契約してたら使えるのかどうかとかはちょっとわかんないけど、
サービス展開してほしいよね、ぜひ。
ね。
いつか出ると思ってたけど、匠的にはもしかしたら大変かもしれない。
こういういろんなものと競ってこなきゃいけないかもしれない。
時間の問題。
でも、
でも、これどっちかっていうとスレッドインテリジェンスとかだよね。
まあ、内容的にはそう見えるけど。
そう見えるよね。
だからベンチマーク、今回ちょっと追い切るじゃないんだけど、
ベンチマークの中身はわかんないなと思ってて。
ベンチマークの方はスレッドインテリジェンスとか。
タイトル的にはそう。
であれば確かに。
そっかそっか、じゃあ全然違う。
セキュリティAIがサイバースレッドインテリジェンス。略称だから。
本当だ、RCEも、なるほどね。
失礼しました。
じゃあまあまあ、匠みたいなものとはちょっとまた違いそうだね。
と思うんだけど、ただセキュリティ周りのあれが多いよっていうのがどう効いてくるかがわからない。
でも別に匠の裏側でさ、これ使えばええやん。
確かに。
お願いします。
ぜひお願いします。
確かに確かに、そりゃそうだね。
匠は匠でなんかその繋ぎ込みの部分とか、あとはなんかプロンプトとかで多分裏側で移動してるものがあると思うので。
そうだね。
ある種エージェントであるところにもめちゃくちゃ価値があるだろうし。
はい。
はい。
で、ちょっとこう動きたいという気持ちで見てます。
はい。
はい。
じゃあ次も、今日はAIぼちぼちですけど、
脆弱性診断with AIエージェントを始めましたというフリーデベロッパーさんの記事ですね。
で、まあ内容としてはタイトル通りで終わって、具体的にはクラインかな。
クラインを使って脆弱性診断をやり始めて取り組み始めてますというところで。
で、フリーここで紹介したかちょっと思えてないんですけど、脆弱性診断を全部ではないけど、
その内部のプロセス的に内製していて、そのプロセスをAIエージェントで大体できるかっていうのをトライしているという感じですね。
で、結論としては、APIエンドポイントを叩いて分かるような脆弱性っていうのは大体可能なんだけど、
それこそ今日一番最初の方に話したような、ロジックキーンとか使用キーンでの脆弱性みたいなところはまだ苦手そうっていうのがあって、
そこは今後の要改善ポイントという感じ。
とはいえ前者はもう完全に大体可能だし、
コースとしてはプロンプト投げて2分ぐらい別の作業して待ってる、待っておけば出てくるって感じなんで、
効率化には起用できそうっていう話があるって感じですね。
で、あとはめちゃくちゃ主題じゃないじゃないポイントなんだけどめっちゃいいなと思ったのは、
そのガードレールとメモリバンクっていう2つの部分、工夫みたいなところに触れていて、
ガードレールは何かっていうとそのAWSガードレール、
AWSの機能の名前なのかちょっとわかんないですけど、
クラインの裏側はAWSベッドロックを使っていて、
そこのガードレールにいろいろ投げられたプロンプトに対して制限を加えることができるみたいな仕組みがあるみたいで、
それによって例えばクラインだとローカルで利用者が許可さえすれば、
原理上はどんなコマンドでも叩けるよねっていう部分があるんだけど、
フリーのセキュリティポリシーとしてはそれは許容できないっていう部分が、
具体的にはモデルにインプットとして渡し情報を制限してるっていうのがあるんで、
それをきちんと統制するためにAWSベッドロック側の設定でガードレールを敷いてるっていうのが書いてあって、
これはなんていうか、シンプルに僕はこのAWSベッドロックを使ったことなかったし知らなかったんで、
めちゃくちゃ素晴らしい、というかさすがフリーさんだなって思ったっていう感じですね。
ちょうど自社でも導入するときにここめちゃくちゃ悩んでて、どう担保すんねんって思ってたんで、なるほどっていう。
あとメモリバンクはある種、脆弱性診断をするときに把握しておいてほしい仕様とか設計資料みたいなものがいろいろある中で、
それをデータとしてAIエンジェントに参照してもらえるような仕組みを用意してますっていうことが書いてあるって感じですね。
脆弱性診断へのAIエージェントの活用
これは公式でもプロンプトが公開されてるらしいんだけど、独自にちょっとカスタマイズしてやったっていう感じで書いてあります。
これはちょっとこれも僕は知らなかったんで、へーって感じで言ってたんですけど。
はい、そんな感じです。カードレールは素晴らしいなっていう感じだな。素晴らしいとか知らんが真似したいって感じですね。
結局内製にしてるんでしょうね。
多分、モデルは内製してないんじゃないかな。
モデルは内製してないけど、カードレールが。
そうだね。
クォーターがしんどいっていう。
どこでどうやってるのかちょっと分かんないけど、ちょっと思ったのはここまでやる体力がないとなっていうか。
自社の基盤を作ってみたいところが。
いいなって感じですけど。
いやー、そうですね。
でもフリーさんがだいたいできるって言ってるんだったらだいたいできるんだろうなって気持ちで。
信頼しすぎ?でもなんかある種いい知見だなって思ってますね。
引退の日も近い。
いい話。
クラインでやるんだなと思ったけど、でも確かにローカルで。
クラインでやるのは確かに意外だな。
生化物に対してレビューをするから、プロリティックにレビューとかである必要はないというか、むしろそっちのほうがやりやすいとかあるのかもね。
クラインやっと最近触ってるんですけど、確かにいろいろ自由度が高いというか、やりやすさはある気がする。
いやまだ触った1週間ぐらいなんで、もうちょっと頑張りますけど。
ありがとうございます。
じゃあ次。
またしてもAI、そしてGoogleセキュリティブログですけど、さっきちょろっと振り落とした別記事で。
Taming the Wild West of ML Practical Model Signing with SIGSTARという記事です。
これは割とシンプルな話であって、マシンランニングのモデルに対して署名をして、それを検証できるようなライブラリを作ったよって話ですね。
なんでその署名が必要なのって話でいうと、みんなが使っているそのモデル、誰が作ったものですか、その人が作ったことをどうやって署名するんですかっていうのが1つ問いとしてあって、そこに対するソリューションとして署名ですよと。
なんで誰が作ったモデルかっていうのをきちんと担保しなきゃいけないかっていうと、モデル由来のサプライチェーン攻撃っていうのが手法としては存在しているし、脅威としても緩和できないし、記事には書いてないけど個人的にはおそらくどんどん話題に実例が出てきちゃうんだろうなと思っていて。
モデルのサプライチェーン攻撃、サプライチェーンって具体的に何なんっていうところで言うと、すごく分かりやすい例が2つあったんで、ノーションの方には引っ張ってるんですけど、1つ目はそもそもモデルを作るステップとして大体3ステップに分けられるよって話があって、
イニシャルトレーニングがあって、その後ファインチューニングしてデプロイしますみたいななったときに、なるほどなって思ったのは、じゃあこの3つのステップが同じ企業がやってるかっていうと別々の企業がやることもあり得るんですよってなった。
ありますってなったときに、じゃあその3ステップそれぞれ誰がやったのとか、それをそうやって信頼できる人なのとか、なんかそういう話があるよねみたいなところで、攻撃者目線ではつける余地がありますよとか、またもう少し分解したサプライチェーンの図があるんですけど、全部は読めないんで、ぜひブログで図を見に行ってくださいって感じなんですけど、
その学習元のデータセットがあって、それを使ってモデルをトレーニングしてっていうところとか、そのモデルの元となるソースとかフレームワークがあってとか、いろんなソフトウェア的なものとかデータ的なソースがあって、それをじゃあデプロイしてプロダクションモデルとして使って、それをそのモデルを使ったアプリケーションになってっていう風に繋がっていくんで、
どこで差し込まれるのかみたいな部分は結構難しいと。
なので、この署名の部分で具体的にどうやるかっていうのはちょっと見れてないんですけど、モデルの署名っていう風に言ったんですけど、各ステップでその署名検証をきちんと連鎖的にしていくことで安全性を担保しようよっていうところが、今回開発したSIGストアっていうところでやりたいっていうような話だったって感じですね。
サプライチェーン攻撃のリスク
なんか、ごめんなさい、先どうぞ、すいません。
データは署名って話ではないから、まずこのデータを使ってトレーニングしたよっていう署名が、署名というかモデルがあってそれに対して署名をして、それを使ってこれをしたよ、これを次のステップを作ったっていうのに、そこに対してまた署名検証してみたいな、そういう感じかな。
まずで言うと、このクリップが署名でそれを後続のステップでちゃんと検証しようぜっていう感じの解釈でいいと思ってます。
僕からは一緒です。
なんか、このモデルの署名というもののその得意性というか。
あー、モデルだからみたいな話。
だから署名が難しいとか、その、なんかその辺がようわからんなと。
うーん、全然わからんね。
うーん、どうなんでしょう。
その辺はね、あんま触れられてなかったようには見えたな、なんか。
ね。
SIGSTAR自体がなんかこういう、
SIGSTARこれなんかだいぶ前からあるやつな気がするから、
新しく開発されたっていうよりはMLモデルも署名できるようになったようなみたいな感じの気がする。
このアイコンめっちゃ見たことある。
結構何でも署名できるくんな気がするんだよな。
うーん。
うーん。
なんか難しいことな、いやわからんね。
どうなんだろう。
まあ単純にサイズでかそうではあるけど。
ね。
まあでもある種標準化みたいなところがあるのかもね、ツイートとしては。
モデルサイリングライバリー。
うん、そうだね。
まあ誰でもなんていうか、もうパイパイで配布されてるんで、
そんなに難しくなく使えそうな気がするね。
うん。
いやあ、個人的にはめっちゃ大事になるんじゃないかなという気がするんだよな。
これはうん、めちゃくちゃ大事だと思います。
うーん。
なんかその、従来のサプライチェーン攻撃で手元に落ちてくるような、
ソースコードとは違うじゃん、モデルって。
そうだね。
ソースコードはもしかしたらSASとかEDRとかで止められるかもしれないけど、
なんか落としてきたモデルが実はめちゃくちゃ害があるかどうかってマジでわかんないから。
うん。
だから逆にでも署名以外で担保する方法あんのかな、なんかね。
まあもしかしたらこの先出てくるかもしれないけど、
そのソフトウェアの実態を見てどうこうはできない気がするから。
モデルの信頼性とセキュリティ
うん。
いやあ。
まあ署名が王道のアプローチだろうなとは思いますね、その正当性確認みたいな。
そうだよね。
うん。
まあそれ以外の方法ないんだけど。
うんうんうん。
このここで言うモデルって、なんかどういうフォーマットで配布されてるものなんだろう。
まあなんというか、普通にOSSになってるようなものもあったりとかするよね。
うん。
ハギングフェイス、実はハギングフェイスはよくわかってないんだけど、
多分モデルを、モデル版GitHubみたいな感じじゃないかな。
まあそういう、わかんない、あんまり適当なこと言わない。
まあでもモデル図みたいなのあるよね。
うん。
こういうものに対して署名ができて、その署名を検証できるって感じなんじゃないかなと思ってるけど。
うん。
だからなんかDeepSeekとかもさ、モデルをOSSにしたよとか、そういうのがここに入ってるんじゃないかな。
そうだね。
DeepSeekとかはさ、ローカルで。
うーん。
動かせるね。
動かしてみた記事とかよく見るし。
あれは何が配布されているんでしょう。
うーん。
思い出すね。昔別の会社で手元で作ったことあるのに。
まあでも実際ファイルというか、なんかそんな得体の知れないものではないという認識で。
そうだよね。
ファイルサウンドバージョン。
ああそうだね。実体4.3ギガとか5.23ギガとかあるけど。
こういうようなものなんじゃないですか。
うーん。
いやすげえ容量だな。
まあそうだよね。
昔自分で勉強してたときは、なんかせいぜいTitanicで死んだか死なないか判定するモデルだったからめちゃくちゃ混乱じゃん。
その東流門的な問題がかぐれであるんだけど。
うーん。
はい。なのでまあ、
はい。
交互期待というか、さっきも言ったけど、防御面、Google。
まあGoogle以外もやってほしいけど。
ちょっとありがとうございますという気持ちで紹介してます。
次読みますか。
ありがとうございます。
次行きましょう。
えーと次は、
ブリーピングコンピューターの記事で、
Counterfeit Android Devices Found Preloaded With Triada Malware かな。
TriadaなのかTriadaなのか分かんないけど。
うーん。どっちでしょうね。
はい。
内容としては、
タイトル通りあってTriada、Triada、Malwareっていうのがプリインストールされてる。
偽装されたAndroidデバイスっていうのが発見されたよっていう話ですね。
で、なんか主にロシアのユーザーが影響を受けており、
あのーっていうところとか、
あとファーマリレベルで多分偽装されてるのかなっていう部分があって、
あのーっていう感じです。
で、具体的にはアカウント情報を盗んだり、
ウォレッターデースを盗んで、
まあある種のユーフォースティーラっぽいけど、
って感じで、記事の内容自体はなんていうか、
その技術的な部分とか手法とかは、
めちゃくちゃ目を引くものがあるわけじゃないですけど、
ちょっとこれで取り上げたのは、
なんか普通にこれめっちゃ怖くないですかって思って、
あのー。
え、そうね。
なんか分かんないけど、
その、まあメルカリでもアマゾンでも何でもいいんだけどさ、
その中古でスマホを買うとかって、
割と一般的な生活の中の行動じゃないですか。
で、中古じゃなくても安いスマホを、
なんかカカコムで調べたらここ安いみたいな感じで仕入れるとかさ、
なんか全然あると思ってて。
あるね。
でもなんかこれ知っちゃうとちょっと、
いや僕はもともと普通に中古あんまやったことないですけど、
中古買えねえなと思ったというか、
怖いなと思ったという感じですね。
うんうんうん。
いやー、はい。
まあ可能性としてはあるよねっていうのがやっぱなんか、
現実としてこう起きてるっていう、
いやだからね結構やっぱ、
これ起こりそうだなと思った方ほんとに起こるんだよなー。
そうだねー。
一応iPhoneだったら、
うんうんみたいなことは書いてあった気がするんでもないけど、
まあAndroidは多分無理そうなんだよなー。
だからなんか再発中か防止みたいなところも、
そんななんか有効なことは書いてなくて、
そうね、正規販売店から買うしかない。
どうしようもない。
気づけないってのがやばい。
正規販売店から買ったからさ、大丈夫と、
本当に生きれるんですかっていう話はあって、
サプライチェーンの危険性
そもそものサプライチェーンのどっかでこういうものが、
仕込まれるとかが普通に起こり得るわけで。
そうだね。
いやー、きちい。
確かに。
あとはもうOSのクリーンインストールとか書いてあるねー。
クリーンインストールじゃ無理じゃない?ファームウェアだから。
あーそうか。
いやー、きちいよ。
こんなん。
いわゆるその昔よく言われてたルートキットみたいなやつなのかな。
ルートキットって。
ルートキットってなんか。
はいはいはい、なるほど。
ルートキットはでもちょっと違うのか。
必ずしもファームウェアまで入ってるみたいな話じゃないんだな。
うーん。
まずいな。
ちょっとなんかパッと思いつかないけど。
ファームウェアレベルまでやられてるともうどうしようもない気がするので。
なんか攻撃側のコストが低くないからめちゃくちゃ流行るとは思わないけど、
でもなんていうか、
自分がめっちゃ狙い撃ちされた時に回避できる自信は正直ないなって気はするな。
それは確かにそう。
うーん。
うーん。
まあねー、難しいよなー。
まあiPhoneだったらブーストアから買って、
ハンドルではわかんねーな。
僕はピクセルユーザーなんでGoogleプレイストア、Googleストアから買えば。
まあ、もうそれでダメだったら諦めつくかなって気はするけど。
うーん。
まあとはいえね。
ちょっと普通にこうはと思って紹介しておきます。
iPhoneってできるのかな、同じこと。
うーん。
なんか結構難しそうなイメージがあるんだけど、どうなんだろうね。
まあそれが何らか脆弱性つけばできるんだろうけど。
うーん。
なんか、わかんないね。
なんか、Jailbreakぐらいはしてないとそんなことはできなそうな気はせんね。
Androidも多分そうだと思うんだよなー。
ああ。
どうなんだろうね。
なんかADB使えば簡単にできたりするのかな。
ファームとかできないよな、でも多分。
Androidはなんかその、ある種攻撃者目線選択肢が多いというか、いろんなメーカーのやつがあるからこれだったらいけるとか、そういうのは普通にありそうな気がするな。
うーん。
いやー。
うーん。
はい、まあちょっとなんかようわからん領域やな、ここまで来ると。
そうだね。
うん。
技術的なとこはわかんない。
まあ、日本に住んでいる皆さんご気をつけくださいと言わないけど、まあまあ。
頭の片隅に置いておいてください。
これはね、スキップでいいや。
ああ、重いの来たな。
頑張るぞ。
いやでも重くないから。
ああ、お疲れ様です。
お疲れ様です。
あの、もう解説してくれると信じていただいたんだったので、読んでないです。
ああ、そうですか。
いやでもね、そんなに重くないはず。記事は重かったけど。
パラワートネットワークの記事ですね。
で、これはまあもう先週先々週話したTGアクションズのチェンジファイルズの侵害の話なんですけど、
それが4月2日にアップデートされたものですね。
もともと多分ずっと前からあった記事なんですけど、
徐々に徐々に全体像が明らかになって、
まあとうとう全部わかったっぽいっていう記事ですね。
素晴らしい。
うん。
で、まあ、記事の内容は、
まあもう産業で、産業っていうか一瞬で理解するんだったら、
もう多分Twitterにめっちゃ出回ってるんですけど、
もうわかりやすい図があって、
それを見ればわかります。
で、結論としては6回サプライチェーン的にアクションズ、
1個アクションズ侵害して、そっから1、2、3、4、5、
5ホップしてコインベースまでたどり着いたっていうのが実態だったっぽいって感じですね。
なんでまあ、本当にサプライチェーンというか、
なかなかって感じ。
ReviewDocとSpotBugsの事例
サプライチェーン、サプライチェーンというか、
サプライチェーンではないのか。
まあまあでも、ホップしてホップしてたどり着いた感じ。
で、もう少し話すと、前回の続きなんで、
前回までのとこは話してるんですけど、
ReviewDocのメンテナーのパッドがどうやら漏れたっていうのが、
先週、先々週までの最新情報だったんですけど、
じゃあReviewDocメンテナーのパッドは、
どうやって侵害されたのっていう話があって、
で、これ当初はマリシアスな人隠媒としてたんじゃないかみたいな話があったんだけど、
この記事を見るとどうやらそうだよなっぽくて、
パッと漏れちゃったメンテナーがまずいました、ReviewDocに。
これがだからマリシアスな人だと思われてたけど、
実際そうではなくて漏れちゃってた人だったってことです。
これどっちから話す?
まあいいや、順に話そう。
で、普通のメンテナーだったんだけど、
そのメンテナーの人がSpotBugsっていう別のアクションズのメンテナーでもありました。
で、どうやらSpotBugsの方からその人のパッドが漏れちゃって、
で、そのパッドがReviewDocにもライト権限を持っちゃってたから、
ReviewDocに行ったっぽいっていうのがまず一つ目。
で、SpotBugsの方ではどうやってパッドを盗んだかっていうと、
プッシュ権限があったっぽいんで、マークになるシークレットをダンプするようなワークフロー。
具体的なシークレットを暗号化してダンプしてアーティファクトに上げるっていうワークフローを書いたっぽくて、
で、その暗号化の複合化キーは攻撃者しか触れないようにしているっていうちょっと手の込んだことをしていて、
かつそのワークフローをプッシュして1秒後にそのワークフローをホースプッシュかなんかで見えないようにしてっていう、
割と手の込んだことをしているので、ほぼ痕跡が残らずにSpotBugsの方のシークレットを抜けたっていうのがまず起きたっていう感じですと。
じゃあ次の問いとしてはSpotBugsのライト権限なんで漏れちゃってたのって話になって、
これはSpotBugsのまた別のメンテナーのパッドが盗まれてて、そのパッドを使ってSpotBugsに攻撃、
さっき言った悪意のあるワークフローをプッシュするためだけの一時的なアカウントを招待して攻撃が成立したって感じ。
この攻撃用の一時アカウントもちょっと手が込んでいて、招待してプッシュしてワークフローを1秒以内に削除して、
このアカウント自体も削除していて、ちょっと詳しくは追ってないんだけど、
このアカウントに設定するアドレスが特定のGitHub側で番対象なのか分からないけど、
特定のアドレスにするとアカウントが非表示になるみたいな仕様があるらしくて、
それを使ってアカウント自体のページにも行けないようにしていたりとか、
割と手が込んでることをしてるらしいって感じです。
じゃあ次の問いは、このSpotBugsの別のメンテナーのパッドはどこから盗まれなかったのかって話なんですけど、
これはプルリクエストターゲットの悪用でしたって話で、
プルリクエストターゲットの悪用っていうのは何かっていうと、
なるべく頑張って分かりやすく話すと、
GitHub Actionsは実行されるときのトリガーがあって、
そのトリガー自体はワークフローに実際に記載するんですけど、いろんなトリガーがありますと、
例えばプッシュイベントに対してワークフローを実行するようにするとか、
プルリクエストが作成されたり、作成されたプルリクエストにプッシュが走ったときにワークフローを実行するみたいな、
そのトリガーが何種類か、ドキュメント見ればわかるんですけど、
多分10種類ぐらいなのかな、設定できるんですけど、
その中の一つがプルリクエストターゲットっていうものですと、
プルリクエストターゲットを悪用するってのはどういうことかっていうと、
これは公式ドキュメントにも記載が、注意書きが実はあるんですけど、
プルリクエストターゲットの使用として、
例えばリポジトリ、有名リポジトリがあったときに、
そのリポジトリをフォークしてプルリクを送りたいっていうコントリビューターの人がいたときに、
そのコントリビューターの人がワークフローを改ざんというか編集して、
プルリクをその本家のリポジトリに立てるとするじゃないですか。
その本家のプルリクに対してワークフローを立てたときに、
本家のリポジトリに対してプルリクエストを立てたときに、
ワークフローが実行されるかどうかって話なんですけど、
例えばプッシュイベントとかだと、
その本家のリポジトリのワークフローとしては実行されないんですと。
なぜなら立てたプルリクのコミットっていうのは、
フォークした方のリポジトリのコミットであって、
本家のコミットではないんで、本家のワークフローではなくて、
フォークした方のワークフローが、
もし該当のトリガーに引っかかるものがあるのであれば起動しますっていうものなんですけど、
プルリクエストターゲットの場合は挙動が違っていて、
フォークした方でワークフローを変えて、
本家のリポジトリに対してプルリクを立てたときに、
そのワークフローのトリガーがプルリクエストターゲットの場合は、
本家のリポジトリの方でワークフローが実行されるっていう仕様があって、
これがプルリクエストターゲットなんですね。
そうです。
ターゲットの方で、そこがようやく繋がったわ。
そうだね、そういうことです。
なので、もしプルリクエストターゲットイベント、
なので攻撃条件としては、
本家のリポジトリの方でプルリクエストターゲットをトリガーとして実行するワークフローが、
ベースブランチに設定されていた場合に、
フォークした側がそのワークフローを編集してプッシュとかプルリクを立てると、
任意のワークフローを、
本家のリポジトリのアクション図として実行できるっていうのが、
これは仕様としてあるって感じで、
かつ、その任意のワークフローをかけるってことは、
シークレットのダンプとかも当然できるので、
その辺をシンプルに悪用してパッと盗んだって感じですね。
セキュリティ対策と結論
これが一番最初のこのサプライチェーンというか、
ホップしてホップしてのステップって感じです。
空港系、ゴーホップって感じですね。
なんでこれは、
なかなか、なかなかですねっていう用をやった。
もう少し理解を深めるのにとてもいい記事は、
これは多分矢毛社が買ってくれた記事だけど、
鈴木俊介さんのこのインシデントルポート読んでみたいみたいな記事があって、
これはもうちょっと詳しく書いてあって、
あんま説明ははしょるんですけど、
それぞれの、さっき言った6ホップの中で、
これはこれをやってれば防げたとか、
っていう対策の部分も書いてくれてるし、
あとは確かに言って思ったのは、
どっかのタイミングで、
この6ホップが即座にどんどんやったわけじゃなくて、
次のホップができたんだけど、
3ヶ月ぐらい潜んでたみたいなタイミングがあったりして、
サプライチェーン攻撃のリスク
この辺とかは多分コインベースを狙い撃ちにするために結構戦略的に、
タイミングをね。
タイミングを図ってたんじゃないかみたいな話もあって、
それは確かに。
なんで結構良い習得というか、
繋げて繋げてやったんだろうなっていう感じですね。
なんでまあこれで多分ファイナルアンサーというか、
よう調べたなって感じなんですけど。
いやーすごいね。
よくわかったねって。
なんで結構、
うーん、
これなんか会社のストラックでもちょっと話したんですけど、
なんていうかその、
サードパーティーアクションズは侵害されるという前提に、
まあ元々立ってなかったわけじゃないけど、
なんかこんだけポンポンいけちゃうってなると、
しかもそのレビュードックとかって割と有名どころなんで、
マイナーだからやられたとか、
そういうわけではないってことを考えると、
むしろメジャーの方がその、
ある種そのコントリビューターが多い、
ライト権利を持ってる人が多いはずで、
でその人たちがその、
みんなね、
なんかみんながみんなきれいに、
ちゃんとなんて安全に東京の管理できてるかというと、
っていう話だよね。
そうなんですよ。
しかもそのオルグとかじゃないから、
あの、
例えばオーガニゼーションとかだったらそのコントリビュー、
そのオルグのメンバーが発行してるパッドを全部、
一括で見れるとか監査ログを取るとか、
そういうアクセス、
あの制御ができるけど、
そのパブリックリポジトリでコントリビューターを、
たくさん入れてるってケースにおいては、
それは全くできないから、
その、
悪意がなくてもそのコントリビューターが、
まずパッドを発行してるのかどうかも分かんないし、
それをちゃんと管理できてるのかも分かんないし、
そのパッドを使ってアクセスしたことも、
多分分かんないよな、
多分分かんないと思うんですよね。
監査ログって概念がその、
そうだね。
オルグじゃなければないんで。
うん。
うん。
だからもう結構きついよなというか。
うーん。
そうだね。
よく繋げたなっていうのと、
あとなんかノーション書いたんですけど、
これ攻撃者側はちょっと不謹慎かもしれんですけど、
気持ちよかっただろうなと思いながら。
こんなにポンポン繋がっちゃうなっていうのは。
うん。
私頭はポンポン。
プロリクエストターゲット、
まあそうね。
でもでもこのポンポンの感じを考えると、
まあまあきついですね。
最初がプロリクエストターゲットが
入り口だったってだけで、
プロリクエストターゲット使うなみたいな話は、
プラクティス的にはあるんですけど。
うんうん。
安全じゃないから安全に使ってねっていうのを、
世のエンジニア全てを求めるのはもう多分無理なんで、
っていう先手もあるし。
プロリクエストターゲットが仮に、
じゃあギターブ側がこれを重く見て、
そのこの仕様なくしますって言ったとしても、
でもそのじゃあ別にパッタが盛れなくなったかって言うと、
そうじゃないわけでとか、
また昔なんかなんだっけ、
名前忘れたけどLinuxのUTDかなんかのシステムコンロかなんかのやつに、
長い時間かけて信用させて入り込んでみたいなパターンもあったり。
うんあったね。
ああいうパターンとかもあり得るわけで、
やっぱ結構侵害される前提で
生きていかなきゃいけないんだっていうのを思いついた感じですね。
それで言うと別にギターブアクションズの
あれに限らずだからなあ、そこまで。
そうね。
あらゆるサプライチェーンは侵害されるっていう前提に立たないといけなくって。
そうだね。
GitHub Actionsの依存関係
ちょっとなあ、地獄すぎるよな。
でもなんかそれで言うとちょっと今朝思ったんだけど、
今だと今後よくなるかもしれないけど、
今時点で実はギターブアクションズが
他のサプライチェーン攻撃にさらされる
Pythonパッケージとかのペンパッケージとかと違うなと思ったのは
使ってるアクションズが何に依存してるかが
マジでわからないっていうのが結構
めちゃくちゃきついなっていうのをふと思って。
まあだからツリーをワッと出せないってことね。
そう。で、ツリーをワッと出せないってなると
NPMとかだったら例えば
10個ぐらい下のマゴが侵害されたってなって
それにCVが発行されすれば
dependabotアラートで上がってくるから
ラグはあるかもしれないけど
多少のラグはあるかもしれないけど
気づくことができるし、気づかせてくれる仕組みが
ギターブも提供してるし、ギターブじゃなくても提供してるんだけど
アクションズは多分ないと思うんだよね、裏側で
これが侵害されたっていうのはあるけど
じゃあその侵害されたのを何が使ってますかっていうのは
見るしかないというか、コードを読むしかないし
じゃあ自分たちでそういうツールを作りますかって話になってきて
作れるとは思うんだけど
ものによってはコンポジットアクションだったら
何でしょうね、多分うまく綺麗にツール作れるんだけど
ドッカーファイルアクションとかあったら
じゃあそのドッカーファイルの依存を
ドッカーファイル読みに行って頑張ってみるんですかとか
またそこでバージョンコーティングされてなかったら
実行されるたびにインストールされるパッケージとか
ミドルウェアって変わっちゃうよねとか
そういうの考えだすと
なんかちょっと仕組み側で
さすがにどうにかしてくんねえかなっていう気持ちは
そうですね
なんかそうね
いやーって感じ
まあでもその本質的に
その辺差し聞いてもサプライチェーンコーティングとあんま変わんないというか
他のものでも変わんないっていうのは間違いなくそれはそう
あとはなアクションズそうだね
いやー動いたらまあそうだね
まあいろいろな
アクションズで何動かすかみたいなところは
マジで見直しをした方がいいのかなって気がするな
もし危ないものとかを動かしてる組織とか人がいるんであれば
危ないんや
いやわかんないけど
あると思うんす
いやーわかんない
個人でサイトホスティングしてるんですけど
自動コミットしたくてギターバープ吐き出して
そのそれに
まあプリリクライアントだけだけど権限付与して
やってたりするんですけど
なんていうかさ
まあそれもある種危ないわけじゃん
うんそうね
被害は僕個人に留まるけど
薄めたらサイト改ざんされちゃうような仕組み
クレデンシャルにアクションズ経由でアクセスできるってことだよねって話だと思っていて
それがまあ個人サイトだったら多分どうでもいいんだけど
それがNPMパッケージでタグのコンテンツライトがあるってことは
タグのプッシュ権限もあるからタグの張り替えできるよねとか
もう全然あるだろうし
アクションズすごく便利だし
いろんな面でいいところもあるんだけど
本当にやられたら困るってものを
どれだけリスクを飲んでおくかっていうのは
考え直してもいいのかなって気はするし
はい
来ちゃったんでね
結構頭抱えちゃうな
これ頭抱えちゃうよね
いやー
AI周りの話も多分ある種類系は一緒だと思っていて
使わない選択肢ないじゃんっていうものに対しての
どうしようもないリスクっていうのを
反強制的に飲まされるっていうこの苦しみが
あーそうね
結構しんどい
もしくはGitHub Actionsの場合は先週も話したけど
セキュアフィックスアクションだっけ
手は打てるは打てるんだけど
めちゃくちゃコストがかかるというか
そうだね
トラストアンドセーフティーですよ
わかんないけどその
便性
なんか安全で便利なものを使いたい気持ちになるよね
かなわない欲求
一定かなわない欲求であることは理解してるんだけど
なんかそうだね
まあでもGitHubことGitHubに関しては
ちょっと公式に本当に頑張ってほしいと思ってる
頑張ってる様子はずっと
もうずっとこのパッドキャストで言い続けてるけど
見て取れるというか
手を込まないで見てるわけではないと思っていて
やっぱりユーザーの多さとか
ツールの選定と利便性
ブレイキングチェンジにすごく気を配ってるから
スピードが出ないんだなと思ってるけど
そうですね
はいそんな気持ちです
まあ全貌がわかったということで
学びとして
図ぐらいは見に行ってもいいんじゃないかな
図見れば
ありがとうございます
はいじゃあ次お願いします
まあサラッド系の記事なんですけど
診断後の修正確認
脆弱な暗号スイートが無効化されたことを確認する
3つの方法を比較という
Rack Security Gotaniブログの記事ですね
本当タイトル通りで
3つ紹介してくれてて
1つが
1つがOpenSSLを使うよという方法
で2つ目が
2つ目がNMAPを使う
で3つ目が
クオリスの
クオリスの
確かクオリスだったよね
クオリスのSSLラボスのSSLサーバーテストを使う
まあ割と公開サーバーだったら
僕はクオリスのこのSSLラボの
サーバーテストを使っちゃうことが多くて
それ以外は昔どうやってたかな
昔はなんか割と
スキャンツールとかをもう回してたので
それでだいたい済んでたんだよな
このOpenSSLを使うっていうのが割とめんどくさくて
もう使えないスイート
現行のバージョンだと使えないスイートを確認したい場合
っていうのがあるから
古いのをわざとコンパイルしないといけないよね
みたいな話を書いてくれてる
でNMAPのなんかやり方が僕は
楽でいいんじゃないっていう風にこの中だと
見てて思ったんですけど
僕これNMAPは知らなかったな
使ったことない
今回初めて知った気がするんで
使ってみたんだけど
NMAP便利すぎるな
普通に
やっぱりスーパー多機能だよね
まぁちょっとなんか地味だけど便利な
こういう地味だけど便利な記事がいいよね
っていうのでビックしてみました
ありがとうございます
時間ないって思ったけど読んで
僕理解できないかもって思って
全然全然
読んだけど全然理解できたわ
なるほどね
クオリシス面白いな
知らなかった
クオリシスはね
まぁ普通に便利
結構なんかSSLのこの
フォロワー数の増加
設定以外にも見てくれる
Webのセキュリティ系のヘッダーの
設定の有無とかも確かに見てくれると思うし
なるほどね
そっか別に外部公開されてるから
ここに入力する分には何も問題ない
って感じだね
いいっすね
接種される暗号がついたら
IPAより公開されてます
そうですね
大事だよね
こういう
好きっす
地味に便利記事でございました
ありがとうございます
まぁさらっと
いつもありがとう
セキュリティごとにブログさん
SVGファイルの危険性
ありがとうございます
じゃあ次は
割とサクッとでいいかなって感じですけど
これさ
ヤギ足が多分追加したやつかな
俺が追加したのかこれ
なんかさ
何でもないっす
いいっす
今見た日付公開がちょっとあれだったけど
せっかくなんで紹介すると
アナイシスオブストラクションフィーチャー
ASIC
多分会社のブログなのかなって感じなんですけど
そこまで全然書いてないんですけど
内容としては結論
SVGファイルにマレア仕込んで
メール内とかで送って
感染させるっていう手法があるって話ですね
具体的にSVGの中にどうやって仕込むねん
って話で言うと
何読化したスクリプト
多分JavaScriptっぽいんですけど
JavaScript仕込んで
悪いなり言われるなりにリダイレクトをさせて
最終的に
ファイルダウンロードさせるなり
なんなりっていうのをやって
感染させるっていうような感じですね
多分あってるはず
個人的に思ったのは
ちょっと矢印に若干聞きたかった部分なんですけど
この手法って
新しいんですかっていうのと
結構
きついなと思ったというか
SVGファイルをメールで送られるとかって
あんまない気がするから
怪しい判定できるのかもしれないけど
もしメールフィルター回避して
それっぽい文言できて
会社の人
うちの会社に限るんですけど
このSVGファイルをダブルクリックしない
自信がないなというか
なんかわかんない
ZIPファイルとかあったら
あれだけど
EXEファイルとかもまあまあ
SVGに害があるって発想が
意外と至らないんじゃないかなって
ふわっと思った
確かにね
新しいかどうかはわかんないな
元からやられてそうな気はするけどね
いや面白い
手を返しなおかえりじゃないですけど
いやーでも勉強不足だったな
確かにJavaScript実行できるのかっていうのは
やったことなかったかな
JavaScriptはね普通に実行できる
いやー
なんか
JavaScript実行できる
面白いな
Phantom.jsの検出してんの面白いな
Phantom.jsなんて今だけ使ってる人いるの?
いやーまともな人はいないんじゃない?
メンテナンス超だいぶ前に止まってるでしょ
ほんとだ
夏Phantom.js
マジ懐かしいな
何年ぶりに見たんだこの単語を
5年ぶりぐらいの気がする
面白
はい
まあ軽くって感じですけど
SVGファイルは
まあそうね
キレがねえなって思うけど
マジとか大事だと思う
増加傾向により絶対にデザインも
ますます鮮明されてるために
優先抽出です
そうだね
何も開いちゃいけんよな
リンクもクリックしちゃいけないし
ファイルもダウンロードしない方がいいんだろうな
知らんけど
いやマジ
キレがないんだよな
また
いやでも
そうね
このなんか解析避けみたいなのは多分
解析避けという概念自体は
わりと多分よくある話だと思っていて
そんなにこれ自体は
まあ珍しくないっていうか
その解析を避けようとすること自体は
そんなに珍しくない
がSVGファイルは
SVGっていう特性もあって
この特にウェブに特化した
解析避けみたいなのが
つかれてるのが興味深くはあるが
なるほどね
いやー
メールフィルター業者も大変だな
結局さ
このSVG単体では
完結してなくて
そうだねそれは確かに
そこから
現在のオートは不明ですが
同様のマルウェアの入力
からマイクロソフトの
ログインページを偽装した
フィッシングサイトにつながることが
示唆されていますって書いてあるから
そこから何かにつなげるっていう
やり方しか取れなくて
だから本当はそこでブロックするべきなんだろうね
ウェブセキュリティの考察
これに関してはね
そうだね確かに
ブラウザ側でブロックしてくれるなり
面白い
パスキルで耐性を得るなりとか
確かに確かにそうだね
はい
ありがとうございます
今日はそんな感じですか
今のが最後の記事でした
まあまあボリュームが
ありましたね
そうだね
まあセキュリティの人の
転職でしょう
読んでない記事の中にも
ちょこちょこ気になるのはあるけど
まあそれでも今週は
こんなとこかな
そうだね
結構粒寄りというか
いやー
セックスジェミニー
触りたいな
なんか交互期待みたいな記事めっちゃ多いから
なんか交互期待
タグでもつけとくかな
1年後にこれ自然消滅してんだみたいな
見てみたいな
まあ定点観測してたらいつかは
来るんだろうね
まあ覚えてれば
わあセックスジェミニーや
セックスジェミニーやっぱすげえじゃんって
多分なるタイミングで
来ると思うから覚えてれば
いやー意外と
いやでも
ちゃんとなんか自分の中に
溜まっていってる感は感じるよ
我らが
つながるわ
点と点が
よくつながるようになってきた気がする
ありがてえよ
はいそんな感じで
30回も
やったんでじゃあ
無事に
30回も
お疲れ様でした
頑張りましょう
30回はい
無職で健康なヤギヤシさんと一緒にね
いやーマジで
そうね
意外とやることはちゃんとあるんだよな
なんか普通にね本を読んだりね
なんか
まあちょっとした行動を書いたりしているとね
1日が終わってしまうんです
まあね
コーディングはね
コーディング時間解けるんだよなマジで
解ける解ける
地味に解ける
なんかその
納得のいくというか
その納得のいくテストコードが
こう出てこない
あの
Chat GPTとかに
クラインに書かせよう
私もクラインにもしようかな
クラインというか
クロードサネット
3.7が
今は
コーディング関しては
良さそうという風潮がある
そっちに乗り換えればいいのかな
なんかクロードコードってやつもあるみたいで
うんうんうん
なんか触ってないけど
てかね
なんでもいいんだけどね
ゴーランドでね
コパイロットがね
あの
エージェント出したけど
もう全部VSコードから
配置始まってるから
なかなか振ってこないんだよね
いや
ジェットブレインズの
AIアシスタントがあるんだけど
無料枠とかないからな
なんか
あの
あれだね
有料化の流れというか
メール来てたわ
あ、そう
うん
その
何だろう
名前忘れて
なんか忘れたけど
なんだっけ
うん
その
引き続き使える部分と
ここからはその
だからジェットブレインズ
AIプロっていうのが
あって
多分それを
うん
契約してる
それがね
そう有料のみ
無料期間回った感があるね
うーん
そうなんだよ
なんかさ
ディスカウントコードが
振ってきたね
あ、マジ
まあちょっと
日曜
日曜プログラマーには
きつい部分があるんだよな
クライン
クラインって無料は
かんの
クラインというか
クラインは
クロードになるのかな
クロードは
わかんねえな
俺は
もう何も考えずに
課金しちゃったな
うーん
あ、でもその
こ
こまごま課金はできるから
5ドルだけ払ってるから
そういう始め方できると思う
うーん
確かに
うーんと
まあちょっと
あれしてください
あの
休み期間中に
強くなって
AIなんでも
分かる前になって
来てもらえると
いやー
僕も頑張るんで
一緒に頑張ろう
クロード
言うてなんかさ
まあね
触ってみると
何とも言えない部分
やっぱあるよね
うん
まあ
まあ
触ってみると
何とも言えない部分
やっぱあるよな
そうだね
いやなんか
動き早すぎてさ
その
ある瞬間に
こう
キャッチアップすることに
どこまでの意味があるのか
なんか正直もう
よう分からん
いやー
そのカットはめっちゃ分かる
いやなんか
うーん
なんか
お祭り気分で
ちょっと
試すぐらい
いいんじゃない
なんか
うーん
確かに僕はこの
リプレイFMの運用の
自動化を
するのが
自分で
書く時間が過ぎて
クラインで
書かせてるもん
いやー
ちょっと
クライン
そうだね
クライン
一応入ってんな
もうVSコードに
私
なぜか
うーん
まあはい
はい
そんな感じで
そんな感じでございます
よし
じゃあ
なかなかまだ
クラインに全てを書けることはできないので
やっていきの気持ちだけが
やっていきました
そういう気持ちが
ありますが
はい
じゃあまた来週
また来週
お楽しみにしてください
フォロワー数と回数の関係
よろしくお願いします
はーい
おやすみなさい
おやすみなさい
