リスナーからの便りとNCA・Izakの比較
こんばんは、Replay.fm 第84回です。
こんばんは。
こんばんは。
84回。
喉の調子が75点ぐらいなんで。
うん。
張り切ってやっていこうかなと思ってます。
なるほどね。頑張ってください。
なんか前回のやつ編集してたら、俺の声低すぎて笑ったわ。
なんか。
さっきあからさまに喉死んでて。
喉死んでるというか、喉死んでてセーブしてる声というか。
初めて聞いたのがあの音源だったら、この人テンション低いんだなっていう。
めっちゃ思われそうになった。
すごい。
最近なんか自分の録音聞いてないから、もう一回聞き直さないとな。
仕事中とかに流すといいかも。
意外とね、なんか聞き直してるとね、
あの、その2週目の試行に入って、
これなんか、この時はこう喋ったけど、こうじゃねみたいな気づきがあったりとか、
あと逆になんか訂正したくなるかと思って。
あー、おもろいね。
あー、これ違うなーみたいな、今聞いたら俺間違ってるわーみたいな。
普通になんかフリーアンプの設定どうしようしか考えてないわ。
まあ、流し聞きとかだと。
どうしてもそうなっちゃいますけど。
えーと、今回はなんとなんと、
第3弾って言い方は新しくないけど、3つ目のお便りが届いておりますので、
読みたいなと思います。
はい。
えーとね、多分前、だから今回84回なんで、82回の、
83はね、ちょうど昨日に配信したばっかなんで、82回を聞いてお便りくれたのかなと思うんですけど、
R1さん、ラジオネームR1さんで、
いつも楽しく聞いております。
またマネジメント系のセキュリティー会話にいますので、
同じソースの情報を技術寄りの視点としてとても参考にしております。
さて、Izakの会話がありましたが、
業界にもよりますが、
Izak共通的なシステムの利用を前提とせずに、
いろいろ行っているので、
NCAに参加するレベルのシーサーと思っていなくても、
参加しやすく、相談しやすいのではと思います。
なるほどね。
ワーキングなどはNCAと通じるものもあるかと思いますが、
業態に応じたセキュリティ演習や課題の共有、
規制当局のルールに関する整理や解釈などがあり、
人間関係も構築できれば非常に有用なコミュニティと思います。
NCAとしては地域で、
Izakは業態での括りで活動できるのは、
いろいろ利点があるのではと思っています。
なるほどね。ありがとうございます。
NCAってそんな地域単位の部会みたいなのがあるのかな?
この方も最後にNCAには参加していない。
でもシーサーとワークショップインチューブとかやってたりするから、
地元の地理的に近いところとかが集まって、
オフラインで情報交換するみたいな場にもなってるんだね、きっとね。
なるほどね。
確かに2つ同時にあってもいいじゃん、みたいなのは確かになる。
この方は中に、だからIzakに参加してる企業に所属してらっしゃるのかなって。
かもね。
その方の視点から見ると、なるほどなっていうことがあって、
めちゃくちゃ勉強になりますっていう感じですね。
NCAって略すんだね。
NCAって略すね。
ちょっと具合悪いけどNCAですね。
ググった?
ジャパンじゃないんだ、みたいな。
確かにね。
日本なんだって。
NIPPON。
なんかJCAがなんか被ったのかな?
かもしんないけど、でも別にじゃあNCAが被ってないかって言うとNCAも被ってたからな、今。
日本共同組合機構。
ジャパンコーンプレビュー。
アルファベット3文字のエントロピーなんてタカが知れてるからさ。
株主にしたら負けだよ。
確かに。
なんか気になってきちゃったな。
あと確かにね、シーサートなくても入れるっていうのは確かにって感じだな。
そうだね。
それこそこれ多分リューツ・アイザックの話を配信でしたなって時にやったと思うんだけど、
わかんないけど、
リューツ業とかランサーもとうとう怖いし、ちゃんとやっていかなきゃみたいな気持ちで参加したいですってなった時に、
でもほんとやり始めみたいな、シーサートはまだないみたいなパターンはあり得る気がするから。
そこのハードル下がるのはめちゃくちゃ良さそうだな。
そうだね。
NCAだと普通に一定ちゃんと大切に整えてないとダメだし。
紹介も必要だよね。
そうだね。
アイザック持つ手は必要になる気がするけど、
その業態とか業種っていう括りなんだから、
声も掛けやすいし、掛け入られやすいし、巻き込んでっていう話をしに行きやすいような、
そういう土壌みたいなのはあるのかもね、もしかしたら。
でもなんか、業種ごとのアイザックだと、
なんていうか、その、
アイザックごとの空気感みたいなのも色々ありそうだけどね。
どうなんだろうね。
分からんね。
見学したいな。
NCAさえ参加したことないですけど。
いやー、これでも横櫛に顔を出す2026年にしたいな。
どうしたどうした。
前回か前々回も言ったけど、
育休復帰したら飲み会を開きたいじゃないかと。
オフ会?
割と社内に閉じて2年間やってきた。
セキュリティに身を投じてから。
ちょこちょこ勉強会。勉強会でも行ってないかもな。
オンラインでちょっと行ったくらいしたと思うし。
顔出していきたいですね。
いいっすね。
やりました。
お便りありがとうございます。めちゃくちゃ嬉しいです。
引き続きGoogleフォームX、何でもお待ちしております。
じゃあ今日も記事、
ぬるい量、中くらいの量ですけど、
読んでいきますかね。
よし。
NISTによるNVD運用基準の変更とVulnCheckの対応
じゃあ1個目は。
今日多分読むチャンスが残るしかないから、俺が引くから。
NIST UPDATES NVIDIA OPERATIONS TO ADDRESS RECORD CVE GROWTH
なんだこれ。NISTの記事ですね。
未だにNISTなのかNISTなのか迷っちゃうんだけど。
NISTって読んでたな。
どうなんだろうね。
CVEの提出が、
CVEの裁判が多分多すぎて、
回んねえよっていう記事ですかね、一言で言うと。
記事というかもはや勧告というか、
今後CVEの運用基準変えますっていう話で、
具体的にどう変えるかっていうと、
今予習し忘れたと思ったんだけど、
CVEが発行されて、
NVDっていうデータベース、NISTがNVDに乗るっていう流れの中で、
従来の流れはCVEがNISTのところに来てNVDに乗ります。
ただ最初のときはレビューされる待ち状態みたいな。
NISTによってそれが正しいかどうかの保証がされてないっていう状態とか、
あとはCVSSが振られてないとか、
穴がある状態が最初で、
そこの状態からNISTの連携してる機関が1個1個レビューして、
完成した状態になって、これはレビュー済みですっていうふうになって、
NVD上でみんなで見れるっていうのが従来の流れだったんだけど、
今言ってくれたように流れ込んでくるCVEの量が多すぎて、
2024年ぐらいですか、めっちゃ話題になってここでも話した気がするけど、
もう裁判追いつかんってなって、
レビューするできるスピードを遥かに量が流れてきて、
消化しけないっていうのがずっと慢性的に課題としてあってみんな認識していて、
そこに対してもとうとう、実質白旗じゃないですけど、
もう全部見るの無理なんで、全部見るのでやめますっていうのが1つ大きな変えるポイントと、
あともう1つはじゃあどうするのかっていうところで言うと、
NIST基準で重要なもの、
プラス問い合わせ、個別にこれをレビューしてほしいっていう問い合わせが来たものはレビューしますっていう形になる感じですね。
具体的に重要なものは3つ例が挙がってて、
1つはKEVに載ってるもので、
もう1つがアメリカの政府で使用されてるソフトウェア。
3つ目がこれが大統領令140285で定義されてる重要ソフトウェアっていうのがあるらしくて、
それの渋いを優先的に、優先的にというか、それだけをもう評価しますっていう形になるって感じですね。
なんかこれさ、トランプになってから色々変わったりとかもあったのかな、もしかして。
なんかあったよね。
色々ゴタツイってはいて、具体的にはレイオフで体制がどんどん細くなってみたいな話あったけど、
ただこの滞留してんのはトランプ政権以前からだから、
まぁまぁまぁ、なんか遅かれ早かれっていうのもあったかなっていう。
まぁでもなんかこの、アメリカの国家機関として、
何を重視しますよっていうのをここまで明確に打ち出すっていうのは多分、
背景の動きとしてはそういうのもありそうな気はするよね。
まぁ確かに。
ちなみにこの大統領令で、なんかどのソフトウェアのこと言ってんだろうって思って見に行ったら、
その具体名は上がってなくて、そりゃそうかって思ったんだけど、
例えばなんかその、なんだろう、この政府内で利用してるインターネットに使う機材とか、
多分そのぐらいの柔らかい表現になってるから、
なんでしょうね。
まぁみんなが思いつくようなソフトウェアは対象に入り得る気はするし。
逆に何が入んないんだろうね。
まぁ、例えば何ですか、僕らが日々向き合っているディフェンダーボットで、
とりあえずされる超末端のNPMパッケージのCVとかは入んないんだろうなって思うけどね。
おそらくね。
でも使われてるかもしれないじゃんね。
なんかアメリカの政府機関の場合は多分Sボム周りの規制まではいかないと思うんだけど、
そのルールというかガイドラインが結構強い気がするから、
Sボムに乗ってたら裁判するし、
そこは何か機械的に判定するのかなってちょっと今思ったけど、
まぁどうなんでしょうね。
そう、で、
そうなんで、
なんかこれ、この記事じゃなくて、
この記事のリンク先かなに何か分かりやすい図があって、
納税にも貼ってつけたんですけど、
ステータス、CVのステータスみたいなのがあって、
で、多分このCSV Not Scheduledっていうステータスが新しく追加された感じかなって気がしますね。
なんでその文字通りNot ScheduledなんでCVが来ましたって受け取ったんだけど、
もうレビューしませんっていう。
レビューは予定されてないよってステータスが追加されてて、
なんでこれに関しては注意しなきゃいけないのは、
CVを出してきた人が評価したCVSSの値とか、
概要とか、NISTがレビューしたものじゃないものがNVDに載ることになるんで、
多分僕らとしては、
CVなんか自分の使ったやつで出てNVD見に行ったときに、
このステータスをちゃんと見とかないと、
それが信頼に至るかどうかっていうのは結構、
判断基準として持たなきゃいけないのかなっていう感じかなっていう。
それについて今までもレビュー待ちがずっと大量してたから。
それはさ、CVSSつけなくていいじゃんって思っちゃうけどな。
まあそうだね。
CVSSじゃないか。
CVSSはOne of Themで、
多分まるっといろいろレビューしてたんじゃないかな。
影響範囲とか、あとCWEとかもそうか。
だからあくまでCVのスケジュールという、
ステータスの話でしかなくって、
CVSSもその一部っていうことだよね。
そうだね。
そんな感じですね。
なので、わりと一つ大きな分岐点かなっていうところですね。
まあダメでしたかっていう。
まあ今更語ることでもいいけど、
基本的にCVEの提出検出数みたいなのが年々、
わりと直近2,3年は指数関数的に上がってしまったっていうのがあるから、
まあ構成され終えないんだろうなっていう気はしつつ。
だからなんか、例えばdependent alertとかってあれど、
CVE、ここのCVEのスケジュールとかって考慮されてアラート上がってるのかな。
全然意識したことなかったんですよ。
うまい地分かってないな、その辺。
でも直依存はGitHub Security Advisoryなんじゃないの?
あれって違うのかな。
そうだね。
あれのソースとしてはもちろん参考にされてるんだろうけど。
Advisory JITですか。
これにカラムがあれば。
いや、でもフィルターわかんないな。
少なくともdependent alert上はCVSS持ってたはずだから。
GitHubがCVEを取得し、GitHubがデータベースにする。
そうだよね、NVDは追加されるよね。
レビューされてないアドバイザーに。
でも多分NVDのステータス見ないように見えるな、この説明だと。
でもなんか難しいね。
提出されちゃった以上は、とりあえずせざるを得ないのかな。
これ自分たちの生活にどう響くかで言うと結構難しいところだな。
マイナーだけどめちゃくちゃクリティカルな部分に使ってるソフトウェア。
だからこの重要に入らないソフトウェアで危ないパッチが入ってきたときに
自分たちで判断しなきゃいけないみたいな。
のとかが一番困るパターンとしてあり得るのかな。
でもさ、無理だよ。無理無理無理無理無理。
そうね。
いや別にさ、見てもいいけど、パッチとか見てもいいけどさ。
なんかしんどいよ。しんどい。
しんどいね。
しんどいね。
なんとなくわかるやつだったらまだいいけど。
その、なんて言ったらいいの。
自分が知ってる領域でなんとなくわかるようになったらいいけど。
うん。
わかんねえな。ちょっと難しい気がするしな。
あとはこれ実際に始まって、いつから始まるんだっけ。
あ、4月15だ。だからもう始まってるね。
始まってみて、この重要なソフトウェアの3つのところに入る範囲がどのくらいかみたいな部分も結構次第な部分もあるかもな。
なんか言うてみんなが使うようなやつは大体入ってんじゃんだったら意外と影響ないかもしれないし。
あと気になったのが、こういう、なんていうか、例えばだけどここでちゃんとハンドリングされるものだけで構成されるテックスタックでプロダクトを作るみたいな意思決定とかも本当はしてもいいのかもなってちょっと思った。
確かにね。
割と大きい違いとして、こういうのに乗っかれるかどうかって割とでかいと思うから。
そうだね。でかいね。
ただもう誰もとりあえず評価してくれないのはもう自分たちが評価しなきゃいけないみたいに追い込まれるわけだもんね。
そこまでやる覚悟がありますかっていう話になってると思う。
きついね。評価しないとパッチも当たんないわけだから。
きついね。確かにそうだね。あんまりにメインストリームから外れるとそういう痛みが今後はあるかもね。
そうするとマイナーなテクノロジーがどんどん端に追いやられていくよね。もしそういう動きができちゃうとね。
確かに。参入衝撃が上がっちゃう。
それはそれで本当にいいことなのかっていうと結構微妙な気がする。
でもそこは悲しい、ちょっと悲しい現実な気がするけど、セキュリティを理由にそれを選ばないっていう選択は新しい技術に関してはされない気がするから、
意外と心配ないかもなって気がするけどね。
これいいじゃんってものは、でもCVがないからで使わないっていうよりかはアリアダプターとかバーってやってバーって。
でもなんか領域によってはさ、その、なんて言ったらいいんだろう、こうあると思うんだよな、なんか。
この需要に入らないみたいな。
そう、入らず、なんかあんまりこう、なんて言ったらいいんだろう、こう。
そうね。
低静着性情報が出てもそれを真剣にハンドリングしてくれる、なんか硬敵感とか強いところがないみたいな。
まあ確かに。物によってあるかもね。
そうそう、ちょっとそこには乗っかれねえなーみたいな領域は当然あると思うし。
うんうん。
あとはその、サバキってもらえるのか分かんないけど、もうNISTにリクエスト送ることはできるからひたすら送るとかかな。
これ見てくれよって。
まあでもこのリソースのひっぽくぐらい考えるとあんまり期待できないんだろうなって思ってるけど。
まあこれでなんかそもそもこの体制になってレビューすべきものが消化しきれんのかはちょっと注視したいですね。
これでも無理ってなったらもうさらに絞んなきゃいけないってなるわけだし。
まあいけると思ってるからこうするって話だと思うんだけど。
ありがとうございます。
まあそんな感じです。
SNS見なすぎたな。これが話題になってるのかあんま見てないけどみんな気にしてんのかな。
あんま話題になってない気がするな。
なんか割とはてな、今日時点だとはてなの話とビットワーデンの話と。
まあそうだね。
キャンプファイヤーの話とって感じかな。
まあ納得だわ。
あんまなんか話題になってない。まあまあまあでもこの記事が、このお知らせが出てからで言うと結構もう10日ぐらい経っちゃってるから何とも言えんけど。
あんま見かけんかった気がするな。
それと言うと、後で覗きに。
ありがとうございます。
これ繋がりでちょっと順序変わりますけど、もう一個記事を読みまくって。
バルーンチェックの記事で、
バルーンチェックスコミットメントトゥエクスパンディングアクセストゥバランドプリエティエンリチュメントという記事ですね。
バルーンチェックっていうこれは何なんだろうな。
多分脆弱性情報を売ったり他にもいろんなプロダクトを売ってる会社だと思うんですけど、
いわゆる距離インテリジェンス的なものをお金を払うと共有してくれるみたいなサービスをやっていて。
そこの記事で、
このバルーンチェックが今読んだNISTのアップデートを受けて多分この記事を出していて、
NVDが全部できないって言ってるならバルーンチェック頑張るよみたいな感じで宣言しました。
何が嬉しいんだろうね。彼らがこれを頑張ることって。彼ら自身にとっては何が嬉しいんだろうね。
まあ金になるんだろうね。
お金払えばっていう感じなの。でもコミュニティが利用できる無料サービスって書いてあるよね。
これ出る前からもともとやったっぽくて、無料でNVD++っていう名前のやつがあって、
2024年ぐらいからやったのかな。
だからあれだね、それこそちょうど逼迫し始めた時にやり始めて、
基本的にはカバレッジコパを目指すっていうやつで、
商用版もあるけど無料で使えるよみたいな感じらしい。
だからさっき言ったどこ見ればいいねみたいなところで困ってる人は、
こっちの無料版をちょっと見てみるみたいなのはやってもいいかなって思って、
さらっとしようという感じですね。
商用版だと何が違うかはちょっと詳しくは読んでないかな。
まあでもなんかNISTができなかったこと、この1企業がやれてるんだろうなって思うけど、
すごいって感じだよね。どうやってんだろうね。
普通にちょっと不思議というか。
なんかなんだろうね。
まあちょっとあまりにもアメリカ国内から見た時の雰囲気みたいなのがいまいちわからんから何度も言えんけど。
NISTがそんなに規模として大きくないんだったらなんかありそうだなとは思うし。
基本的にはマイターとかあとは他のいくつかの企業がレビューしてる認識だけど、
結構大変じゃないかなと思うんだけどね。
CBSSとかをもう完全に網羅してそれを売る商用版だと見れるようにするみたいな風に見えるけどちょっとわかんないです。
まあそもそもNVDに入ってこないんだったら自分たちのプロダクトで普通に困るからっていうモチベーションはあるのかなきっと。
バルーンチェックって何これ。データベースだけ売ってんの?それともなんか。
データベースのアクセスを売ってるんじゃないかな。
スキャナーとか売ってないの。脆弱性インテリジェンスとか出してんだ。
だからNVD含めていろいろ売ってるのかもね。
なんか日本だとヤモリとかもそういう情報を売りにしてたと思うんだけど。
まあだからNVDあるからいいやーの人たちを取り込むチャンスでもあるんだねきっとね。
ああそうかもね。NVDダメじゃんって。
そもそも自分たちの売ってるものの価値が別に既存されてるわけではないんだけど見かけ上は既存されてるっていうのもきっとあるだろうし。
なんかね、某仕事で知ったんですけど。
世の中にはこのNVDでポンって入ってきた自社の製品に含まれるCVみたいなのがあったときに
それに対してめっちゃ調査するみたいな仕事をしてる人たちが多分世の中にはいて。
エクスプロイトコードが転がっているのかどうかとかいろんなことを調べるみたいなのがあるんだけど
そういうのをこれ使えばなくせるよみたいな感じな。
製品紹介ページをふわっと見たけど。
なんかまあいろいろ便利なんでしょうね。
Sボム上げといたらかかるやつつけてみてくれるとかいろいろありそう。
興味ある方は見ててください。
はい。
じゃあ次は、ちょっと話題になってからラグがある感じがしますけど
Vercelのセキュリティ侵害事件
バーセルコンファームスプリーチアースサッカースクレームトゥビーセリングストールンデータという
ブリーピングコンピューターの記事をちょっと引っ張ってるんですけど
元ネタの記事の方もちょっと読みましたという感じです。
何かというとバーセルでセキュリティ侵害が発生しましたよって話で
具体的にはシャイニーハンターズだっけな。
シャイニーハンターズに侵害されて
話だとバーセルのプラトームに顧客が設定している環境変数
シークレットじゃない環境変数がどうやら盗まれてしまったらしいよっていう話ですね。
ちなみにバーセルがどんなものかっていうと
ヘロク。
クラウドフレアワーカーズみたいな感じ。
じゃあクラウドフレアワーカーズは何かというとみたいな話になっちゃう。
パースかな。
ソースコード書いてちょっとコンフィクト書いたらアプリケーションポンってデプロイできて便利なやつみたいな。
あとNext.jsとかを出してるところでもあるから。
何て言ったらいいんだろうね。バーセル開発なの?Next.jsって完全に。
バーセル開発かな基本的には。
なるほどね。
Nextはみたいな話もちょっと心配の声が上がってましたね。
確かにね。
アプリケーションソースコードをビビって設定してデプロイして
そのデプロイしたアプリケーションで使いたい環境変数とかを多分ユーザー設定できるんですけど
それが漏れちゃったよっていう。
全形漏れたっていうよりかは多分そうではなさそう。
少数って表現がどっかの記事でされてるけど
被害あった方は連絡がいってるはずですね。
原因が結構興味深いというか話題にもなってる気がしていて
どういう原因かというと
まず一つはバーセルの人が
バーセルはGoogle Workspaceのアカウント多分皆さん社員が持ってるっぽいんですけど
Google Workspaceのアカウントである社員が
Context.aiっていうサービスにオースログインを
オース認証をしていました。
そこで一定の権限を渡していたんだけど
その状態のままContext.aiが侵害されて
侵害された結果Context.aiに置いてあるGoogle Workspaceのオースログが盗まれて
結果バーセルの従業員のGoogle Workspaceアカウントのアクセスが取られてしまって
バーセル社内に侵害されてしまったっていうような形になっていて
なんで結構バーセルが侵害されたんだけど
一番最初にそもそも侵害されたのはContext.aiっていう会社が侵害されたっていう話ですね。
Context.aiなんで侵害されたんだっけ?どっかで見たけど忘れちゃったな。
Context.aiは
Context.aiは本体のほうは割と静かだった気がするんだよな。
なんか結構もう使用付けされてるサービスが侵害されたんじゃないかみたいな気象で
ちょっと一時
ごめんなさい一時情報が出てないんですけど
ちょっとあんまできたことないんですけど
結構割と頭を抱えたくなるような原因で侵害された
なんかちょっとその後をちゃんと見てなかったんだけど
なんかGoogleワークスペースのアカウントが乗っ取られたことによって
いろいろ漏れちゃいましたのその起序というか
どういう順序でそんなことが起きちゃってたのかは別に明らかになってないんだよねきっとね
僕が最後に見たときは特に明らかになってないかな
なんかあんま想像つかないんだよな
例えばGoogleログインしましたぐらいだったら
せいぜいさ名前とアドレスぐらいしか渡さないと思うから
結構なんか強みの権限を渡してたんだよねコンテキストAIに
かつその従業員がそれなりの権限を持ってしまっていたとかなのかな
例えばありそうなんで言うとGoogleドライブのアクセス権限を渡すとか
コンテキストAIってどういう差別なんだろう
なんかあれじゃないノートテイキングとかじゃないのわからないけど
だからGoogleワークスペースのリードライト権限渡すとかだったら
何なんでしょう でも違うなもうちょっと技術より
Transpireワークスペースのキャプチャーコンテキストデプロイエーションスインプロイズ
全然わかんないですね
何のあれなのか何にもわかんないけど
でも開発系なのかなどっちかと言うと
そうかもね
開発系っぽいけどでも確かにそれで割と普通にドライブとかへのアクセスも渡すし
下手したらGoogleクラウドのアクセスとかも渡してたのかな
とかもあるかもね
Googleドライブに
Googleドライブ入れたら結構夢広がりそうだよね前に言っては
コンテキストAIって何のサービスですか
コンテキストAIってどんなサービスですか
結構悩ましいところですね
作業そのものをやってくれるっていう感じらしいですね
結構強みの件が渡すんだね
でもなんか別に
基本はでもGoogleクラウドまで全部渡すとかは
わからんけどデータ分析とかできるって書いてあるからもしかしたらBQとか渡してたのかもね
あとはその一人じゃなかったかもしれないし
もしかしたらネックバーサル内のあるチームがこれを一時期試してて
4,5人権限残っててとかやったら
結構これ何が悩ましいかで言うと
別でワンパスの記事でこれに言及してるんだろうなって記事があったりしたんですけど
対策としては例えば管理者側で
Googleワークスペースの管理者権限があれば
そのワークスペースのアカウントが連携してるオースアプリの一覧って全部取れるんですよね
誰が連携してるか何の権限を渡してるかって見れるんで
市販機に1回棚下ろししましょうとか
新しくオース連携をするときに許可制にすることができる設定で
それやればいつの間にか増えてて放置されて侵害されるみたいにリスク減らせるよみたいなのがあって
そこに一般論的には収まるだろうっていう部分はあるんですけど
ただそれ運用するの結構しんどいと思っているし
またシャドウIT問題じゃないですけど制限加えすぎるとやっぱ
会社のアカウントでできないのに一旦個人でやるかみたいな感じでやれるとか
そういうのを助長するみたいな可能性もあるわけで
結構それやっておしまいって言えるような問題じゃないし
あとは今言った棚下ろしがじゃあコンテキストAIのケースにおいてできたのかと言われると
多分サービス自体は真っ当なもの
だから本当にやるんだったらトークン
そのオーストークンでの監査ログをGoogleアクスペースから一応取れるから
そのログをプロアクティブに分析してFCになるものを検知するみたいな
それこそやってらんねえよな
結構ソックチームがないとなかなか
ソックチームを持てるような体力がないと
あそこまでやってらんねえよなみたいなことがあって
まあでもバーセルね
なんかその仮にもパースをやってるとこが侵害されて
お客さんの環境フェンスまで抜かれるっていうのは結構センセーショナルだなっていう
嫌な証明がされちゃったなっていう部分があったなって思ったって感じですね
なんかそんなんばっかりだね最近ね
そうだね踏み台踏み台で
セールスフォースのやつとかもそうだったけど
なんか時代的に結構むずいよね
ワンパスの記事かどれか忘れたけど
やっぱ今って息を吸うようにインテグレーションしていって
それをもう把握して管理するなんて
もうほぼ不可能な規模感でそれをやっている中で
なんかこの問題にどう向き合うのかっていうのは結構難題だよなっていうのはほぼね
まあね
じゃあなんかGoogleアクスペースだけやればいいんですかって言われると
別に他にもこのインテグレーション概念ってめちゃくちゃあって
スラックのオース認証をいろんなのでやったりするとか
じゃあそれも塞がなきゃとか
スラックのアプリとかね
うーんそうだね
結構ね
なんかそうね
うーん
なんかどこのどんな会社サービスプロダクトであっても
そのセキュリティの事故って起きない方が望ましいのは確かなんだけど
なんかその起こしちゃいけない限りのサービスとか会社ってあると思ってて
なんかこうね
もうちょいなんとかならないのかなとは
だからウィッチユーザーとしては思っちゃうけどね
うーん
まあそういう意味で言うとなんかその
この環境変数だけ漏れたっていうのが
そのバーセル内の多層防御で
があったから環境変数だけ済んだのか
なんかその辺はちょっと
まあ表に出てこないかもしれないけど
気になるところではあるね
そうだね
うーん
まあもう
今喋ってて思ったけど
多分回答としてはもうやられる前提でやっぱもう
何枚も壁を建てましょうになるんだろうな
まあね
もちろん大盛況部分も何もしなくていいってわけじゃないけど
そこもできる範囲のこと
してたらまあコスパ
もうその企業の体力とリスク判断で
何枚壁を建てられるかっていうゲームなんだろうなっていう
まあ厳しい時代ですね
そうですね
うーん
まあOSSも似たようなもんだけどやっぱ
あるでしょ
いろんなサービスとかものを利用している立場である以上は
前にも触れたかもしれないけどその
なんて言ったらいいんだろうな
別に会社の規模とか関係なくその
使ってるものがあんまり変わんないっていう
時代ではあると思っていて
なんか
シンプルにだからその体力がないとかリソース貼れないみたいなところは
なんかきついよね
うーんそうだね
なんか
そうだね
なんか
業界内でなんかそのオーバーヘッド
効率化できないのかな
分かんないけど
共有インテリジェンス
共有インテリジェンスチームじゃないけど
いやでもむずいよな
企業や
企業企業
だからそれがさっきのサービスバレンチックの
企業だね
企業だわ
SOC代行しますって
オース認証の
オース連携のカンサログ
全部ちゃんと見ますよ
AIが何とかしますって
なんか
そういうことがしたいわけじゃないんだが
まあでもそうなっちゃうよな
そうなっちゃうね
いやー
そういうことがしたいわけじゃないんだがね
マジで真理なんだよね
そうなんだよ
そうなんですよ
いやー
なんか続報が出たら嬉しいなと思いつつ
まあな
バーサリー使ってる方はお気を付けください
最近の世の中の流れで言うと
たぶんあっという間に流れていくでしょうね
そうなんだね
いろいろ起きすぎてね
ありがとうございます
じゃあ次は
えっと
しゅーくりむさん
これしゅーくりむさんじゃないね
えっとユビノシカノさん
GitHub Skillsの登場とnpx skillsからの移行
って方かなの記事で
GHスキルが登場
GitHub公式のスキル管理ツールに
NPX Skillsから乗り換えたって記事ですね
やったね
やったね
まあなんかタイトル通りであって
NPX Skillsっていうスキルを足すコマンド
なんかSkills.shとかアクセスすると
そのコマンドを立ててねみたいなのが出るんですけど
GHコマンドでも同じことでできるようになったよって話ですね
で
なんで乗り換えたかみたいな部分で言うと
あの
GHスキル
こんな部分がいいよっていうのを
いくつか紹介してくれてるんですけど
一つが
いくつかって例えば
Gスキルでインストールするときに
インストールする前に
そのスキルの中身を
ローデータ的に出してくれる
機能があって
なんでそれで危ないものじゃないかっていうのを
チェックする
ないしは人間の目でチェックするのは不可能なんで
実態的にはコマンドパイプして
チェックするような仕組みを手元で作ったりできるよ
みたいな話とか
バージョン固定っていうのをデフォルトでやってくれるので
まあ
アトレティスト的なことをして
あの
リシアスのコードが後から入ってくるリスクを
減らせますよみたいな
とかがありますよとか
またこれは多分パブリッシュ
スキルを公開する側にしてるんだけど
パブリッシュコマンドみたいなのがあって
その時にそのスキルの標準に従ってるかどうかの
チェックとかもしてくれるよみたいな話が
あるって感じですね
ただ注意点としては
その
いわゆるSKZ.SHとかで
出てるスキルって
パブリッシュするときに何の審査も通ってないんで
そこはその
GHスキルでインストールするときにも
誰も何も保証してないよっていうのは変わんない
GHコマンドも別に
インストールしてくるスキルがリシアスのものかどうか
っていうのは全く見ないので
そこは自己責任で
NPXスキルと変わらず
やる必要がありますよっていう部分が
エクスキューズとしては
引き続きあるかなっていう感じですね
いや
これなんか触れられてないけど
その
NPXスキルってさ
NPXだから余計なもんが絶対ついてくるじゃん
その
それこそバーセルじゃん
スキル公開してんのって
なんかバーセルが侵害されました
ポストインストールとかでなんか仕込まれてます
のときにNPXだと動くじゃん
なんか
それがないっていうのは普通にデカいよね
確かにね
この時代においては
それめちゃくちゃデカい
だから普通に
なんかすべきあれだなって
思ってたんだけど
みんな結構このコマンド使ってんのかな
俺いつも
クロードコードしか使わないから
クロードコード内の
コマンドでインストールしてますことしかなくて
1回か2回ぐらいしか使ったことないな正直
何が便利なんだろう
まあ複数のAIアジェント使ってる人とかは便利か
普通に
大抵からしてなんか毎回NPX
するっていうスタイルがもう気に食わねえな
普通になんかNPM
インストールすりゃええやんって思っちゃうし
まあ
なんていうか
ノードJS文化圏って感じ
なんか結構むずいのがさ
その複数プロジェクトでさ
そのMizeとかで
バージョン切り替えたりするからさ
ノードJSって
そうなるとグローバルインストールしても
このバージョンには入ってて
このバージョンには入ってないとか
その辺の挙動が安定しないから
そういう意識が
NPXを使う感覚は
あるな
Mizeが今その辺いい感じにしてくれるか
ってことはちょっと勉強するか
分かんないんだけど
普通にPNPM使えばいいじゃん
PNPMでも問題は変わんないんじゃないかな
PNPM EXECは
まあそりゃそっか
そのPNPMのバージョン
まあバージョン管理ちゃんとやってるなら
このバージョン このプロジェクトPNPMは
VCUEで こっちはVCUEとか
起きるから
いいよ もう常に最新版を
使えばいいじゃん 知らんけど
だからそれがNPXなんだって
それが
それがNP ああノードバージョンが
そうそうそうそう ああそれは無茶な話だよ
できたらいいけどね
あ でもまあ
ノードJSあの
なんだっけ 既成バージョンが
あの
なんだ
なんでしょ
検証版みたいな
ライフサイクル辞めるって話があるから
なんかまあ趣味プロぐらいだったら
最新版つね いやでもね無理だよ
ごめん なんかプロジェクトごとに
やっぱ変えらんねえ
はい まあまあまあ
そうですね まあでも確かにね
そのNPX観点でも
使わない理由はない気がするんで
まあ愛用してる方は乗り換えてみたらいいんじゃないでしょう
って感じですね
はい ありがとうございます
まだちょっと残念ながら
自分では使えてないんだけど
楽しみですね
使いましょう スキルを
なんか自分で公開しようみたいなのが
まだ今んとこないんだよなそういえば
うーん全くないな
っていうのもあるしなんかあんま人が作った
スキルを入れたいと
思わんくて なんか
思わない うん
まだ公式しか手出してないな
うーん
人の作った人気な
スキルの中身を見てパクることはある
ああ
パクって書かせることはある
そうなっちゃうよね
結構
まあでも
なんかちゃんと結構コーディングちゃんと
言ってる人はみんなそうして
してそうだけどなどうなんだろうね
結構みんなポンポンポンポン入れんのかな
ちょっと怖いよな
正直
怖いね
しかも入れたらオートアップデート
しときたいしさ
そうだね
それも確かに
リノベートインをしたくない
うーん
じゃあ次いきますか
次いきましょう
次は
サラッドですけど
タイミング的にいつなのかわからない
いったん聞きますすいません
うんうん
OpenAIのGPT-4 Turbo with VisionとAIのセキュリティ活用
OpenAI launches GPT 5.4
cyber with expanded access
for security teams
っていうハッカニュースの記事ですね
クロードミッドス
ちょっとこの記事を
4月15日に出てから
クロードミッドスの話題がめちゃくちゃ出ていて
あれなんですけど
それと似たようなものを
OpenAIも出しましたよっていうのと
あとはクロードミッドスと同じで
これも
アクセスできる機器を絞って
出してますよっていう部分で
ゼロで見つける能力が高いですよ
みたいな部分が紹介されてます
という形ですね
なんでOpenAIも出してきたな
っていうので
ふわっと紹介という感じです
なんか来週分に入れた気がするんだけど
OpenAIのプライバシーフィルターっていう
なんか
個人情報っぽいものを
マスクするだか何だか
忘れたけどそんな感じの
あれをやる用の
モデルっていうのを公開
したらしくって
こういう色々用途特化型の
モデルがモデル作ってる
ところから出てくるのは面白いな
興味深いなって思いながら見てますね
なんか
結構
セキュリティ周り狙い目なのかな
そのモデル作る側目線
市場でかいもんな
普通に
このプライバシーフィルター
来週も今読んだけど
めちゃくちゃいいよね
いいよね
こっちの方がよほど価値付き
なんかいいサブセットだなって
思ったよな普通に
僕らの立場っしょがガンガンやってくれ
って感じだけど
MITOSとかね
どうなるんだろうね
MITOSなんか
ちょっと盛り上がりすぎだよな
ってすごい遠巻きに
眺めてる
モデル画っていうよりワークフロー画みたいな話とかも
見かけたけどどうなんだろうね
そうなんだ
日本の政治家の
どっかがアクセス権を取りに行くべきだ
みたいな騒いでるみたいな記事があって
そんなとこまで
波及してんだと思いながら
すごいしみじみした
遅かれ早かれだろしな
そうなんだよね
シンプルに性能が高いんだったら
他の用途にも使いたいじゃん
っていう話は当然出てくるだろうし
それは
そう
モジラが
MITOSのパートナーに入ってるんだけど
直近Firefoxの
バッジリリース出して
そこに400件ぐらい
バグの修正
脆弱性修正とかがあったらしいんだけど
それにMITOS使ったみたいなの見たな
見かけたね
そういうのは遅かれ早かれだろうね
でまたCVが増えて
NISTが発狂する
いや
大変ですね
ハンドリング側もそのうち
クロードとかがやるようになるんでしょう
そうかもね
ハンドリングする用のモデルが
出てくるかもしれない
MITOSがやります
モデルを持ってるところが
最終的には
その
脆弱性の管理プラットフォーム
じゃないけど
NVDみたいなのを出してくるようになるんじゃない
最終的に
そうかもね
もしくはバルーンチェックの裏側が
そういうモデルと提携してて
とか
このモデルをオープンAIにしても
アンソロピックにしても
ビジネスをどこまでどういうふうに
広げていくつもりなのかは正直わかんないんだけど
なんか
何だろう
例えば
ある時代における
Googleみたいなものを
この先目指していくんだとしたら
そういう世界も全然あるのかなと思うし
どうだろうね
全然わかんないね
なんかAPI提供するぐらいに
収まりそうな気がするけどな
それでそれを使わせて
稼ぐみたいな
どうなんすかね
アンソロピックのせいで
いっぱいなんか
CVの
あれがQが溜まっちゃうんだったら
アンソロピック何とかせよっていう話で
なりそうな気はせんでもないけど
なんか難しいね
まあそうだね
アンソロピック悪くねえし
そこになんか
米国の税金が流れていくのも
どうなのかって感じがする
まあちょっと引き続き
見守りつつ
アクセス権欲しいなって顔で
長く言ってますって感じ
楽しみにしてます
今日最後だ
本当サラッとなんですけど
ハクザAIエージェント
ビルドエージェンティックAI
セキュリティスキルスウィースター
ギターブセキュアコードゲーム
ギターブのプログですね
GitHub Secure Code Game シーズン4とLLMの脆弱性
たぶん
シーズン3を紹介した記憶があるんですけど
ギターブのセキュアコードゲームっていう
学習用の
セキュリティの学習用のコンテンツっていうのを
ちょこちょこ出していて
シーズン3は
プロンプトインジェクションしてみましょう
みたいなやつで
確かここで話し方が忘れたけど
ブログには書いたな
TENXのブログには書きましたけど
嫌化粧含め僕ら
臨時読解でやってみて
全然できんやんけみたいな感じで
とんざしたっていうのがあるんだけど
それのシーズン4で
AIエージェントが出たっぽいですよ
っていう話ですね
たぶん
直接触れてなかったかな
間接的にオープンクローのことかなと思ったけど
自由すぎるAIエージェントは
リスクあるよねみたいな
それを題材に問題作ったんで
やってみてねみたいな
権限めっちゃ強い
AIエージェントをハッキングしようっていう
コンセプトストーリーで作られてるっぽい
ですね
シーズン3をやった
身としての
反省というか
学びとしては
モデルの進化が早すぎて賞味期限があっという間に来るんで
興味ある人は今ぜひ
やってみてください
僕はやれずに来たんで
回答例のプロンプトが刺さらないんだよね
モデル側がちゃんと防御するようになって
刺さらないとか普通に
なんか非常に
難しい感じでしたね
ちゃんと想定回答いくつかあるんだけど
どれも刺さんない
ダメじゃんって
面白かったなあれ
そういう意味でも
こういうのにその
LLMを組み込むのって
意外と難しくて
微妙に
面白くもあり
面白くなくもあり
むずいね
どうなんだろうね
なんか最近さ
LLMの脆弱性を
見つけましたとか
オバージャンプロンプト的な記事流れてこない
流れてこないね
結構
落ち着いたのかな
全然
たまに
マイクロソフトのコパイロットが脆弱性仕込んで
でも直近ねGoogleのアンチクラビティが
プロンプトインジェクション刺さるみたいなやつ
見かけたけど
でも基本的に
モデル運転じゃなさそうなんだよな
そうだね
一旦落ち着いたのか
観測できてないのか
でも何にせよ
これちょっと来週やろう
2発目
興味ある方ぜひ
紹介しました
今日はそんな感じですか
いや
なんか
個人的にあんまりこれっていう記事がない
週でしたね
最近の技術ニュースの傾向と今後の展望
そうだね
ニスト
ビックニュースぐらい
なんかちょっと
職場気味というか
その
なんか
割とこう
よく見るタイプの話ばっかりになってきてる
気がするな最近
まあ
波もある気はするけどね
なんか
自分の興味の向いてる方向と
ちょっとずれてるのかもな
あーそうなんだ
自分の興味の向いてる方向の記事を
クロードに探させよう
あー
それもありかもしれない
結構ね
今の
記事追加は私のフィード
パーサーの
色が色濃く出てるから
ベンダーとかのやつがめっちゃ多いからね
見かけたらね
ちゃんと追加はしてるんだけどね
ちょっと
なんていうか
細い話題が多分多いんだよな
なんかその
今日とかもなんか
github.tokenで
あのプルリクエストのイベントで
CIが走るようになったよみたいな
えっそうなの
まじで
実行許可待ちの状態で
こう
止まるんだけど
動くようになったよっていう
なるほどねそれで無限ループ防ぐと
そうそうそうそう
なんか細いじゃん
どうしてそういう
個人的には結構半端だなって思っちゃうんだけど
なんか
どうしてそういう感じになったんだろうな
みたいなのとか
あとはこれ来週の記事に
入れたような気もするけど
入れてなかったっけ
なんだっけな
入れてないかも
入れてない気がしますね
githubのブログ入ってないもんね
あのなんだっけ
あれ
あれよ忘れちゃった
あの
俺入れたけどなこれちょっと待って
絶対入れたと思うんだけど
入れた入ってた
来週入ってるからいいや
それで言うとなんかその
自分の技術力足りなすぎて
あの
ピックから外しちゃったけど
IPv6のRFCとかめっちゃ面白かった
IPv8ね
v8は間違えた
これもなんか
どれくらいその角度の高い
なんかあれなのか分かんないけどね
その
ダンスの時代は結構カジュアルに
いろいろ出てくるっていう
まあね
だってさ
今更v6を
投稿しましょうってもう無理じゃん
その普通に入りすぎてる
だから
でもv6に手を入れる必要はないっていうのは結構
強いんじゃない
あの興味ある方
読んでください
あるし
あの
v4と
完全に保護官保ったまま拡張できるよっていう
まあ超ザク理由とそういうコンセプト
さっきなって
まかつIPのトズメってことかな
まあ読んでないから分からんけど
まあはい
まあでも
移行について考えてなかったっていう反省は確かに
そうなんだろうね
v6に関してはね
結局なんか全然進んでない
みたいな感じ
もし
はい
じゃあそんな感じですか
来週はどうせサプライチェーンって感じですけど
はい
まあ面白い記事を
探し求めて皆さんにも届け
いけるようにまた頑張りましょう
はい
じゃあ皆さん
また来週お会いしましょう
楽しみにしててください
おやすみなさい
