収録のプロ意識
こんばんは、Replay.fm、第26回です。
こんばんは。
はい。
はい。
エクスキューズなんですけど、喉が、あのー、いっぱい飲んだわけじゃないけどちょっと先飲んだんで、
喉がガラガラなんで、怒ってないよっていうエクスキューズです。
はは、ちょっとプロ意識が足りない。
そのー、いやー。
いいんですか、そんな、収録前に。
いや、でもさー、あのー、あれなんですよ、そのー、大学の研究室の先生の最終講義があったんですよ、昨日。
はい。
で、その後打ち上げ行くじゃないですか。
はい。
学生時代に、あの頃、毎日、とりあえずここでって言ってた、あの居酒屋にみたいな感じで。
はい。
で、
いや、そこはやっぱ鋼の位置で、なんか、いや、明日収録なんで。
えぐいって。
声大事に。
えぐいって、おーい、いやー、そ、そーなー。
なんのプロ意識なんだよって。
まあ、そのプロ意識に基づくんだったら正解は、その酒を飲まないっていうのが正解だったかもね。
あ、そうそうそうそう。
いや、でも酒もあるけど、そのー、なんか、あのー。
喋るとね。
いや、わかる?居酒屋とかで喋るとっていう、シンプルにただその問題もあって。
そうなんだよ。
そうなるともう、だんまり小僧で楽しむのが。
いや、なんか超小声でさ、よかったっすね。
いや、嘘っすね。
うちの研究室、ただでさえボソボソ喋る人ばっかなのに、もう、だめだよ。
ちゃんと喋る。
悪口。
悪口じゃない。
急に悪口言うやん。
いや、僕がもう、愛してやまない研究室さん。
その、同じ穴の無人な。
僕より数倍優秀な人たちばっかなんですけど。
いや、プロ意識、プロ意識を求めるならちょっと、お金稼げるようになってくるかな。
WebセキュリティとAI
なんかその、あれじゃないですか、好きでやってるんだから好きにやらせてよ。
逆気で。
ポッドキャストのマネータイム、超難しそうだけどね。
いやー、ね、できない。
いや、なんか、めちゃくちゃ再生数多いところが、なんかスポンサーやってるところとかあるけど、
それだけで食うのはとて不可能だろうね。
別のポッドキャストで、スポンサーの出しに来たことあるけど、
マジ、スズメの涙だって。
あ、そうなんだ。
そんなこと言っちゃダメだよ。
スポンサー、ありがたいじゃん。
まあ確かに、そうね、ありがたいっす。
そっか、スポンサーというパターンがあるんだね、確かに。
でもスポンサーってなると、この、例えばこの冒頭の時間とか多分最後の時間に、
その、紹介する。
何々を提供でお送りしてますっていう。
その程度でいいのかな。
多分、結構ガッツリ紹介とかしなきゃいけないんじゃないかな。
まあそれは案件次第なのかもしれないけど。
そうだね。
まあまあまあ。
だから、それで言うとあれだね、人の金で資格取りたいから、そういう案件だったら待ってます。
シスプ宣伝してくださいって言われたら、受験費出してくれるなら死ぬ気で宣伝します。
そういうのはすごい大歓迎ですけどね。
ただで受けたくせに。
自分でオススメしといて。
それもそれでいいかもね、なんかそんだけ難しいんだよって。
こんな意識高いポッドキャストやってても通らない、この資格は素晴らしいって。
受かってもないのに何が素晴らしいんだ。
受かってもないのに何が素晴らしいかなんでわかんのって感じになっちゃうけど。
確かにね。
マジで受かってからいい案件だった。
そんな日が来るときのために今日も頑張ってインプットしていきましょう。
じゃあ、一番上からいきますか。
僕読むか。
Webセキュリティ最大のリスクにAIで立ち向かう。
小クラウド認可制御診断機能の技術的解説。
JMO Flat Securityブログの記事ですね。
タイトルの通りではあって、
市商クラウドっていう、もともとはCSPMとしてリリースされて、
今は多分自動ウェブ診断みたいな機能がついて、
CSPMからちょっと幅を広げつつあるソフトウェアサービスがあるんですけど、
それに認可制御不備の診断機能っていうのがリリースされて、
その技術的な解説っていう部分をしてる記事ですね。
技術面は、技術的な解説と言いながら、
そんなにふわっとAI活用してるよとか、
独自クロールあるよとか、そういう部分しか書いてないんで、
めちゃくちゃテックの話ではないんですけど、
この機能自体が結構興味深いような気はしていて、
認可制御不備って具体的にはというと、
このロールがこのエンドポイント叩いてはいけないというか、
叩いたときにデータを取れてはいけないとか、
RBACですかね、ロールベースアクセスコントロールに基づいて、
こういう仕様が正しいってなったときに、
その仕様に違反してるかどうかっていうのを、
自動でチェックしてくれるみたいな機能が出たって感じで、
画面のキャプチャーとかも記事中にはちょろっと貼ってあるんですけど、
確かね、ロールベース、
多分仕様みたいなのを何かのフォーマットで加わせて、
APIの仕様もフォーマットで加わせたら、
吉田に動いて診断してくれるみたいな感じだったと思います。
これは結構夢がありますよね、なかなか。
これって何かRBACベースでのチェックしかしてくれないのかな。
要はそのいわゆる横の認可制御不備というか、
他の人の見えちゃいけない情報が見えちゃうみたいな。
わからん。
使ってみたらわかんない。
なんかでもデモの画面を見た感じで、
ちょっとそういう感じではなさそうには見えたんだよな。
結構なんかシンプルなところからなんじゃないかなって気はしていて、
ロールとエンドポイントの組み合わせとかなんじゃないかな。
ゆくゆくはもっと頑張るんだろうけど。
でも確かに事例として紹介されてるやつとかは、
いわゆる横系なんだよな。
そうなんだ。
LINEのアルバム機能で他人の画像がとか、
2Bサービスでマルチテナントの2Bサースで
多少のデータを参照できちゃうとかが起こると困るよねみたいな。
確かにな。その辺どうなんだろう。
でも本機能では具体的に以下の不備を検知することができます。
マルチテナントアプリケーションにおける認可制御不備っていう風に書いてあるからできるんだね。
できそうだね。
もうちょっとなんだろうな。
リレーションベースでのアクセスコントロールとかそういうのが絡んでくると
まだ難しいのかもしれないとかあるけど。
リレーションベースっていうか別にもっとシンプルに。
もっとシンプルなものよ。
このマルチテナントアプリケーションで言うんだったら
同一テナント内での別ユーザーの見えちゃいけないものが見えちゃう
みたいなのは多分やれないよって言っていて。
なぜかというと多分テナントをまたげるっていう
要はこのユーザーはこのユーザー間での
要はこのユーザーとこのユーザーは別テナントですよっていう前提が与えられないと
多分そこのチェックができないってことなんでしょ。
そうだね。それはそうだね。
このエンドポイントでそのユーザーの情報が見えちゃうっていうのは
もうその時点でNGだよっていうのが言い切れるからこそ
チェックができるよって話であって
同一テナント内でそのユーザーの他のユーザーの情報が見えちゃうっていうのは
いいのか悪いのかはやっぱり判断できないって話なんだよねきっとね。
そうだね。
もう一歩な感じだな。
そこまでできるようになったらなんか超激強な感じがする。
これ系なんか、まあでもこれからどんどん出てくるのかな。
その生成AI時代においては結構。
いやでもどうなんだろう。生成AIがあるからリリースできたのかどうかは
なんとも言えん気もしつつやな。
どこにどう使ってるのかちょっと気になるよね。
なんかデモ動画見てる感じはその仕様みたいなところの自動生成とかをやってるのかな。
ああそうだそうだ。
だからロールがあってそのロールごとにこのロールはこういう仕様ですっていうのを
説明文とか突っ込むとよしなに解釈して
これアクセスしてしちゃいけないみたいな定義が多分できて
多分精度は100点は多分取れないだろうから
でもまあ直す分全部一からやるよりは楽だよっていう。
そうかそうか。確かに。
っていうデモ動画見てちょっと今理解してました。
師匠AIによって。
確かにね。
いやーなんかそうね夢があるのと
なんかトライアル申し込んでみようかな。使ってみたいな。
いやなんかそのなんだろうな。
いや自分疑い深い自分の中の人格としてはその
いや現実のアプリケーションクソ複雑だけど
それに対してどこまでやれんのっていうのは結構純粋に気になってる。
っていう。
なんか管理者とメンバーとかなんか
まあなんだろうな。
3、4ロールぐらいだったらまあいけそうだけどその
まあロール側が複雑ってパターンもあるだろうし
逆になるからね。
エンドポイント側の事情が複雑というか
っていうパターンもある気もするし。
事業ドメイン自体がめっちゃ複雑すかね。弊社は完全にそうなんですけど。
なんていうか。
例えば弊社の場合はその店舗で
バイトしてる人が何をしてるかを
多分知らないとそもそもなんか推測もできないんじゃないみたいな世界とかは。
なんかどこまで
その察してくれるのかとか結構純粋に気になるなって感じ。
まあでもいいっすね。
なんか令和が始まった感を個人的に感じます。
まあまあだったけどね。
ん?
令和始まってからまあまあだった。
なんなら令和始まった頃全然こんなん想像ついてなかった。
確かに。
令和7年ですか。早いですね。
7年だっけ?7年か。
今年で令和7年でしょ。
そうか。
えぐいな。
だから6年経ったのか。
まあでもなんかちょっと個人的にはめっちゃ応援してますっていう気持ちですね。
次行きますか。
行きましょう。
次か。
CISAでいいのかな。
CISAセキュアバイデザイン先生とは安全なソフトウェア開発のためのエナラルイセキュアの取り組みというエナラルイセキュアテクノロジーズのブログ記事ですね。
ちょっとCISAと呼んでいいのかCISAと呼ぶべきなのかちょっと今調べてみるけど。
なんかCISAな気がするな。
CISA、CISA。
CISAでいいのかな。
Google検索のAIはCISAと呼んでる。
CISAでいいっぽい。
セキュアバイデザイン先生っていうのをやってるらしくて、それにエナラルイセキュアがセキュリティ製品を提供するセキュリティ専門企業としてその先生に署名したよっていう記事です。
どういう取り組みかというと、
ソフトウェアベンダーが優先して改善すべき7つの目標に対して自社製品のセキュリティ改善の取り組みを行うことを自主的に制約する活動ですというふうに書かれていて、
先制したところから1年以内にどういうふうに改善をしたかをブログなどで一般に公開することとか、CISAに進捗状況や改善への課題を共有することが推奨されてるよというふうにブログ記事では書いてくれてる。
7つの目標っていうのが対応素認証の導入、デフォルトパスワードの廃止、脆弱性の種別全体の削減。
種別全体の削減だったよね。
セキュリティパッチの適用、脆弱性公開ポリシーの公開、CVEの公開、侵害の証跡の提供という7つの目標があるよというお話です。
CISAの取り組み
あくまでこの先生に署名したよっていうお知らせの記事であって、具体的な活動報告とかは多分今後になるのかなと思うので、継続してウォッチしていきたいなとは思っている。
アメリカにサービス提供してるのかな。日本の企業でも署名、仕事前はできるのかっていう。
それいくとUSオフィスがなくなってるければあるはずだよ。
なるほどね、そっかそっか。
その文脈で、いいですね。これに署名するっていうのは結構あんまり口だけのセキュリティは許されないというか、そもそもセキュリティのプロフェッショナルの会社なんで別に疑ってるわけじゃないけど、
説得力は増すよなっていうところは純粋に思うな。
あと、どっかに書いてあったけど、まず自社で、自社っていうかセキュリティ専門企業としてセキュアバイデザインの取り組みに賛同して、
自社のみならず全てのソフトウェアプロダクトを開発する企業にこの取り組みを広げていくべきっていう考えがあるけど、広げる前に自分たちがまず率先しようみたいなこと書いてあって、
そのスタンスは素晴らしいなって純粋に思ったな。
日本で、セキュリティエンジニアとの会話ではセキュアバイデザインの話は出るけど、
一般にソフトウェア企業、SNSとか人と話すときに専門家以外からこの言葉を聞くことってほとんどない。
1回もないんじゃないかな、僕の場合は。
あんのかな。ほぼないんで。
そういうところに認知度が広がっていくといいなっていうところもありつつですね。
セキュアバイデザインやればいいと思ってるわけではないんだけど、
一つの大きな流れとして、書いてある7項目も結構何も間違ったことは言ってないというか、
署名しなくてもやるべきだよねっていうところだと思うし。
7つの目標の中に、メーカーのプロダクト全体における一つ以上の脆弱性クラスを測定可能な形で大幅に削減するために実施した活動を公表することって書いてあるんだけど、
結構難しそうだなって思って。
そもそもそんな測定可能なレベルで大幅に削減するって、
そんな余地があるプロダクトを作ってる会社って多分この先生に署名しないよなって思ってますね。
具体的な何か求められてる内容が分かんないけれども、どうなんだろうなって。
なんかもうすでにさ、米国の企業とかで署名して、これをやって対外的に発表してる企業とかありそうだから、
その絵の内容見てみたいね。
そうだね。
多分パッと出てこないかもしれないけど、結構実際にどういうものかっていうのは見てみたいな。
もしくはこのエナリストキャラさんがいずれ出すだろうから、それを見て学ぶでもいいし。
スキャバイデザインのなんか署名企業一覧とか見れるのかな。
あるある。
そうなんだ。
プレスリリースから順に飛んでいくと。
難しいそうなのか。
そうか、サイトが。
おー、283カンパニア。
そうね、Amazonとかね。
赤前。
ちょっと後で調べてみよう。
気になるな。
いやー、タイオス認証導入したり、デフォルトパスワードなくしたりしていこうな。
SDTパッチも適用しなきゃいけないし。
124はマジだな。
やっていきましょうって感じだな。
そんな感じの記事でした。
クレジットカードセキュリティの新ガイドライン
ありがとうございます。
じゃあ次行きましょう。
タイトルだけ読んじゃうけど、クレジットカードセキュリティガイドラインが改定されましたっていう経済産業省のプレスですね。
改定されたね、V6ですか。
確か、そうですね。
6.0か。
なんだっけ、どこだっけ、Jクレジット、ORJPだから、日本クレジット協会。
そうだね。
そうだね、日本クレジット協会のまとめのスライドがよくまとまってるよっていうので貼ってくれていて。
大きな差でいうとどの辺なんだっけ。
個人的に大きいというか差分になるなと思ったのはこのキャプチャー貼り付けた部分なんだけど、認証周りの対策をちゃんとやれっていうのが入ってきていて。
割と具体的に書いてあって、認証周りっていうのはログインとか会員登録とか会員情報変更するっていうところに対してきちんと防御策入れてくださいっていうのが入ってきてる。
これ自体は不正アカウントの乗っ取りとか、あれかな、背景としては決済情報が盗まれるとか番号が盗まれるっていうインシデントはほとんど見られない一方で、
だいたいほぼほぼのケースでやられてるのはアカウント乗っ取られて登録者の決済情報から抜かれてるっていうのやられすぎなのでそこにやってねっていう、超威厄するとそういう話で。
それの内容が割と具体的で、書いてあるものをいくつか読むと不審なIPからの、アビューズなIPからのアクセスとか制限しようとか、
二要素認証ちゃんと入れましょうとか、会員登録時の個人情報の確認ちゃんとしてくださいとか、ログイン試行回数の制限強化してねとかそういうものがツラツラ書いてあるっていう感じですね。
何だろうな、言われるまでもなく当たり前のことでは多分僕ら目線ではあるんだけど、明示的に結構ここまで具体的にやってくださいってなったのは、
割とやっぱアカウントを守ることの優先順位、アカウントを守ることの温度感みたいなのが上がってるのかなっていうところはちょっと感じたってところですね。
このキャプチャーの1個手前の画像がマースになるんですけど、カード決済前にアカウントが取られちゃうじゃんっていうところをちゃんと指してくださいっていう部分が結構差分としては大きいかな。
大きいというか僕が一番ちょっと気になった差分はそこって感じかな。
それ以外は割と今までの4番V4、V5の延長戦っていうところかなって気はしていて。
MineV3リーセキュア入れてねとか、脆弱性対策みたいなとこあるけど、これ前もあった気がするけどな、ちょっとわかんないな。
でもこのログインの部分が結構分厚いって感じですね。
いやー、なんか、まあいいや。
なんかさ、この表とか見てて思うんだけど、あんま解像度高くないよなって思っちゃうんだよな。
あー、そうね。
まあなんかこの表がいけてないよね、まず。
そうだね。
まあまあ、否めない。
なんか。
MFA周りとかもさ、会員登録を外しちゃうのがなんかもう違うよねって。
確かにね、そりゃそうね。
登録時点でその、要はその認証要素の所有確認をしておかないと、みたいな話とかって当然あると思うし。
これ多分、なんか本当表がいけてないってだけで、あれだと思うよ、その対策が有効な場面に丸をつけてるから、その。
いやー、そうなんだけど、対策が有効な場面 is 何?
そうだね、そうだね。
そうそうそう。
そりゃそう。
属性情報変更とかもさ、なんかこの、それで丸っとまとめんなよって思うし。
なんかその、ガイドライン、この項目に限らず一貫して書いてあるんだけど、結構その、PSPとかがちゃんと石亀ってサポートしてるんだよ的なことが書いてあって、
実態としてはわかんないですけど、その、内勢でその開発部隊を持ってるようなところは多分、この表見て吉谷に解釈して、吉谷にというか正しく解釈することができるじゃないかという話と、
一方でなんか何からすればいいかわからんみたいな、多分亀いても、言ってほしくないけど多分いるんだろうなって気がしてて、
だからまあ、実際はPSPがケツ叩いてやってもらうみたいな感じになるのかなっていう気はしてますけどね。
なんかそういう意味でもあるのか。
まあでもPSPにさ、そんな能力はないじゃん。
まあ、でも、まあそうね、強制力がどんぐらいあるかと言うと、
でもその、クレッカガイドライン、クリストガイドラインの内容的には割と一貫してそういう部分がある気はするんだよな。
その、
まあそんなことは書いてないけど、変な話ちゃんとやってないなら、その契約辞めるよとか、なんかそういうことを言うことは一応できるはずで、
実際なんかセキュリティチェックシート的なものも仕事で僕は見かけたことあるんですけど、
なんかそういう圧力を、というかなんか多分事情動力じゃもうどうにもならんっていうのが現状がある気がするから、
そこからも指してほしいっていう意図みたいなのは割と一貫して感じるかなっていう感じ。
実際問題どうなんでしょうねって気はもちろんしてるんですけど。
まあね。
WASPによるクッキーセフト対策
でもこれ明文化されたことで、一応法律にのっとったガイドラインではあるから、
あんま無視できなくなって、前より無視できなくなってるんじゃないかって気はするな。
まあね。
あとサインとかもとうとう、これも前々からですけど、無くなりますねっていう。
今日だっけ、今日か昨日行ったお店に4月からサイン無くなりますって書いてあって、
おーって気持ちになった。
そうだよねーって。
どうこう読む絵で、見る絵では読むと良さそうな気がします。
じゃあ次行きますか。
行きましょう。
僕で、
お願いします。
読んじゃいますね。
WASPにクッキーセフト対策、
クッキーセフト対策チートシートを執筆したっていうJackさんのブログの記事ですね。
内容としてはタイトル通りであって、そのWASPのチートシートっていう、
こういう脆弱性はこういう対応しようねとか、
こういう脅威にはこういう対応しようねみたいなサイトがあるんですけど、
そこにクッキーセフト対策、クッキーを盗まれる、
今だとインフォスティーダーとかに盗まれるとかが流行ってますけど、
WASPに対しての対策のページがなかったんで、
コントリビューとして追加したっていう記事ですね。
で、前に話したそのクッキー、何でしたっけ、
デバイスのバウンドの足とかもちょっと触れつつ、
それはまだまだ全部ラザで使えるようなものではないので、
使えない一方で、今の状態でも取れる対策とか、
対策というか緩和策とかがあるはずで、
それをチートシートとして追加したよって話ですね。
中身、もう少し具体的に言うとそんな長くないんで、
みんなぜひ読んでみてくださいって感じなんですけど、
クッキーでセッション管理してます。
そのセッション、すなわちクッキーの値が盗まれちゃったときに、
盗んだ人がアクセスしてきたときに、
クッキー情報以外にも取れるデータがいろいろあるよねって話があって、
アクセス元IPだとか、国だとか、
何でしたっけね、あとは何だっけな、
アクセルフトエンコーディングとか、
もうメタ情報としては取れるよねとか、
いろんなヘッダー取って、
これらをいろいろ見ることでリスク評価というか、
本当にこれは以前と同じ人が同じ端末でアクセスしたのかっていうのを
ある程度判別できるはず。
それが対策になるってところが、
めちゃくちゃ序作流と書いてあるって感じですね。
ただこれって何でしょうね、
仮に、例えばIPアドレスだったら、
スマホで移動してたアクセス元IP当然変わるよねとか、
国に関してももしかしたらその人がスマホを持って
国を移動したのかもしれないとか、
そういうのを考えるとその誤検知っていうのは必ず付きまとうはず。
なのでその誤検知を認識しつつ、
どこまで緩めるかとか、
どういうメタ情報を合わせて使うかっていうのは
考えなきゃいけないよねっていうところが。
まあでも大体のケースは多分、
追加認証を求めれば済むんじゃない?
そうだね、追加認証の話もどっかに書いてあったな、確かに確かに。
でもキャプチャーの話は書いてあったんだけど、
追加認証の話はちょっとパッと見つけられない。
あれ、追加認証どこで見たんだ?
別の記事で読んだのかな?ちょっとごっちゃになってるかも。
なんか読んだ気がしたんだけど。
あと最後にDevice Bound Session Credentialsの話も触れられていて、
まあまあこれは今後に行きたいっていう感じですね。
はい。
異業。
なんかフラングさんとかも記事書いてたりとかして。
だからこっちからリンク貼って。
ああ、そうだね。
かなり詳しくね。
端末に残るクッキーの方について。
僕ら2人とも時間がなくて解説できるほどの時間。
そうなんだよね。
なんかね、めちゃくちゃ細かく書いてくれていて、
非常にもう
ザーッと流し読みしただけで超いい記事なのが分かるんだけど、
ちょっとこう、
ここまでの熱量を受け止め切るだけの体力が今なかった。
これでも読みたいね、合わせて。
うーん。
なかなかね、
すごいでもちょっと個人的には長く
このポッドキャストを続けた遺跡を観測し続けたって
よかったなというか、
トレンドに合わせて僕らのトレンドもちょっと変わるというか。
うん。
いたちごっこを今まさに目撃してるなって気持ちで読めて。
そうだね。
これ押さえられれば、
これ押さえてパスキー普及すれば結構いけるのかなって思った時にまた新しいのが出るのかもな。
どうなんでしょうね。
うーん。
そうですよね。
フィッシングもさせない、
インフォスティーラーも使えないってなった時に。
まあでもな、
これ違うな、
どんだけ普及するのかだな、次の勝負は。
普及するまでの間は。
まあちょっとパッと思いつかないけど、
まあきっとなんか出てくるんだろうね。
うん。
まあ皆さんぜひこう一読をという、
まあ米文に関わる人が読むといいんじゃないでしょうか、
感じです。
GitHubのセキュリティ機能の変更
なんか、やっぱ喉あれというせいで淡々と進んでる感が出るけど、
とても楽しく読んでます。
引き続き頑張ります。
普通にね、ちょっとね。
その言い訳。
俺も割とそうなんだけど、眠いんだよね。
今日さ、ほぼ丸一日寝てたはずなんだけど、
マジで?それでも眠い?
丸一日ってことでもないから、でも昼過ぎまでまず寝てたんだよ。
寝てるね。
昼過ぎまで寝てたら嘘だな、
10時半のF1のフリープラクティスを見てるから。
昼過ぎまで寝てたら嘘だわ。
10時過ぎぐらいまでまず寝てて、
で、
10時半のフリープラクティスを見て、そっから多分また寝たんだよな。
で、
昼過ぎぐらいに起きて、
パウンドケーキを作りながら、
F1の予選を見てたんだよ。
それがだから14時とかだったから。
一息ついて、作って一息ついて、
また寝てたから、多分19時ぐらいまで寝てたんだよ。
なるほどね。
ちょっと目覚ましてください。
今の喋りのスピードとその取り留めの長さがもう眠さを荒らしてる。
今の喋りのスピードとその取り留めの長さがもう眠さを荒らしてる。
パウンドケーキね。
いや、完全に眠い。
頑張りますわ。
じゃあ、次ね、2記事ちょっとまとめて話しちゃいたいなと思ってるんですけど、
じゃあ、次ね、2記事ちょっとまとめて話しちゃいたいなと思ってるんですけど、
一つがGitHubのChange.logのブログなんですけど、
Introducing GitHub Secret Protection and GitHub Code Security っていう記事と、
Introducing GitHub Secret Protection and GitHub Code Security っていう記事と、
Find Secrets in Your Organization with the Secret Risk Assessment っていう記事です。
Find Secrets in Your Organization with the Secret Risk Assessment っていう記事です。
これ2つ結構つなげて話したかったのでつなげて話しちゃうんですけど、
これ2つ結構つなげて話したかったのでつなげて話しちゃうんですけど、
これ2つ結構つなげて話したかったのでつなげて話しちゃうんですけど、
調査をまると今までのGitHubのセキュリティの課金したら使える機能として、
セキュリティの課金したら使える 機能として Advanced Securityって呼ばれる
ものがあって 具体的な内容としては 一つはコードに対してセキュリティ
レビューを 裏側 AIなりが動いてる もので使えるもの このPodcastもたまに
取り上げてますけど CodeQLのもの とかがそれに当たるって感じですね
パブリックリポジトリとかは無料 で使えるんですけど プライベート
リポジトリ使う場合には有料っていう 感じの機能が一つと もう一つが
そのAPIキーとかをコミットして プッシュしちゃったときに その
プッシュ自体を プッシュの中に キーなりが入ってるとアンティ
したときに プッシュを未然に防い でくれるっていう機能があって
この二つの機能がセット売りで アクティブなコミッター一人
に対して月額49ドルっていう感じ だったんですけど これが今まで
で これが4月からかな 4月から どうなるかっていうと まず一つ
がさっき言ったAPIキーのプッシュ の部分のうち プッシュは防がないん
だけど シークレットがプッシュ されちゃったよっていう検知の
部分に関しては何と無料化される ますと なんで プライベートでも
パブリックでも誰でも無料で使える ようになります 一方で有料部分
として残るのは プッシュを未然 に防ぐっていうブロックする部分
とか あとは例えば自社で開発した APIキーみたいなのあったときに
そのAPIキーのフォーマットをカスタム で登録して それも弾くようにして
ほしいみたいな設定をするとか また詳しいメトリクスみたいな
分析みたいなのを見るとかは引き 続き有料ですよっていうところ
が一つ まず無料として聞き出された 部分が一つと もう一つがさっき
言ったCode Security CodeQLとか使える 部分とSecretのプッシュを防ぐ部分
がサービスとして完全に分かれて 前社が月額30ドル 後社が月額19
ドルって感じで分かれましたっていう 話ですね なんで 今までは例えば
CodeQLだけ使いたくてSecretプッシュ は自社で対策してるのにみたい
な人たちは これからはその前社 の30ドルのプランだけ契約すれば
いいし 逆にCodeQL部分はまだ どうなんだ 言うて月30ドルアクティブ
コミュニティ高いんで まず19ドル の部分からやはりリスクを抑える
ためにやりたいみたいな選択が 取れるようになったっていう感じ
ですね 合計金額合計しちゃうと 49ドルなんで変わんないんですけど
プッシュしたもの検出っていう 部分は無料化してるんで 実質
ちょっと値下げって解釈でいい かなと思いつつ フルフルで契約
すると開発者が多い会社さんとか 特にそれなり値段はするんで お金
がきちんと稼げてれば使う価値 があるかなっていうところで紹介
しました ちなみに何か値下げの背景 値下げじゃない プラン分けて背景
とかはあんま書いてなかったですね 声が多かったんだろうね
YouTuberへの脅迫手法
そうね あと僕も分けてくれって 思ってたんで 僕はブログ記事も
書いたんですけど このシークレット の検知を内製してたんで トリュフ
ホーグを使って内製してたんですけど 捨てようかなっていうのと 月19
ドルならあるかもなっていうの と でも前の記事読んだけど トリュフ
ホーグじゃないと検出できない パターンもビリビリとあるの
と ちょっとまだ
あれはGitHubも対応したって書いて なかったっけ それ
GitHubが対応したのはベスト
でもそれ以外の真ん中
そうそう ベスト64の話だと思うん だけど あれはGitHubのパーソナル
アクセストークンしか対応してない から
そういうことね 他はダメなのか
そう AWSのキーとかはベスト64したら 通る あとちょっと未検証なのは
トリュフホーグの場合は 例えば GitHubissueのコメントとかプルリク
そのコメントとかも全部スキャン するけど GitHubは多分なんかプッシュ
にフォーカスしてる気がするから そっちは分かんねえなと思ってる
って感じかな いつかもしかしたら対応するのか
今も対応してるかもしれないけど でも多分対応してないんだよな
っていう まあまあまあなんですね でも会ったほうが絶対いい機能
なんで ぜひ まあ諸文みたいだけど 皆さんご検討 僕的にはカミアム
アップデートだなと思ってるんで 感じです いっぱい稼ぎましょう
じゃあ次 ちょっとだけ僕が継ぎ ますけど 軽くでいいかなって感じ
なんですけど ブリーピングコンピューター の記事でYouTubers exported via copyright
strikes to spread malware っていう記事です 話としては詐欺のやり口の一つ
なんですけど ちょっと賢いなと思ったん で軽く話せばなと思ってるんですけど
これ何かっていうと タイトル通り ではありつつ そのYouTuberが脅迫
攻撃者というか犯罪者から脅迫 を受けて そのマルウェアの拡散
みたいなのを強いられてるっていう 話ですね なんでその強いられる
状況に追い込まれるかっていう と ちょっと記事中で具体的に書いて
ないんで その文脈からちょっと こうなんじゃないかなっていう
見取った部分なんですけど おそら く今っていろんなソフトウェア
の使い方とかを解説するYouTube動画 ってちょこちょこあると思うん
ですけど そういうYouTuberを狙い 打ちにして 紹介してるソフトウェア
を僕が作ったやつなんだけど 著作権違反してるから意義申し立て
しますよみたいな その何だろうな 嘘の意義申し立てみたいなもの
をしたり 多分メッセージ送るのかな やり取りをしてるはずなんで どっか
でメッセージ送ってて 脅し文句 としては あと2回通報したらもう
チャンネルバーンされちゃうよ とか そんな感じの文言で脅すっていう
ところがまず1歩目で 脅した後に 多分情報じゃないけど 代わりに
僕が作ってるこのソフトウェアを 紹介してよとか これのチュートリアル
動画作ってよみたいな感じで脅し 方をして YouTuberの人がそれを脅し
に屈した人たちがそういう動画を 作って 普通にYouTuberの動画として
パブリックするんだけど 実体 紹介 してるツールの中身は実は普通
にマルウェアとか暗号通貨のマイナー みたいなものになっていて なんで
そのYouTuberをサブスクライブしてる 一般の人たちはその人が紹介してる
便利ツールだっていうので使うん だけど 実際にはマルウェアがインストール
されちゃってみたいな感じ 実際に 被害が出ているみたいで カスペラスキー
が言うにはロシアで2000人以上が 被害者になってるっていうんで
割と2000人を少ないとするかどうか ちょっと難しいけど 攻撃として
成り立ってるっていう部分は結構 なるほどなって思ってっていう
ところですね 思ったのは 視聴者が自衛する方法
結構厳しいんじゃないかなって 気はしていて YouTubeを見てソフトウェア
を使ったり コードを書く人がどんな 人かっていうの ちょっと実像が
自分の中にないんですけど 仮に そのちょっとビギナー寄りな人
たちなんであれば 素直に便利じゃん とか言ってインストールしそうだ
なとか思うし そういう人であれば ほどセキュリティ観点を強く持って
っていうのは結構無理があるだろう し Windowsだったらウィルススキャン
ソフトを入れてなかったら通っちゃう だろうし MacOSも通るときもある
だろうし 結構 いい感じの穴をついてるな って思ったっていうところ
ですね なんかこれ無視したらどうなるんだろうね
無視したら多分 これ偽なんで 著作権に申し立て的なものは なんで
多分何も起きずにハッピーなはず ただ攻撃者ミスなんて多分やり
毒なんだろうね 無視されたら別に 何ともすることないし それでちょっと
怯える人が1人でも引っかかれば その人を責めるっていう感じで
やるんじゃないかな なんか手間がかかってるなって
ちょっと思ったけど そうだね でも確かにやり毒と考えたら
意外といいのか あとはそのYouTuberっていう信頼を
通してインストールさせるっていう のが結構でかいのかな 費用対効果
みたいなの確かに気になるな 攻撃者ミスに
そのソフトウェアエンジニア系YouTuberの 事情はあんま知らないけど でも
なんかいそうだよな 普通に 全然サブスクライブ数が多い
チャンネルとかありそうだから YouTubeをやってる人がいたらお気を
つけください 僕らも脅しされるかもしんない あとはBotcastで話したこれ著作権
違反ですよ 代わりにこれ 脅し案件で来るかもしんない
新しい攻撃手法の紹介
ワンチャンある ワンチャンあるね そう じゃあ次に行こうかな
次はMalicious Chrome Extensions Can Spoof Password Managers in New Attackっていう記事で
これブリーピングコンピューター の記事ですね これもさらっとで
いいかなと思ってるんですけど タイトルのとおり パスワードマネージャー
のChrome Extensionを模倣するような 新しい攻撃手法があるぞっていう
のを これは実際に事件が起きて の発見したって話じゃなくて 先
て研究企業が提唱した系の話です なんで実際に被害が出るかどうか
は分からんけど 割といけそうだな と思ったのとちょっと疑問もあった
ので 記事の内容を話していくと 何をするかっていうと まずは何か
しらの方法で攻撃者が作った拡張 機能をインストールさせます これ
自体は多分何でもよくてインストール してくれれば その便利ツールみたいな
のを実際に作ってもいいだろう し いろんな歌い文句でインストール
させるんだけど 裏側としてはC2 とつながっているという挙動は
している インストールに成功したら 次にすることが インストールされた
拡張機能を狙った攻撃手法
プロファイルに含まれる拡張機能 一覧っていうのを何かしらの方法
で把握するっていうのがステップ 2で 一覧としては2種類あるらしくて
一つ目はシンプルに拡張機能一覧 を取れる権限があるらしいんで
その権限を付与させてリストを 取るか もしくは これは何か へえ
と思ったんですけど ウェブページ に特定のURLを埋め込んで 多分
攻撃者側に通信が行くんじゃない かと思うんだけど URLを埋め込んで
そのURLが反応したかどうかっていう ので 任意の拡張機能が入ってる
かどうかって判定できるらしくて なんで 例えばワンパスワードマネージャー
をターゲットにするんだったら そのワンパスワードマネージャー
が読み込むようなURLを作ってページ に埋め込んで それが反応したら
入ってるっていう 日判定で 要するに やりたいのは模倣したい
やつがインストールされたとこに 入ってるかどうかっていうのを
見るっていうのがステップ2 ステップ 3は もしあるって分かったら インストール
されてる攻撃者が作った拡張機能 自身をアイコンをターゲットに
してる 例えばワンパスワードだったら ワンパスワードのエクステンション
と全く同じアイコンにして ポチッ と押したときに出てくるHTMLとか
挙動も全部コピーっていうのを C2経由でやるっていう感じ これで
何をしたいかっていうと 例えば ニュースケースとしては 今 ワンパス
ワンパス言いましたけど ワンパス じゃなくても何でもいいんですけど
例えばワンパスになりすましたん であれば 利用者が間違えて偽の
ワンパスのアイコンをポチッと 押したときに再認証が必要だよ
みたいなHTMLを描画して パスワード を入力させて C2経由で抜き取って
っていうことをするっていう まあ まあ まあ なかなか普通にシンプル
で これ目的を達成したら その 成りすましてた拡張機能のアイコン
をまた元のやつに戻してバレない ようにするっていうふうにやれば
バレる可能性低いよみたいなこと があるっていう感じですね
もし対策を取るんだとしたらっていう 話で言うと ユーザー目線の対策
が書いてなくて どっちかっていう とGoogle側にこうしてほしいみたいな
コメントレベルかなって感じなんですけど この拡張機能そんながっつり
詳しくないんで分かんないですけど 確かにって思ったんだけど インストール
された後に拡張機能自身が自分の HTMLとかアイコンとかをがっつり
変えられるって仕様をブロック したほうがいいんじゃないって
話とか もしくはブロックしない にしても 何かが変わってっていう
のをフックにしてユーザーに通知 をするみたいなことはしたほう
がいいんじゃないかっていうの を多分Googleに連絡取ってるのか
問い合わせてるのか分かんない けど そういうことはこう言って
されてるっていう感じですね 個人的には全然誠実しそうだなっていう
気持ちと こんな手のこんなこと しなくてもインストールさせれば
もっといろいろ抜けるんじゃない かという気もしたけど どうなんだろう
みたいな でもワンパスワードの マネージャーのパスワード抜けた
ほうがおいしいのかみたいなところ とか
おいしいと思うね 全然 結局 そう だね ワンパスワードが抜けた
ほうが全然おいしいんだろうね
また何かいろいろ この攻撃だったら 何だろうな ユーザーが付与する
権限もそこそこ少なく済むから 怪しまれずに済むとかもしかしたら
どうなのかな そんなの見てるとは 思わないけど
いや でも見てるとは思えない っていうのはそうなんだけど 確かに
そういう側面もあるかもしんない なとは思う
そうですね なんか拡張機能が夢が 広がっちゃうなって気持ちで読んで
ましたけど 確かにと思ったんで 取り上げてみたって感じですね
情報セキュリティの脅威
それ系 何かメモっといて追っかけて 本当に攻撃されたかどうか 前も
何かあったじゃん よく分かんない 前のやったら マジで理解できずに
終わったけど Chrome Extension あれも Chrome Extensionだったよな 確か
でもこれは流行ると思うな 感覚的に
楽だもんね 多分 仕掛けること自体は
楽だし取れたときのリターンが大きい ただ 実際のところ 多分このパターン
を使うのは 割と特定の会社とか 組織を狙い撃ちするパターンなん
じゃないかなと思っていて そうなんだよな めちゃくちゃいろんな
ところってそこかしこで見かける ようになるかというと ちょっと
違うかなという気もするんだよな
いや Chrome Extensionな
要はなぜかというと 個人ユーザー どうなんだろう まあでも他に経路
がなければ 個人ユーザー向けにも こういうのあんのかな 要はマネタイズ
に都合のいいサービスのパスワード がそこに入ってるとは限らない
っていう多分前提があって
でもそれで言うと 何週間か前に ちょろっと話題になってたけど
暗号通過系の秘密鍵をパスワード マネージャーで管理してますとか
そういう人を狙うとか全然ある 気がする
あるかもしんないね
だから企業を狙うっていう
あとは そうね っていうのも確かに あるかもしんないし 直接金銭狙う
っていうパターンも確かにある のかもしんないし あとは 何だっけ
闇オークションがあるよねって 話があったから 集めれば集めた
分だけそういうのでとりあえず 直接的にマネタイズするっていう
のはできたりするのかもしんない
そうだね 費用対効果値がいろいろ
自分が使わなくても集めれば売れる っていう
確かに いやあ 嫌だな 拡張機能な
どうきゃいいんだろうな 最近
そうね 結局 新しいのを入れる っていうのもそうだけど 入っている
ものがやられるっていうパターン も多分あるし
そうね 結構 なんかエコシステム 側としては 2 3種遅れてる感じが
するんだよな ブラウザ自体の機能 の進化とかと比べると 結構 まだ
まだ そういう意味では他のやつ がしっかりするにつれて もう少し
悪用されたりするかもしんない けど 今 無理ですね そうか 確かに
はい 理屈上は可能で 今後見かけ かどうか分からないですけど これ
に限らず気をつけたほうがいい ですね
じゃあ 次 貼り付けてるリンクは Security Nextの記事なんですけど 内容
としてはIPAが情報セキュリティ 重大脅威2025っていうのを先々週
ぐらい 5日に取り上げましたけど それの解説書が公開されました
っていう話ですね 結構 互流があって ちょっと時間がなくて 隅から隅
まできちんと読めてなくて 60ページ かな あるんですけど 前 ここで
話したときに これ何だろうねって 言ってた 知性学の部分だけちょっと
読んできましたっていうのと あとは ちょろっとコメント書いた
けど ランサメアの話とかも書いて るんですけど 構成としてはトップ
10のやつを一つ一つ丁寧に解説 していて どういう脅威かっていう
のと 具体的にどういう攻撃があった かっていうのと あと 結構いいな
と思ったのは 実際にあった事件 を企業名伏せずにちゃんとバー
って書いてあって リードスだったら 日本航空やられちゃったよねとか
ランサムは門川さんやられちゃいました よねとか そういうのが一個一個
書いてある 内部不正とかも割と 普通に書いてあったりして まあ
とりあえず伏せる意味はないから 僕はいいと思うんだけど 結構伏せる
なんていうか サイトとかもよく 見るっちゃ見るんで 生々しさが
あっていいんじゃないかなって 思って と また対策と対応みたいな
とこも細々と書いてある あとは 緩末に対策と対応にひも付ける
形で 具体的にこうした方 こうして いくといいみたいなのが結構こと
細かに書いてあって 個人的には ちょっと体力きたのかなって感じ
で ちょっと読みづらいというか ただ文字がバーって書いてあるん
で 少しカロリーがいる感じですけど でも書いてあることは全然おかしく
ないというか やるべきことだよねって思う とか あとはコラムで生成
AIの使い方 これ何か深夜テンション でこのタイトルつけたのかなと思
ったんだけど 生成AIの使い方 大丈夫そうっていうコラムがあって
これ何かIPAってこんなお茶目なの 知らんけど
知らんけど
これちょっと笑っちゃった あとはあれかな ドメインハイジャック
の話とか ドメインの収穫の部分 とかも書いてあって 何か割と大事
だよねみたいなところもいつつ って感じですね 本題の知性学の
部分に触れると 具体的に何ぞや って話なんですけど 結構想定被害者
みたいなところがスコープがかなり 前者関係あるかって言われると
そうじゃないかなって返しができて て 3つ書いてある というか2つか
2つ書いてあって 1つは攻撃者を支援 する国家にとって重要な情報を持つ
国内組織なんでしょうね 政府が 使ってるSaaSとかがあるんであれば
そういうのは多分大事だよねとか 改造的で聞くと申し訳ないですけど
そういうものとか あともう1つは 攻撃に成功したときの社会的な
インパクトが大きい組織や重要 インフラ 企業 これは実際ソルト
タイフンの名前が解説書の中では 触れられてたんですけど それは
情報通信インフラかとか 日本は あんま聞かないけどアメリカ
だとあれですよね 水道局やられました とかそういうのも多分全然スコープ
に入るようにとかだと思います 攻撃手法 じゃあ具体的にどういう
具体的な事例と対策
攻撃されるのみたいなところに 関しては正直僕らが受けるような
攻撃とそんなに変わんね なんか ランサムやとかDDoSとかそういう
ものなんだけど 1つ知性学ならでは かもなと思ったのは誹謗中傷デマ
みたいなものを留守するみたいな 攻撃が取り上げられてて それは
確かにちょっと何というか政治 触覚が強い話かなと思ったって感じ
ですね あと他に斜め読みした感じで 気になったのはさっきの生成
AIの使い方大丈夫そうのコラムの 中でその具体的な事案 悪用による
事案みたいなのが3つ取り上げられて て まあまあディープフェイクの話
とかAI使ってマルウェア作った みたいな話がありつつ そのハルシュネーション
で間違った情報を政府の 政府というか地方自治体がページ
に押しちゃったみたいな事例が 書いてあって なんか結構個人的には
このハルシュネーションとは本当に みんなちゃんと向き合ってるんだろう
かっていうのは気になっている ので これ取り上げてくれたのは
ちょっとよかったなっていうところ と あと緩末の対策なんは結構具体
的で ちょっと時間とって目通そう かなという感じですね そんな感じ
でございます なんかね
ちょっと時間とって読みたいな
ボリュームは多いんだけど よく 言えば年1回だし会社全員でこれ
読みたいなぐらいの気持ちには なる内容だったな 技術的な話も
あるけど やっぱり結構 そんなに ソフトエンジニアリングの知識
なくても読める内容には
それはなんか想定得者がさ
そうだね あと生々しい事件がまとま ってるのはすごいいいなって気
はする 個人的な話になっちゃう けど 社内にふわっと啓蒙したい
なっていう ふわっとセキュリティー の話を啓蒙したいなっていうの
をずっと漠然と思っていて ちょっと 緩めの勉強会で何回かやったり
したんだけど 何だろうな 実在の 事件と結びつけるの結構いいん
じゃないかというのを思っていて 手元にそういうDB欲しいなみたいな
のを思ってたりしたんだけど 日々 読んだ記事でこの攻撃でやられた
この事案みたいな感じでデータ 溜め込みたいなと思いつつ やられて
ないんですけど その気持ちでこの リポート読んだときにすごいちょうど
いい事件をちょうどいい感じに 取り上げてくれててめっちゃいい
なって思ったりしてるって感じ ですね 読みましょう 時間とって
はい
まあ 基本 掃除で基本的なこと やりましょうでしかないっちゃ
ないんだけど まあまあって感じ ですね
はい ありがとうございます
はい じゃあ次に行こうかしら 次は 次も私で
New AI-Powered Scam Detection Features to Help Protect You on Androidって言う
Googleのセキュリティブログの記事 ですね なんかここ最近ずっと紹介
アンドロイドの詐欺防止機能
してる気がするけど なんか何だろうな アップデートが続々と来てんのか
分かんないけど アンドロイド
なんか多分毎週似たような
そうだよね
紹介してる気がするね
内容読むとちゃんとちょっとずつ 違うというか 感じなんですけど
何シリーズかっていうと アンドロイド の詐欺防止シリーズですね 犯罪
防止シリーズなんですけど アンドロイド ユーザーを 詐欺の電話ですね
例えば金融財務担当者狙って振り込み してくださいみたいな詐欺とか
そういう分かりやすいとかそういう ものに対して それを検出する
機能っていうのが導入されたよ って話ですと 具体的に導入された
のがどこかっていうとメッセージング 多分SMSのメッセージングと通話
でその内容 中身を読み取って 詐欺 の疑いがありそうだったらブロック
したり検出してくれるっていう リアルタイムにそれをやってくる
っていう話ですね SMS以外もか MMSおよびRCAメッセージに対応って
書いてますね 内容を読み取っちゃう とプライバシーの問題があるんですけ
ど そこにも触れられていて これ自体 はMLモデルで判定をするんだけど
このMLモデルがローカルで完全に 動くようになってるので 読み取った
データをどっかに通信で送ったり っていうのはしないし 逐次きちんと
発揮してくる状態になってるんで プライバシーが安心だよって話
と あと 詐欺検出機能みたいな のは全通話に対してずっと動く
わけではないらしくて ロジック はよく分かんないけど 会話をある
程度見た上で 詐欺っぽいなって なったら 検出機能みたいなのが
動き始めて ブロックするかどう するかみたいな挙動をするらしい
っていう感じです 個人的にはどんどん やってくれって気持ちで 特にそれ
以上のコメントはないっちゃないん ですけど 結構 iPhoneのブログとかも
読みたいな 多分Apple側もいろいろ やってるだろうから 見たいんですけ
ど Androidを使う身としてはまた一歩 安心だなっていうところと 結構
人間狙う系は啓蒙に限界がある というか リテラシーが低い人に対して
詐欺電話 こういう詐欺電話あります みたいなのって もう届かない部分
がある中で デバイス側で防いで くれますっていうのは一つの正解
なんじゃないかなと思ったりも してるんで すごくポジティブに
受け取ってますっていう感じですね
静寂説と経営基盤
確かに 言われてみればApple側の こういう記事 見かけないね
多分 フィードリに入れてないから だけな気も
それはあるかもしれない 確かに 出してくれてるのかな 実際
Appleのセキュリティリサーチみたいな ブログがあるな ちょっと見てみよう
セキュリティリサーチだとちょっと R&D味があるのかな
そうね
ちょっとその辺を探してみるとして ねっという感じですね
ちょっと力入れてるところが違い そうな気もするけどな それで言うと
どうなんだろうね
データを守るみたいなイメージは 結構あるよな プライバシー
持ってるレイヤーの幅が違うじゃん AndroidとAppleだと
他にね 確かに それはそうかも
はい いやー
次お願いします
マジでiPhoneしか使ってないから 全然ピンときてないけど
まあいい時代になるといいですね 私が言いようがない
そうやな
ちなみに前 オンにしたよって言ったあの ひったくり防止機能
ひったくりだよね うん
たまにね 盗難防止のためにピンコード 入力してくださいって表示されるから
あら
まあ言わばご顕著ではあるんだけど でも確かに直近でちょっと激しく動いたりとか
なんだろうな まあまあまあ割と でもね 不便じゃないから個人的には満足してるわ
いい 絶妙なバランスなんで
全然普段使いには影響ないかなって 気持ちですね
はいはい
はい じゃあ次いきますか
静寂説で経営基盤を作る レイアイクスの横田さんの記事ですね
読んでくださいとしか言いようがないんだけれども いわゆるその正善説 正悪説に対して
静寂説 人は意思が弱いっていう 要は善悪じゃなくて
悪意がなくても どうしても誰もがミスをしたりとか
ちょっと怠ける心が出てきてしまったりとか そういうことが起こるよねっていう考え方で
なんか経営基盤を作るといいんじゃない みたいな記事を書いてくれてる
で 静寂説 個人的には初めて見た単語だったんだけど Googleでいくつか出てくるので
ここに3年ぐらいのトレンドなのかなとは ちょっと思うんだけど
なんか善悪対比だけでは補いきれないっていうか 整理しきれないところに結構効きそうだなというふうに思った
この静寂説というのを踏まえて ちょっとこの元記事のトピックとはちょっとずれるんだけれども
でも具体的な取り組みの例っていうのは 例えば二重チェックとか多重承認不動の導入とか
定期的なローテーションやジョブチェンジとか 要はこれ同じ業務を続けてると
傲慢や慢心によるケアレスミスとか 見落としが起こりやすいため役割を入れ替えたり
第三者の視点が入りやすい仕組みを構築するべきだと思う みたいな話とかを書いてくれてたりとか
ブラックボックスの排除をしないと 要はブラックボックスがあると静寂説との相性が良くないので
例えばボールを拾おうとしても拾いづらかったり 間違いに気づきにくいため
ブラックボックス排除しないとダメだよと そういうのを書いてくれているんだけれども
ことセキュリティというコンテキストにおいては割と 静寂説よりの静寂説に基づいたセキュリティみたいなのが
良い落とし所なのかなーみたいなのを ちょっと考えてました
あらゆる悪意を抑えに行くのはかなり難しいので 完全に静寂説によるっていうのは無理なんだけれども
外形的に明らかな悪意って存在するよねっていう意味で
純粋な静寂説っていうところからは ちょっと静寂説よりにシフトしてあげて
見るのがいいんじゃないかなーみたいな 明らかな悪意は捉えに行かないといけない
それ以外は割と人間って弱いよねっていう前提で 動くのがまあいいんじゃないかなっていう
確かにねー
結構僕はちょっとあんまり読めてなかったんで 話聞いてなるほどと思ったけど
いいねなんかセキュリティにかなり活かせそうという気がする
なんかこの静寂説って言葉を使うことで
きれいに
社内でたまにそういうフィードバックもらったわけじゃないけど
ちょっと困るのが教会型防御じゃないけど
例えばアカウントを突破するっていうのを一つの教会とか
ネットワークを突破するっていうのを一つを教会と捉えたときに
教会の内側の権限統制とか
何かが悪意を持って動いたとしても被害範囲を最小化するみたいな取り組みを
コツコツ2年間ずっとやってるんだけど
それをやっていく中でトレードオフみたいなのが発生するってなったときに
じゃあそのトレードオフをどう
例えばソフトエンジニアにめんどくさいですってフィードバックもらったときにどう説明するのかとか
ソフトエンジニアじゃなくてもいいんですけど
ってなったときに結構
たまに個人的に困ってたのは
個人的に困ってたのは誰かが内部不正したらこれってめちゃくちゃになっちゃいますよねって
僕の中の理屈はそうなんだけど
その言葉を使ってコミュニケーションすることの
強さにちょっと違和感があるというか
ロジックとしては正しいんだけど
受け手側としては
想像がつかないというか
表現はたぶんしにくいんだけど
めちゃくちゃわかる部分はあって
その例はわりと
ある種の誓約説に
根差した
話なのかなと思ったんだけど
説明がつけられない部分が一定あると思っていて
そこに対して
そうは言っても人ってミスするじゃないですか
そうね
ちょっと間が差すことってあるじゃないですか
っていう話
私なんか
コミュニケーションツールとして
使える部分もあるのかなって気はするんだよね
なんか今話した例とかも
みんな別にちゃんと真面目にやると思ってますけど
とか使えたときにこうなっちゃう
こういうことが起きたらリスクですよねとか
そういう語り口は全然できるなって気はするし
なんか結構そうだね
セキュリティの教科書が脳内に
インプットされてない人
インプットされるべきと思ってないですっていう
エクスキューズがありつつ
インプットされてない人とコミュニケーションを取ることがすごく多い中で
この概念を導入すると結構いろいろ
腹落ちしてもらいやすいんじゃないかという気がした
から来週から試してみよう
謎の宣言ですけど
この言葉知らなかった
面白いですねちょっと記事
話聞けないからさらっと読んだけど
人間なんだよね仕事してんのは
ほんとに
経営メンバーがこれを思ってくれるのはすごくいいね
パズルじゃない
ブロックじゃないじゃないですか僕らっていうのは
そうね
こういうソフトな部分ね
考えていかなきゃという気がしつつ
ありがとうございます
クラインの動作原理
はい
で
次が
次お願いします
クラインに全部かける前に
クラインの動作原理を深掘り
クラインに全部かける前にの
アンサーソングでは全然
ないかなと思うんですけど
まみずさんの記事
からのところ
っていうところですけど
全能
でもテックブログですね
コードチャオなのかな
読み方間違えてたらめっちゃ申し訳ないですけど
テックブログ
調べよう
内容としては
なんでしょうね
全部かける前にっていうタイトル的に
クラインに全部かけないほうがいいって
話では全然なくて
クラインにしっかり
エージェント系のAIとか
SAIをきちんと使いこなしていかないと
コーディング
っていう領域において競争力
の面で大きく
遅れをとるよっていう話
があるけど
あるので使っていくことは
使っていくべきだよねっていうスタンスを
まず最初にきちんとっていて
ただとはいえクラインに全部かけろの記事
で触れられてたパンドラの箱みたいな部分
とか
なんでしょうね
いろんな部分を
に対して向き合う上できちんとそもそも
動作元どういうふうに動いてるんだっけみたいな部分を
きちんと理解することで
リスクの部分の解像度が
上がったりとかきちんともっと
使いこなすっていう部分に関して
アドバンテージが取れるはず
っていうような感じです
内部構造自体は
細かく話すと
長くなるんでぜひ読んでみてください
って感じなんですけど
僕は恥ずかしながら本当に何も実態してなかったので
かなり勉強になりますって感じだったんですけど
クライン自体は
内部的には
何者かっていうと
エディターについての拡張機能
であって
なんでAIエジェント的な動きをするのか
っていうと裏側では
選択できるんですよね
ChatGPのモデルなのかCloudなのか選択できるんだけど
設定したモデルに対して
あらかじめいい感じのプロンプト
っていうのを
クライン側でバーっと実装されていて
プラス
例えばファイル編集をするとか
コマンドを叩くみたいな
文章のやりとりでは
実現できない
実際のオペレーションみたいな部分と
そのプロンプトに対する
返信みたいなところをつなぎ込む部分が
仕組みとして動いてる
っていう感じです
その辺が細かく書いてあって
ちょっと個人的に
責任観点で
なんていうか
知っておくべきだなって
思ったところとしては
裏側の仕組みで
システムプロンプト
っていう言葉で
語られてるけど
さっき言ったファイル編集とか
コマンド叩くみたいなやつは
裏側では内部的なコマンドとして
いくつか定義されてて
その表が
記事の途中で書いてあるんですけど
今コマンド実行もそうだし
ファイル操作
ファイルとかコードの探索とか
ブラウザ操作とかも入ったりとか
ユーザー対話とか
いろいろあるんですけど
Clineへの賭け
内部的にはこれを多分機械的に叩いてる
だけっちゃだけなんだけど
逆に言えば
これが全権を渡したときに
クラインが取り得る権限の
最大幅ってことになるはず
なんで
なんていうかちょっと僕目線は
何者なのかっていうのが
だいぶクリアになったなっていう
があったり
そうね
でまあ
とはいえ広いのは広いんですけど
あとは
それに対していろいろ制御する
仕組みとかは
あるっちゃあるんで
そういう部分をきちんと認識した上で
渡す部分は渡す
渡すべきじゃない部分は慎重にやるみたいな
ことを
やっていくといいんじゃないかみたいなことが書いてある
って感じですね
最後のほうにちょろっと触れてるんですけど
パンドラの箱にならないように
初期段階ではちょっとずつ
いろんなことやってもらって
どういう挙動をするんだっけっていうのを理解した上で
少しずつ
信頼できるようになったら渡しましょうみたいなことが書いてあったり
って感じかな
タイガーチームの紹介
あとはとはいえ機能面で
水口さんも触れてましたけど
サンドボックス的な環境がないから
原理上は何でもできるみたいな部分は
やっぱどうしようも
今は残ってるんで
その辺の期待みたいなところはちょっと
頑張ってほしいよねみたいな
感じが
個人的にありつつってことですね
はい
なんか結構
シンプルに勉強になりましたって
気持ちと
その
ある種の内省ではあるんですけど
セキュリティの立場として
いろんなものをみんなが使いたいとか
自分も使っていきたいとか
あとは事業で使っていきたい
みたいになったときに
ラグの話とかでちょこちょこ分かんないって
言っちゃってるけど
完全に理解した状態ぐらいまで
やっぱ行かないと
正しく評価をする
スタートラインに立てないなっていうのを
記事を読んで思ったんで
もうちょっと勉強するかって
気持ちになったって感じですね
ここまで
説明入ってくると
ちょっと僕らも
動けるイメージが
あるじゃないですか
じゃあここでこういうことしようね
みたいな話があるけど
話しかけるといい感じにローカル環境
いじるみたいな解像度だと
どうしてもちょっと
進むのが広がりすぎてしまう
気がするんで
勉強させてもらいましたって感じですね
あとはこれからも勉強します
って気持ちになったって感じです
なるほどな
いやいい記事だな
すごくね
すごく分かりやすい
素人にも分かりやすい
せいせい合い
素人エンジニア
難しいよ
なんかもうものすごく
ブラックボックス感があって
そうね
でもその
渡してる手足みたいな部分は
ブラックボックスじゃない
じゃん
手足をどう使うかっていう部分が
ブラックボックスなんだけど
手足が
僕の感覚としては手足が見えたんで
手足が見えれば
その手足をどう
不便じゃない範囲で縛るかみたいな
そういうのができるかなっていう気はする
その手足がどんどん増えてくることは
間違いない気はしてるから
そこはまあちょっと
悩ましい
今だと悩ましいなとは思うけど
そうですね
はい
そんな感じです
ありがとうございます
次が
タイガーチームとは何か
高機動力チームの実践という
フリーさんの
記事ですね
ちょっとサマリーも
メモも何も作ってないんですが
フリーで実践している
タイガーチームという特殊な組織体制について
立ち上げから
運営までの
知見を共有しますよという趣旨の
記事です
こんなタイガーチームという
そのチームの
名称が
定義されてたっていうのが個人的には
面白かったんだけれども
経験豊富で創造的な技術
専門家による問題解決に
特化したチームを指しているよと
当初は宇宙船の品質保証のために
結成されたらしい
NASAのエンジニアさんが
何か定義したらしいんですよと
この概念が
わりと広がっていって
いろんなところで
知られるようになったよと
わりと1970年の
アポロ13号の事故対応が
タイガーチームの代表的な成功事例として
知られているそうです
結構多分
わちゃわちゃやって月から帰ってきたみたいな
そういう感じだったんだよね
すっげえ適当だけど
そういうことにしよう
フリーのタイガーチームには
以下のような特徴がありますよというので
挙げられているのが変化への
対応を主なミッションとする
常設チームで特定の部署に縛られず
組織の垣根を超えて
重要課題に取り組める
優先順位の課題変更に応じて
柔軟に方向転換できる機動力を持つ
こういうチームを
作りましたよというお話です
どうしてそれが
必要になったのみたいな背景とかは
書いてくれていて
立ち上げ当初は
3名だったらしい
CPOとCTOと
エンジニア1人という形で
やってたらしくって
なんか割とテーマ選定をしたりとか
いろんなことをしつつ
動いてるよっていう
お話です
これってなんか
Mixiのさ
単語グループだっけ
あったね
そういう
あったねというかあるね
タンポポ
タンポポチームだったのか
タンポポグループだったよね
刺身にタンポポ乗せる
そういう由来なんだ
知らんかった
っていうのも近いのかな
って思ったのと
割となんかこれの
セキュリティ領域で
そういう動きをしたいなって思って
私が箱を
作ってもらって
メルカリで動いてたチームが
ディフェンスフォースっていう
チームなんですが
まあ
なんか
自分でも経験
近そうなものを経験している
身としてはうまくいってほしいな
っていう
そういう定義があったんだっていう風に
結構勉強になった反面
うまくいってほしいな
と思う部分もあって
なんかちょっと
今後が気になるな
という感じでございます
チーム運営の課題
なんか
単純に難しいと思ってるってことだよね
難しいと思ってる
難易度が高い
どこまでをさ
どこまでを
なんか
線引きは難しいよね
間違いなく
責務としてどこまで持つのかなっていうのは
ちょっと気になっていて
うん
なんかその
いやーそうね
そうそうそう
プロジェクトからの離脱において
適切に離脱する力っていうのが
求められるよっていう風に書いてくれていて
プロジェクトから離脱するにあたって
既存チームが実装できる
体制を整えるっていうのが重要だよね
みたいなことを書いてくれたりしてる
だからあくまで既存チーム
があることを
前提として
いい話なのかな
うーん
だからそれで言うと私がやってたのは
既存チームが
落とすボールを拾おうよっていうのが
わりと目的だったので
ちょっと違うっちゃ違うのか
うーん
結構タスクの安定供給みたいなところに
すごく難があると思っていて
こういうチームって
うーん
まあでもフリーさんぐらいでかいと
ネタはつきない気はするけどね
あとは広くね
特にその
ジャンル問わずやるみたいな動きをしようとすると
いくらか
供給自体はわりとできるのかな
うーん
なんか
すごい空中戦みたいな
発言になってしまうかもしれないけど
なんかプラットフォームチーム
プラットフォーム的なアプローチで
取り組むには
ちょっと一家制のものとか
その
なんだろうな
スペシフィックスというかその範囲が
スコップがそこまでめっちゃ広くない
ものではあるんだけど
でも単一チームではなんか
完結しきるのが難しかったり
もしかすると
フリーさんぐらいでかいと
なんだろうな
全員がプリンシパルエンジニアって世界では
ないと思っていて
そんな企業はないじゃないですか
一定の規模を超えたら
そのチームに足りないパーツが
必要みたいなパターンとか
ある気がしていて
その穴をどう埋めるのみたいな
ところに対しての回答の一つとしては
結構個人的には興味深いなと思っていて
なんか自分の経験上は
なんていうか
そのなんだろうな
間のボール披露マンというか
その
頼んだら何でも解決するマンとか
なんかいろんな適当な
僕が今赤字で考えた名称がありますけど
なんかそういう人が何人か
いい会社には何人かいて
そういう人に実態として
頼って回ってるというか
ある意味ちょっと俗人的な
回し方をしていて
それを別に
悪いこととはしてないんじゃないけど
なんかそういう
会社っていっぱいあるんじゃないかな
と思っていて
それに名前を付けて組織化して
型にするっていうのは結構
それだけで一つ価値になりそう
なんじゃないかという
すごくざっくりの肌感を持っては
いるものの
って感じかな
同じく一年後にどうなっているのかとか
すごい気になるし
そうなんだよね
舞台にどういうことやったとかも
気になる部分でもあるし
そうね
なんか
セキュリティ面で言うと
難しいな
タイガーチームにセキュリティチームが
やりたい
さっき言ったみたいな竜像の球を拾ってほしいな
わかんないけど
難しいな
って思って
ディフェンスフォースっていうチームを
作ったんだけど
なんか
そうなんだよね
難しかった
まあ
難しかった
なんか
難しかったね
そうだね
なんかタスクの供給がって言ったんだけど
要はバックログを作れないんだよね
そもそも
なんていうか
そうなんだよな
いろんなチームに入り込んでいくほど
なんか開かれていなかった
っていうのも多分あるし
あと言って
1チームで動けるリュウド
の
課題って
割と限られるし
みたいなところのジレンマで
割と詰まっちゃったな
だからもうそもそも他のチームに
入り込んでいく前提で組んでいけば
またちょっと違ったのかもしれない
けれどもなんか
タイガチームはおそらく多分
タイガチームというか
そういうタイガチームはその意図だよね
そうだね
かなりがっつりエネブリングして
自立させて
次の戦地
戦地へ向かうというか
うーん
そうね
いやーその辺
まあでも課題にもよるだろうし
そのテーマにもよるだろうしね
毎回毎回そのスタイルが
いやー
だからなんか1年後の発表
Clineと鈴木聖の話
お待ちしてます
いやなんか具体
のやつが
知りたいよな
自分の会社のやつだったら
例えばこういう球とか
出てくるんだけど
まああんま大っぴらに話せないものも
あるだろう
とか
いや
いやーでも
そうだねまた規模感とかもあるしな
一定規模になってくると思う
いやー4人ですか
今は
いやーフリーいいな
いろいろチャレンジをしていて
うーん
組織だなと思います
そんなとこですか
はい
ありがとうございます
今日
なんか短いねって言おうとしたけどそんなことなかった
いつも通りの時間
1時間半ぐらいですか
そうねうんなんやかんやいつも通り
今週はちょっと落ち着いてたかな
来週か再来週にすごい
なんか5時間話しそうな
記事があった気がする
怖い
震えて震えて眠れ
あのヤギ足が好きなコニゴハズさんの素晴らしい
スライドの話を僕はしたいなと思ったよ
あー
なんだっけ戦時間のマネージブ
の話
よかった
名作だわ
あーそうだ鈴木聖さんの
登壇記事もねめちゃくちゃ
相談されてもよかった
まあいいそのネタバレやめよう
日曜日に
鈴木聖でもネタが揃い切ってるから
あー
そういうと次は火曜日ですけど
まあまあ引き続きやりましょう
3日後
3日後までに
僕は喉を直しヤギ足は寝不足を直してください
はい
えーと
うーん
そうね
はい
はい
あーごめんもう来週の記事を見てそう
いや結構確かになんかつぶやりだな
うん
そんなんよ
そう思う
はいじゃあそんな感じで
今週もありがとうございます
また来週も楽しみに
ありがとうございました
おやすみなさい
