PayPalのフィッシングリスク
こんばんは、Replay.fm 第24回です。
こんばんは。
こんばんはっす。
いやー。
よし、今日は1回。
気にしてた。
今日は1回だったね。
実績作ってこう。
実績作って、そうね。
またチクチク言われるから。
チクチク言われるから。
コメントとかされちゃうから。
今日は2回でしたね。
ファンがね、数えてくれるからいつか。
怖いよ。
でもさ、高校の時にさ、なんかねーっていうのが口癖の数学もやってくれて。
はいはいはい。
なんか、友達が数えてたわ。
授業中になんかいねーって。
全く同じことやってたわ。
で、なんか笑いこらえきれなくて怒られたわ。
ノリ笑ってんな。
めっちゃ怖い社会のセンス。
いや、数えたくなっちゃうんだよな。
あまりに言われると。
塗るってやりますか。
やりましょう。
今日もたくさん。
まぁでも、もちもちかな。
うん、そこそこだね。
じゃあ1個目から早速お願いします。
Beware PayPal new address feature appears to send phishing emails っていう記事です。
なんか、PayPalの新しい住所っていう機能が採用されて、
フィッシングメールが送られるよっていう事案が起きたらしいです。
うん。
うん、です。
なんか、ちょっといまいち手法がようわからんかったんだけど。
正直。
これは要は自分のアカウントに新しい住所を追加したことを、
多分特定のメールに通知できるっていう話なんだよね。
あー、そうね。
で、その通知先が攻撃対象とした人たちを勝手に多分入れたメール数にすることで、
PayPalから届いたように見える。
あー、そっかそっかそっか、メール数だったね。
メール数だったから別に自分のアカウント登録できるんだ。
そう。
で、あとは住所の文字数、新住所の文字数の設定がないから、
その新住所に詐欺メッセージ的なものをいい感じにカスタマイズすることで、
メール文面もなんかいい感じにできてしまうっていうのが確か元気だった。
そういうことか。
ちょっと待って、なんで俺そこよく分かってなかったんだろう。
結構ね、一番最後の方にちょろっと書いてあって、ここかな。
50キャラクターセーフなのですか。
そう、50文字とかでも遅れちゃうから。
はいはいはい。
ちょっと具体的にメールのどの部分がそれによってカスタマイズできてしまうかはちょっとあれだけど。
あーでもここか。ここだろうね。
そうだね。アドレスアップデートの下が全部そうなんだ。
なるほどね。はいはいはい。
なんか全然あんまり理解してなかったけど、なるほど。完全に理解したわ。
これ難しいよ、最初ってなって。
いまだに正直めっちゃ正しく理解できてるから、ちょっと実際は動かしたいなと思ってるんだけど。
そんな感じの構成。
セキュリティ・バイ・デザイン
だからメール室だから別にメール転送とかではないの?
そうですね。
そうだね。
だからメール室に勝手に追加できるっていうのがあんまりそれで言うとちょっとそうなのかよく分かってないんだけど。
メール室に勝手に追加したらまあできるでしょう。
できるか。まあまあできるか。そうだね。
GoogleグループとかMSもあんのかな、そういうのが。
なるほどな。
おもろいよね、これ。
おもろい。いやでもさ、これ難しいよ。
むずいね。
住所、だって何文字。
日本で一番長い住所って何文字なんだろうね。
考えたことなかったね。
一番長い住所。
日本一長い地名。
京都府京都市上京区知恵高院通り。
まあでもあれだね、100文字とかいかないだろうね、こんな感じだったら。
本当にそれが一番長い。なんか今俺のとこで別のやつ出てきたんだけど。
愛知県天群鳥島村大鷲鳥島神殿鷲竹の郷よたれ南の割。
なるほどね、結構長いね。
これで何文字?
これでも日本じゃないのか。
確かにね。
まあでもさ、いやまあどうなんだろうね。
スペースを消して。
カウントしてくれてる。
ドットレングス。37文字。
まあでも、いやどうなんだろうね。
英語圏の方が長い住所ありそうだけどね。
なんかコメントに書いたんだけど、その、まあこの件が、まあ住所文字数減らしてたらかまされるのかちょっとさておき、こういうなんか、いやすごい地味なんだけど、なんだろうな、文字数制限とか割りでしょんってコツコツやったほうがいいよなって気持ちに改めてなったというか。
そうね。
なんかその、会社でさ、アクセス制御不備みたいなのをひたすら探す回っていうのをコツコツやってるんですけど、アクセス制御不備はそんなに滅多に見つからないんだけど、なんかね、気になるリクエストパラメーターの処理みたいなのすごいあって、なんかこれなんか多分文字数制限ないなみたいな。
だから引っかかるとしたら、その内部的に使ってるクライアントSDKとか、
か、ウェブサーバーのリクエストサイズ。
そうそうそうそう。
だからデータベースの側のリミットとかまではいけちゃうとか、郵便番号なんか多分番号以外はいけそうだなとか、例えばなんだけど。
でもなんかそれだけで悪用できるわけじゃない。
だけど、なんかとつなげたときに、ま、化けられる可能性はゼロじゃないし、その、別に機能としても必要ないんじゃない。
あー、そうね、うんうん。
っていう。
言及しにくいな。
例えばこういうのがあるよねって言っても、なんか実際刺さりそうな気がして。
具体例を全く出せない、そのもどかしさがあるんだけど、まああるよね。
うん、あるある。
なんかセキュアバイデザインっていう本があって、それがね、その話についてすごい書いてあって、僕はそれにすごい賛成というか。
まさに同じような話が書いてあって、そのセキュリティのために開発をするってすごい難しいけど、
じゃあなんかできちゃいけないことをその機能の本質を考えて制限することって別に誰でも、誰でもは言い過ぎだけど、ソフトエンジニアの立場でもできますよねって話が書いてあって、
だから住所だったらわかんない。
だから日本だったらアルファフェット入んのかなとか、でも記号はこれしか入んないよねとか、文字数も200文字にはなんないよねとかそういうのをじゃあ、
そういう、まあ言語によりますけど、なんか型みたいなの作って政府にしましょうとか、そのデザインでソウルが起きないようにしましょうとか、
それやっていくと防げるものもあるよねってなって、で、今言及しづらいって言ってたものがその本に1個例があったんで、
これは僕でもヤギ足の会社でもなかった話として普通に話せる例としては、
実その本でも多分会社名とか濁されてたんで、多分シナリオちょっと特定できないように書いてあるんだけど、
そのなんかのインシーサイトで在庫数をゼロにマイナスにできちゃうみたいな仕様があって、
それといろいろ組み合わせると、なんか返品とか組み合わせると、そのただで無限に本買えるっていう頂点になっちゃってて、
で、気づいた時にはめちゃくちゃ損失が出てたみたいな、
でもこれってじゃあカート数マイナスになんないじゃんみたいなのを一番最初に設計しとけば防げたよねみたいな、
それをなんかセキュリティーイシューとして捉えて、じゃあなんかそういう悪さができないようにデザインしようって考えると、
多分ソフトエンジニア目線はちょっと手のつけとこうが難しいというかさ、
セキュリティレビュー投げるとかそうなるけど、でもいやそうじゃなくてそもそも前段としてみたいな話があるっていう。
そうだね、まあここのビジネスロジックみたいな部分、めちゃあるあるなんだよな、めちゃあるあるなんだけど。
まあ言い親しではあるって部分もあると思うけど。
なんか結構その、なんか今までのいわゆるその、なんかセキュリティテストの自動化みたいな文脈においてそれって結構難しかったなと思っていて、
なぜかというと機械はパラメーターの意味を解釈できないっていう前提があったので難しいなと思ってたんだけど、
なんか生成Iでその辺が良くなるんじゃないかなとはちょっと期待してて。
確かにね。
要はこれってなんていうか、使用上そのマイナスの数を取り得ないのにここマイナスの数を取り得る状態になってますよねみたいな話とかで、
多分LLMが来た今ならできるんじゃないかなって。
確かに。
そこはかなり期待してる部分ではある。
あとは人間がやるとしても同じ話だけど、特に多分ことLLMにおいては、
じゃあそのパラメーターの意味付けみたいなのをちゃんとメンテしとかないとそれができないねって話はあるかもね。
いやでもさ、なんかすごい、めっちゃドライに言うとさ、なんか仕様の問題じゃない?
仕様の問題っていうのは。
要はテストの項目にさ、全然落とし込めそうじゃない?
それはそう。それは本当にそう。
開発の改善点
それは本当にそう。
なんか境界値テスト的な、ちょっとわからんけど。
でも境界値テストだよな。最小値最大値だからそうだよね。
最初最大とかはそうだし、また異常系でこの文字入っちゃいけないとかこういう方法は全くいけないとか。
確かにね。
ゼロは取り得るよねとか、でもゼロだったらカートカラーは消えてなきゃいけないよねみたいな話とか。
ゼロが取り得るとして、じゃあゼロの1個したらマイナス1はテストしないといけないねとか。
なんかだから、いやー。
確かにね。
難しいよな。
まあまあまあでもその当たり前をどんだけの人ができてるっていう話になったときに、
まあまあまあまあそうだよね難しいよねっていうのは全然わかるんだけどさ。
そんな特別なものじゃないよねと思うんだよね。
そうだね。なんかそのやればできることだと思うんだよね普通に。
ゆえにちょっともったいないというか。
惜しいよね。
惜しい。
でもなんかやっぱり地続きなんだなって思うんだよな。
そのなんていうか他の領域とセキュリティというものが常に地続きであって、
なんかそんな特別なものじゃないよね。
そうだね。
まあ言うはやすしなんだけれども。
地続きであることをなんかその学ぶ機会がもっとあるといいのかなって、
一ソフトエンジニアの目線としては思うから。
その。
そうね。
やっぱなんか、だからそういう意味ではこれはいい教材になり得ると思ってて。
わからない。
いやそんなこと言わないと思うけど、
セキュリティチームから住所500文字とかいけちゃいますよねっていう危ないんで、
50何か文字数考えてって言った時に、
なんていうか、
まあでも別にいたずら以外使えないしなみたいな気持ちで、
その優先度下げるとかも絶対あると思うんですよ。
その地続きであることをきちんと、
なんかちょっとでも思い出せないとっていう部分あるからなんか。
まあでもなんかガードレール的にさ、
まあちょっとこれも、
ケースバイケースでやれるやりないがめちゃくちゃ変わってくると思うけど、
そもそもストリングで受け取るパラメーターの上限を100文字に絞っておくとかできるよね。
確かにね、そういうのはいいかもね。
デフォルト100文字になってるとかさ。
何もしなければ100文字しか受け取れないとかを確認できるって言って。
フレームワーク的なものが中にあって、
その薄いラッパーみたいなのが途中にあるみたいな限定に立たないとこれが成立しないので、
かなりやれるケースやれないケースがあると思うんだけど、
なんかセキュアバイデザインみたいなのって多分そういうことだ。
セキュアバイデザイン、セキュアバイデフォルトみたいなのって多分そういうことだと思っていて。
地律もではあるんだけど。
そうだね、確かに。
いい子。
まあ、あってしかるべき網かもね。
なんかそうだね。
それによって仕様を満たせないときに初めて外すみたいな、
そういう回路になってると結構ウィンウィンなんだよな。
確かに。
面白い。
なんかそういうのがやれるといいよね。
なんか生産的だしさ。
そうだね。
気をつけてください。
レバレッジも効くしさ。
なかなか限界がね。
自然とそういういい方向に行くような仕掛けとか仕組みとかメカニズムみたいなのを作っていかないと。
でもさっき言った通り、LLMで大部分解決する可能性があると思っていて、
個人的にはかなり期待したいところかな、そこは。
私。
開発現場のAIの影響
いや、絶対できると思うんだよな。
ただ結構どうなんだろうね。
複数ファイルに分割されている行動を1個のシステムとしてみなして、
ここで入ったものがここに渡されてみたいなところまで回収できるのかな。
今はどっちかっていうと。
実質的に実行系を内包してるようなそのLLMじゃないと無理だよな。
それこそ先週話したか忘れたけど、弊社Devinとらやるっていうんですけど、
Devinとかは実行とかもできるんだけど、
どっちかっていうと今はお金の方が問題になるかもね。
コードベースサイズ次第で全部読んだらもうトークン使い切っちゃったとか、全然。
どうなの、リールはそんなのかな。
でもそっちの方がボトルネック、今はなるのかな。
コードベースをラグにできたりしないのかな。
どうなんでしょう、専門家に聞くと。
でもちょっと難しいよな、多分。
代わりつつ、でもある意味どうなんだろうね、どうなんだろう。
ラグ生成自体はトークンの消費とか別にないわけだからさ。
常にマスター、メインブランチのものをこう。
メインブランチは足りねえんだな。
そうだね。
普通に足りないけど、でもないより全然マシだな。
メインブランチに対して別にチェック開けておけばいいだけっていうのは全然ありだし。
ペロットとかだったらすぐ試せるかもね。
ギター上のUIでチャットでちょちょって言えるから。
このエンドポイントのこのパラメータ、
このエンドポイントのリクエストパラメータに対して
変な処理してないか教えてみたいな。
全部テキストになってないとLAMに渡しにくいよねみたいな話が最近あるけど、
テスタブルなコードを書きましょうの意味合いが変わってくる可能性があるよね。
あると思う。
AIが解釈しやすい、AIがレビューしやすいコードを書きましょうみたいな話になっていく可能性は全然ありそうだな。
でもそれが必ずしも人間が読みやすいとは限らないのかな。
どうなんでしょう。またAIが書いちゃう世界になりつつあったりもするからね、そもそも。
なんかさ、Goとかだったらさ、ビルドしたバイナリーを読ませた方が早かったりせんのかな。
あーどうなんだろう。そう、あー面白いね、やってみてほしいな。
JSとかもさ、ワンチャンそうじゃない?
そうだね、機械を。
まあ原理上は読めそう。
単一ファイルにするか、2、3個のファイルにして、
HTMLとJSファイル3つぐらいを渡すみたいな感じしたりとか。
JSバンドラーがここで、いやーでも読めないと思うなさすがに。どうなんだろう。
でも理屈上はさ、全部そこに、全情報がそこに含まれていて、
どういう実行がされるかっていうのもまあわかるっていう状態がそれによって整うから。
だからGoのバイナリーとかだと今度はソースマップ的なものがなくて困るんでね。
JSはソースマップ使えるからいいかもしれないけど。
要はレビューをするときに何をどう指摘したらいいのかわからん問題が多分出てくるので。
確かに確かに。
だからミニファイしただけのなんかファイルで渡すとかをしないといけないのかな、もしかしたら。
でもまあそれでも結構むずいよな。
まあソースマップを見てもらうしかないんだろうね。
そうだね。
いやーでも結構なんかそっちの方が有力な気がするな。
早そう、到達が。
そうだね、うん。
うん。
なんか理屈上はもうできそうだもんね。
理屈上は。
だからまあでもなんか2、3ヶ月経ったら事例出てきそうだけど。
ね。
いやちょっと動きが早すぎて。
なんかちょっとなんかとりあえず今のデビューみたいなのが無料で使えるようになったら起こしてくれっていう気持ちで今いる。
それで言うとね、完全無料じゃないけど。
オープンハンズ。
オープンなんだ。
オープンハンズ。
かな、そう。
無料版で言うと。
OSS版ね。
セルフホスティングの。
ただ裏のそのLLMのモデルがさ、有料で。
そうだね。
フロードのソネとかなんか多分推奨してて。
それをね、自分で契約しないといけない。
あとスラックにエージェントがいないとかなんか色々。
あーそうね。
まだない機能が結構いらっしゃって。
うん。
多分同じ記事読んでるわ。
あー。
いや、まあ、はい。
まあ地味だけど、うん。
すんげー腹したね。
うん。
たかだ、たかだこれ。
このペースターと朝まで生討論。
いやいいんですよ、全然。
まあまあまあね。
手加減せずに行こう。
はい。
まあちょっとだいぶ話が広がったけど。
まあこんだけの記事からでもこんだけ広げられるので、いい話ですねということで。
Microsoftの位置情報機能廃止
開発メタやっぱ尽きないね、なんていうか。
うん。
じゃあ次行きますか。
はい、Microsoft to remove the location history feature in Windowsっていう記事です。
えーとちょっとごめんなさい、これタイトルしか読んでないんですけど。
あの以前、なんか多分位置情報の履歴。
あれこれ位置情報の履歴だっけ。
違うよね。
えっと以前はスクリーンショットとかだね。
そうだよね。
だからちょっと。
なに。
そうだよね、画面とかの操作の履歴みたいな話だったね、確かに。
全然勘違いしてたわ。
それがなくなったんだなーって話だと思ったんだけど、全然違うね。
うん。
なんかね。
失礼しました。
一応目通したんで言うと。
まあでもね、タイトルの通りではあると思う。
そのMicrosoftの、そうだね、位置情報。
位置情報を、もともと位置情報をローカルに記録する機能があって、Cortanaが。
でそのためのAPIがあったっぽいんだよね、内部的なの。
それ使うと位置情報取れて、それでコツコツローカルに溜めていくっていうの。
挙動がなくなるって感じかな。
でAPIも廃止されるし、今まで溜めてきたデータも消える。
そのオプトアートみたいな設定画面もあるんだけど、その設定画面自体も消えるらしいって感じかな。
でまあでも、いやなんかでも、ちょっとよくわかんなかったな。
移行先があるみたいなサマリーは書いてるけど、サマリーちょっと嘘ついてる気がするから、これは後で直しておこうかな。
そうですね、オプトアート完全にされるって感じかな。
まあ時代っぽいっていうか、いろいろ反発が、フィードバックがあったんですかねって感じですね。
Appleのプライバシー問題
続きって感じでサクッとですね。
いやー、プライバシー経由というかもう一個。
あ、これじゃないか。
すぐに来てるね。
これだ、これね、話したかったんですよ。
Apple Drops iCloud Advanced Data Protection in the UK Amid Encryption Backed Remarks
はい、どうぞ。
タイトルだけ?いいっすよ、じゃあ読みます。
タイトルだけ。
内容としては、UK、イギリスで、これなんかリーク記事っぽくて公式発表じゃないっていうのがまず一つあって、
なるほど。
で、ちょっとね、若干ズル、意図せずズルしてるんですけど、他のポッドキャストで全く同じ記事を取り上げて、
しかもめちゃくちゃいろんな情報を保管してくれてたんで、そこからのインプットもちょっと話しちゃうと、
もともとそもそも英国にイギリスの法律で、事業者とかに対して言ってる対策の文脈で、データの開示を要求したときに開示を受けなければならないっていう法律があって、
この法律自体はもともとプライバシー文脈で結構各種これ反発があったらしいんですけど、その法律があって、
この法律をもとにAppleに対して開示請求っていうか、この文脈で言うとこのいついいの機能がAppleのiPhoneにあるんですけど、
それに対してバックドアを設置しろっていう要求があったんじゃないかっていうリーク。
で、なんでリークかっていうと、この法律自体はこの英国政府からそういうリクエストを受けたっていうのを言っちゃいけないっていう決まりがあるらしい。
から、今後もAppleから多分こういうのをもらったけどこういうふうに対応したよって言われる、発表することはできないっていうような状態なんでリークになりますと。
で、これあともう一つなんかやばいのが僕はちょっと勘違いしてたんですけど、問題なのはこの法律で請求できるデータ開示のスコープが結構問題で、
このデータ開示の範囲はイギリス国民だけじゃなくて全世界のデータを開示するように請求できちゃうっていう法律になっているので、
なんでこのリークが本当なんであればイギリスがAppleに要求してることは、
Apple、iPhone使ってるあらゆるユーザーの全世界、イギリス国民に限らず全世界のAppleを使ってるユーザーのE2Eのデータに対してアクセスできるようなバックドアを設置しろって要求してることになるので、
結構なんていうか、マジでっていう感じの話ですね。
だいぶ困っちゃうね。
そう。で、記事にも書いてあるけど、米国から反発が当然ありますよとか、
あとは、これもちょっと聞いた話というかインプットした話をそのままアウトプットしちゃいますけど、
これなんか要求されたことを開示できない、もしくはバックドアを設けたことも多分言えないってことになるんで、
Appleは多分スタンス的にやんないだろうけど、保管事業者が要求されてそれを飲んだかどうかっていうのは実は僕らには全くわかんないんで。
そうだね。ノートウメイセイだね。
GDPRの透明性ガイドラインとかに普通に反しそうだけどな、それ。
イギリスだからセーフなのか、それ言うと。EU入ってないでしょ。
EUは入ってないけど、GDPR相当のものを多分イギリスは採用しているはずで。
UKGDPR。じゃあ割とイギリスに都合のいい解釈とか都合のいい抜き道があるような感じなのかな。
そうだね。透明性はないし。
GDPRにそもそも反しないのかもしれなくて、ちょっとそこは何とも言えないけれども。
なんかちらっとこのポッドキャストもどっかで話してたけど、やっぱバックドア欲しい話と、文脈としてはネテロ対策みたいなのはわからんかないんだけど、でもやっぱプライバシーの話みたいなところと。
またなんか別の今回取り上げなかった記事とかで、ソロット台風の話とかを読んだんだけど、
結局はアメリカとかはソロット台風で大規模に盗聴されて、しかも他国に盗聴されちゃったって話で、
いわば昔はアメリカも自分たちでバックドア仕込んで、それが抵抗されて炎上みたいな話もあったけど、
他国に盗聴されないためにアメリカ政府もしかないな、SCが国民に対していいの、ソリューション使ってねみたいな風にトレンドはなってる中で、
イギリスはちょっと別のバックドア戦略というかを取ろうとしてて、結構いろいろどうだろうという感じですね。
ちょっとな、普通に勘弁。
たまったもんじゃないよね、普通に。
ちょっとディストピアだよね。
いやー、まあ、いやー、まあね、難しいね。
難しい?
どう?
そうだね。
いやー、これもうちょっと蒸発みたいな、なんか。
でもまあ、そうね、結構、あとなんかその、いやー、これ、わかんないけど、その、僕らから多分結果は見えないのかもしれないけど、前例できちゃうと結構、
イギリス目線はやりたい放題だし、イギリスがやりたい放題するなら、じゃあ他の国もってなるよなっていう考えとちょっと、何ができるわけじゃないけど、ちょっとディストピアだよな。
いやー、どう?
何を信用して生きていけばいいのか。
うーん、これは、いやー、イギリスってでもそういうことやるんだねっていうのはちょっと思ったな。
むしろアメリカとかのほうがやりそうな感じだったけど。
そうねー、トランプ政権とかやるかもしんないね。
ね。
どうなるんだろうね。
結局、昔なんか盗聴して、911文明で言ってる対策で盗聴して、バレて、脅かされみたいな感じでの流れはあるから、どうなんだろう、同じ鉄を踏むかどうかはわからんけど。
前もちょっとどこ見守りって感じっすねー。
なんかアップデートがあって欲しいなとは思うんだけど、
セキュリティとプライバシーのバランス
この米国からの云々みたいなところは記事の内容として触れるというか、具体的にはその米国の議員がイギリス側に抗議文みたいな話があるんで、その辺のアップデートがあるといいかなっていう気がしつつって感じ。
です。はい。
です。
いやー、恐ろしい。恐ろしい。
あー、まあちょっと今後見ていきましょう。
はい。
はい。いやー。
なんか本当、なんかコメントできなくなっちゃうんだよな。そのバランスがさ、難しいなって。
そうだね。
って思うわ。
なんか、別に方法論としてはね、イギリスのやり方も選択肢としては当然あるよねというか。
うーん。
うん。
いやー、いやー。
なんかさ、いやー、なんて言ったらいいんだろうな。その、これの影響を受ける人って多分大多数のその善良な人々であって。
うんうん。
わからんけど、なんか私が本気で犯罪をするんだったら多分こういうところに何も置かないと思う。
そうだね、確かに。
そうだね。
うん。
もうちょっとなんかマシな方法を取ると思うんだよね。
うんうん。
っていうのが及ばない。
うーん。
そうだねー。立ちごっこだよね。
そうなんだよね。
確かにね。
って考えた時にその、なんかこう、一部の犯罪者のためにその善良な大多数の人たちのそのプライバシーイシューがそこに生じるっていうのが本当になんかその許容されることなのかっていうのはちょっと思っちゃうね。
うん。
なんかあの、Chromeの、しかもGoogleのAndroid Chromeバイキックもそうだけどさ、なんていうか、ちょっと局所最適じゃないけど、今役所に行ってくれたみたいな視点っていうか、なんかそれ本当にやった時にどこに何が起きるのっていうのを考えて、
じゃあそれって総合的に本当に目指してる世界なのっていうところまで、ちゃんと考えられてるのか結構気になるところではあるので。
今ね、ワーストシナリオは攻撃者は、まあ別に次のかくれみの使って安全にやって、僕らっていうか一般市民は脅かされ、なんならそこに万が一じゃあITできてないストレージに、Appleのストレージに侵害があったら、もう何もやっときゃよかったじゃんじゃないけど。
ね。
なり得るよね。
なると思うんだよな。
まあちょっと難しい問題ですが。
なんか俺らが生きてる間にいい回答見つかるのかね。知らんけど。
まあ向き合っていくしかないです。
デビンとDependabotの利用
本当に分からん。
じゃあ明るいAIのニュースでも読みますか。
デビンにDependabot PRをレビューしてもらおう。
もう別にそんな語ることないんですけど、タイトルで終わってるんですけど、デビンでDependabotのプレリクエストを効率的にレビューしましょうって話ですね。
ちょっと斜め読みしかしてないんですけど、まあそのDependabot PRをレビューする文化のところではかなり便利そうだなというふうに思いました。
この更新が何を含みますかみたいなところを補足してくれてるような感じなのかな多分。
なのでめちゃくちゃ便利そうだなって思った。
ついでにこれマージしたら壊れるかどうかが分からんみたいな話とかもあると思っていて、そこまで加味して壊れる確率が1%未満だったら勝手にマージしておくとか、デビン側でやっておいてくれたらいいなとか思ったな。
それで言うとそっちは試合で担保できた方がいいのかなって気は個人的にはするけどね。
まあそうなんだよね。でも試合で担保できるんだったらもうオートマージしとけやっていう気持ちになっちゃうんだよな。
あー乱暴だけど。
あーそういうことか。
なんかちょっと解釈ミスってて、デビン、これさ、安全にマージしていいよってパターンと、ブレイキングチェンジがあるときとか修正も入れるようなパターンがあって。
あーそういうことか。なるほどね。
あーなるほどね。ほんとだほんとだ。
リリースノート読んでブレイキングチェンジあったらそれに基づいてコード変更もしてっていう感じ。だからそっちはテストで担保できればいいかなっていう。
なるほどね。それいいね。でも本当か?デビンがテストまで行っちゃったらさ。
あーなんかね。
そこはプリリックのレビューで人間が判断せいやって話なのかもしれんけど。
あーもしくはプロンプトでその余計なことせんようにしとくとかかな。
あーテストにもいろいろあるよねみたいな話ではあるから。
あとなんかそのちょうど社内でデビン導入するときもちょっと話してたんだけど、
なんかどういうこと言ったら、なんかすごい老害的な多分、いやまあ老害じゃないかリスク目線で考えたときにリポジション権限を渡して変な場所を勝手にいじんないかみたいなところがわからん。
まあ賢いからやんないと思うんだけど、でもやらないことを誰も証明できない技術でもあるじゃない。
だからなんかその辺はプロンプトで担保すべきなのか、
まあでも今だったらプッシュルール使うとかもしかしたらいいのかな。
デビンをプッシュルール、ドットギターはハイカーをいじらせないとか。
まあでもそうなるとCI直してほしいときに不便とか。
まあでも確かにそのテストいじるかもっていうのは全然あるかもしれない。
いやなんかさ、結果テスト通るけどみたいななんか話がちょっと出てきそうだなと思う。
そうだね。
まあそこは人が担保してねっていう話になるのかな。
でも確かにね、そのブレイキングチェンジがあったからその修正も一緒にやっておいては楽だね。
そこまでやられたら確かに。
てかなんか、そこまでやるんだったらそもそもデビンに通す前に結構数多いじゃん、ディフェンダーボットのルリリックって。
多いね。
で、そのモノレポとかさ、なんかモノリスのアーキテクチャを採用してる分には多分そんなに重くないと思うんだけど、
マイクロサービスアーキテクチャだと多分リポジタリーが無限に立ってて、
そうだね。
なんか偉いこっちゃになりそうだから、
どっちかっていうとなんかそのデビンを走らせるものを走らせないものみたいなところの割り切りはなんか必要そうな気がする。
なんかそうだね。
でも走らせないものがなくてもいいんじゃない?走らせないパターンはどういうパターン?
だって一定その消費されない利用は。
そうだね、確かに。
それはそうね。
それだったらやっぱりなんかCI通ったらもう基本はオートマージで。
で、ブレイキングチェンジが、いやむずいね。
ブレイキングチェンジがあってその影響が実際にあるかどうかみたいな話とかもあったりするのか。
なんか個人的にはリノベート運用の延長線って考え方が一番しっくりくる気がしてて、
おっしゃる通りデビンがあるなしにかかわらずオートマージ的なものはオートマージ仕様でいいと思うし、
ただそのラインがあるじゃないですか。
各リポジトリいろいろチューニングしてると思うし、僕も仕事でしてるんですけど。
リンターはもうCI通ったら全部通すとかマージしちゃうとか、テストランナーもCI通ったら全部マージしちゃうとか。
でもなんか画面で使ってるやつとかはマイナーパッチはもう入れちゃうけど、マイナー以上はレビューするとか。
てなって、まず局面でオートマージに寄せる。
ただそれはなんかそのプロダクトにもよると思ってて。
なんかね。
まあね、わかるよ。
リリースノートとコードの整合性
それが無理なプロダクトもあるし、無理な会社もあるしみたいなこともあるので。
局面でいろいろあるにしてもグラデーションあるにしても落とした上で残る人の作業をデビューにやってもらう。
もしくはリリースノートの翻訳じゃないけど、そういう部分も助かる部分はあるかもな。
こういう変更ですよがわかるだけでめちゃくちゃ助かる部分は多分多くて。
なんか実際手で調べてたよなこれって思って。
そうだねそうだね。
あとなんか差分が結構でかいパターンとか。
なんかWeeklyとかMonthly Renovateを走らせると、
そのものによってはパッチ4個ぐらいあってリリースノート全部。
リリースノートすごい長いやつあるじゃん。
全部読んじゃいないからブレイキング括弧だけ読むけど。
なんかよく読むとちょっと入ってたりとか。
そういうのがまとめてくれるとかは結構ありがたいかもしんない。
結局テストとビルド通ってたらOKみたいな運用になりがちなんだよな。
人がやるときに。
そうね。
いやーそこはそうね。
僕はめっちゃちゃんとリリースノート見てるうちに。
偉すぎる。
一応見るけどって感じだったな割と。
なんか、まあそうね。
大半そうだよな。
いや僕は結構勉強になるなと思うから読むっていう。
自分にリターンがあるからやってるだけでリターン感じられないと多分、
自然な流れではあるかなって気がする。
なんか別になんかダメだったら前のイメージ流し直せばいいやみたいな。
そうだね。
そういうノリだったな結構。
まあ見てるサービスの性質にもよるし影響範囲とかにもよるし。
そうだねそうだね。
私の場合は完全にマイクロサービスで別にめちゃくちゃ効果要請が求められるところは見てなかった。
なるほどね。
まあ最悪落ちたら落ちたでいいよねっていう感覚はあったしね。
なるほど。
でも結構いいユースケースだなと思って。
いいユースケースだと思います。
なんかね、パスとマイナーだったら無視してとかだったらお金も節約できるのかな。
そうだねレベル自体は減らせると思うから。
確かにお金観点はそうだね。
まあもうそこは各位ご予算と相談って感じだろうね。
値段は現金あったっけ?値段は現金ないかな。
ない気がする。
気になるね。
ちょっと試してみて。
分かんないけど、これをさせるのにどれくらいACUを使ってるのかが分からんから何とも言えない。
教えて欲しいね。
リーナーテックル。
まあいい使い方っす。
なるほどね。ちょっとそこはちゃんと読み切れてなかったね。
修正までやってくれるのはめちゃくちゃ楽だな。
ありがたい。
確かにね、あるんだよね。
あるんだよ。あるんだよ。めんどくせえなっていうその微妙にコード側を直さないとみたいな。あるんだよな。超めんどくせえんだよなあれ。
あとはなんかそのさ、ものにリポジトリによるけどさ、そのCI5分かかるんだよなみたいなやつとかこういうのやってもらってすごい幸せかもね。
手を動かすのは10分でいいのになんか総作業時間はなんか25分になるとかさ、そういうのがデビンに投げっ端で自分がレビューして、まあ1往復ぐらいはあるかもしれないけど成立みたいな。
時間を金で買える感覚があるかも。
結構めんどくせえなと思うのがさ、あの、リプリケテッドなメソッドの代替手段があるんだけど、シグネチャーが変わってるっていうやつ。
シグネチャー。
ああ、アーギュメントツーとかってこと?
そうそうそうそう。
なるほどね。それはめんどくさいね。
超めんどくさいよね。
めんどくさいね。
あれ直してくれんのかな。
直してくれんの?
あれ直してくれるんだったらめちゃくちゃありがたいけどね。
うんうん。
結構ムズない。いけんのかな。何を渡せばいいのかわからない。
リリースノートの品質に依存するかもね。それこそ。
リリースノートからさ、何か多分、二次的三次的に多分早々あさってってもらわないといけなくて、
多分なんだけど公式ドキュメントとかを見て、代わりにこっち使ってねっていうので、代わりにこっちを使ってねの方を見に行ってみたいなのを多分やらないといけないんじゃないかなと思うんですよね。
そうだね。
順序的にはね。
それで言うと多分プロントを育てていくことになるんじゃないかなって気がする。
これは結構簡易的な、これで結構動くんだなって普通に思うけど、もっと細かく支持しちゃっていいんじゃないかなって気がする。
どこまである程度加味していろんなものを見に行ってくれるかって。
この記事には一応リリース、本期リポジトリまで飛んで内容を見てくれるとかっていうのがあるっぽいから。
そうするとだいたいコメント側に、これはディプリケットで代わりにこれ使ってねとかが。
そうだね。
言語によってはアノテーションとかで入ってたりするし。
ちゃんとやってるとかあとチェンジログに入ってたりアップグレードガイドがあったりとかそういうのがあるからね。
なるほど。
いや、いい記事でした。
AIと批判的指向の関係
早く無料で使えるようになってほしい。
稼ぎましょう。
そっちの方で行く?そっちの方面で行く?
いや、無理だって。
ただより高いもんねえよ。
個人ではね、個人はコパイロットに課金してください。
そうなんだよ。個人でDebianを使いたいんだよな。
まあね、わかるよ。
じゃあ次も、AI多いね。AIの話しましょうか。
お願いします。
AIによって批判的指向は損なわれるのか?マイクロソフトらの研究で継承。
っていうGDNETさんの記事ですね。
ちょっと手動サマリー書いてないんで、AIサマリー読んじゃうと。
まあ、タイトル通りの、超ざっくり言うとタイトル通りの研究がマイクロソフトとかネギーメロン大学かな、そうですね。
の論文で出たよって話をしていて。
生成AIを使ってゴリゴリいろいろ自動化とか代替をしていって働く人と、その人の認知能力の低下みたいなところの相関があるんじゃないかっていう論文があるってところですね。
で、何でしたっけね。批判的指向か。
記事中で振られてるところが、タイトルにも入ってますけど批判的指向みたいな話があって。
この批判的指向の定義あったっけな。なんかなかった気がするんだけど、ふわっとしか。
ないよね、たぶん。
批判的指向は批判的指向だな。
僕が解釈したのは何か、生成AIを使うにも使わないにもかかわらず何か仕事をして成果を出したり、結果を出したとこに、そこに対してある種、これでよしとせずに改善を積み重ね、批判的な指向を持って仕事をするかみたいなところの話かなと思ってるんですけど。
この批判的指向をして出した仕事の成果の方が、生成AIを使って出した成果よりも自信を持てるっていうようなことを一般的に論文の研究対象者の人たちは回答していて。
あとは生成AIの結果、返ってきたレスポンスみたいなところに自信が持てない場合っていうのは批判的指向を持つことで、そのAIのアドバイスの質みたいなのを改善しようとしたみたいな話をしてますっていうところで。
すごい思い出しながら喋っちゃってるんですけど、一方で、そうですね、どういう話だったっけ、やばいな、全然思い出せない。
しかし。
なんか結論、良くも悪くも人間のアウトプットの触れ幅がAIの支援によって減るよっていう話だと解釈したんだけど。
そうだね。
要は、あの人もこの人もだいたい似たような結論を出してくるよねって話だというふうに理解していて、人間がもう何らかの形で試される時代になるんだろうなっていうふうに思ったって書いてあるんだけど、何のことだっけこれ。
生成AIの影響
人間の?
っていう中で人間のクリエイティビティっていうのが多分侵されていくことになると思うので、なんか侵食されてくることになると思うので、なんかそれに負けずにその想像性みたいな発揮していかないといけない時代に多分なっていくんだろうなっていうふうに思った。
なるほどね。
っていう中でなんか、まあ分かんない、一言でまとめるとそういうことなのかなっていうふうにちょっと思ったんだけど、まあ細かいところは読んでもらえればいいんじゃないかなって。
そうだね。
そんなに長い記事じゃない、もう別になんか2分3分あれば読めるくらいの記事だったんで、大丈夫なんだけど、そう。
で、なんか個人的に気になったのは、その起業家の人とかってこの辺りとご折り合いをつけてるのかなっていうのはなんか気になった。
その手堅い商売をする人たちは多分なんか別にめちゃくちゃ頼ってもいいんじゃないかなと思ったんだけど、そのイノベイティブなその事業を起こしていきましょうみたいな人たちにとっては多分これってかなり深刻な問題のはずで、どうやって折り合いつけてるのかなとは思った。
なんかそれで言うとどこにAIを使うかみたいなところは結構意識して使い分けないといけないのかもね。
そうね、それで言うとなんかこの間のナンバさんの使い方とかはかなり、
そうだね。
なんて言ったんだろうな、自分自身の思考は持っていかせないっていう使い方が主だったと思っていて、むしろ自分が考えるために使うっていう使い方をしていたと思うんだけど。
なんか記事中にもあるけど、生成AIツールにアクセスできるユーザーはアクセス的なユーザーと比較して同じタスクの成果に多様性が欠ける可能性が高いっていうのがあって、それは直感的にはそうだろうなって話がありつつ、
だからなんか多様性が別に求められないタスクをAIにやらせればいいじゃんっていう話かもね、シンプルに。
だからそうなんだよね、なんか。
それで言うと確かに言ってくれたように企業家とかイノベーターみたいな仕事をする人はその多様性が求められるタスクの割合が人より高い可能性があるから、
ガンガン全部生成AIでみたいなことをしちゃうと、気づいたらいつの間にか多様性が欠けてるっていうことになってしまうっていうのがリスクとしてはあるのかもしれないね。
一方でなんかプロンプトの多様性みたいな世界もあるんじゃないかなと思っていて。
レイアXのイベント体験
なんかその、いやー専門、いやもう1回専門家呼ぶからどっかで、なんか質問溜め込んで。
なんかさ、今思ったのは、そのプロンプトがいかに優れてても、そのモデル性能は天井があるじゃん。
あとはモデルが持ってるナレッジも天井があるはずで。
それはそうなんだけど、でも何をどう引き出してくるかっていうところがプロンプトなわけで、
まあまあ別にモデルの性能に限界があるのはその通りだと思うんだけどさ、
なんか有限であることを感じさせないぐらい膨大な量のナレッジを溜め込んでいるわけで、
どうそれを引き出しますかっていうところは多様性が出てくる部分だと思っている。
何だろうな。
まあでもなんかメモに書いてくれてるけど、ある種の気持ち悪さを説明する切り口の一つになるかもねって書いてくれたけど、
なんかそれはまあ確かにそうだろうなと思っていて、
こういうところに思考を持ってかせるみたいなのが多分、私の場合はすごく気持ち悪いと思う部分だと思っていて。
なんかうまいこと、いやー思っている意識的に考えたいなあ。
なんかね、ちょっとギリセーフかなと思いつつタイトルがちょっと煽り気味というか、
煽り気味じゃないけど、おって思う。個人的にね、なんか感じる気持ちなんだけど。
だったし、まあ内容もその何だろうね、その相関が考察みたいなところに留まってるから、
実際そうだよって話は全然そういうフェーズでもないと思うんだけど、
一つの可能性としてちゃんと、まあ認識っていうか可能性あるよねっていうのは言いわかんないし。
あとは結構そのジャンプして物事を関連づけるみたいなのって、
多分まだまだあんま得意じゃないと思っていて。
ジャンプしてっていうのはその一見全然関係ない分野の何かと何かをこう紐付けて考えるみたいな。
類型としてこれ一緒じゃんみたいなのをこう紐付けて考えるみたいなのって、
多分すごくまだ苦手な分野だと思っていて。
確かにね。
まあこのAIイコールLLMみたいなのもなんかちょっと…
さっきね、ちょっと言ってうんって思っちゃったよ。
AIって言っちゃった。
先生AIって付ければよかったって。
後追いの言い分けですけど。
そうね。
なんか本当にLLM使い込んで2年後ぐらいに自分の思考能力どうなってるかとか普通に気になる。
どうなるんだろう?意外と大丈夫なのかな?
いやーでもなー、なんか影響絶対あるよな。
プロンプと考えてる時間の割合がどんどん増えてくってだけだもんな。
だからその、この記事も書いてるけど、
タスクの実行から監督みたいなところにまさに近づいていく感じなんだよね。
そうだね。
監督したくないんだよな。
だから上手いこと、監督コスト超対照化して自分が頭を使う時間を最大化できるといいよね、本当に。
いやー、こんな偉そうなこと言いながらまだ僕は活用できてないんですけど。
いやー。
最近何に使ってるかな?
結構でも使っとるよ。
本当?
うん。
あのヤギ足さんがいっぱい使うようになって、東京の流れを感じますね。
うーん。
あ、なんか。
あ、な、うんとしたでしょ。
ごめん、なんか。
そう、そういえばあの、インテリJの、あのー、せいせいLLMのプログラム参加オッケーになってる。
え?いいな。
申し込んだ?申し込まなきゃダメです。
申し込んだ。
あ、本当?メール来てた。
うん。
20時間前に来てたから、そう、試そうと思って。
来てねー。
あれ?
え、来てないよね。
中世芯が足りないのでは?
え、これフィッシングとかじゃないよね。
多分大丈夫なんだけど。
はい、まあまあまあ。
来てないと思うなー。
ごめん、詐欺言っちゃった。
何?
何て、何てタイトルで来ちゃった?
えっとー、
Your invitation to the EAP of Junai, the coding agent by JetBrainsって感じの記事ですね。
まあ、JetBrainsでじゃあ検索セラブ出てくるはずやな。
そうだね。
うん、出てこないですね。
来てない。
まあ、あと3日ぐらい待ってください。来るんで。
あー、マジかよー。
なんか、はい。
詐欺っちゃった。
うん。
何に使ってた?
まあ、でも結構、なんか割と調べ物を代わりにやってもらうみたいな使い方がめちゃくちゃ多いのかな、今。
うーん。
うーん。
確かにね、ディープリサーチとかも話題ですしね。
うーん。
名前いっつも忘れて、読み方わからなかったんだけど、パープレキシティだっけ?なんかみんな使ってるやつ。
パープレキシティ。
あれとかも無料枠でね、ディープリサーチ提供し始めたし。
うん。
ちょっと使いたいな。
うん。
あとは、ノートブックLMをね、ちゃんと使いたいんだけど。
あー、はいはいはい。
うん。
確かにね、オムナンマさんのやつ見てサインアップしたわ。
うん。
まだ使えてないんだけど。
ね。
うん。
ちょっとまだ使いどころがピンときてる。
うんうん。
うん。
せいせいLMの使い方と共に成長していこう、俺の。
うーん。
うん。
まあ、でもなんかね、これAIで何とかなりませんか?のその事例がさ、結構現実味を帯びてきてるというか。
そうだね、そうだね。
いい時代になったなって思いますね。
うん、間違いない。
いやー。
はい。
まあねー。
ただな、代わりに手を動かしてくれるわけじゃないからなっていうのは思うんだよな。
そうね、それはそう。
そこだけだね、あとはね。
はい、ありがとうございました。
はーい。
じゃあ次行きますか。
はい。
えー、来ましたよ大物が。
編成CISOサバイバルガイドです。
はーい。
えーと、レイアXを会場にしてやってた、えーと、なんだっけ、今。
イベント名。
なんか3イベントぐらい合同のやつですかね。
そうそう、今知っておきたい、今知っておきたいセキュリティロードマップの描き方、描き方。
知っておきたい。
というイベントですね。
はい。
で、えーと、コインチェックさん、レイアXさん、メルカリさんの3社がなんか講演してたんですが、
うん。
まあ現実参加してたんですけど、めちゃくちゃ良かったです。
いやー、いい人だった。
うん。
何が良かったですか。
何が良かったかなー、まあなんか個人的には特にこのレイアXのホシさん、カニーさんが、
カニーさんのこのスライドの話がめちゃくちゃ良かったんですけど、
なんか割と自分自身のメルカリでの動きの答え合わせでもあったなと思うし、
この先の指針というか、なんかこれは確かに、確かにそうなんだけど自分ではなかなか上手くできてなかったなっていうところとかもあったし、
うん、なんかサバイバルガイドの何、偽りない中身だったなというふうに思って。
うんうんうん。
うん。
みんな読んだ方がいいですね。
いやー、これは良かった。
このね、キャプチャー貼ってくれてる普通電話のスライドね、最高だったな。
あははは。
いやここは、だからその、時玉最近若干ホットトピックであるその、なんだろうな。
うん。
セキュリティと開発の関係
セキュリティって難しくないんじゃないけど、できるよねとか、そういう部分はなんかこういうところはあるなっていうのは普通に思った、なんか。
まあ脆弱性だってさ、なんか悪用できるバグですよねみたいな見方をした時に。
そうだね。
なんか完全に地続きですよねっていう。
うんうんうん。
なんかバグって言われたら急に直したくなってきませんみたいな。
うんうんうん。
ははは。
確かに。
セキュリティチェックシートを100本ノックとかちょっとできる企業は限られると思うけど。
うん。
そうだね。
うん。
いやでも良かったね。スライドだけ見ても良かったなと思うんで。
うん。
うん。
ならスライドの中の話、ほぼ触れてないゾーンがあったりするので。
あー、いやー。
全然時間足りてなくて。
なるほどね。
いやー、優先度もねー。
いやこのよく知られたとっとと片付けるとかも、もう実行するのは難しいよね。
まあ定石があるよねっていう話でね。
うんうんうん。
割となんか個人的にちょっと自分の思いと違うなと思ったのはスタートアップにおいて数年単位のロードマップはあまりそぐわないっていう話で。
スタートアップにおけるロードマップ
うん。
なんかまあそんなに精緻なものは作れないしいらないよねっていうのは分からんでもないんだけど。
うんうん。
結構でもある種の意思だと思っていて。
うんうん。
例えば3年後にこうなりたいんだ、5年後にこうなりたいんだっていう意思だと思っていて。
うんうん。
なんかN年でそういう状態を作るよって宣言に近い話かなと思うので。
うんうん。
なんか全然あってもいいんじゃないかなと思っていて。
そうだねー。
そうじゃないとなんか結構目先の何かに暴殺されがちというかなんか。
うんうんうん。
何目指してるのか何やってるのか、何のために自分が働いているのかみたいな。
なんか動機づけみたいなところがこうどんどん弱くなっていっちゃうんじゃないかなと思うから。
分かる。
分かる。
もし。
あってもいいんじゃないかなと。
うん。
もしかしたらなんか事業特性とか会社の文化とかその運営方法とか。
それはあると思う。
にもまあよるかなっていう気はしつつ。
全く作れないいらないっていう会社もあると思うし。
うんうんうん。
あってもいいよねっていう会社もあると思うし。
うんうんうん。
働いた方がいいよねっていう会社ももちろんあると。
もちろんね。
レイアエックスはそうじゃないのかもしれない。
そうだね。
個人的にはなんかそのそうだね。
今言ってくれたことまさにオウム返しじゃないけど。
目先に取られるは本当に身をもってそう思うから。
うん。
何だろうね。
なんか旗が欲しいなっていう感覚がすごくある。
うんうん。
シンプルに。
旗がね動いてもいいから。
そうそう。
今向いてる方が合ってんのかそうじゃないのかみたいなのが多分必要で。
間違いない。
そこはね合ってもいいんじゃないかなと個人的には思ってる。
間違いない。
だってまあ別にどんだけ大きい会社でもさ、
例えば5年後のこうありたい姿あるべき姿みたいなのってさ、
どうせブレるじゃん。
そうだね。
メルカリでもそうだなと思うし。
うんうんうん。
しかもその5年後って常にさ、
5年後は常に先に動き続けるわけで。
そうだね。
なんか。
上がるよ。
うん。
だからなんか1年前と比べて当時5年後にこうなりたいと定義したところに近づけてるかっていうのは絶対なんか一つの指標として持ってた方がいいと思うんだよな。
うん。
っていうところだけちょっとなんか個人的にはなんかまあいろいろありそうだなって。
まあ個人の見解でしたって書いてあったと思うんだけど。
まさに。
そうだね。
そうだね。
個人の見解でしたってめちゃくちゃ書いてあったんだけど、そう。
ここはちょっと僕はまた別の見解を持ってるところかなという感じですね。
効果的なセキュリティ体制
わかります。
いやでも。
あとは優先度の作り方使い方28、28ページ目のところはめちゃくちゃ良かったなと思ったし、
33のチームの広げ方の話も良かったな。
これは結構なんかチームの能力を広げる採用を意識するっていうところ。
うん。
なんか集まれた課題をメンバーのカバレッジで見たときに大きくかけている。
うんうんうん。
これってなんか特にセキュリティっていう領域においてはかなり広いよねっていう。
うんうんうん。
なんかちょっと何とも言えないとこだけど、
開発チームに置き換えて考えたときにチームでフルスタックカバーできてますかっていう話だと思っていて。
うんうんうん。
確かに。
セキュリティだとまたちょっと違うけど、
まあでも領域の広さとかは多分かなり近しいものがあるので。
そうだね。
うん。
いやーこの個人的にヘルスチェックができる指標を持つと良いっていうのも良いなって思う。
うん。
うちでセキュリティチーム結構初期に立ち上げた初期ぐらいのときに業務委託で手伝ってくれてる人に、
なんかうちってぶっちゃけ体制どうすかみたいな話をしたときに、
まあ一つの指標として、その人の見解だけど、組織人数に対してとりあえず1,2%当てられてれば結構十分な方ではあるんじゃないかっていうことを言ってくれて。
まあなんかいろいろロジックがあるんだけど、
まあでもなんか分かりやすいなっていうか、社内に説明しやすいなって結構シンプルに思った。
うーん。
っていうのはあるな。
まあ。
LayersXさんぐらい結構ガンガン組織大きくなっていくところだと、なんていうか、
そういうのがあるとよりちょっと議論のフックにはしやすいだろうなとかは思うんだよな。
うーん。
LayersXで1,2%っていうと人数って資料に書いてあったんだっけ?
あ、授業人数385名って。
うーん。
まあ。
3,4人ぐらいです。
4人、4人から。
うん。
そうだね。
6,7ぐらい。
うん、6,7。
うん。
だよな。
うん。
いいわ。
うん。
なんか。
まあただなんか結構。
うーん。
まあね。
ふふふ。
そんなに集められる。
基本者の場合は結構難しいフェーズだったかもしれんな。
ここ数年ぐらいはね。
その割合っていう指標を持ったときには。
そうね。
なかなか。
必ずしも。
だからなんか本当に指標だなって感じはする。
うん。
そうだね。
これだけ良いところっていうよりかは1つの観点として。
うん。
うーん。
ただなんか思うんだけど。
うん。
その難しいな。
なんか開発をしたいですってなったときに。
まあミニマムでバックエンドとフロントエンドはいるよねみたいな話ってあると思ってて。
うんうんうんうんうん。
例えばだけど。
いや別に全部1人でできるよみたいな人もいるのは分かるんだけどさ。
うんうん。
なんか体制としてまあいるよねみたいな話はあると思ってて。
うん。
セキュリティもなんか一定そういうのがあるような気がするんだよな。
もうなんかチームメイトとめっちゃ話したことあるんだけど。
うん。
圧倒的にアルハースねなんか。
うーん。
いやなんか厳密にはセキュリティチームが1人ミニマムあるっていうよりかはセキュリティについて考える人がミニマムでいないと。
うん。
うーん。
なんていうか。
いやー。
いや僕の中で2説あってその同僚と話したのはセキュリティについて考える人がミニマムで1人いてほしい。
なんか理由はシンプルで、
そういうことで僕今働いてるメンバーは多分3人、4人目の社員かなとかなんで。
うん。
超子さんなんだけど。
うん。
多分彼なりの後悔とかがいくつか多分あるんだろうなと思ってて。
うーん。
今めちゃくちゃ苦しめられてるこの問題って例えば2年前にこういうルールを作るだけで回避できてその。
そうね。
うん。
その対応コストを半年かけてやったことがやらなくてよかったよねとか。
うん。
だからそういうのって結構あるからそういう意味でのそういう文明化で話したっていうのと、
あともう1つは僕が勝手に思ってる多分夢物語はそのことソフトエンジニアにおいてはそのセキュリティにおいてここは抑えておいてほしいなっていうものが結構この仕事として生まれていて。
うん。
そういうのができるメンツを初期から集められたら嬉しいなって気持ちがちょっとある。
うーん。
でなんかそれ夢物語だと思ってる部分はじゃあそういう人を自由に集めるのは夢物語だと思ってるけど、
でもその別にいないわけでは全然なくて今一瞬働いてるソフトエンジニアとかでもなんかセキュリティチームからこれやってって言う3歩手前ぐらいでもうやっておきましたってやってくれるチームとかメンバーが結構少ないながらにいて、
そういう人はなんかシンプルにセキュリティのことを考えてるとかじゃなくてソフトエンジニアとして優秀だしカバレッジが広いからセキュリティも一つの関心事としてオーナーシップを持ってやってくれてるなって思うし、
なんかそういう人とかが初期にいるといいというかなんかいわゆるミニマムじゃないけど。
うーん。
いろいろ今改善してる身としてはしみじみ思ったりはしますね。
うーん。
めっちゃベロベロ喋っちゃったけど。
うーん。
そうねー。
うーん。
まあね、優秀だしなんですけどね、ほんとに。
うーん。
いやなんか結構その大体の会社で求められてるセキュリティの人みたいなその人物像がさ、
うーん。
なんか結構ソフトエンジニアにおけるフルスタックエンジニアとかと近いものがあると思っていて、
うーん。
なんかいやいるけどいないよそんな人って。
そうだね、そうだね。
うーん。
うーん。
うーん。
なんかセキュリティスタートアップセキュリティスゴロクみたいなの欲しいな。
いやわかんないけどさ。
どんな、どんな。
いや例えば、いやわかんないですけど、
じゃあ5人の時はアカウント管理とかめちゃくちゃ頑張らなくてもいいかもねとか。
その極端な話、5人全員管理者でスラックオーナー権限5人全員持ってても別に何も起きづらいというか、
例えばね。
あーそうだね。
だけど利用してるサービスとかはちゃんと把握しようねとか、
パスワードをデスクトップに置くなよとかそういうのはやった方がいいよねとか。
うーん。
なんかそういう何だろうな、フェーズフェーズで、
これは力抜いてもいいじゃないけどその相対的に力抜いてもいいよねっていうものはいくつか定義できる気がしてるし、
逆になんかその、これはもう2年後に死ぬほど苦しむよ、だから今のうちにやっとこねっていうものもある。
うん。
で、それは推奨事項として定義できる気がしてて、
いやー、そうねー。
5人の時はこんな感じ。
20人はこの辺やりだしてた方がいいんじゃない?
50人はじゃあこの辺もちょっと手つけようかみたいな。
あー。
なんか作れそうな気もするし。
いやーでも、うーん、作れそうな気もするし作れなそうな気もする。
そうね。
例えばだけど50人のうち40人営業ですって言ったら。
あー面白いねー、そうだねー。
50人のうち40人ソフトエンジニアですって話だったらまた違うし。
そうだね、いや。
でしょ?
だから、いやなんかねー、だからその、こういうイシューについてね、考えるたびに思うんだけど、
世のセキュリティベンチマークとかガイドラインが最大公約数を取る理由がよくわかるんだよなー、なんか。
うーん。
うーん、難しいねー。
そうねー。
だから間違っててもいいからさ、うち、俺が思うそのロードマップじゃないけど、
オフラインイベントの重要性
うちの組織の場合はみたいな、なんかそういうシュー、なんかシシューみたいなのが欲しいわ、なんか。
あー。
なんかさー、わかんない、なんかその、個人的に求めてるのは、
重厚庁大な最大公約数を取った、まあそういうベンチマークもめちゃくちゃ価値があるけど、
その、うちはこうしてうまくいった、こうしてうまくいかなかったみたいな。
まあその使い方、考え方みたいなエッセンスが欲しいって話だよね。
そうだね、そうかも。
うーん。
それはわかる。
うーん。
結構ね、実際じゃあどうなん?みたいな。
だからそういう、そうだね。
そういう話を聞きたかったらこういうオフラインイベントに行くべきだよねっていうところにちょっと帰ってくる。
来るべき、来るべき、来るべきでした。
ピーワーコ県民としては次の機会を越したんだと狙いたいところなんですけど。
次は登壇してくださいって話になるんじゃないですか。
それは一番嬉しいね。
うーん。
胸張って経費でいけるのかな。
いやーてかなんかね、なんか言いたいやつ全員壇上に上がれよみたいな感じのイベントやってもいいんじゃないかなと思って。
あー。
なんかウェブでそういうのあるよね。
うーん。
名前忘れちゃった。
まあちょっととんでもないのが入ってきちゃったりするかもしれなくて、なかなかやりづらいってことがあると思う。
あー。
ちょっとスクリーニングはした方がいいのかもしれないね。
知らんけど。
会場にいる人をスクリーニングするしかないんだろうな。
あー。
いやー、確かに。
ジャックさんがそのウェブでそういうカンファレンスやってて面白いよね。
あー。
なんだっけ。
ウェブ。
実世代ウェブカンファレンスだっけ。
うーん。
テーマと登壇者だけ決めて、あとは全てフリートークで配信も一切なし。
うーん。
配信なしなんだっけ。
配信あるよ。
ほんと?
ある。
強い。
徳丸さんとかと喋ってる。
あー、なるほどね。
あれのセキュリティワンじゃないけど。
夏。
何の話したんだっけな、あれ。
お見逃しいたしました。
うん。
いやー。
録画あるよ、でも。
あ、そうなんだ。
録画あるのか。
うん。
当日の生配信はないのか。
夏。録画あるのか、これ。
夏。
ちょっと。
あとで見よう。
やだな、恥ずかしくなってきた。
まあでも、なんでもいい。
ちょっと、まあいいや。
はい。
はず。
いいなあ。
急に恥ずかしくなってきた。
プロ歴史が掘り起こされたから。
なんか、しんどい気持ちになってるけど。
いやー、俺も呼ばれるように頑張ろう。
うん。
はい。
はい。
じゃあ、次行きますか。
てかなんか、そういうイベントやったらいいんじゃない?
それはー。
オンシャイでどうしてましたかを聞いて回るイベントを作ればいいじゃん。
それはー。
やればいいじゃん。
一番早いね。
ね。
やるか。
やりましょう。
うん。
やろう。
やることだけ決めた今。
うん。
やることだけ決めた。
うん。
よし。
はい。
クロームのセキュリティ機能
じゃあ、次行きますか。
クロームの提案しているセキュリティ機能、ローカルネットワークアクセスについてっていう。
まあ、あすのかぜブログさん。
はい。
えーと、パブリックなウェブページからローカルネットワークへのアクセスを保護するための仕組みとして、ローカルネットワークアクセスっていう仕様がクロームチームから提案されていますよと。
で、既にクロームに実装済みのプライベートネットワークアクセスっていう機能があって、これはプライベートネットワークへの通信時にプリフライトを強制するような仕組みなんですが、
えーと、プリフライトを受けなきゃいけないので、内部のサーバー側でも対応が必要で、ミキストコンテンツへの対応とかどうするのみたいなところが問題になってたりしたよという前提がありまして、
モジュラーとかウェブキットがあんまり乗り気じゃなかったらしい。
で、それを受けて新しくローカルネットワークアクセスっていうのをクロームのチームが提案していて、
ユーザーエージェント側のパーミッションを取るモデル、要はローカルにアクセスしていいですかっていうので、イエス・ノーのパーミッションを取るモデルに変えたよっていう話でした。
まずちょっとプライベートネットワークアクセスの方知らんかった。
僕も知らんかったです。
機能自体にはなくてやってそうな気がするけど、やり方としてはこのローカルネットワークアクセスの方が受け入れられそうだなというふうには思うので、うまくいくといいなと。
僕は恥ずかしながらこのルーター攻撃はなるほどって思ったというか、なるほどねっていう。
いやーおもろいですねウェブは。
なんか記事中でも言及あったけど、ユーザーがよくわかんないって言って許可しちゃったらダメじゃんみたいな話あるけど、
まあでもやんなより全然いいというか。
そうだね。
どうなんだろうね。
まあ、いやーこれ難しいな。正規のサイトもあるもんな。
なんかこういう挙動するやつ怪しい判定してもいいかなとか思ったりしたけど。
NASの管理画面とかに。
ああ、はいはいはい。
確かに。
面白いこれは。
NASの管理っていうかペアリングか。
NASのなんかそのローカルネットワークのNASの探索とかをするのにそういうウェブUIを持ってるやつとかがあったりするかな。
なるほどね。
シノロシーがなんかそんな感じ。
なんかその仕組み自体がちょっとおもろいわっていうか。
不思議な感じするなあ。
ブラウザって感じはするわ。
まあこの既存のウェブを壊さずに何かを入れるの本当に大変だなって思うんで。
なんか頭が上がらんすね。
そうだね。
これを前提とした世界遺産がもうある中でって感じだもんね。
逆になんかこれ以外の方法が考え尽くされてからこれがベターという話なんだろうけど。
そうね。
まああとはちょっと当たり前だけどこのシンプルリクエストでそのCSRFとかが通っちゃうみたいなのはなんか必ず避けないといけなくて。
そうだね。
なんかいろんなものを実装する側でもまあ引き続き気をつけなきゃいけないという話ではあるのと。
そうだね。
これはまあ従来のウェブ脆弱性というかそっちの世界で閉じる話だよね。
うん。
やるたね。
ありがとうございます。
そのカゼブログさんマジいいな。
ありがてい。
ありがてい。
じゃあ次いきましょう。
僕が読んだやつなんで。
サイバークリミナースキャンラウクローンエニーブラウンサイトインメニッツユーザイングダークラフィッシングアザーサービスV3っていう破壊に沿う記事ですね。
で、記事としては結構シンプルでして、ダークラフィッシングアザーサービス、これファースって呼ぶのかな?
なんか言い方わかんないですけど、お金払えばフィッシングに必要ないろいろが作れたりするっていう。
多分このPodcastもちょっと紹介したことある気がするんですけど、そのやつがあるんですけど、
これのV3にこのサイトを模倣したフィッシングサイトを作りたいっていうものがあったときに、URL入れると数分でその偽ページを作れるっていうアップデーがありましたっていう記事です。
それ以外は多分前にも話したように、それだけじゃなくてホスティングしたサイトに入力されたフィッシングで釣れた情報とかをダッシュボードに見れたりとか、
いろんな攻撃者目線でのいい感じのダッシュボードがあるっていう話ですね。
それ以外もないんですけど、シンプルに個人的に思ったのは攻撃者向けのカミアップデーというか、
前々から何の知識なくても攻撃者になりたいと思ったときのいい入り口になってしまってるって話が何かのところであったけど、
そのハードルが寄り下がったし、実効性も増したみたいなところで、結構なかなかこっちも進化してるし、
認識しつつ引き続き頑張んなきゃなと思ったっていうところですね。
原理上はまあできるよねっていうところもあって、
フォームをいい感じに見つけてそこを差し替えるみたいな部分は多分、この攻撃者側のソフトウェアエンジニアが頑張ったんでしょうと思ってるんですけど、
って感じです。以上です。
ハードルが下がってるって感じですね。
一緒に頑張りましょう。
それ以上もそれ以下も話でもないっていうか。
どうしたらいいんだろうな。
そういう沈黙か、そうね。
いやでも、パスキー頑張ろう。
ログインはそうだと思うんだけどさ、
アカウント保護っていうコンテキトでは確かにパスキーが正解なんだろうけど。
根本的に詐欺をやってくるやつに対して何ができるのかなって。
やっぱあれじゃないですか、バックドア仕込んで自宅に警察突入じゃないですか。
どういう。
自分もちょっと適当なこと言ってる。
イギリスじゃないけどみたいな。
根本的に正規のサイトの偽物っぽいものを生成して、そこで何か騙すみたいなのがあって。
まあ確かにね。
パスキーだと多分防げなくって。
そうね、まあその辺はなんかちょこちょこ直近もあったけど、
エッチとChromeか、その偽サイト判定をよりリアルタイムにとかエッチでできるようにとか。
まあでもそこもね、いたちごっこではあると思うんだけど。
まああとさ、騙された側はさ、難しいな。
なんか模倣される側として何ができるの?みたいな話とか。
どこまでが責務なの?みたいな話とか。
まあうちは結構そういうふうにやられてる側だからさ。
どこまでが責務なのかなと思っちゃうんですよ。
そうだね。
いやー。
それで被害になっている人は実在するわけじゃないですか。
うん。
でもその、なんかね、僕らとしては技術的にはもうどうしようもない世界の話で。
そうだね。
攻撃者も別に勉強してくれないしね、かといって。
そうそうそう。
なんか、まあ悲しい世界だなと思うわけですよ。
これ、はい。
悲しくなったところで。
悲しくさせてすまんな。
はい。
悪意のあるコードの検出
じゃあ次は、まあこれも刺さったらいいかなという感じですか。
ブリーピングコピューターの
Appeal & Views Free Scanner to Detect Malicious Code Merges
っていう記事です。
で、Appealっていう企業なんですかね。
が、タイトルの通り、
悪いなるコードを検出するスキャナーを無料で提供して
し始めましたよっていう記事ですね。
で、ちょっと読んだの結構前なんで忘れちゃったんだけど、
結構、まあいろんなサービスあると思うんだけど
わざわざ紹介したいなと思ったのは、
あれですね、まずそのGitHubのインテグレーション、
GitHub Appとして動かすことができて、
で、プリリクに対してこのスキャナを実行したときに
マリシアさんのコードを検出すると。
で、実際にそのNPMとかPyPyの
悪いなるコードに対して検出してやってみて、
で、精度としてはPyPyが94.3%の精度で検出できて、
NPMがちょっと低くて88.4%なのかなって感じ。
なんで、まあ100%じゃないんだけど、
まあまあまあまあっていうところ。
なんか分かんない。業界的に見たら高い低いはあるのかもしれないけど、
個人的には結構みたいなところ。
で、じゃあ具体的に何を検出してるのとかで言うと、
外部通信するコードがないかとか、
ExecEvalを使うところがないかとか、
セキュアコーディングの重要性
マリシアスって知られてるようなリモートサーボとの通信がないかとか、
Sensitive Dataを抜くようなネイティブなAPIに触ってないかみたいなところを見て判断してるらしいと。
実際なんかキャプチャーでGitHub上で動かしたコードのサンプルとかがあって、
検出したらどういう理由で検出したみたいなのが出てくるみたいな。
これなんか画像、今見てる画像とかは、
Pythonの数字の配列をキャラクターに変換して、
グローブって何なんだろうな、いかにも怪しいコードって感じ。
ただパッと見だと何をしてるかちょっと分かんないみたいな。
コードに対して検出できてるっていうのがあるって感じですね。
ちょっと面白いし、使ってみようと思ってるんですけど、
一方でちょっと微妙なのは、
NPMインストールしたり、PIPインストール、ポイントにインストールしたものに対してはスキャンができないらしくて、
そこはできるようにしてほしいなって勝手に個人的には思いつつっていう感じですね。
どういうこと?
リポジトリでNPMとかPythonのパッケージあるじゃないですか。
そこにマリシアスなコードが入ってても検出はしてくれない。
だからそっちの大元見に行かないといけないって話ね。
理由はシンプルで、今時点でプロジェクトのリフを見る。
リフに含まれるコードを検出してくれるだけだから、
コミットしない限りは見てくれないって感じかな。
なるほどね。
そこまで見てよっていうのは確かに難しいというか、しょうがないな。
これなんかセムグレップとオープングレップベースだから別にSACE AIとかを使ってって話じゃないんだよね。
そうだね。
今のところは。
今後の伝報としてAI云々みたいなのはちょろっと書いてあるけど、
割と多分愚直にいった感じかな。
なんかプラスアルファの部分はどこなんだろう。
今までと違うところだったと?
なんかインテグレーションが楽だよっていう部分だけなのかな。
うーん。
あるいはセムグレップオープングレップのルールセットをいいものを我々が作りましたっていう話なのかな。
確かにその視点は持ててなかったかも。
こういう製品、なんか。
そっか、でもセムグレップオープングレップ。
そうだね。そのままで使うよりは嬉しいって話なのかな。
すごい解像度激アサなまま来ちゃったこと、今。
すごい反省してるんだけど。
まあそうだね。包括的なルールセットと。
まあそうだね。
インテグレーションの部分が、まあ記事の主題としても大きいのかな。
セムグレップオープングレップあんま使ったことないけど、どうなんだろう。自前で。
私もね、ないんですよ。
自前でやるのが結構大変なら価値がある気がするし、
まあただのラッパーなんであればそんなにかもって感じなのかな。
わかんねー。
どうなんですかね。
なんかちょっとその手触り感がどうだったか普通に知りたいな。
ちょっとね、試してみようと思って。
まあでも、DIFに変なコード入るってなかなかない気がしてるから。
変な人から正常なプリコ予想って投げてくるみたいなパターンを検知するとかだよね。
今のところ現実的なユースケースとしては。
はい、そんな感じです。
続報があれば全でも書くかなと思います。
PCI DSS 4.0の要件
はい。
ありがとうございます。
じゃあ次お願いします。
PCI DSS 4.0 MONDAYS DEMARKED BY 31ST MARCH 2025
記事ですね。
発科ニュースの記事です。
まあちょっとサマリしか読んでないんですけど、ほぼタイトルの話が全てなのかなと思っていて。
PCI DSS 4.0がDMARKを必須か義務付けるっていうことになっているらしくて、
それが2025年の3月31日までですよっていう話らしい。
これ全然ケチャップできてなくて知らなかったんだけど。
僕も知らなかった。
ただ、PCI DSSのドキュメントの方をちゃんと読まないと何とも言えないなと思ったんだけど、
DMARKのポリシーもいくつかあるよねっていう話がまず気になっているのと、
あとはPCI DSSのカテゴリー問わず必須になっているのかとかちょっと気になったところとか。
そうか、そういうのもあるのか。
基本的には聴診記事なんだよね、これ確か。
はいはいはい。
なので別にそんな真剣に読む必要はないんだけど、
トレンドだとしてこういうのがあったんですねっていう話ですね。
パッとしゃべってきた記事ではノーンじゃダメっぽいのかな。
そりゃダメだろうか。ミニマムクァランティングが求められると思うんだけど。
そうだね。なんか今回、ちがうのよな、タイミング逃してシェアここで読めなかったんだけど、
DMARKの導入状況みたいなレポートがフィッシング対策協会から出てて、
日本が結構低いみたいな話があって、だからなんだって話でもあるんですけど。
結構どうなんでしょうね、皆さんDMARKが。
アメリカはかなり進んでるらしいんですよね。
言うとフォーチュン線のところからだけど。
監視の割合が日本は圧倒的に高いみたいな。
この動き自体が確定したのはもう2023年の話だったんですね。
ちょっと見てるけど。
まあ各社ちゃんとやってるだろうな、PCI DSS取らなきゃいけないようなところ。
時が来たって感じなんだろうね。
なるほどね。
掘って出てきた記事を読み込んでしまいましたね。
ありがとうございます。
じゃあ次行きますか。
研修の進め方
開発組織のためのセキュアコーディング研修の始め方を紹介したスライド全32ページを無償公開しました。
JMoFlat Security Blogの記事ですね。
どうでしたか?
セキュアコーディング研修の資料が見れるのかってすごい脊髄で食いついて読んじゃったんですけど。
そういう話じゃなくて、
セキュアコーディングを開発者に学んでもらうための方法論というのがいくつかあって、
それのプロスコンスとかをまとめてくれてるのと、
兼労というサービスをJMoFlat Securityさんが提供してるんで、
それだとこういうメリットデメリットがあるっていうのもある意味サービス紹介じゃないですけど、
そういうのも交じりつつのスライドが公開されたって感じですね。
なんか研修内容ではないっていう感じですね。
いくつかあれかな、
多分選択肢みたいなのをざっと話せるから。
そうね、いくつかあったな。
内製するパターン、研修コンテンツを内製するパターンの話と、
外部、違うな、もっとイメージがある。
内製の利点欠点と外部の学習コンテンツの選び方っていうので、
IPAどうの公開しようとか、一覧の表っていうのがあるかというとないね。
なかったっけな。
無料の学習コンテンツで安全なウェブサイトの作り方とかやられウェブアプリとかを紹介してて、
いいラーニングがあるよとか元老を打ち合ってるよみたいな話とかが書いてあるだけで、
まとめの1枚みたいなのは多分ない。
あと本読んで、勉強するっていうのも当然できるよとか、
集合研修ね、集合研修の人とか。
そうですね。
書籍でこれいいよは別にでも紹介してくれてないのがちょっと。
確かに。
なんかあんま難しかったのかな。
ある?書籍でこれってある?
まあ、鉄板は徳丸本なんじゃない?
足りなくない?
まあ。
足りなくない?別に徳丸本がダメなわけじゃないんだけど。
わかるよ。
いや、それで言うと、僕はこれっていうのはないっす。
でしょ?
いや、ないと思うんだよな。
それこそセキュアバイデザイナーの本とかは買っただけで、
全読でKindleのライブラリに入ってるだけなのかな、私。
はいはい。
でも、一冊で全部モーラー無理なんじゃないかな、それで言うと。
まあ、でも、なんかそうですね。
セキュアコーディング研修。
そもそも論として、このセキュアコーディング研修みたいなのって、
開発者としてどう思いますか?
いや、正直受けたことないんですよ、僕。なんで。
想像でしかないけど。
まあ、でもいい研修だったら受けたいなって素直に思うけどね。
いい研修だったらね。
いい研修だったらね。
含みしかねえな。
まあ、含みしかないんだけど、その、なんか。
いや、これこそ、あの、わかんないですよ。
わかんないですよ。その、僕は何も知らずに言うけど、その。
何だろうな。
あの、前のキャリアの話じゃねえけど、
セキュリティの庭だけを、庭でプロフェッショナルの人が作る資料とかは、
ちょっと刺さりづらいんだろうなって想像は容易にできる、なんていうか。
なんか結構、その、研修資料、誰が作るのか、外部なのか内部なのか何でもいいんですけど、その。
出来上がるものはソフトエンジニア目線っていうのが入ってないと、やっぱ結構。
刺さりづらいよなとか、なんか刺さんないと覚えないじゃないですか。
その、なんか、なんていうか。
そうね。
なんか。
いやー、その、そうなんだよね。
うん。
なんかそういう意味で。
いや、なんか。
ハードル高いこと言ってるのわかるけど、刺さる資料を作ってるんだったら、
あの、別にプラスにはなるんじゃないかなっていう。
だからじゃあそれを、なんか毎年やるのとか、定期的にやるのとか、発展させていくのとか、その。
いやー、なんかね、作ったものボコボコにしてもらうのが一番早いんじゃないかなって思ってたんだけどね、俺。
作ったもの何?
作ったものをボコボコにしてもらうのが一番早いんじゃないかなって思ってたんだけどね。
あー、そう言ってたね。
いやー。
んー、まあ、それもわかる。
てかなんか。
いやー、なんかね。
うん。
いや、マジ、ただの愚痴でしかないんだけど、その、うちで受けた、それのe-learningみたいなのが、
どこのコンテンツ引っ張ってきたのかわかんないんだけど、
うん。
マジしんどかったんだよなー。
いやー。
しんどかったんだよなー。
なんかね、ほん、いやー、ほんとしんどかったんだよなー、あれ。
もう二度と受けたくないと思って。
そんなことある。
そのー。
ほんとだね。
なんか、年間、なんか一回でもそのコミットしてたら、
うん。
オーガニゼーションのそのリポジトリの中で一回でもコミットしてたら代償になるみたいな感じだったから、条件が。
二度とコミットしねえって。
二度とコミットしない決意を今持って。
やばすぎ。
二度とあれ受けたくない。
へー。
マジしんどかった。
そんなにかー。
うん。
二度とコミットしねえ。
いやー、マジで。
え、何がしんどいの、それ。
うん。
わかんない、言える範囲にいいんだけど。
いや、なんかちょっと、なんか別に間違ってないんだけどちょっと間違ってるのよ。
あー、やだね、それは。
シンプルにやだね。
そのー、なんて言ったらいいんだ。
あー、例えばセッションフィクセーションの対策。
うん。
あー。
違うな、なんだっけな。
あーそうだ、えっと、アンチCSRFトークンの話かな、たぶん。
で、なんかそのミニマムの要件ってセッションユニークなそのランダムなアンチCSRFトークンが入ってればいいよって話。
うん。
なんだけど。
うん。
でも必ずバンタイムにしてくださいねみたいな話。
うん。
なんか。
うん。
喉の。
で、なんか今、そう今時そのもうフラッシュとかもないし、なんかそのオリジンのチェックでいいよねみたいな話。
うんうんうんうん。
開発とセキュリティの関係
オリジンのチェックとえっとあとはあれか、えっとシンプルリクエストにならない。
うん、そうだね。
ヘッダーがついてるかどうかのチェックで、まあだいたいコトたりいいよねみたいな話があると思うんだけど、そのバックエンドとフロントエンダが完全に分離してる場合は。
うんうんうん。
なんかそれとアンチCSRFトークンを教えておけば俺は十分だと思うんだけど。
うん。
なんかCSRF対策だけでなんか4つとか5つぐらいなんかそのOWASPのなんかOWASPで紹介してる内容とかなんかポロポロポロポロなんか書いてあって、なんかその合ってるんだけど間違ってるんだよね。
なるほどねー。
そう。
面白い。
すごい気持ち悪かった。
どっから、分かんないこれでも本当社内の誰かがもし作ってたものだったら本当に申し訳ないと思うんだけど、良くないと思います。
研修コンテンツの効果と重要性
ははははは。
はっきり言わないとね。
良くないものには良くないと。
良くないものには良くない。
言わないといけないと思ってるけど、まじでちょっとしんどかった。
うん。
いやなんかそういう差し加減みたいなの結構ムズいかもね今話聞いてて思ったけど、なんていうかさ。
うーん。
そのー、ね。
なんかそのー。
いやてかなんかこのコンテンツで良いと思って出してる側はなんも分かってないだろうなって思いながらやってた。
うーん。
これでなんか別に、なんていうか、ただただ時間を食い潰してるだけだし。
うーん。
なんか必要なポイントが何なのかっていうのは分からずに終わるし。
うんうんうん。
なんか、うーん、なんも良くなかったあれ。
なんかある種のさー、いやディするわけじゃないんだけど、そのー。
うーん。
IPAの試験味というかさー、そのー。
うーん。
例えば、データベーススペシャリスト、僕取ってないわ、取ってないけど、ネットワークスペシャリストっていうか、そのー。
ネットか。
ま、デス、やっぱデスペディア。
データベーススペシャリスト取るときに、じゃあソフトエンジニアとしてRDBされるときに、なんかそのー。
いやそれ、何だろうな。
いやもう試験以外で一生使わんわみたいな知識とかが混ざってて。
えー。
例えば?
いや分かんない。
分かんないけど。
アトミ、アトミシティは試験以外では使わない知識ですか?
使うんだね、使うんだよ、そのー。
いやそのー、具体で思いついてイジワルしないでよ。
アシット、アシット、アシット特性は試験でしか使えない?
使うよ。
使うけどさ。
使うというか、なんか、うーん、いやなんか言いたいのはそのー、何だろうな。
そのー、あのー、文部科学省に教科書作れって言われたら、まあ入れるっちゃ入れるけど、でもなんか実生活、じゃあ本当に使うの?っていう、なんかラインがある気がして。
えー、デス、デスペにそんなんあった?
え、ちょごめん、デスペ、デスペ出したのが悪かった。俺デスペ受けてないからその、想像で言ってるけど。
デスペ、デスペ、いや意外とね、あるよ。
なんか、そのー。
え、じゃあじゃあじゃあ、ネスペにするわ。ネスペで、あのうっすらうろ覚えだけど、なんだっけな、その、なんかDVDとBlu-rayの中のなんか転送フォーマットのプロトコル名みたいな。
うんうん。
なんか、いやーわかんない、ちょっとダメだ、もう伝えられる気がしなくなってきた、なんか。
何だろうな、なんか。
もうデスペの例を出した時点で説得力が終わってしまった説が。
いやでもなんかその、わかんない、現場の差し加減というかさ、その、なんだろうな、なんだろうな、今の。
まあソフトウェアエンジニアのその割と、そのあくまでアプリケーションを書いてるよっていう人たちからするとネスペの知識っていうのは確かにそうかもしれないね。
でもデスペは結構近いと思ってて、なんか、長くいろいろやってると、あーこれデスペでやったやつだわーっていうの出会うよ、やっぱり。
あーそうなんだー。
それアシット特性の話とかもそうだし、なんか、トランザクション分離レベルとかって、なんか。
必要だね。
あれはどうなんだろう、必要だよね。
必要。
前。
あとなんだろう、あのインデックスの話とか。
インデックス、そうだね。
あの、B3か。
B3だってるよね。
B3だってる。
B3の話とかさ、なんか、結構生きてると出会うと思うんだけど、そのネスペの話はだからそうじゃなかったっていうだけの話なんだろうなと思っていて。
なるほどね。
ごめんなさい、ちょっとIPAにすいませんします。ごめんなさい。
まあいいや、なんか。
でも結構ね、難しいよ、その、あの、なんだっけ、えっと、ネスペの話で結構しんどいなと思うのは、あの、なんだっけ、えっと、IPチェックのESPヘッダーの話とかさ。
ヘッダーフォーマットというか、パケットのフォーマットがこういう順番で並んでるよみたいな、ここには何が入るよみたいな。
そうだね。
あるね。
あれは出会わないなと。
うんうん。
でもそれも多分出会う人もいるんだなと思う。
そうだね、確かに。
うん。
いや、そういうと、まあそうか、じゃあちょっと一旦、忘れなさい、ネスペの話忘れてまって。
いやまあだから、分かんないけど、あの、IPAの試験は悪くないよ。
ごめん、なんかちょっと忘れ終わって、ちょっと元々、元々ちょっと話した。
はい、はい、はい、忘れました、はい。
話そうと思ってたことをちゃんと思い出したんで、思い出したっていうか、自分の中でグッと戻したんで、話した。
はい、どうぞ。
忘れました、はい。
なんか、えっと、さっきのやられ、ボコボコにしてもらうみたいな話も出てちょっと思ったけど、なんか、その、
うん。
まあでもこれ言ったらもう全ておしまいおじいさんなのかな、なんか目的次第じゃないっていう気もしていて、なんか。
そうね。
うん。
どうなってほしいのっていう、なんか。
そうね。
セキュリティ大事にしないとまずいんだよっていうのを教えたいんだったら、療養所に行った方法めっちゃいい、なんかベストに近いだろうなと思うし、
うん。
その、ね、なんか、こういう開発をしてる人たちがこういう傾向があるからここを忘れないほしいってあれば、
まあその研修も多分、ハウの一つなんだよな、そういうと、だから、なんか。
まあそれはなんか。
そうね。
うん。
だから目的に一致したコンテンツを作れないと、その話にならんっていうのは間違いなくあると思っていて。
そうだね、そうだね。
ってなった時にその画一的な、そのどっかから拾ってきた、あるいは買ってきたコンテンツをそのやらせて、なんか効果があるとはどうしても思えなくて。
そうだね、そうだね。
やりましたっていうポーズが取りたいだけでしょって。
うん、間違いない。
うん。
いやー。
だからその、研修コンテンツの内製というかカスタマイズをしますよっていうサービスは価値があると思う。
うん、そうだね。
どこの会社でも使えるコンテンツを売ってますわ多分。
まあちょっとフラットさんには悪いけど、なんかちょっと快適に売れてしまう。
そうだねー。
うん。
なんかもしかしたら新卒向けとかだったらワンチャンのかなとか思ったりするけど、右も左も分からんみたいな。
うーん、まあ新卒、新卒こそでも結構ばらつきが激しいからさ。
あーそうか。
なんかそれこそ難しいよね。
なるほどね。
うーん。
いやー。
でもやった人たちに対してっていうのはむしろたぶんばらつきが減ってくると思っていて、
そのあーあるよねそういうのっていう、なんかあるあるがたぶん通じやすくなってくると思うんで。
うーん。
うん。
なるほどねー。
そうね、ハッキング練習系の練習。
あとはなんかさっきのさ、その結論境界値テストでいいよねそれみたいな話とかさ。
うんうんうん。
なんか。
うん。
確かにねー。
あなたが書いているそのアプリケーションでSQLインジェクションを防ぐためには何をしなきゃいけないか、何に気をつけなきゃいけないかっていう話をしないと、
うん。
なんかまあ本質的には意味がないんじゃないかなと思っちゃうと。
うーん。
まあそうは言っても難しいよねっていうその、なんか持ち帰って、研修で得たものを持ち帰って、
うんうん。
自分が書いているそれに対してそれを適用するためには何をしなきゃいけないのかっていうのは自分で考えてねっていう話なんだとは思うんだけどさ。
脆弱性の理解と対応
なんか。
うーん。
結構難しいと思うんだよ。
うーん。
難しいね。
まあでも、いやー難しいな。
かといってじゃあなんか別の接点でこの部分にアプローチできるかっていうのは今考えてるけど。
まあなんかなんか、まあそうだね。
まあ、なんか全体感で考えないといけない気がするな。
まあ当たり前の話だかもしれないけど。
うーん。
まあ難しいなー。
なんかどっちかっていうとさ、なんかもっとこう身近にさ、こんな脆弱性がありましたをさ、なんか都度発信していく方がさ、なんか有意義なんじゃないかなと思っちゃうんだけどな。
その一発バーンって研修受けてくださいっていうやり方より。
そうだね。
そういう意味では、その弊社で去年か一昨日ぐらいから、去年かな?去年から始めたんだけど、その年次の脆弱性診断の結果をエンジニア全員集めてガッツリ解説するみたいなやつをやったんだけど。
まあ割と刺さってる感触はあるというか。
で、自分たちが書いたコードでこういうのがあったみたいな。
で、まあ見れば誰もわかるんだけど、まあちゃんと脆弱性というか。
それはね、実感としてもあるしわかる。
あとは個人的にちょっと難しいと思うのは、そのネタをどっからどう供給し続けるかは、ちょっとちゃんと考えたことないなって今思ってる。
そうね。
なんかね、いやーなんかね、難しいなと。
なんか今何考えたかっていうと難しい。
ネタを供給するのも難しいし、じゃあ例えばこれ今終始でやってるやつのうち、ちょっとソフトエンジニアに達成するのが面白そうな記事って結構ちょこちょこあるから、それを月次で紹介みたいな、LTじゃないけど社内報みたいな感じでやるとかも。
まあ結構何回か考えたりするんだけど。
なんかその草の根的なところだよなとか興味持たない人はもう見に来なくなりそうだなとかいろいろやってから言えよって感じだけど、
自分がじゃあ逆の立場だった時に、面白いねって言って、まあどういう形でもいいんだけど、能動的に聞きに来てくれるものを作るっていうことを結構真剣に考えると結構難そうだなっていうのもちょっと。
まあでも一人がみんなを集めようとする、一人がみんなに伝えようとするっていうやり方だから結構難しいんじゃないかなって。
あーなるほどね。
例えばスラックでなんかポッとサマリとか共有して、なんかそれを誰かが読んでおって思って、それを例えば他の誰かに共有する、チームの中で共有するっていうその連鎖があれば、なんか十分いろんな人に伝わっていくと思うし、
なんか全員がそれに興味を持って見に来てもらうっていうのは必ずしも必要ないんじゃないかなって。
なるほどね。
でも確かにネタの供給権が難しいっていうのはその通りだと思っていて、
私も実際なんかこの全然セキュリティーの、セキュリティーに関係ないチームにいるけれども、それでもここで読んでていいなと思った記事とか、これは誰にとっても読む価値があるなっていう記事とかは共有してるチームの見てくれる。
あーなるほどね。
こういう記事があって、これはこういう理由で、こういう記事でなんかこういう話をしていて、これはこういう理由でここの人たちにとっても有益なものだと思うので持ってきますように見てくださいっていうのをやったりしてる。
なるほどね。確かに。大事やな。地道やけど。
開発チームのセキュリティへのアプローチ
チームではやってるけど、社内にとかはあんまできてないから。
やりたいな。あーでも、あーそうね。
いやでもやってんな。思い出した。なんか不定期開催で2回だけやったけど、なんか過去にあったでかいセキュリティーインシデントのについて、ただ30分セキュリティーチームプラス当事役オーバーイティでワイワイ話すっていうのをやったりしたわ。そう言うと。
ちょっと実施がヘビーだけど。そういうのもいいかもな。そういうのももうちょっとやってみた。
あとなんか思うんだけど、ソフトウェアエンジニアの特性としてそこそこ抽象度の高い課題として渡してあげた方がいろんなところに横展開しやすいみたいなのってあるんじゃないかなと思っていて。
その、戦略性診断の結果を共有するとかはかなりいいやり方だなと思うし、どうしたらじゃあこれを、そしてエンジニアリングで解決できるんだっけっていうところに意識が向かっていくと、なお良いんだろうなと思うし。
確かにね。
なんか冒頭の文字数制限の話とかもそうだけどさ、じゃあ境界値テストを必ずみんながやるようにするためにはどうすればいいんだっけとかさ、開発のクオリティっていうところに課題を落とし込んでいってもらえるといいんじゃないかなと思っていた。
なんか要はだから境界値テストをやってくださいっていう打ち込み方をするんじゃなくて、境界値テストがアプローチとしてあり得るよね、じゃあそれをどうやったらみんなやってくれるようになるんだっけっていうところに自然と向かっていくようなやり方ができるといいんだろうなとかは思うんだよな。
っていう中でじゃあそもそも境界値テストをやるとしても、じゃあデフォルトでマックスの文字数が必ず指定されるようにしておけばええやんみたいな話とかさっきしたと思うけど、ああいう話とかも。
そしてエンジニアリングでじゃあ解決しましょうねーの一つだと思っていて、なんかそういう関係性みたいなのが、関係性っていうか空気感みたいなのが醸成できるといいんだろうなとは思うんだよな。
確かに。
それってなんか結構大きくなってきちゃうと難しい気がしていて。
難しいと思う。
で、小さい時からそれをやっていって、みんなが分かってる状態っていうのがちょっとずつちょっとずつ会社が大きくなっていく、チームが大きくなっていく、組織が大きくなっていくにつれて、少しずつそれが広がっていくっていうやり方ができないと難しいだろうなと思うから。
だからこのみんなでじゃあeラーニングで研修受けましょうみたいなのが成立しうるんだと思うんだけど、それがどこもできてないから。
確かに。
でもなんかまだこれからできるところはやったほうがいいと思うし、やったほうがいいっていうか結構難しい話ではあると思っていて、じゃあやりましょうって言って簡単にできる話ではないと思うけど、やってみるだけの価値はあると思ってる。
そうだね。
それはそういうのにさね、生成AIじゃ生み出せない価値でしかないなって。
マイクロサービスアーキテクチャのデータベース管理
生成AIでも一定できそうな気はするけどな、なんか別に僕らがポッと思いつく程度のことだったら生成AIも教えてくれそうな気がするし。
まあ利活用の方法はあるだろうね。
いやー、あざっす。
なぜそれをやらなきゃいけないのかっていうのを真に理解してもらわないとその輪は広がっていかないと思ってるので、ここはなんか僕ら自身がちゃんと自分たちの言葉で伝えていかないといけない部分なんだろうなとは思いますね。
間違いないですね。
ちょっと明日考えよう。
考えましょう。
とりあえず。
考えましょう。
PayPalの記事はぬるっとおかしい。
あざっす。
じゃあ次お願いします。
次がちょっとオフトピー的なやつですね。
Cloud SQL for PostgreSQLのインスタンス投稿っていうメルカリのエンジニアリングブロックの機器ですね。
メルカリショップのアーキテクチャがマイクロサービスで、サービスごとにデータベースが存在していて、ちょっといろいろしんどいからデータベースを統合しましょうっていうのをやってたらしいというお話です。
インスタンスを統合って言えばいいのかな。
インスタンスを統合。
マイクロサービスごとに。
いわゆる1個のインスタンスの中に複数のデータベースを持つっていう状態にしたんだよね。
データベースの接続先は同じホストにつないで、データベースの接続先は多分、データベースそのものは多分サービスごとに分かれていてっていう状態だと思うので、
接続は別に統合したとて変わらずやれる、向け先さえ変えてあげれば。
なるほどね。
面白いね。
結構、細かい手順とか背景とかは読んでくださいって話なんだけど、
割と最後の最後で、旧データベースの接続の仕方をDNSベースの接続にして、
切り替え後に移行作業が終わった後にDNSのレコードの向け先を変えてあげることによって、
アプリケーション側では向け先の変更をせずに勝手に向け先が新しいデータベースに変わっていくやり方を取っていた。
これちょっと頭いいなと思って読んでました。
面白いね、確かに。
切り戻しも簡単だしね。
いいね、こういうのやりたいな。
なんかシンプルな記事ながら、結構学びが多いし、いい記事だなと思って持ってきました。
まずこのDMSとか知らなかったでしょ。
データマイグレーションサービスっていうのがGoogleクラウドのマネージドサービスであるらしくて、
なんかデータベースに移行ができるマネージドサービスらしいんだけど、存在を知らなかった。
なるほどね、マイクロサービスアーキテクチャゆえのか。
面白いな。
あんま複数インスタそういうのみたいなのしたことなかったからわかんないけど、
わかんないっていうかパッとは想像できなかったけど、
パッと読んでいくとなるほどねって感じがするね。
面白いね。
偉いな。
こういうのやりきれるのはさすがというか大事な力ですね。
そうね。
ありがとうございます。
面白かった。いい記事でした。
ちなみになんか画像の表示がおかしくぶっ壊れてて最初これ読んだとき。
はいはいはい。
なんか社内でぶっ壊れてますよって。
ポッドキャス聞いたね。
連絡して。
素晴らしい。
すぐ直してくれて良かったです。
記事も良かったし、社内の対応も良かったです。
お疲れ様でした。
お疲れ様でした。
スタートアップのセキュリティ対策
全て100点ということで。
はい。
よし。
じゃあ次いきます。
はい。
まぁサクッとで良いかな。
Fishing attack hides JavaScript using invisible Unicode trick
っていうプリピンコンピューターが来て。
またこれか。
Unicodeシリーズ。
めっちゃ続くねこの話。
たまたまだろうけど流行ってんのかな。
ちょっと面白い。
誰かが見つけたのに多分便乗してみんな色んなもの探してるんだなって。
これにも使えるぞあれにも使えるぞみたいな。
ありそう。
過去2回はLL文脈ですけど今回はシンプルにマリオは隠しってやつで。
でもこれあれだね。
2024年の10月に見つけてた人がいて。
で、なんか実際に使える手段が出てきたよ。
使える方法が出てきたよみたいな。
記事の中身としてはね。
そういうことか。
ちょっとそこまで読みたいな。
記事の内容としてはタイトル通りであって、
その見えない文字。
人間がUI上では見えない文字っていうのを
JSONのペイロードに混ぜて
マリオを隠すっていうやつですね。
これすることによってマリオの
いわゆる検知みたいなところから引っかかりづらくなるっていう感じ。
別録音エンコードすると分かりやすく
めちゃくちゃ隠された文字が出てくるみたいな画像があるんですけど。
確かにこれやるのが一番分かりやすいなと思うんです。
そういう記事ですね。
これさ、思ったんだけどさ。
何て言ったらいいんだろう。
LLMのサービス提供側でこういう文字を落としてくれればいいじゃんって話を
安直にこないだしてたけどさ。
この何度かされたJSONのコードを解いてよっていう依頼を
投げられなくなっちゃうね。
そうだね、確かに。
それは確かに。
だからやっぱ受け取ったものは受け取ったまま解釈してくれるっていう方が
いいんじゃないかな。
難しいな。
本当だ、2024年10月に手法を紹介したけど
紹介してすぐ武器化されちゃったのか。
なるほどね。
前の実証されてないけどみたいな研究
ここで読んだやつとかも速攻使われてると思った方がいいというか。
面白いね。
どうでもいいけどWeaponizeってちょっとかっこいいよね。
かっこいいかも。
めっちゃかっこいいけど結構どうでもいいね。
でもかっこいい、Weaponize確かに。
そうね、Hangul使って。
Unicodeいいね、こういう。
いいのか。
闇が深すぎる。難しすぎる。
攻撃者目線おいしいんでしょうね。
そんな感じです。
じゃあ最後いきますか。
スタートアップでセキュリティを改善していくための手順書っていう
第2のTechBlogの記事ですね。
俺たちの浦弘さんの記事でございます。
元同僚です。
Webの利益に関わってた人がみんな今セキュリティをやってると考えると
ちょっと感慨深いですね。
確かに。
何か理由があるのかなとはちょっと思っちゃうんだけど。
浦さんがどういうセキュリティを今やってるのかちょっと分かんないんだけれども
スタートアップの成長に伴いプロダクト利用の拡大とともに
セキュリティの重要性が高くなっていったよと。
社内にセキュリティ専門家がいない中で体系的な対策が必要っていうので
今やってるよっていう話なのかなというふうに思います。
いろいろやってたっぽくて。
どうでしたか?読んだ?これ。
軽くなんですけど
ほんのネタバラしほどでもないんですけどちょっとネタバラすと
実は相談ちょっと受けてて
相談中か立場ちょっと似てて
当初の立場はセキュリティチームなくて
でもセキュリティやりたいと思っていて
どっから手をつけましたか?みたいな
テイクスでどうやりますか?みたいな話をしてて
うちはこうやったけど戻れるならこういうふうにした方がいいかもとか
仲の話聞いてこの辺から手をつけてもいいかもしれないみたいな話をして
あれうらさんってもともとセット?
僕が仕事してた頃はセットだったかな
フロントエンド周りのオプスっていうかセットって感じ
でもマジで何でもできたから
インフラめちゃくちゃ強かったし
フロントエンドも全部わかるし
マジで何でもできるって感じ
今も結構プラットフォーム的なチームにいて
割といろいろ見てますで
かつてマネージャー的なこともしてるのかな
セキュリティやると
なるほどじゃあ結構マルチに
そうだね
セキュリティやるっていうのもチームを作るのは多分
その当時の
もう分からん半分ペラペラ喋ったのに喋んなほうがいいのかな
でもすぐチーム作るってなって
2人バンって採用とかできないじゃないですか
なんかで多分リードしてやってたんじゃないかな
っていう感じな気がします
なるほどね
なんか結構体系立てて整理してていいな
浦浩さんの良さが出てるなっていう
なんかIPAのドキュメントを教科書として使ったよ
みたいな話とか
方針決めて資産の洗い出しして
教員のリストアップして
リスクスクォアを算出して
上から順にやっていくよみたいなやり方
完璧ではなくてもまずはプロセスを確立して
継続的な改善に取り組むみたいなことをやってる感じ
まあなかなか
教員の種別がなんか結構
ちょっとGPTを多分使って
開発とセキュリティの関係
リストアップしてるような感じだったのかな
見てる感じ
面白い
なんかここが確かに一番難しいよね
割とバーって流し読みして
ステップ3のリスクの算出のとこで教員の種別っていうのが
表として出てくるんだけど
これどっから引っ張ってきたんだろうなと思って
そんなに網羅性があるとも思えないし
レベル感が全然揃ってないなと思ったら
どうやらちゃんとGPTから取ってきてる僕って
いやーこれ作るの最初
いや別に今もすんなりできるわけじゃないですけど
結構苦労するというか
なんか悩ましさはあるんで
わかるなーっていう
そうね
まあでもちょっとGPTに聞くと
まあこんな感じで割と連想しやすい
リアルなものが出てくるっていうのは
いいのか
それはそれでいいのかもなとはちょっと思いましたね
割となんかでも
どうなんだろうな
あとは今日話したところで言うところの
ある意味
初手は多様性がそんなに求められない
トピックな気はしてて
あるあるに対処すればいい
そうそうそう
とっかかりとしては
そこからもちろんその組織では
じゃあどれが危ないのとか
そういう掘り下げは必要だけど
スタート時点としては
実は悪くないんじゃないかと気はする
そうね
トレンドとかまで何か加味するかはちょっと
わかんないなと思うけど
確かにリュウと言われてみれば確かに
ランサムな話とか
割となんかちょっと知ってると
例えばその
ストライドをベースに
みたいな話とかが多分出てくると思うんだけど
ストライドの場合は多分そこから
局所ごとに
ブレイクダウンしていかないといけないので
結構コストが高いのかなと思っていて
そうだね
っていう中でちょっとGPTとかに頼れるっていうのはいいんだろうな
良さそう
どっちかっていうとでも
ストライドのモデルに沿って脅威のリストアップしてよとか
のなんか依頼の仕方の方が
良いものが出てきそうだなとちょっと思った時は
面白いね
なんかこの辺
もうなんか
やり込み要素がちょっとあるかもね
確かに良い使い方だよな
なんか私も結構こういう使い方してるかもしれない最近
なんか時間かければ連想ゲームで全部自分でアウトプット出せるんだけど
なんか
めんどくさみたいな時にバッと出してもらうみたいな
なんか他にもないっていう
これとこれってなんか近いと思うんだけど
なんかどうだろうね
あの人か
あの人すごいフワッてしてるんだけど
分かるよ
アニメ壁打ちじゃないけど
そうだね
発散させる上では結構いい相棒になるかもね
いやー
そうね
なんか書いてくれてるけど
なんか
セキュリティの専門家に相談できるならそれがベストですっていう風に書いてくれていて
セキュリティ専門家へのアクセス
なんか
このセキュリティの専門家へのアクセスが難しい問題みたいなのってあったりするのかな
うーんあると思うなー
いやあると言ってるのは
例えば僕もヤギ足と知り合いじゃなかった時に
じゃあセキュリティ誰だよってなったら
Twitterで叫ぶ
か
でもそれでもダメだったらもう
じゃあ
それっぽい会社
ちょっと話聞いてみますよみたいな
でもさ
もうそれは知ってる
急にコスとかね
その目線
多分聞く前から間違うんだろうなと思いながら聞きに行くんじゃないけど
難しいな
なんかセキュリティの専門家にアクセスすることは難しくないんだけど
その自分が思うこれぐらいの感じで相談ができるセキュリティの専門家みたいにアクセスするのが多分
結構難しいのかな
なるほどね
じゃあなんかココナラとかにいないのかな
ん?
ココナラとかにいないのかな
ココラ?
ココナラ
ココナラ
ココナラ
ココナラ
ココナラ
ココナラ
ココナラ
ココラ
ココナラ
あーココナラね確かに
うん
いやーでも
ワードプレスサイトにセキュリティ対策します
あの
めっちゃワードプレス出てくるんだよウケるセキュリティで検索すると
ヤギ橋がココナラに
httpsにします
うん
出すのって話じゃん出さないでしょ
いや出してもいいかなって思った
あーほんと?
そんなにアクセスが難しいんだったら出してもいいかな
でもなんかさ結構むずくない?そのこう
お互いに探り探りなところあるじゃん
そうだねそうだね
うん
あーそうだねそう
なんか外話しづらいってのはシンプルにあるかもな
うーん
いやなんかなんか
情報セキュリティの不安疑問にお答えします
うん
わかんないけどこの僕の会社の初期のフェーズも
推測ですがこういう第二次産のフェーズとかも
このタイミングで相談しようって思うと結構なんていうか
投げる球の抽象度が高いから
それをさばけるような人ってなると
結構自分が気持ちのハードル上がるのかもね
うーん
なんかバックエンドの専門家を探すとかあったら結構
うーん
これもなんか
たぶんトキタマデルソフトエンジニアの
セキュリティの
セキュリティに対する解像度が一定まで上がらないと
その何をどう出せばいいかもちょっと分かりづらいというか
うーん
フロントエンド改ざんしたいなって思った時に
じゃあヒロピーみたいな専門家呼ぼうってなった時に
どういう風に切り出そうかなっていうのを考えるのって
パパパって思えるんだけど
セキュリティをどう切り出そうかと思った時に
今の僕なら結構切り出せるけど
じゃあ2年前に同じこと切り出せるかって言われると
たぶん切り出せないから
じゃあその切り出しから一緒にやってもらえる人とか
その手伝ってもらえる企業なのかを探さないといけないよね
っていう気持ちになってるはずだし
まぁ実際なってたし
そうなった時に
人捨てがないってなると
もう結構難しいっていう気はする
そうね
かといってよく分からんセキュリティ
情報の非対称性と問題解決
まぁ言い方悪いですけど
よく分からんコンサルを掴みたいわけでもない
当然ないので
そこがね
でなんかこれは全然別の人から
と話して
まぁ話半分に聞いてほしいですけど
そのなんだろうな
ある種コンサル的なところというか
人とかに手伝ってもらった時に
僕が起きそうだなと思ってたし
その人が起きたって言ってたのは
なんていうかその
これはなんかその人が悪いじゃなくて
情報の非対称性も原因だと思ってるけど
その
まぁ教科書的には100点をやればいいよっていう
そのアドバイスをもらうんだけど
いやそれが取れないから困ってるじゃんっていう
その溝みたいなのが必ずあって
なんかその
それをなんか上手に埋めてくれる人みたいなところが
結構なんだろうね
それはなんかその
出す側がちゃんと開示できてなかったのか
その
そこを汲み取ってくれる人
もしくは企業じゃなかったのかっていう話は
定かではないですけど
なんかそういう溝とかは割とあるあるというか
生まれそうだなっていうのは
思ったりするって感じかな
そうね
確かに結構ね
うん
まぁ難しさはあるんじゃないかな
うーん
いやーなんか
うーん
そうね
どう
うーん
僕目線の話ですね
なんか
いやまぁまぁでもそうなんだろうなーって実際思うし
なんか
うーん
そうね
いやなんか
うーん
なんかそこでつまづくそこで苦しむ人が減ってほしいなって
純粋に思うんだよね
なんか
そうねー
そういう意味で言うとなんか
その文脈もそうだし別の文脈もそうなんだけど
この記事出してくれてるのめちゃくちゃいいなって気がしていて
そうね
うん
めちゃくちゃそう思う
まぁだからこそ持ってきたんだけど
うんうん
こういう実態があるというか
結構セキュララじゃんなんていうか
うん
うん
なんか
最近記事書いてなかったけど
見習ってやりたいなって気持ちにもなるし
うーん
やっぱな現実として
やっぱ
模索してる部分もあるし
変な話この記事見て
なんか
手伝うよとかあったらいいのかもしれないけど
ね
うん
だから専門家へのアクセスって話もそうだし
そもそも同じようなフェーズのスタッフ間で
こういう情報を開示しちゃうっていうのも
個人的にはなんか
動きとしては
僕自身の力で起こせるわけじゃ当然ないけど
なんかそういう雰囲気になってほしいなっていう
個人的な願いと
まあでもその
セキュリティのことだからっていうので
出すのにお呼び欲しいなったり
なんか統制されるっていう
企業も全然少なくないだろうなって思ったり
自分が出すときもちょっとそこは
すごい気をつけてやってるから
うん
そういう難しさもあるよなとか
うん結構
そうね
まあ特に2Bの事業やってる人とかは
そうだね
その辺かなりセンシティブに扱わない的なやつで
間違いない
うん
なんかニガティブな印象を与えてはいけないっていう
前提がある中で
そのまあできてることできてないこと
まだまだたくさんあるよねみたいな
状況でじゃあどこまで何を出せるのっていうのは
確かに難しい
難しい
うん
結構ね
なんか
なんかさあその
CTOとかだとさ
CTOの集まりみたいなの多分あるよね
あるね
あるねっていうか
まあなんかオープンクローズドいろいろあるんじゃないかな
うんなんかねその
なんかこう
セキュリティ担当者の集い
うん
やりたいよねやりたいというかその
エアガンがその大なり小なり
それないわけじゃないと思うんだけど
うん
うん
なんか小さいのでいいからやりたいよな
うん
なんか思うな
全然リスナーにいないだろうけど
ポッドキャストオフ会と称して
大体
喋りたい人だけ集めるか
大体
大体その誰が聞いてるのか本当に気になっていて
なんかちょっとあの
教えてほしいんだよなどういう
どう
本当に本当に気になってる
どんな人が聞いていて
その
なんかまあ仮に続けて聞いてくださってる方がいるとして
どんななんか何をこう
何に価値を見出して聞いてくださってるのかとかめちゃくちゃ気になる
気になるよね
あの
すげえ気になってきたな
この前さ
ふと発見したんだけどさ
リプレイFMっていうハッシュタグが空いてるんですよ
Xで
あそうなの
空いてるというか厳密には
僕のツイート含めて
6ツイートしかないから
これ空いてるって言っても差し支えないと思ってるんで
セキュリティへのアクセス
ちょっとこれ活用して
じわじわ
支配しようと思ってるのと
聞いてる人いたらそのハッシュタグで
感想をお願いします
なんか普通にね
ちょっと聞きたいな
なんか
分からんけどその
なんか
まあ仮にその
大きくない会社
まあ別に大きくてもいいんだけど
そういうところで
セキュリティの専門家みたいなところへのアクセスが難しいねみたいな
なんか
そういうところで困ってるつまずいてるっていう人が
いるんだったら
まあこのヨイラさんの記事とかはめちゃくちゃいいなと思ったし
なんか参考にしてもらえたらなーって思う一方で
なんか
まあ課題に応じて
なんか
誰かに声かけるみたいなの多分できるかもしれないし
私がね
そうだねそうだね
なんか相談してもらえば
まあ私自身がっていうケースも
場合によってはあるかなと思うんだけど
あんまりあんまりなんかたくさん副業を入れないようにしてるので
継続的にっていうのはちょっと難しいけど
なんかスポ
なんかそうだね
なんかサブスク
セキュリティ専門家何人かがいるサブスクスラックとかがあったら
めっちゃ需要ありそう
あの弁護士.コム的な
そうそうそうそう
でも結構ね真面目にねちょっと思うとこあるよ
あー
なんていうか
何.コムにする
へー
お答えします
セキュリティスターター.コム
なんかでも結構
あのーインタラクティブに話さないとわからない部分ってあるよね
そうだね
何がわからないかわからない
何が問題なのかわからない
みたいなところに対して
これはどうなってますかあれはどうなってますかっていう
そのなんか対話を通じて
あーそれはじゃあなんかここから確認した方がいいですね
あと結構難しいのがさそのランサム感染が起きちゃいましてみたいなのが入ってきてもできることないんだよね
ないね
なんかあのー
ないっていうか
なんかちゃんとしたベンダーに連絡してくださいって
大体なんかどこもその事故の時の窓口っていうのを用意してるので
話しか多分できなくて
なんか結構そこがあれ難しいよね
まあでもさその窓口ってだけでも結構価値あると思ってて
そのなんかね
自分たちだとプロキシさえできないというか
っていうのは自分も含めてやっぱあるから
うん
なんか
まあ現実はそういう感じっていうところなんだろうなっていう
気がしますね
専門家との対話
はいでもめちゃくちゃ良き記事でした
ライオさんもなんか話したいな
呼びたい人リストに作ったっけ
ユドーフさん
浦博さん
あと誰呼ぶ
ユドーフさん
全然本人たちの預かり知らぬところでこの話
もうじっちょ発球聞いてないんだ
ね
まず間違いなく聞いてる
森孝呼びたいな
森孝さん久々に話したいな
セキュリティーで来てきた側人種と
やむにやまれずセキュリティーをやって
うん
なんかちょっといい感じにセキュリティーやれてます
うん
な人たち
確かに
対談
対談
まあちょっとぼちぼち
いやー
言いましょう
じゃあ誰にパシリしてもらいますか
ツバメ
ツバメ
じゃあ収録後に打ち合わせしましょう
ツバメ来てくれるかな
偉くなっちゃったからな
ツバメさんが僕わかんないわ
ツバメさんフラットの
あーユネウチさんか
はいはいはい
えー
あスワローなるほどね
うん
偉く
まあ偉いそうだね偉い方でもありますな
偉い方だからな
それは嘘やな
確かに
ダウン
まあ
あの
入れとこう
呼びたいって思うな
ただだから
うん
はい
私が走りすればいいんだなこのメンツだって
そうねとか
えこれ全員呼ぶの
一人ずつ呼ぶんじゃないの
一人ずつ呼ぶの
え一人ずつ呼ぶの
なんかいっぺんに集めた方が楽しそうじゃん
スケジュール調整
えこれ集めんならさオフ会しようよ
もったいないよ
やろうよ
オフ会しよう
全然そのつもりだった
あーそうなの
あーじゃあオフ会
そうね
何.5の
なんかツイッターのスペースとかで暴れようよ
怖いな
いやオンラインでこの人数はちょっと
効率悪い
難しい
いやオフラインで集まって
ツイッターのスペースで暴れる
あーなるほどね
そんなもう始めましてもいいところ
人たちも言いそうな気がするけど
まあいいや
イベントとコミュニケーション
はい
今日はそんな感じですか
良い記事でした
はい
良い記事でした
いやー
お疲れ様でした
はいお疲れ様です
いっぱい読みましたね
じゃあ
いや
結局さ2時間超えなんだよな
まあ今日はねちょっと話したいものが多かった
最初だって20分話した
まあね
まず
最初なんであの記事でそんな
いややっぱねその開発との地続きに
この
そうね結構さ見極めが難しくって
その記事の内容からどれぐらい話すかが
全く読めないのちょっと面白い
確かにね
そうだね
ペーパーのやつとか別に
なんていうかね
あの記事自体は
まあ
2分で読める記事なのにね
うん
いやでもおもろいんだよ
面白いんだよ
だって転生しやいそうサバイバルガイドとか
別にもっと話してもよかった
それはそうだね
それもそう
これに対して
だって下手したらペーパーのこの話の方が
中々
そうだね
話せる時間
いやちょっと
まあ個人のね思いが
俺に関して
俺がちょっと
最近ねその
いやまあでもなんか
誰が読んでも読むべきものはさ
なんか別に
あえて触れる必要ない説は確かにあって
その
まあまあ
この一見普通にするされがちなところにある
なんかこう
潜在的な課題みたいなところで
こうして語れるのはまあいいことで
そうだね
いや全然
うん
いいことっすよ
うん
いやー
いやー
まあこんな感じで
やりたいようにやろう
この
誰も聞いてない選手
誰も聞いてない選手
あー
はい
いやでもなんかほんと
感想とか
あいやまじで
ほんとに
待ってます
うん
だからね会った時にね
こっそり教えてくれるパターンもあるらしい
あそうなんだ
うん
別のポッドキャストで
僕は
1回しか
なかった
2回かな
うん
見たことあるけど
いやまじ誰
誰が聞いてんだろう
なんかそれこそ
いやさ何の
何のコネクションもない人が聞いてるってなんか
ちょっと考えにくいじゃん
そうね
どうなんだろうね
オフラインイベントとかで話しかけていいですよ感を出しとけば
多分
話しかけてくれるよきっと
あー
うん
もういいよ
いつでも
はい
じゃあそんな感じで
来週もお願いします
よろしくお願いします
お楽しみに
おやすみなさい
いやーおやすみなさい
