エピソードのイントロダクション
はい、こんばんは。
こんばんは。
Replay.fm 第3回でございます。
挨拶にかぶせちゃった。
まあね、まだ3回目なんで。
いやー、3回目続けられてる。偉い。
素晴らしい。
3週間続いてるってことだからね。
そうだね。
あと1週間で1ヶ月ですよ。
素晴らしい。
それを12回やれば1年ですよ。
素晴らしい。
素晴らしいBotみたいになってるけど。
まあ、やりましょう。
今月は、今月じゃない、今週か。
今週は、まあ1週間分。
ぴったし1週間分。
素晴らしい。
サイクルがね、素晴らしいですね。
パスワードマネージャーの比較
はい。
まあ、読みたいランキング順に
行きましょうか。
行きましょう。
じゃあ、1個目これどっちが追加したんだろうな。
僕が追加して、Yagiyoshiもコメントを
加えてくれたって感じかな。
えーと、
ThinkPASC is
Securely Across Your Devices
という
Googleの
確か公式ブログかな。
そうですね。
何のブログなんだろう。
カンパニーブログですね。
あんま読んだことなかったけど。
ニュースリリースみたいな感じなのかな。
テクノロジー、セーフティーアンドスキー。
カンパニーニュースだもんね。
確かに。
記事の内容としては、
これを
出たよって言ってる
メディア記事がめちゃくちゃ
Twitterのタイムラインに
流れてきたなって感じなんですけど、
えーと、
Googleのパスキー、Google製の
管理のパスキーが
今まではAndroid端末
管理しか同期できなかったのかな。
同期できませんでした
っていうのが、Windows
iOS、Linuxでも
同期できるようになりましたよ
っていうような内容の記事
でしたかね。
で、
それぞれの端末で
パスキーの作成もできるし、
保存もできるし、そうすると
端末間で自動で同期されますよと。
ただ、一つ
ちょっと特徴なのが、
えーと、
新しい
端末でGoogle Password Manager
を利用するには、
Android側、
パスキーが、パス、ん?
パスワードマネージャーが既に使えるAndroid側での
ロック解除処理か、
もしくはその
パスキー、違う、パスワードマネージャー
移行するための
新しいピンコードっていうのが
Googleの
パスワードとは別にあって、
それを入力することで
新しい端末でパスワードマネージャーが
使えるようになるっていうところ。
だから、
Googleのログイン認証を
突破できても、じゃあパスワードマネージャーも
使えて、
他の端末のパスキーも全部盗みます。
同期できるってわけじゃなくて、
元のパスワードマネージャーも
もちろんしてあることをこのピンコードで
担保してるっていう感じっぽい
っていうところですね。
で、僕は
ちょっとまだ手元で
確認ができてないんですけど、
やはり試してくれたんですかね?
あー、パスキーの
同期まではごめん、試してないんだけど。
まあ、
普通にGoogleのパスワードマネージャーって
IOSとかでどういう感じなのかな
みたいなのをちらちらっと見てきて、
普通に他の
パスワードマネージャーと同じように
使える感じではあるので、
別に
挙動としては普通にイメージできる
雰囲気ではあった。
ワンパスとかと
同列の感じってことで。
それ知らなかったんだよな。
だったらもう、
これでいいじゃん、感が。
まあでもGoogleのパスワードマネージャー
自体が
どんな使用感なのかが何とも言えないから
わからんなあ、
そこは。だってたぶん
TOTPとか
保存できないでしょ。
あー、確かにできなそう。
パスワード、アイディパスワードだろうね。
基本的には。
で、
いや、できないじゃん。
オーゼンティケーターあるからそっち使えよって
言う的には。
ないないない、今見たけどない。
そうだよね。
オーゼンティケーターも
Googleログインすれば同期できるようになったから
それでいいじゃんっていう整理に
Google目線だとなっちゃう。
あー、なるほどね。
うん、なんかね、
どっかのタイミングでできるようになったはず。
でもそっちはピンコードとかなかったんだよな、確か。
あー、まああくまで
セカンダリだからっていう感じなのかな。
うーん、
どうなんだろうね、
なんか
フラグの仕組みがわかんないから、
これってそもそも今までの
パスワードの同期って
どうしてたんだろう、なんか
ブックマークのその同期とかって
その
Googleの認証とは独立して
パスフレーズが必要だったと思うんだけど
あれの中になんかパスワードって含まれてなかったのかな。
え、パスフレーズ
必要なんですか?
あ、知らなかった。
え、ほんとに?
俺だけかな?
あ、これあんま外で言わないほうが
いいやつなのかな。
あれかもしんない。
え、Googleのパスワードと
違うからかな。
わかんない、俺は
Chromeのブックマークとかは
端末間の同期は
そのプロファイルにログインしたら
勝手に同期されたよ。
なんでだろう、新しいデバイスで
Chrome入れてログインすると
パスフレーズは別で
入れないとブックマークとか同期されないのよ、私。
あー、なんか
でも今ドキュメント見たら
パスフレーズを使用して情報のプライバシーを保護する
っていうのがあるから
これオプトインで設定できる?
オプトインで設定なのかな?
知らなかった。
知らなかったっていうのも。
だからどっかでたぶん
セキュアにしようと思って。
パスフレーズ設定すると
新しい場所で同期オンにするたびに
パスフレーズが必要になって
そうだね。
既に同期済みのやつもパスフレーズ入力してって感じだから
だから
あれだね。
今回のピンコートと似てるような仕組みだね。
完全に。
で、保存したパスワードの
確認とかもたぶん一緒だわ。
だったよね。
そっかそっか。
じゃあパスキーは
どうなんだろうね、これと競合すんのか
これやってたらオッケーなのか
気になるな。
ちょっと気になるなと思ったんだけど。
これ両方入れるだったらちょっと
ちょっとめんどくさいね。
うん。混乱しそう。
パスフレーズとピンコート
何それみたいな。
うん。
で、たぶんこのピンはさ
その
ピンそのものでなんか複合するとかではない
と思うんだよね。
で、そのブックマークとかのパスフレーズって
本当にパスフレーズになってんじゃないかなと思ってて
あー。
暗号化した状態で落としてきたものを
ローカルでなんかやってんじゃないかな
と思うんだけど。
でもそのパスワードマネージャーもその
たぶん同じ仕組みっぽいから
それで言うと
え、どうなんだろう。え、でもさ
ブックマークって
もう一台のPC開いて試したいな。
なんかちゃんと同期されてる
気がするけどどうなんだろう。
その複合するってことはさ
落としてからはその端末の
その端末上で
リビジョンからスタートするってことになるじゃん。
だから同期されなくなっちゃうじゃん。
だからそういう意味では
ブックマークも普通に
同期する仕組みになってんじゃないかな。
あー。
あくまでだからオンラインでのアクセスに
パスフレーズを使ってるってこと?
それだったらなんかあえてパスフレーズ分ける必要がないよな。
そうね。
その
まあなんかちゃんと探せば
オンラインの実装どうなってるかって分かると思うんだけど
なんかちょっと
ブラックボックスみがあるよね。
うん。
クロミウムの実装を見れば
クロミウムって
でもそんな
Googleアカウント経由の同期って
サポートしてんの?
分からん。
ブラウザクワシマン召喚したい。
ちなみに今手元でブックマーク
編集したらもう一台端末で
反映されたから
それは分かるんだけど
パスフレーズ
でもパスフレーズ知らなかったな。
これめっちゃやろう。
いいじゃないですか。
まあでもなんか
ちょっと記事に戻ると
順当に
なんていうかパスキーの
前回読んだ
パスキーに問題がある発言に対する
回答の一つになってるし
複雑なパスキー管理
これが本当に使い物になるかは
これからって感じだろうけど
今よりは間違いなく便利になってるよね
っていう意味では
いいニュースだなってしみじみ思いましたね
個人的には
でもこれiCloudキーチェーンとかがさ
他のデバイスに開放される未来が
全く見えないんだけど
そうだね
AppleはAppleの世界で閉じとけ感が
いやでも分かんねーな
そこは
足並み揃えてくれるかどうかっていう
他の
ポッドキャストでも
このトピックの話
話してて
他の
ポッドキャストの話持ってくんない
って感じ
受け売りになっちゃうんですけど
面白いなと思ったのは
macOSのChromeで
この機能試したいと思った時に
OnePath使ってるのは
OnePathのエクステンション向こうに
OnePath
買ってる場合
エクステンション向こうになってる場合は
新しいパスを保存しようとするとどうなるかっていうと
まずOnePathで保存しますかっていうのが
出てきて
それリジェクトすると次に
iCloudキーチェーンのやつに保存するか
順番は忘れたけど
Chromeのプロファイルに保存する
って概念があるらしくて
それは今回の
Googleパスワードマネージとは別の話だから
似て非なるもの
そういう文字ですね
パスキーって
3回聞かれてみたいな
かつOnePathを有効にしてると
Googleパスワードマネージャーが動かないみたいな仕様が
たぶんOnePathのエクステンションにあるらしくて
それはOnePath使ってなければ
別に問題にならないんだけど
なんていうか結構
わかるよ
ユーザー目線だと複雑というか
どこに何のパスキーが入ってるのかとか
どこに保存すべきなのか
iOSもそうなんだよね
iOSもiCloudキーチェーン
と
パスワードマネージャーは
共生できるんだけど
要は
鍵をどっちから引っ張ってくるか
っていうのはちょっと選択しないといけなかったり
とかして
微妙に不便な感じ
認知
認証方法の課題
無駄な認知
というか
そうなんだよね
結構
ストレスフルで
身も蓋もない話すると
個人的にあんまり使ってないパスキー
なるほどね
TOTPの方が楽やんって感じだし
身も蓋もないね
確実に動作する
っていう意味だと
確実に使える確実にログインできるっていう意味だと
TOTPの方が全然
個人的には安定感あって
助かる
まあ
TOTPではあるよね
パスキーオンディでっていうのは
まだあるかな
まだないかもな
フォールバックは
残してるというか
サービス仕様として
フォールバックを残してるサービスがやっぱ多いから
なるほどね
まあもう
2駅3駅ぐらいですか
分からないように
みんなパスキーを
使って全員行ってくれる世界までは
うーん
まあ
うーん
いやー
悩ましいね
これは
難しいよね
てかなんか
僕らがそんなんだからさ
まあそれは無理だよね
と思うんだよね
現実問題
仕様に詳しくて
事情も知っててみたいな
仕様にはそんな詳しくないかもしれないけど
その
こう
何が起きてるかなんとなく想像が
つく側の人間
でもこうなんだから
まあそれは難しいよね
逆にデバイスそんなに持ってない
人とかだったらなんか実は
困んないのかもしれないけどね
もう普段PC使えませんスマホしか使えません
って人だったら別に困んないのかもしれないし
うーん
まあ地味なのは多分
iOSアンドロイドで機種変するとか
なった時に
誰に何をどう問い合わせるんだろう
とか
なんかその
記事の公開日がねめちゃくちゃ前だったから
このポッドキャストでは
取り上げる
スコープ外だったんだけど
なんか社内の人に教えてもらった記事で
その体験の部分
一般の人が
意識せずに
使えるようにするための
機能みたいなのがiOSに
もうリリース済みなのか
これからリリースするのか
オプトインなのか ちょっとちゃんと記事読んでるんですけど
あって
なんかそれが
パスワードを入力して
登録するじゃないですかサービスに
あれこの間読まなかった?
読んだっけ?
自動で裏でパスキー登録するよってやつじゃないの?
あれ読んだっけ?
あれ前回読まなかったっけ?
読んでない
気がするなぁ
読みました?
僕の記憶が
終わってる説?
うーん
第2回ですよね
これだ
でも読んでないかも
読んでないと思う
なんかでも追加した気がするなぁ
ほんと?
いや入ってねーな
じゃあなかったってことで
この場では読んでない
けどまあ各々読んだって感じ
うん
それが正しいアプローチかどうか
わかんないけど
いやでもなぁ
このままのベースの仕様でいけんのか
パスキー自体
進化が求められてるのか
いやでもなんか
パスキーとかパスワードとか
そういうんじゃなくて
ポチポチっとしたら登録されて
ポチポチってそうしたらログインされる
で
大事なアカウントの
ログインの
GoogleアカウントとかAppleIDとか
のログインをすれば
その辺が全部いい感じに引き継げるっていう
目指すべき世界は
シンプルな気がするんだけど
うーん
って感じかなぁ
うーん
まあでもAppleとかGoogleとかに
依存するのもどうかなとは
えっとね
ここで突如
パスワードマネージャー
という一般の人も
簡単に使える安価でセキュアな
スーパーパスワードマネージャー
ユニコーンが出てくるかもしれない
別にビットワーデンとかさ
ワンパスワードとかさ
別にパスキープロバイダーとして動くじゃん
まあね
まあでもなんか
一般の人がそれ使うって発想になんないよね
なんないね
たとえ
ワンパスを知らずに
人生を得る人が大半でしょ
言い方があれだけど
なんか意識
まあそうね
しかも
まあそうですね
わかんない
みんなにパスワードマネージャー
この間の話もあったけど
みんなにパスワードマネージャーを
使ってもらうよりも
パスキーを使わせる方が
絶対簡単なはずで
道のりとしては
絶対そっちの方が簡単だと思うんだよね
うんうん
確かに
いやー
引き続きいきたいって感じですか
まあ追っかけていきましょう
じゃあ次の記事
日本語の記事ですね
えーと
ビデオ通話のディープフェイクを見破る検出ツールのベータ版
セキュリティネクストの記事
あ違うセキュリティネクストの記事で
で
内容としてはトレンドマイクロが
ディープフェイク
Windows向けの
ディープフェイクの検出ツールっていうのを
ベータ版提供開始したよ
っていうところで
回数限定で無償で使えますよっていう
でまあなんかそんな別に
尖ったことは書いてなくて
シンプルに
Windowsにこのツール入れると
そのWindows上で動く
Microsoft TeamsとかZoomとかLINEとかの
ビデオ通話が始まったときに
その通話の
画像っていうか映像かな
がディープフェイクじゃないかどうかっていうのを
まあ
同じく機械学習の
技術を使って判定してくれる
っていうところ
あとYouTubeなどのライブ配信にも対応とか
なんで
まあどういう需要かわかんないけど
まあYouTubeのライブ配信見てるときに
その
自分が好きなライバーの顔が
本物かどうかとか
フェイクスワップっていうワード
は何だろうね
フェイクスワップ
要はだから顔だけ別の人に
ってやつでしょ
まあ偽の
政治とかに悪用できそうだね
でこれ
記事自体はまあまあ
順当に出てくるように
出てくるよねって感じなんだけど
結構僕が
読んだときに思ったのは
これ実被害出てるからもう
なんていうかいたちごっこの始まりだな
感があるというか
完全に理解は
できるんだけど
この界隈の人はちょっとしんどそうだな
っていうのとまあ自分も
その被害の
被害に相うる
人間のうちの一人であることは間違いないので
どっかで向き合わなきゃいけないな
なんかすごい
また不毛な
鬼ごっこだなって気持ちで
読んだって感じですね
美顔加工みたいなのも検知できたり
すんのかな
まあできそうだけどね
YouTubeの
YouTuberのライブ配信とか
めっちゃ引っかかりそうじゃない
ピアノとか
確かにそれでいうとさ
そうだね
わかんないけどLINE電話とかだったら
リアルタイム
なんかスノー的なやつあったから
本気で騙そうと思ったら
そういうの使って
いやもう不自然か
ごまかし効くかもね
検出されちゃうんだけど
LINEが加工しててとか
確かにね
YouTubeとかは別としてもさ
ディープフェイクで
本当に被害が出るような
アプリケーション
相手方の映像が同行できる権限を
持ったアプリケーションを
手元で動かしてる方が俺嫌だなと思ったんだけど
確かにね
このツールに入られたら普通に
おしまいでは
逆に言うとさ
それが警告出さなかったら
じゃあ
その人は本人だと思って
なんかやっちゃうのみたいな
指示を受けた時とかした時にさ
なるほどね
確かにその観点はなかったな
あとなんか
BCのビジネスEメールコンプラマイズ
っていう
ビジネスメール詐欺みたいな
日本語だと呼び方されてるのかな
なんかあれの強化版で
ビデオ通話で指示をするとか
そういう使われ方するのかなと思ったんだけど
なんかでも
性女性バイアスを打ち破るほどのものなのか
っていうのもちょっと疑問だし
なんか
YouTubeとかの
ライブ配信とかはまた別だな
と思うんだけどね
例えば一対一のやり取りとかは
なんかもっと
いい仕組みで解決したいなとは
思った
確かに
今の話聞くと
なんかあんまり
結構
価値は限定的なのかもね
どこにどう指すか
っていうのは意外と難しいかもな
結構
思いついちゃうもんな
なんていうか
自分が騙す側だったとした時に
向こうに怪しまれた時に
そのこの製品をさ
ちゃんと知ってればさ挙動とか
ハックできそうだよね
うん
なんかどうにでも言い訳とか
できちゃいそうな気はするな
また
これの精度にも依存するのかな
なんか嘘つきだったら
信用しないだろうし
でもさ
本当か嘘かの判定なんて分かんないもんな
分かんないね
トレンドマイクロ印の
なるほどね
確かに
いやー
そうだね
なんか凄いショボンな気持ちになったな
だから凄い
いや分かんない
凄いこれを作った人の気持ちに
ちょっとなってしまった
そこを頑張る意味あんのかなとは思うよ
うーん
結構
むずいね
いやーおもろいな
まあでも
難しいねかといってなんか
リプレイク自体に
なんていうか
うーん
どう立ち向かうのがいいかとかは
これからって感じなのかな
共通解はないよねあんまり
うーん
でもなんか
ディープフェイク検出ツールの紹介
世の中もともとそんなんばっかりじゃなかった
なんか分かんないけど
その
さあ
だって別に特殊メイクとかあるじゃん
映画とかで使ってるやろ
ああいうのだってなんかそもそも結構
本
なんか凄い本気でやったら全然分かんなくなったり
するんじゃないの
まあでもその
そことの差分は明確にあるんじゃない
なんていうかその手数がまず増やせる
うーん
でしょ
でもやろうと思えばできたもののハードルが下がっただけ
っていう風に考えた時にさ
うーん
それ言うとなんかその
いやあんまり本質的というか
再現性のある対策じゃないかもしれないけど
なんかこの
手法をやっぱ認知するっていうのは
なんか一つやんなきゃいけない
かなって気はするな
なんていうかさ
そのメールで詐欺があるとか
SNSで詐欺があるとか
先週読んだような
メジャーな詐欺は分かんない
会社だったらセキュリティ研修でやるとか
冬眠の懸念
ちょっと感度があれば知ってるとか
だけど
ディープフェイクみたいなのを
言葉は聞いたことあるとかニュースでちらっと見たことある
みたいなのは
あるかもしんないけど
なんかミートでなんか外部の人の
とかなんか営業の売り込みで来ました
みたいな時に
ミートで話してる相手が
AIが作った映像でしたみたいなとこまで
なんか思いを馳せるというか
なんていうか
頭の中にその可能性を
片隅に置いてる人が
今はなんかそんなに
多くないんじゃないかという気は
していて
それが
その認知が広まるというか
だから映像で動いてたら
本物じゃないんですよっていう常識が
広まれば
実はなんかこの手法自体は下火になったり
限定的に
効果が限定的になるのかもしんないし
とかは思ったな
まあそれがむずいし
じゃあなんかそれが
メールの詐欺とかで
同じことできてるんですかって言われるとできてません
ってなるんですけど
まあでもなんか後は
だからカメラそのものの性能を
その辺に出回ってるカメラそのものの
製造が上がっていって
その常時
顔認証しながら
映像を撮るみたいなのができるようになったら
いいんじゃない
なるほど
まあでもそれも
そこどうなんだろう
でもそこもまあ
機械学習側っていうか
AI側の
技術躍進でどっかでは突破されちゃうんじゃない
いやー
今時点どうなんだろうね
難しいんじゃない
だってそうじゃないとフェイスアイディとかさ
成立しないじゃん
あのレベルのものを
ローカルでやって
その結果を
なんだっけ
何らかの形で相手方に伝送するっていう
プロトコルが
確立すればなんとかなるんじゃない
じゃあ例えば
わかんないけどミートするときに
ミートするアカウントに
紐づく形で
フェイスアイディ的な情報が
実はあって
ミートしてるときに相手の
人が本物だったら
いやでもなあ
まあでも確かに一定効果はありそう
うーん
その人の狙ってる人の
知り合いを想うみたいな
シナリオとかであれば結構
効果的かもしんないよね
いやー
もうちょっとなんか
インシデント
出てこないのが一番なんだけど
事件が起きたら追っていきたいな
舞台の事件で考えない
対策が立てづらいというか
すごいふわっとした
抽象的な対策になっちゃう
うーん
わかんない
3、4ヶ月前か忘れたけど
今年のどっかでニュースで見たやつは
結構な
金額を取られたみたいなやつ
ニュースがあったんだけど
それとかはディープフェイクも一役買ってるが
まあ業務不老に
問題があったよねみたいな
なんか結構際々落ち着いた事例が立ってる
だから
舞台の事件があると結構
このなんだろうね
ディープフェイク運の異常に
根本的にどうすればいいんだっけ
みたいな話ができるかもな
だよね
そっちは何とかしたいなと思うんだけどね
特に業務影響がある
なんか業務不老の構築で何とかできるんじゃないの
っていうものはかなり多いはずで
大半はそうかもね
著名人になりすましてみたいなのは
確かにこういうのが聞いてくれるんだろうけど
ディープフェイクの影響
でも別にトレンドマイクロが作んなくても
そのうちグーグルが作るでしょ
それはそうかもね
それはそう
身も蓋もない話だけど
今後にグーグルに行きたいということで
でも作ってみるというのは
大事だと思うから
確かに
じゃあ
次の記事読みましょう
えーっと
これはヤギ足が読んでくれた記事ですかね
そうだね
うん
タイトルが
LinkedIn Health AI Data Processing in UK
Aimed for
Privacy Concerns
Raised by ICO
うん
どういう記事ですか
おさっぱに言うと
LinkedInがデフォルト有効で
生成AIの改善のために
ユーザーデータを使うよというのをやっていて
各国で多分
デフォルト有効にしてるんだけど
EU圏含む特定の国とか地域では
ちょっといろいろあって
現状有効にしてないよという記事
でした
法的にどういう整理なのかちょっと
わかんないんだけど
グレーとか黒っていう話でも
なさそうな雰囲気はあって
単純にある種の
エネルギーというか
懸念をお気持ち表明をした
公的な機関っぽいところが
いたので
一旦保守側に倒してるっていう
感じなのかな多分
過時っぽさを
過時っぽさを感じる
記事だなと思って
なんか別の記事で
今日は持ってこなかったんだけど
クラウドフレアだ
クラウドフレアが
クラウドフレアで自分が
ホスティングしてるサイトがあったとして
ブログとかをホスティングしたとして
そのブログ記事が
AI学習のためのボット
からアクセスされてるかどうかとか
そのアクセス
何に使われてるかとか
それをブロックするかみたいなのを
ある程度制御できる
サイト出しましたよみたいな記事があって
なんていうか
それが出るってことはその需要がある
というか
って気はしてて
それもアレルギーの一種というか
個人的には
みたいな
アレルギー
っていうのは
いい表現じゃなかったかもしれないんだけど
でも
なんて言ったらいいんだろうな
法的にセーフなものであれば
その
セーフであるべきじゃん
法整備が追いついてないっていうものも
あるのかもしれないし
ケースバイケースで何とも言えない部分はあるけれども
結構さ
生成AI
でもさよく考えれば別に生成AIが
ここまで
シフトを起こす前からさ
ユーザーのデータとか
イベントデータとか
投稿されたいろんなデータっていうのを
機械学習に活かすってことをやってきてたわけじゃん
それと何が違うのって
考えたら
あんまり差分が
実はないんじゃないかという気は
していて
なんだろうな
そこの差分は正しく認識したいな
もしあるんだとしたら
そうね
ただなんか
そうなんだよね
その辺だからよくわからなさから来てるんじゃないかな
とも思うんだけど
何が違うかというと
ある種の
コントロールが全く効かない
っていうのはあるのかもしれないけどね
でも
そこも
ある程度は一緒なんじゃない
機械学習とかは確かにそうだね
利用規約にのっとって
多分こういう風に投稿されたデータを
弊社の
サービス改善のためとか
そういう文言で
解釈中間
アウトにならないような表現で
多分よく読むと書いてあるはずで
それで生成されたものを
機械学習で
レコメンデーションなのか
何かを生成したのかわかんないけど
それを享受してるっていうのはもとからあったはずで
まあなんか
でも機械学習ってよくわかんないから多分いいんだけど
生成AIは割と
わかりやすいのかな
一般的なユーザーにとっても
うーん
今もう出たてっていうことでもないかもしれないけど
なんか
まあでも出たてじゃないからこそ
一周回ってきたかも
一周目が
ちゃくちゃく回ってるのかな
最初出たときはすごいじゃんってなって
そこから
いやウェブ上の知識ぬくすんどる野郎論争から
じゃあなんか
ちゃんと読む読まない決めるよ
とか
なんかいろんな取り組みを各社がやったりやらなかったりで
まあこれもその
一つの案件というか
これちなみに
なんかどういう
データを具体的に使ってるとかって書いてあるの
あー
それは書いてないのかな
ちょっと待ってね
いやえっとね
忘れちゃったな
カスタマーコンテンツ
for AI モデリング
そんなに
はっきりと
これとこれみたいなのは記事には書いて
なかったと思うな
きっと
あー
zoomも同じようなことを
諦めてるんだ
そうだね
なるほどね
アップデートプライバシー
プライバシーポリシーをアップデートしたって話だから
プラポリ上で
なんか
あのー
プラポリ読めばわからないかもしれないけど
多分ふわっとしか書いてないんじゃないかな
これとこれとこれを取得しますよぐらいしか
書いてないんじゃないかな
なるほどね
あー難しいな
でもジェネレイティブAIの
うーん
そうね
まあ
ちょっとさらっとしか読んでないけど
なんか別に
えー
ちょっと先に調べときゃよかったな
ちゃんとね
まあでもちょっと
わかんないけどリンクドインって結構
プライバシーとデータ使用
仮にそのDMのやりとりとか
スカウトメッセージとかを
加わせてるとかって話がもしあるんだとしたら
まあ結構なんか
保管サービス等レベルで語るのは
あれかもしれないね
一応なんかFAQがね
あって
うーん
何を読むよって何を使うよって
書いてあるかというと
あー
あーでも結構
ふわっとしてる気がするな
まあ
濁すというか
投稿とか記事とか
どれくらいヒントでリンクドイン
使ってるか
言語設定とか
フィードバックとして
提供したものとか
うーん
いやーでも難しいな
なんかこれユーザー目線の話じゃなくて
このICOっていう機関目線で
警告っていう話だから
彼らの目線でどう思ってるか
結構むずいね
そうねー
ユーザー目線で
同意が取れてて
なんていうか便利になるんだったら
いいんじゃないと思っちゃうけどな
まあそんな単純な話じゃないってことですかね
うーん
まあ
いやーそうなんだよね
前回も話したけどその
こう
まあじゃあ同意があれば何やってもいいのか
っていう話じゃないよね
っていう世界が
なんかまさにこういうところに
現れてるんだと思っていて
その上でじゃあ
その
なんて言ったらいいんだろう
えっと
プライバシーを売りにできる
組織とか企業っていうのが
一体どれだけあるんだっけ
みたいな話になった時に
こういうところがたぶん
響いてくるというか
なんて言ったらいいんだろうね
時代以降
生成AIとその透明性
規制とその実態と
なんかなんとなく
まあ難しいな
規制の元においては
なんかちゃんとしてるっていうのは
あるだろうけど
その上でなんか結構
なんていうか同意があれば何でもいいみたいな
世界がやっぱりあってっていう
部分をこう
なんとなく象徴する話なのかな
っていう
全然うまく言葉にできないけど
分かるよ
なんていうか難しさはよく
うんうん
いやー
今日今んとこすごい
なんていうか
うわー
この世は難しいねっていう記事が多いね
うん
まあでも
真に必要だったら補正日が進むんじゃないかな
まあ問題は
それでどれだけ
なんていうか
リベンスもそうだし
結構なんかその
生成AI自体に対応したホリスを
作るのも骨が折れそうっていうかさ
結構学習に使うの基準もさ
なんかラグなのか
モデルトレーニングなのかとか
うん
っていう中でじゃあ
その透明性がどこまで担保できるんですか
っていうどういう使い方を
どこでしていてみたいなのか
どこまでその
開示できるんですかっていう話もそうだと思うし
そうだね
あとなんかその出力に
じゃあ個人データを
安全な形で食べさせてますって言っても
それを出力できないことを証明してくれって言われたら
多分誰もしも無理だよね
うん
なんかね結構むずいよね
うん
その点が多分生成AIと
今までの機械学習との
違いなんじゃないかな
特徴領として取り込んだものって
別にそもそもその
なんていうか
こうイメージ的に
センシティブなものが弾くことができたはずで
そういうものを
食わせたら別だけど
話が変わってきちゃうけど
確かにね結構な
食わせるデータ量が物を言うし
そのデータの中を全部
これは個人情報じゃないとか
センシティブデータとか判定できないものだったら
フォーマット的に
もうやろうともできるけど
もう無限のコストがかかるだろうから
ある程度自動化とか
AIに判断させてとかね
はい
まあでもちょっと僕もちゃんと読んでおこう
これは面白いですね
次いきますか
えっと
Google World's Dependency Scanners
of Misreported Vulnerabilities
これは
サイバーセキュリティニュースという
僕はあんま知らないメディアかも
なんで拾ったんだっけなこれ
忘れちゃったけど
ツイッターの話で
ツイッターで流れてきたやつかな
セキュリティスキャナーの課題
まあなんか一言で言うと
難しいな
結構
色んなコンテキストで見たときに
セキュリティスキャナーみたいなのが
出してくるレポートって
割とガバガバだよねって話をしてる
例えば
OpenSSHっていうのだけで
引っ掛けるから
OpenSSHサーバーの
脆弱性なのに
OpenSSHクライアントが入っていることで
スキャナーが
ここ脆弱だよって言っちゃうみたいな
話とかが書いてあったのかな
たぶん
確かに
実際のセキュリティには
影響がないあるいは対処不要なものが
多数報告されるため
要注意
依存性スキャナーっていうのは
あれなのかな
ディフェンダーボットとか
みたいなやつなのかな
これはね
ディフェンダーボット運用マンとしては
そうだねって
気持ちで
ほんとそうだよねっていうのは
わかる
一方で
関係ないことの証明はできないと思うんだよな
だから
宇多川式は全部上げるっていうのが
スキャナーとしては正しいんだろうけど
もうちょっとインテリジェントにできないの
みたいな使い側としては
そうだね
NPMみたいな
パッケージとかあったら上げればいい
でおしまいで
結構まだ
個人的に
トライしきれてないというか
回答出してないのは
だからDockerイメージの
依存関係とか
Trivyとかでスキャンして出たときに
これにCVEがありますっていう
リストが出たときに
それをどう扱うか結構難しいなと思って
簡単に上げられないっていうのが
まず一つと
上げる
簡単にというか
ほぼ上げるのは不可能だろうみたいなのがあって
じゃあ公式インプールリクエストを
毎回毎回投げて直しにいくんですか
みたいな話になってしまうとか
その辺を考えると
非現実だよねってなったときに
出たものに対して評価をしなきゃいけない
っていうところがあるから
そこでこの問題は確かに結構
苦しいというか
OpenSSHとか直近あったけど
全く使わないアプリケーションを
動かしてるんだけどな
みたいなことはあるはずで
それで言うと
まあ難しいな
なんか普通にランタイムで
なんか動いてるものをスキャンしてくれたら
一番いいんじゃないかな
と思いつつ
運用対象なんだよな
でもそれこそ
SSHのあれとかさ
32ビット環境だと影響受けるかもしれないけど
64ビット環境はまあ
理論上可能だけど
みたいな感じだったりしたしさ
リグレッションだっけ
検知できたとしても
そうそうそうそう
いろんなコンテキストを見て
判断してほしいんだけれども
エースボムの話とかにも通ずるけどさ
いやーでもむずいよ
むずいと思う
それでもランタイムスキャンしてくれるだけで
助かるって言おうとしたけど
じゃあ例えばなんか
1日1回しか動かない仕組みがあって
そこにCPUが混ざってたらどうですか
とか
それを機械的に判別できるのって言ったら
きついだろうから
っていうのもあるし入られた後に
動いてなかったとしても動かされる可能性あるからね
あーそうだね
そこにあるだけ
っていうパターンは絶対あるはずで
確かに確かに
いや
そう思うとやっぱ
ひたすら
潰すしかないけど
いやだってすごいさだって
ウェブとかでも多分
あってそういうのすごく脆弱な
そのjQueryが
同じオリジンに
ホストされててみたいなパターンとかさ
そうするとCSP
セーフなその場所に
脆弱なコードが置いてあって
うまいこと活用することができます
悪用することができますみたいなのは
あるはずで
確かに確かに
いやー
いやー
賢くなるのかな
賢くなってくれたら現場のみとしては
嬉しいけど
ノロクサクやる以外ないと思うんだけどな
っていう結論になっちゃうんだよな
そうするとだから
今度は
ソフトウェアが動いている
環境をどれだけシンプルにできるか
っていう話なのかなと思っていて
そうするとだから
コンテナ技術とかってある種理にかなってるな
とは思うんだけどね
うんうん
そうだねそれは間違いない
操作するレイヤーをちょっとずつ
上げていくことができると思っていて
うんうん
いわゆるサーバーレスの
ソリューションとかもたぶん
そういう部分はあると思うし
なんか
所有するものを減らすっていうのは
究極のセキュリティ対策だなっていうのは
この2年ぐらいで思うようになったかも
確かに
見ないといけない範囲を減らせたほうが
絶対楽だよね
ここはもう考えなくていい
そうしたことはないっていうのは
絶対あるはずで
あとある程度巨人の肩に乗っかれる範囲で
乗っかるとかかな
とか
ある種のガードレールなわけでさ
その
例えばだけどなんか
クラウドファンクションとかで動かしてる限りはさ
なんかクラウドファンクションに
できること以外はできないよねみたいな
ガードレールがあるわけで
確かにそうだね
それで言うとやっぱ
何もかも多層防御に
回帰してしまう
銀の弾丸ないよね
いやでも
なるほどね
現実を再認識していこう
あざっす
ディスコードの新機能
じゃあ次
これは多分さっきと同じなんで
読まなくていいやつだね
その次が
ディスコードロールアウト
エンドとエンドエンクリプション
オーディオビデオコード
これも本当は元記事あるんだけど
まあ一家
クリーピングコンピューターの記事で
いいでしょう
サマリーとしては
ディスコードが音声通話とビデオ通話の
言い継ぎを導入しますよ
っていう話です
でプロトコルが新規に設計した
多分デイブっていう読み方でいいと思うんだけど
デイブっていうのを
使ってるらしくって
WebRTCベース
で
いい感じにしてくれるらしい
WebRTC全然詳しくないんだけどどうですか
大学の時に一回組んだ
素晴らしいプロじゃないですか
WebRTCのエンコーデットトランスフォームス
っていうのを使う僕って
メディアフレームをエンコードした後に
送信用にパケット化する前に
暗号化できる
パケタイザーみたいなのがいるんだって
WebRTCの
これは大学で触ってないっすね
だからパケタイザーが
読み取るメタデータには触らずに
コンテンツだけ暗号化して
パケタイザーに食わせるみたいな
挙動を多分してる僕って
全部読むには重すぎたので
全然細かい仕様は追っかけてないんだけど
そんな感じだし
割と汎用性のあって気になりそうな
話でいくと
グループキーの交換に
MLSっていうメッセージングレイヤー
セキュリティっていうのを使ってるらしくて
これもサクッと理解するの難しいんだけど
メッセージングサービス向けの
E2EEの
鍵交換の仕組みなのかな
多分
多分だけどね
暗号化のプロトコルとかまでは
触れてなかったんだけど
サーッと見た感じ
でもこういうパブリックな
コメントがあるのはいいね
仕組みとしてはなんか面白そうな感じだった
なるほどね
E2EEとWebRTCの技術的課題
E2EEってさ
結構難しいよね
っていうのはなんか思ってて
LINEとかだいぶ前から
通話とテキストメッセージとかも
全部含めてE2EEやってるけど
なんかディスコードは
今回多分初めてで
通話とかから
始めてるけれども
気発性があるっていうかワンタイムなものだから
その都度
鍵をエクスチェンジして
暗号化して
エンドツエンドで暗号化するっていうのが
割と簡単にできるけど
永続性のあるテキストメッセージとかを
E2EEでやろうとすると
かなり
大変だよなとは思っていて
LINEとかはさデバイスの数が
もう限られてるからそんなに
気にしなくていいけど
デバイスの数が1ユーザーにつき
複数あるみたいなパターンのときって
結構大変なはずで
確かに
鍵配送の仕組みが多分
ややこしくなっていくんだよねどんどん
グループキーっていうのは
文字通り
1対1だったら2人だし
例えば3人で通話してるんだったら
3人分3人で共有されてる鍵
そうですよね
へーとかそもそもWebRTC
で動いてるんだな
ね
なんか
お前大きくなってみたいな気持ち
俺触ったことないんだけど
昔はすごい
めっちゃ触りにくいみたいな
扱いされてなかったっけWebRTCって
なんかね触りにくい
っていうか結局
中間サーバー
ピツピターやんけみたいな
ツッコミがあったんだけど
だから
課金してどっかしらのやつ
使わないとあんま使えないし
また
あれかな
僕が一時期
配信前にサービスで
やったときとかは
パフォーマンスつまり
リアルタイム性が優れてるけど
多対一の通信とかは弱いよね
色々細々
多分あったんだけど
その辺がだいぶ成熟してきたりとか
日本で有名なとこだと
シグレートさんとかサービス
提供してますけどああいうのでだいぶ
なんていうか
ここまで来たのかっていう
浅い認識をしてる
なんかラッパーみたいなのも育ってきてんのかな
きっとね
みんなが触りやすい環境が
整ってるっていう感じなのかな
でもねAPIとかそんな
当時と変わってなければそんなに
難しくないと思う
アンキュアできるような単純なAPIではないのは
確かだけど
ドキュメント通りにやっていけば普通に動くし
どっちかっていうと
難しいのは
それをプロダクトインするときに
考えなきゃいけない関心事ってのが
たくさんあるはず
インフラ面とかなのかな
をどう解決していくかとか
今日はね
専門家呼びたいトークが多いね
フィッシング対策の最近のトレンド
もう一回呼びたい
間違ってたら
Twitterで教えてくださいって感じなんですけど
でもなんか
それぐらいの気持ちで眺めてる
個人的には
面白い
いやーI2E勉強会
なんか
時間が無限に欲しいね
I2Eはね
なんか
実装すること
あんのかな
そうなんだよね
業務でやらない限りはなかなか
結構難しいのはさっき言った通り
サービスごとに
設計が変わってくるはずで
ベースにある
鍵配信の考え方とかは
そんなに変わらないはずなんだけど
だからこのMLSとかが
成立するわけで
これはベースにある鍵配信の考え方だから
仕様として切り出せる
アイディアとして切り出せるけれども
それをどう使うかみたいな部分は
サービスの仕様に依存する部分が
すごく大きくて
LINEだとテキストメッセージの
I2Eが成立するけど
Discordだと今ちょっと難しそうだね
みたいな話とかさ
確かに確かに
それこそパスキーと一緒や
間違いないね
技術としてはそうだね
一緒じゃん
鍵をどうやって
複数デバイスに配送しますかみたいな
確かに
一緒かもしれない
1対1ターンとかたた1ターンみたいなの考えなくて
パスキーのほうがなんならちょっとシンプルかもしれない
確かに
中央で
どうなんだろう
裏側気になる
パスキーは秘密鍵を
デバイスごとに
シンクする場合は振ってくるけど確かに
だからあれ
サーバーで持たずに同期するときに
いやでも無理だよね
取ってこれないからオフラインだったら
だからどっかには保存してるよね
結構大胆なやり方だなとは思うけど
常識を壊しにかかってる
トレードオフを飲む形
じゃあ次いきましょうか
これは
読んだので
教えてください
フィッシング対策協議会
っていう
名前のまますね
フィッシング対策の消費者向けとかプロバイダー向けに
色々注意喚起とか
マニュアルとか
レポーティングをしてる団体があるんですけど
そこの月次レポート
みたいなのがあって
フィッシングやばいやばい
と言ったものの個人的にはあまり
どれくらいやばいとか
具体的にやばいってのはあまりわかんないんで
定点観測的に読みたいなと思って
読んでみた感じですね
今回読んだのは8月のやつで
長いんで
サクッと気になったとこだけ
ピックしていくと
数値としては
この協議会に
通報窓口みたいなのがあるらしいんですが
これが16万件
報告されてて
これ多いのか少ないのか
前月より減ってんのか
年で慣らしても
大体
15万件前後が多くて
落ち着いてる月だと
5万件みたいな幅で推移してそう
これ16万件の
報告の中で
ダブってる報告があるんで
ダブってるの減らしてくと
URLベースで
8万5000件ぐらいが
URLとしては存在してて
これ意外だなって個人的に思ったんですけど
悪用されたブランド件数が
なんたらカードの
フィッシングサイトみたいな
ブランドベースで数えた時には
68件っていう数で
8万5000件に対しての
68ってのは
意外と少ないというか
URLでユニークで
見てってことだもんね
確かにそう考えると
それだけ狙う価値のある
サービスが
多くないってことなのかな
この68件の
後ろの方にも書いてるけど
結構特定のブランドにやっぱめちゃくちゃ
集中してる
例えばで言うと
2割ぐらいはアマゾンのURLだったので
8500の
1万7000件のURLが
月あたり報告されてるのが
アマゾンだったり
まあまあ天下のアマゾンって感じだし
ついでイオンカード
大和運輸東京電力が
62.7%
3つ合わせて62.7%だから
3分の1
すると20%になりそうだけど
まあいいや
1000件以上報告受けた
ブランドベースで言うと16ブランドで
89.9%ってなってるんで
この8万5000件のうち
90%は
16ブランドが占めてて
他が52ブランドって感じだから
だいぶ偏ってるというか
多分トップ16が
1000っていう
敷地で見たらだけど
攻撃者的には狙う価値が
高い認定されてる
多分アマゾンレベルの有名ブランドたちが
ネームドで並んでるって感じ
ですね
で前回か前々回
読んだ記事と繋がるなと思ったんですけど
URL件数が
なんか2倍増えてるらしくて7月から
で傾向としては
サブドメインにランダム文字列を使った
ものが多くて急増したっていうので
この間のマクニカのレポート通りの
話で
そうそうそうそう
なるほどねっていう感じで
繋がったねっていうところ
あとはその
報告回数
URLベースでの報告回数みたいな話もしてて
なるほどなと思ったんだけど
報告回数
そのURLに対して報告された回数が
1000回以上のURLっていうのが
38.6%あって
なんでこれに関しては
多分URLフィルターとか
使えそうだよねっていうコメントがあって
これは
なんていうか
一つのURLを長い間多分
いろんな人に対して使い回してるから
フィルターに
Chromeとか
もう一つ忘れたけど
マイクロソフトかな
マイクロソフトか
向こう側が結構メンテしてくれてるやつがあるから
ブロッキングみたいなのも期待できる
だけど一方で
報告回数が10回以下とか
20回以下のものの割合も
10ぐらいはあって
これは多分URLフィルター以外に対策必要だよね
っていうコメントがあって
まあまあそうかみたいな
結構使い捨てで多分
ガンガン
サブドメインベースで量産して
ブランド
URLを模倣するよりも
数打つっていうのを優先してるのかもしれないな
とか思ったり
かなあ あとは
なりすましメールの話もしてて
なんか調査用アドレス
っていう多分
ハニーポッド的なアドレスを多分
PCの対策協会が持ってる
っぽいんだけど
そこに届いたメールの77%は
実際メールを語ってるなりすましメール
なんで
ちゃんとしたメールクライアントじゃないやつで
見ると
フロムとか
いろいろ解散できる部分が
解散されてるって感じ
これに関して
DMRC使えば
77%のうち
63%は
フィルターできる
DMARCね
恥ずかしい
DMARCね
お願いします
DMARCポリシーですね
あとはDMARCポリシー
は設定してるんだけど
ノーンに設定されてるものか
そもそも対応してないものは13.5%
まだあるよっていうところで
これは
その
実際メール語ってて
弾けないっていうところで
ちょっとまずそうっていう感じかな
なりすましメールの検知
あとは結構
こんなとこまで見てるのって感じなんですけど
件名から迷惑メールフィルターで検知できたと
判断できた報告メールみたいなのは
何割かっていうので
全体2割は件名だけで
迷惑メール
判定できましたって話をしてて
で
何か
フィルターが少ないか分かんないんですけど
結構そのメールにゴミ文字列入れたり
何か正規のURLを入れて
怪しくないですがビルドしたりして
何かフィルター回避を試みるメールが
すごい多いらしくて
ここはイタチゴッコの世界だなみたいなところを
思ったっていうところですね
うん
あとは何か初回というか初めて
このサイト自体
いろいろ眺めたんですけど
何か報告フォームどんな感じなんだろうなと思って
見てみたんですけど
多分
トップ16って
結構そのブランドを
セレクトタグで選べるんですけど
もう
多分さっきのトップ16
カーズ的には20ぐらいそう
トップ20ぐらいがもう
書いてあるんですよね
Amazonとか何だろう
各種銀行とか各種カードとか
NHKとかもあるんだ
電力とか
あって
大半はこれなんだろうなっていうのが
見て取れてちょっと面白かったな
っていうところと
言われるだけ貼り付けてって感じで
報告の
指揮自体はだいぶ低くしてあるなっていう
ところとか
あとメールで報告の窓口あるらしいんで
なるほどなっていう
これ結構
16万件みんな報告してるって
結構すごくないですか
なんていうか
個人でやってるのかな
それとも
自社の
フェッシングサイトを
見つけたら都度
レポート飛ばしてんのかな
それとかもあるかもね
1000回以上ダブって
報告されてるURLとかもあるからさ
これはそのURLに対して
1000人ユニークユーザーが
いるってことだから
でも感度高い人とかが
コツコツ報告したり
してんのかもね
きっとね
IPAにXSS報告しまくってた人みたいな
人がいいのかもしれない
ちょっとおもろい
そうですね
そういうのもありますね
結構個人的に気になったところをピックして
ふむふむって感じなんですけど
肌感としてはどうですか先生
難しいな
こんなもんじゃない
どっちかというと
なんていうか
件数ベースのトレンドとかを
見るよりも
移り変わりの
推移の方が個人的には気になっていて
例えば
今回68ブランドあって
件数でいうと
マイナーなものの中から
次狙うのを探してるんじゃないかな
って思うんですよね
なるほどね
52ブランドの
名前とか見れんのかな
もしかしたらレポートとか
あるかもしれないけどね
会員向けにね
確かにそういうのがあるかもね
すごい詳しいレポートみたいなの
リンクは見当たらないから
確かにな
登録したらあれなのかもしれない
なんかそういう
フィッシングサイトのURLを
このフィッシング対策協議会が
提供する先の会社みたいな
ページはあって
こういう会社にいれば
知れるかもだけど
これは多分目的的には
フィルターとかを作ったり
適切なあれですかね
アクセス遮断とか
そういったサービスを
提供してる方針
かつ提供の条件に
合致してるとJP3CCが
認めた方針だから結構
誰でも何でも見れるって感じ
ではなさそうって感じですかね
フィッシングサイトの報告とトレンド
LINEとかも入ってるか
あれかもねLINEとかは
フィッシングURLを含むメッセージを投げたら
多分直には取れないと思うけど
あーそっか
ローカルでマッチングしてれば
別だけどね
そうですね
まぁ確かに
まぁでも毎月眺めてたら新しいブランドが
ふわっと
上がってくるのかもしんないねもしかしたら
あと今回はメモには書かなかったけど
その業界の割合とかは
一応言及があって
これかEC配送
電力化水槽系っていう
金融系は7.8%
いやなんか気になるのがさ
まぁこういうの見てもさ
まぁやっぱ狙われるのは大きいところなんだね
っていう結論で終わっちゃうところが
多いんじゃないかなと思って
あーこのレポート読んでね
うん
それはなんか切ないというか
そうじゃないんじゃいって話
コンシューマー向けにはさ
なんか
トレンドとして役に立つメールなのかもしんないし
その狙われてるような
大手の会社に
会社に置いても
のなのかもしれないけど
世の中一般に注意喚起をする
っていう意味だとちょっと足りない
というかじゃあどうしろって話では
全然ないんだけど
でもこれ読んでも別に
なんかだって
あーうちもやんなきゃってなったこれ読んで
ははははは
難しいところだね
でしょ
難しい
難しいね
そうなのよ
うーんなるほどね
なるほどそう言われるとなんか
難しいな
うーん
まあある
そう思うと直結し得る価値があるとしたら
攻撃手法に
変化が見られるよとか
そういうのが
どっかのタイミングで出てきたりすると
それこそさ
あなたの会社も
あなたのサービスも
いつか狙われるかもしれないんですよっていう
別に不必要に
煽る必要はないんだけどさ
うんうん
別に変に脅かす必要は全然ないと思うけど
うーん
なんか
ね
あとあれかななんか
これが全てではないじゃん
そうね
報告されたやつをフィルターしてるだけではあるから
別の会社が出してる
レポートとかと合わせた時に
なんか実像をもう少し掴むっていうのは
やってもいいのかもな
うーん
8万5千件でしょ
この報告だけ8万5千件で
でこれ自体は
まあでも日本か
基本的には日本のサービスがほとんどではある
まあだからなんか自分とこのサービスが
どれぐらい狙われてるかっていう観測をした
上で
このトレンドと見比べていかないといけないはずで
本当はね
うーん
そんなにどっちかっていうとちょっと落ち着き気味の
傾向なのにうちは
継続してなんかどんどん増えてるなーとかさ
なんか
そういう比較をして初めてその
なんていうか
こう少なくとも自分で見てる範囲の
その何が起きてるか
のそのトレンドがこう掴める
わけであって
なるほどね
これさここにもし
自分のサービスのやつが報告されたら
教えてくれるのかな
あんまそんなに勉強ないんだよな
どうだったっけ
うちはよくある
出てくるから
でも特になかった気がするな
まあなんか数多すぎると
いちいちやってられんとかもあるんですよね
うん
まあ一応
やられた側のあれかな
なんか
うーん関係ないです
あーでも微妙か
ちょっともうちょっとサイト見てみようかな
はいまあそんな感じでした
ちょっとまあ来月以降も
面白いというか変化とかがあったら
読んでいこうかな
デジタルクレデンシャルAPIの導入
とりあえず定点観測で
いいんじゃないですかね
ありがとうございます
えー次は
あと3記事ですね
introducing the Digital Credentials
API Origin Trial
っていう記事で
これはChrome for Developersの
ブログがあるんですけれども
この記事でございますと
で奥の方から
サマリを話すとですね
デジタルクレデンシャル
APIっていうものがあって
これのOrigin Trialが
Chrome 128から開始してますと
Origin Trialなので
フラグで有効化しなきゃいけないのと
使える国とスコープが
まだ限定されていますが
このAPI自体何かというと
えーと
スマートフォンだと思うんですけど主には
スマートフォン等の
デジタルウォレットに保存されてる
デジタル資格情報
資格はこれ
タイプですが資格情報を通じて
ウェブがユーザーに関する
検証可能な情報っていうのを選択的に
要求できますと
要するに何かっていうと
イメージ的には
日本で言うとマイナンバーカードの
電子証明書がスマホの
デジタルウォレットにあるときに
お酒を販売するサイトが
買おうとしている人が
本当に18歳以上なのかどうか検証したいと
今は
また本人の
申告か
言い険しいみたいな仕組み
とかを使って本人確認して
じゃあ年齢正しいね
っていうのを担保してると思うんですけど
そういうところでこのAPIを使うと
そのデジタルウォレットに
入っている情報を元に
18歳以上ですかっていう
問いをAPI経由で
検証することができて
本人確認検証が
できますっていうようなAPIですと
具体的なユースケース
いくつか書いてあって今言った年齢確認
みたいなものとか
本人であることの確認をするとか
あと運転免許の
これは多分処置の有無なのかなとかを
確認できるっていうので
さっき言ったその国とスコープに関しては
まずアメリカで
生年月日の確認のみに
使用できるようになります
というようなところですと
APIの使用とか
作りはめっちゃ
詳しくは終わってないんですけど
基本的には
情報を要求する側
ウェブサイトを提供する側に
必要最低限の
情報だけユーザーが選択して
渡せるようになっているっていうのが
結構
いいよねっていうところで
さっきの18歳の例とかだと
18歳中か
お酒20歳か間違えました
20歳以上かどうか判定したいだけ
っていうときに何歳かを取る必要はないよね
っていう前提に
立ったときに
20歳以上かどうかっていう
問いかけ方ができるっていうのが
結構
必要最小限の
情報だけ渡すように
できますよってセキュアですよ
っていうところがいいよねって話が
書いてあるっていうところですね
セキュリティの現在
でこれ試したいですけど
デモだったら
できそうだけど
確かに
そうですねデモだったら試せるって感じか
これって何かいわゆる
W3Cとかが言ってる
Verifiable Credentialsの
一一相
っていう感じなのかな
それとも完全に独立した概念なのかな
Verifiable Credentials
っていう
そういうのがあるんですね
それはわからないかも
言及あるかな
ないんだよね
もしかしたら
独自なのかもね
でもどっかで議論は
進んでるんだろうね
オリジントウェルってことは
いやー詳しい人を呼びたいな
そうですね
専門家を呼びしたいな
いや難しいところだな
いや俺らが強くなるんや
頑張って
強くなるか
W3C
でもなんか全く関連性がない
っていう
感じではないのかな
いやなんかちょっと
わかんねえな
関係性はありそうなんだけど
このOID4VPっていうのが
多分
OID4VPっていうのと
OID4VCっていうのが
あるのかな
これか
まさにっぽいね
仕様としてはこれっぽいかもね
なるほどね
ちょっと難しいね
この辺の
仕様を全部追いかけるのは
ちょっと大変だけど
そうだね
でも結構
有名な世界じゃないですか
そんな都合のいいことばかりではないとは思いつつ
個人的には
これって悪用されないのかは
どうなんだろうって気がしてて
多分ユーザーに
ボタンを押させないとその情報提供できないように
なってるんだけど
逆に言うとボタンを押すとこまで騙せれば
個人情報を集められるのかな
とか
あとは
18歳以上判定みたいなのが
例でなされてるけど
その辺の裏側の仕決めは普通に
気になるなと思ってて
どれぐらい自由度のある
クエリを投げられるんだろうな
っていうのは気になるなって感じだね
そうね
東京都在住
ブラインドで指す
東京都在住かどうかだけ判定するとか
できるのかとか
市区長までとか
どうなんだろうな
もしかしたら一般的なユースケースは
いくつかAPIで提供するのか
何なのかって感じですけど
自分だったらどう作るかな
年齢を都度
ユースケースごとに
指定させるのがいいのか
それとも
お酒飲めますかみたいな
クエリを投げられる方がいいのか
それやったら結構無限に
お酒飲めますかの
敷地というか条件を
どこに保存しとくか問題だよね
ローカイズとかもちょっと面倒だよね
多分国によって違うじゃん
年齢とか
免許とかも
フォーマットとか違うかもしれない
そうすると入れとくデータの
フォーマットも
共通しようがないと困るよね
そうだね
ある程度標準化しないと
いやーその辺は
Chromeが頑張って
実装してくるなら僕らの立場としては
死ぬほどありがたいけど
実装するのは大変だろうね
でも多分一週間ごとに
その辺で設定できるようになるんじゃないかな
日本国の免許証の
この項目みたいなのを
多分
ロケートできるような
フォーマットで
入れとくんじゃないかきっと
キーが
日本国の免許証のこのデータありますか
っていうクエリーが投げられるようになるとか
そうすると
理解
Issuerが
デジタルウォレットにデータを入れるときに
OID for VCI
関係してそうだね
そうだね確かにいたな
ここである程度標準化されてる
プレゼントするときに
OID for VPを使っていて
ウォレットとリライアングパーティー
感の
つなぎ込みの部分なんだね
なるほどね
なるほどね
いやー
こういうのはいいな
今日のトピックの中では
明るい気持ちになれる系
セキュリティリアスってやっぱ
物によるか物によるけど
難しいねってなっちゃうの多いよな
パスキーが
同期できるようになりましたって
明るい未来だと思うけど
確かにあれはそうね
俺らがネガティブすぎる
ちょっと
いいねやっていこうぜって感じで
楽しくないと
やってらんないよね
そうだね
これは結構ね個人的には久々にワクワクしたな
って思いました
うちの会社にも結構これワクワクしてる人
いるよ
その日呼びたいな
確かに
これはね
仕事にそう考えるかどうかで
結構ワクワクとかあるかもね
俺は結構直近の業務とかで
これ使えたらこういう未来あるな
みたいなのあるから
そうですね
マネタイズが
難しいよね
マネタイズ的サービスとかではさ
めっちゃ使うんだろうけど
これを利用して
マネタイズってこと?
でもマネタイズっていうよりか
サービス要件的に
確認しなきゃいけない場面があって
そこでこれを使うと
年齢確認とかね
そうそう
隠す必要ないのにいっちゃうと
うちとかはお酒を売らなきゃいけない
売らなきゃいけない場面があるので
確かにね
これは本人申告の
青年合併で
意外にも
法的にそんなにハードなのが
求められてないじゃん
そもそも
それはそう
法的要求と
噛み合わないとさ
ユースケースが生まれてこないはずで
そういうのって
まあ確かに
はい
そういう記事でございました
macOSセコイヤの変更
じゃあ次行きましょう
はい
これ僕がピックしたんですけど
macOSセコイヤの
画面許可プロンプトが
週ごとから月ごとに
緩和永久に許可する方法は
っていうなんかちょっと
この記事の音自体は
確かね雑にググって
毛色が違うね
毛色が違うんですけど
これなんかその
この記事を読んで話したかったっていうよりは
ちょっと話したくて
順番なんですけど
何かっていうと
macOSの新しい
セコイヤとバージョンでは
画面収録
これはなんかズームとかも入るんですよね
ビデオを撮って
それを先方に送るみたいな
ビデオ通話みたいなのもスコープに入るんですけど
これを行うときに
今もmacOSっていろんな
スクリーンシェアするときに
明示的に強化しなきゃいけないとか
いろいろユーザーがポチッと押さないと
いろんなアプリがアクセスできない
というセキュアな構図になってるんだが
この画面収録のやつも
もともとその仕組みあったんだけど
その要求頻度を
集合とにするっていう変更が
セコイヤでは入っていて
なんで
ズーム
立ち上げます画面
強化しますかって出ますポチッと押します
1週間後にまたそれをやらなきゃいけない
っていう仕様になっていて
これが
結局
週ごとだったんだけど
月ごとに
緩和されましたっていう
これ知ったのは月ごとになったっていうのを見て
月ごときついわって思ったら
もともともっときつかった
結局この月ごとも
オプトインに
次のバージョンではなるらしいんで
自分で緩めれば緩められるって感じなんだけど
普通に思ったのは
結構個人的には
これ多分どう考えても
絶対強化ボタン連打する前に
しかならない
なるよなって個人的には思っていて
デジタルの未来
なんかあんまいいデザインじゃないん
じゃないかなって思ってて
ただ一方で
ズームとか毎回使うからめんどくさいけど
分かんない何ヶ月1回だけ使った
アプリにその権限を付与してて
付与しっぱなし
反影響的に残る
っていう状態が1ヶ月経ったらリセット
されるっていうのは
なんか
それを実現したいって意味なら
ありかなと思いつつ
このやり方以外にも
あるんじゃないかなと思って
例えば僕は今Pixel
古くてですね6かなを使ってるんですけど
Pixel 6結構
面白くて
しばらく使ってないアプリの権限
結構ガンガン落とすんですよ
ガンガン落として通知してくるんですよ
3個のアプリから
12個の権限落としましたみたいな感じ
って出てくるんだけど
これが結構賢くて困ったことないんですよね
もしかしたら気づかずに
あれってなって
許可ボタン押してるタイミングがあるのかもしれないけど
結構困ってなくて
それなりに賢く
やってくれてそう
これはなんか緩くやってるから
結果的に僕はそう思ってないのか
かなり気分けまでやってくれてるのか
判別はつかないんですけど
そういう方法でも良かったんじゃないって
思ったんですけど
本当だ通知きてるわ
でもそれでいくとさ
なんて言ったらいいんだろう
使ってないけど
正当なもの
よりも
使ってるけど
正当じゃないものの方がやばくない
要はめっちゃ頻繁に
勝手に位置情報を送ってるやつとか
勝手に落とせるのか
っていう話になるとさ
なんか
なんか
これよく使ってるから落とさないね
ってなっちゃうんだと
でもなんか
でもよく使ってるやつさ
じゃあ落としたよ
暗黙的に落として
もう一回要求してきた時に
ポチって押すくない
結局
一緒じゃない結局
思考停止で押すことにならない
どっちにどう倒れても思考停止になるんじゃないかな
って思うんだけど
通知が出てくる限り
あー
まぁちょっと意地悪な言い方だけど
結果的に
状態としては
変わってないんじゃないかな
と思っちゃうんだよな
どうせ許可されちゃうなら
落とす必要あんのかな
って思ったんだけど
だからこそ思考停止してようが
とにかくヘッドアップし続けるっていうのが
そうだねコメントしてくれてる
忘れ去られるよりはマスなんじゃない
っていう
考え方なのかなって
アプリの位置情報と許可
個人的にはうざい
うざいし
わかんないけど
こういう研究とかあったら
誰か引っ張ってきてほしいんですけど
これでポチポチ連打する習慣ついた時に
新しくアプリ
インストールして
順番に求め
そのアプリが順番に求めてきたってことじゃないですか
あるあるはコンタクト情報連携していいですか
カメラ許可していいですか
マイク許可していいですか
その連打の中で
しれっと位置情報を許可していいですか
明らかに使わないように要求してきたとして
それ
どっちも変わらない
どんな状況でも連打するか
その状況の時に
通知は許可してるけど
位置情報は許可して覚えがないです
みたいな状況になった時に
そのアプリはよく使うんだけど
そのアプリはよく使うんだけど
っていう状況だとずっと位置情報取られ続けるじゃん
そうすると
1ヶ月後とかに
このアプリずっと位置情報取ってるよ
ってお知らせしてくれた方がヘルシー
なるほどね
その考え方ありかもな
それで言うと
画面収録だけに絞ったっていうのは
ちょっと腑に落ちたというか
クリティカルな権限だもんね
割と
なるほど確かに
確かにね
でもうるさいよな
分かるよ
超鬱陶しい
うるさいよね
1ステップ挟まるのが鬱陶しいよね
あとなんか
普通に
仕事で使うんだって話なのかな
分かんない
ズームでさ
俺はそういう触手じゃないけどさ
大事な眺めの商談で勝負だって時にさ
途中で
これどうなんだろうね
アプリ動作中でも落ちんのかな
嫌じゃん
流石にちょっと優位を持って
聞いてくれるんじゃないの
聞いてくれるのかな
そこの辺がちゃんとしてんなら
実害はないくてめんどくさいだけ
っていう整理で
ワンチャレンジって感じで
なんとかできるのかな
Windowsアップデートで再起動かかる方が嫌じゃない
それは
Windows民じゃないんで
もう言及しないですよ
昔のWindowsは
よくあるやつね
それは否めないね
なるほどね
これな
エンテマだな
なるほど
個人的に少し不に落ちたんで良かったです
どうあるべきかは正直分からんよ
何とも言えないけど
そうだね
アンドロイド方式で落としてくれてもいいけどな
これプラス落とすでもいいじゃん
今って落とすのかな
落とされると困るから
落とさないっていう
だから
どっちが一旦許可したっていうのを尊重してるかというと
Appleの方が尊重してくれてるんじゃない
って思うんだけどね
まあそれはね
使ってないやったら別に落とさなくてもいいじゃんって思うし
だってどうせ使ってないし
動いてないんだからって思うんだけどね
まあね
デスクトップとアプリでちょっと性質は違うかもね
アプリがさ自動アップデートで
自動アップデートになっちゃうから
次回起動した時に
その権限とセットで爆発する可能性があるっていうのはあるかもしれない
あー
確かにね
そうすると
それはあるな
デスクトップは自動アップデートみたいな概念は
基本ないはずだから
デスクトップアプリに関しては
そこはちょっと差分かもね
自動アップデートだろうが
手動アップデートだろうが
中身が分からんっていう意味だと別に変わんないけどな
でもその
許可したタイミングの
アプリのままかどうかっていう差分があるじゃん
スマホアプリは
位置情報1回許可して
ずーっと使わずに放置してて
でもその間もずーっとプレイストアで
どんどんどんどんアップデートがかかってて
でまあ
めっちゃネガティブな可能性で考えるんだったら
その許可したタイミングと違うコードで動くアプリが
期待した位置情報の
使い方をしてるかとか
マリシアさんコードになっちゃってないかとか
それはもうそもそも消費者に判別できないから
考えないにしても
その許可したときと違う状況になってるって
前提があるときに
長時間使ってないし
わかんない3ヶ月使ってないんだから落としていいじゃんみたいな
まあやってもいいんじゃない
っていう中間なんか差分の
一つとしては
難しいなぁ
難しいなぁ
これなんか逆に
このアンドロイド
これアンドロイドなのかピクセルかわかんないけど
落とされて実はクソめんどくさいです
って人がいたらその人の話を聞いてみたい
感はあるかも
なんか俺はあんまり
使ってないんだから
困らんよなとは思うし
結構ね
あんまり本当に困ってないんだけど
あとは多数応援ですか
わかんないけど業務につながるから
多数応援につながる
もう急に
レベルの低いエンジニアみたいな
これだけですると
解決できるとは思えないっていうのは
どこまでいってもあるから
っていう気持ちはある
誰の何のために
やってることなのか
よくわかんないよね
それはそうかもね
言われてみれば
わかんないよ
それで真剣に困ってる人がいるのかもしんないし
なんか本当に
悪用するケースがあるのかもしれないし
それはわかんないけど
なんか世の中の
大多数の人がそれでじゃあ
助かってますって言えるのかな
っていうのは
Appleに関して言えば
プライバシーを売りにしてるっていう
ブランディングがあって
その一貫性を保つとか
事実として彼らはそうしたいっていう
なんかそのそこに
なんか
どこに落とし所を持つか
みたいな感じじゃないですか
ユーザーミスにいったらどう考えても求めないじゃん
普通の一貫消費者
これを競争優位制が
得られるものとして
入れてるのかどうなのか
どういう意思決定のプロセスで
これをやることにしたのかとかちょっと気になるよね
まあ確かにね
いやー
確かにな
普通に考えたら
確かに普通に考えたら不便だし
別の方法でカバーしようよって
なりそうだもんね
一般的なプロダクト作りの
思考で言うと結構トレードオフで言うと
かなりセキュリティ寄りの意思決定はある
UXを追いかける側の
人たちがこれで
なんかああいいんじゃないってなるとは
思えない
思えないんだけど
プラットフォーム提供側だからそのロジックで
通るのかな
まあ
そうだね
Windowsがどうなんだろうな
普通にちょっとどういう意思決定の
プロセスを経たらこれが
入れられるようになるのか気にならない
うん
言われてみればめっちゃ気になりはする
うーん
わかんない
初期の
遥か昔のWindowsが実現できなかった
セキュアバイデフォルトを実現しようぜ
じゃないの
いやー
OS作って
いやー
なんか呼びたい人が今回は多いな
Appleの中の人呼びたいな
教えてくれないでしょ
まあそうね
教えてくれないかも
下がったら出てこないかな
でもいいですけど
まあはいね
CISOの役割
雑に引っ張ってきた記事ですけど
そんな感じですわ
いくらでも語れるね
いくらでも語れる
なんか全然記事と関係ないけど
なんかその
クリーンな飲み会だな
みたいな
この録音して配信する
という前提があるから
クリーンでいられる飲み会
みたいなそんな感じの
ノリだなって思いながら
いいじゃんクリーンな飲み会してこいよ
もういいよ
これがその
録音してなかったらさもっといろんなこと
言えますよ
そうだね
言えないようなさ
そうですね
配信するんで
デジタル撮影なんで
緊張していきましょう
変な場所にね
家まで誰か来ちゃうかもしんないから
怖い怖い
最後は
ヤギ足さんですか
前回までで
前回までというか前回もか
紹介しているNRAセキュアの
RSAカンファレンスの
セッションの解説の
第2弾ですね第3弾まで
あって第3弾も今週
分には入ってるんですけど
今回第3弾はなんかいいかな
って感じだったんでここまで
になるんですが
例によっていくつか
セッションが紹介されていて
3つかな
ちょっと気になったのが
あったんで
紹介していくと1つ目が
CISOコンフィデンシャル
良いCISOと
それ以外を
何が隔ててるんですか
みたいな話
CISOの
必要なスキルみたいなのが
サマリンの中に
書かれていて
興味深いなと思ったのが
深い知見を持ってセキュリティを
推進する設計者であること
っていう部分
これを
体現できているCISOが
どれだけいるのかなっていうのは
疑問に思ったというか
意外と難しいんじゃないかなと思ったんだけど
どうですかね
設計者であること
正直に言うと具体的にどういうこと
って思った
このフレーズ自体は
入ってくる気はしつつ
ある種のアーキテクト
というかさ
あるべきだよねっていう
仕組みを構築
していけるというか
組織もそうだし
ソフトウェアとかもそうだと思うし
何かしらの
課題に対してどういうソリューションを
打っていくかっていう部分もそうだと思うし
それで言うと結構
納得感もあるかもな
個人的には
CTOで置き換えると結構
分かりやすい気がしてて
事業があって
会社のミッションがあって
そこに対してプロダクトが
ないときもあるかもしれないけどあって
それを作るチームがあるときに
そのチームが
プロダクトを作る
事業につながるというところまで意識した上で
どういう組織がいいのかとか
時にはアーキテクチャーまで
関与というか意思決定が
入りうるとか
なんかそのCSOも
わからない
CISOに求められるスキル
現状のセキュリティの
僕のレベルだとそういう
世界はあり得るなって
気がしてて
事業の一要素としてのセキュリティ
一 機能要件
時には機能要件としての
セキュリティがあったときに
ここにはこういう
中小度の高い達成目標が
随所にあって
それをどう繋げていくかとか
繋げたものが組織の形に
したときにこうなっていって
実行まで 実行まで落とす必要はないのかな
でもその実行まで落とせるところまでは
設計しきらないと
スケールもしないし
手を離れていかないという部分があるから
そういう
この一文からどんだけ
解釈すんねんって話だけど
そういうのは
イメージは個人的に
なるほどね
これができてるCISOが
どんだけいんねんは
俺は他社のCISOを知らないから
なんとも言えないけど
でも難しいよね
言うはやすしだと思う
僕の知ってるCISOはみんな
たぶんできてるんだろうなと思うんだけど
なんか
何ができたらCISOやれるのかな
っていうのはちょっと気になってて
最近
深い質問ですね
っていうのでなんか割と目についた
なるほどね
なんか最近
受け入れですけどその専門家の人と
話したときに
話してたのはうちの会社の規模
っていうので
うちの規模今50人くらいなんですけど
だったらその
それなりに
インフラがそこそこ分かります
ソフトウェアもそこそこ分かります
セキュリティも関心とか
ある程度の
知識を持っていて
経営ときちんとプロレスができて
ビジネスに口調を出すことも
できますみたいな
ところが
ベースラインというかスタートラインというか
でもそんなスーパーマンいないから
育ててるとか
社内というか外部というか
そんな理想人材はどっから
調達すんねんって話あるけど
割となんか
個人的には一定しっくり生きていて
なんていうか
セキュリティのことだけだと
ダメだよなって
このブログにも書いてありますけど
社内外のステークホルダーとのコネクタであることは
個人的にはこの3つの中だと
かなり重要だなって気はしていて
これ別に
CSOじゃなくても
CTOだろうとCPUだろうと一緒かなって
気はしていて
経営メンバーの一員であるという
前提があるんであれば
大事なんじゃないかなって
個人的には思います
内部不正リスクの管理
言うはやすしです
言うだけただなんで
言うだけただ
興味深い
ありがとうございます
次が
インサイドペインパック
using metrics to demonstrate
insider risk program value
内部不正の脅威に関する
話ですね
内部不正の
リスクマネジメント手法を紹介してたらしいんだけど
ちょっとなんかフワッとしてるんで
多分後編の
動画とか見ないと分かんないんじゃないかなとは思うんだけど
社員の属性を
理解し
それに応じたアクセス権限の付与を行うこと
って書いてあって
社員の
社員の属性を理解
って
結構難しくないですか
この人は給料が安いから
自社の情報を売るかもしれないとか
やる
不正と直結しないところから
足元から始めるなら別に
始め方は個人的にはある気はしていて
単純に部署とか
そうね
開発チームだったら
強い権限を持たせなきゃいけないかとか
社員って言ってるから契約
提供入んないのかな
でもその時短かどうかとかももしかしてあるかも
マネージャーなの
マネージャーっていうかレイヤードな
組織なら
マネージャーなのか平社員なのか
朝型夜型とか
そういうのもあるっちゃあるかもね
あとなんか
なんだろうね
分かんない
極論だけど
難しいなケースバイケースだと思うけど
そういうところから
登っていく感じなのかなっていう
話を聞いた感じ
いくとこまでいくと
年収とかも変数に入るのかもしれないし
金属年数とかも
それはちょっと微妙か
具体的にどんな属性を
っていう部分が
分かんなくて
そうなのかなと思って
それは確かに気になるところかも
あとなんか
GQ IMプロセスっていうの
これ不勉強だから
不勉強で初めて見たんだけど
これは他でも
使ってるやつなのか分かんないけど
リスクマネジメントにおいて
有用っていうので紹介されてて
このなんか
この4つのフレーズに沿って
っていうのは
いいかもなっていうのは
まあでもみんな
自然とやってると思うんだけどね
リスク管理に携わってる人って
フレーマークとして一定
いい言語かというか
枠
型かって感じがするな
クエスチョンは結構肝だね
ゴールに到達したかどうか
確かめるための質問
なんかやっぱ
分かんないけど内部班に対して対策できてますか
っていう
ふわっとしすぎない
そうそうそうそう
やってますやってませんぐらいしか言えない
それをちゃんと具体に落とし込む
っていうのは大事だし
組織によって回答
組織とフェーズによるのかな回答が違ってくるだろうから
これは意識したいな
そうね
いや難しいですけどね
ゴール設定の流動とかはね本当に難しいよね
あとこれ
継続していくのも難しいよね
1回やっとしまいじゃないというかさ
多分定期的に見直して
そうね
ギャップを埋めてっていうのを繰り返したと思うから
だからまあ
当たり前にやってることであるけど
結構飽き性でさ
その
これを何年も何年も続けてらんねーよな
って思うんだよね
そういう性質の人は
なんか良し悪しじゃなくて多分枠を作る
のに注力して
そういうのを回すのが得意な人が
受け継ぐのがいいんじゃないって思うよ
うーん
エンジニアも一緒だと思う
一人でやってるとさ飽きちゃうよね
まあそうだし
いやでも複数人でやってても飽きるときは飽きる
割と今の仕事がさ
そんな感じだからさ
リスクマネジメントプロセスを
盆栽のように毎日手入れしてるような
感じだからさ
飽きちゃって
いって飽きるのは
めでたいことってある気がするけどね
平和な証拠というか
いや平和じゃないんだな
まあまあまあいいよ
クリーンにいこう
クリーンなのっかいのりが
あの
アルコールゼロなんで
もっとなんで
この回のね
あとはAIも
セッションで
ローポリシー
コモンセンス
セッションス
トラブル
まあ
AI周りで
トラブルと無縁でいるために
法律とか
ポリシーってなんだろうな
規制
常識
まあ常識コモンセンス
ここで言うコモンセンスは
違う訳語がきれいに
当たる気がするけど
どんなものがあるんですか
みたいな話
たぶんまとめのセッション
みたいな感じだったのかなきっとね
で
特に気になったのは
一行あって機密データ保護のための
DLPを用いたポリシー遵守
ってやつ
これがなんかAI絡みで
これもだから
公演の動画とか見ないと
よく分かんないんだろうけど
なんか
あんまりちょっと想像がつかなかった
というかAI絡みで
AI絡みなのかこれみたいな
気になって
DLPに
SAIとかを使える
とかそういう話なのかな
例えばラグで
そんな高度な話するのやめよう
専門家じゃない
ある程度社内の
機密データを検出できますっていうモデルを
何かしらの方法で用意した上で
分かんないけど
スラックとかを
デイリーでダンプして壊して
変なことしてるやついったら
検出してとか
ノーションとかドキュメンテーションするとか
そういう妄想はしたが
確かにセッション見ないと分かんない
でもこれそのガバナンスっていうよりかは
活用の方だよね
この一行に関しては
なんかこう利用すると
なんかAI
どうなんだろう
そうだねAIを活用して
いやちょっと読んだほうがいいかな
読んだほうがいいかもな
個人的に
この記事一応目通して
なんかあんま
深い示唆を
僕目線ではメモに残すの難しい
メモ書いてなかったんですけど
AIとポリシー遵守の重要性
同じくでなんか
フワッとした話しか今してないんだけど
この発表と
この下の発表の
AIサートっていう概念を
これもねちょっとね
また
変な言葉を作りやがって
ちょっと思ったんだけど
なんかその
なんだろうな
ちょっと分かんない個人的に
解像度が低いけど
把握しとかなきゃなと思ったの
AIっていう領域において
その
AIサービスを別に提供する会社が
こうしたほうがいいって話をしてるわけではない
じゃないですか
利活用してる会社
だったら
何なら利活用してなくても
社員が使ってるとか
税収にも気づかないうちに入ってきてるから
その辺のバランスとか
本当にちゃんと正しく安全に使えてるのかとかを
どう担保するのって話だと思うんですけど
なんかその領域に対して
例えばAIサートみたいな
わざわざチームを立てて
対応しなきゃいけないとか
CISOがそこを明示的に責務として担うべき
で定義をすべきみたいな
そこまで重い領域に
もうなってきてるのか
っていうのが
シンプルに
所感としては思ったというか
正直俺は
責任活動をしていく中で
この領域に対して
あんまりちゃんと
リスク探査ができてないなって思ってて
なんかちゃんと
考えた方がいいのかなっていうのを
ちょっと不安にさせられたというか
っていうのは
思った
急な寒さと冬眠
最低限の業務データを
チャットGPに何でもかも投げ込むとか
そういう利用ガイドラインとかも
もちろん定義してるけど
そこからもっと踏み込んで
何が動いてるのか把握して
使っていいデータだめなデータの
ラインも決めてとか
そこまでガチガチに組むべきなのかな
とかはちょっと
思ったって感じかな
まあ一定必要だよね
とは思っていて
うちの場合は
LLMのガイドラインは
一応社内外に
公開していたりするから
そうなんだ
それは後で
ちょっと見張っとこう
じゃあちょっと
パクらせて
まあでもなんかこういうのって別に
なんか
うーん
やめとこ
悪い飲み会出そうになったでしょ
悪い飲み会ちょっと出そうになったけど
いやでも何事にも言えることだけど
その
これを使ってじゃあどうやって
統制を効かせますかっていうのが一番難しい部分で
そうだね
ガイドライン出すのが別に誰でもできるのよ
どうやって周知して
浸透させて
実際にそれに沿って
こうなんていうか
例えばLLMだったらLLMが
それに沿って使われてるっていうのを
どう担保しますかっていう部分が
難しい話で
っていうのを踏まえての
この今見てたような
なんかセッションだったのかなとは
思うんだけど
なるほどね
でもこのオンションのガイドライン見てると
確かになるほどなっていう気持ちになったな
ちょっと読んでみよう
いやーそうね
いいよな
これもセキュリティメーターだよね
ポリシー作るのは
いいんだけど
そうなのよ
この立場になってからやっぱ
難しさを
難しさっていうかポリシーの大事さを
理解できるけど
やっぱ1社員で働いてるときにさ
こんな膨大なポリシー頭の中に突っ込んで
働けるわけないからさ
そうそうそうそう
だいたいさガイドラインとかさ
こういうポリシーとか作って出してもさ
みんながそれ見て仕事してくれてるかどうかって
分かんないじゃん
しかも
可視化できるものはあればそうじゃないものも
多分あると思うんだけど
やっぱ
個人的には
まずはみ出たら検知
を自動で組みましょうとか
あと何も考えなくてもできるようにして
あとは
このガイドラインのポリシーの部分はね
明確に価値の差分として
あると思っていて
相談来たときに
二度手間じゃないっていうのは
結構地味に
でかいなって気はするんで
価値とは全く思わないんだが
運用のギャップは
でもそれをさやっていく中でさ
組織とか会社とかが
どんどん大きくなっていくとさ
見通しが悪いし
浸透させたりするのも
すごく難しいわけよ
はみ出たら検知みたいなのもさ
小規模だったらできるかもしれないけど
それが数千人とかの規模になってくると
本当に難しいわけで
そうするとガチガチに固めないとね
っていうフェーズに
どうしてもなっていくというかさ
確かに
その辺の景色は
見てみたいな
まだ
50人なんだようちは
そうなったときに果たして
そこでセキュリティをやりたいかっていうのは
また別の話だと思っていて
そうね
難しさの種類が全然違うから
問題を解決して
次に進むみたいなプロセス自体も
どうしても遅くなっていくし
同じスピード感では動けない
それが好きっていう人も
いるから
よしよし
ではなく
向き不向きというか
今やってる面白さが
そのフェーズになっても
別に残ってるかというと
多分残ってない
あんまり残ってない
なるほどね
半年間ぐらい
誰か交換留学してほしいな
でかい企業に働いて
ボロボロになって帰ってくる
インハウスだと難しいよな
まだあってもいいよね
面白そうだよね
そういうのを会話見るために
各社集めて
勉強が開いてるわけで
あれ良かったじゃん
昔のスタッフ的なやつ
あれは良かったね
話せないこともいっぱいあるじゃん
外でどうしても
ああいうのも
勉強会も価値あるし
悪い飲み会は
必要だなという気は
この仕事してると
素直にするよ
責任アウトプットの
難しさもあるよな
それこそガッチガチでやってます
みたいなところが
ガッチガチのポリシーを教えてくれるかというと
ブログとかでは絶対公開してくれる
公開してくれるというところもたまにはあるけど
悪い飲み会でも結構キーワード以来
そうでしょ
まあまあ
頑張っていきたいですね
しみじみ
本日はこれが最後ですか
最後ですね
なんらかんだ2時間話したな
記事の数に
関わりなくたぶん
我々は2時間話すというのが
たぶん決まっているのかもしれない
そうだね
別に満足しているので
僕はいいんですけど
こんな感じでやっていきますかね
すごいな
記事減っても2時間なんだ
それなら1週間半分やる
みたいな
今回1週間分だし
記事も少ないからさくっと終わるかな
って思ったけど
割となんか薄味な記事が
多かったしね今回
まあでもその
ポリシーとガイドラインの重要性
始めたてだからやっぱね
語りたいこと尽くしという説もあるからね
だんだんあの時話したよねっていうものとかで
交信差分がないものは
持ってきたりするかもしれない
まあでも案外話してるかもなずっと
いや多分
記事数が少ないし1週間分
だからっていうのでたぶん油断した
説はあるけどね
そうかもね
多少多く話してると思ってた部分は
否定できない
確かにまあ
でもなんか誰も
縛りとかないんで
縛りがあるとしたらうちの娘が起きたら
強制終了ぐらいじゃないですか
まあでもそれでやっていきましょう
はい
じゃあそんな感じで
今回もありがとうございました
また次回もお願いします
おやすみなさい
