Switch 2の発売と期待
- こんばんは、Replay.fmの第44回です。
- こんばんは。
- いやー、Switch 2 手に入れました。
- ウケる。ついに。どうすか?
- あの、今日収録日が7月17なんだけど、
- 今日発売のドンキーの新作があるじゃないですか。
- あれ今日なんだ。
- あれまでに手に入れられたら超理想って感じだったんで。
- あー、いいタイミングだったね。
- まあまだ起動もしてないけど。
- いやー。
- いやー、もう全然、全然やれてないなー。
- うーん、なんか、なんだろうね。
- うん。
- 忙しいよね。
- 忙しい。
- なんか、そこに心を割く余裕がないわ、全然。
- まあ、もしかしたらその、あらゆる優先順位を破壊するほどの
コンテンツがまだないという説もあるんじゃない?
- あー、まあそうねー。
- なんか、うーん。
- 言うほどって感じだしなー、マリオカート。
- もはや。
- マリオカートは。
- ラウンジ、ラウンジとかでさ、がっつりやるんだったら、
- うん。
- まあいいのかもしれんけど。
- うん。
- これなんかちょっと、まあいろんな意見あると思うんですけど、
- 僕はちょっと期待値は、期待値よりはちょっと、
- 期待値ほどじゃなかったなっていうのが割と正直な感じだと思う。
- 新時代感はあるけどなー。
- あ、そうなんだ。
- なんか、各コースのさ、ワールドレコードとか見た?
- 全然。
- あー、見た方がいいよ、見た方がいい。
- 多分、思ってるよりっていうのはあると思う。
- 何が、それ見ると?
- わかんない、これ見ても多分なんも思えない気がする。
- いや、見ればわかると思う。
- その、自分で走った感じと、その、レコードを見て、どう思うか。
- なるほどね。
- ちょっとなんか、また教えてほしい。
- あー、オッケー。
- いや、なんかなー、まあそうねー。
- いや、なんだろうなー。
- いやー、まあいいや、この話、ほんと静かすぎる。
- いや、一言だけ言い残していくと、なんかスプラトゥーン3感をすごい感じる。
- あ、そうなんだ。スプラトゥーン3、そんな感じだった?
- いや、なんかね、その、2の延長戦、よくも悪くも、延長戦場から、そんなはみ出てないというか。
- あー、それはないな。
- あ、ほんと?そうなんだ。
- それは多分、うーん、なんか多分、まだあれだよ。
- やり込めてない?
- うーん、なんか、多分、あれだよ。CMしか見てない。
- 一応、一応スペシャル中間、隠しコース出したんだけどなー、それぐらいはやったんですけどね。
- うん。
- そうか、じゃあちょっともうちょっと頑張ります。
- まあ、ドンキーやるためではないが、呼んでいくか。
- うん。
Google Geminiのプロンプトインジェクション
- えー、あー、いいっすね。一番上からいきましょう。
- はい、えー、Google Gemini Flow Hijacks Email Summaries for Phishing
フリーピングコンピューターの記事です。
これさ、みんなGeminiって呼ぶし、俺もGeminiって呼んでるんだけど、多分Geminiなんだよ。
- あ、そうなんだ。いやー、読み方わかんねえシリーズだなー。
覚えておきます。
- と思ったそうなんだけど、でもGemini、あ、ごめんね、嘘だわ。
- 英語としてはGeminiが適切なんだけど、Google公式でもGeminiって呼んでるらしい。
- あ、そうなんだ。じゃあGeminiでいいっすね。
- 失礼しました。じゃあGeminiでいいっすね。
- じゃあGeminiで。はい。ではでは。えーと、まあなんていうか、どう説明していこうかな。
ちょっとダメだな。全然頭が回ってないけど、Google Gemini Flowワークスペースが開発されてて、
えーと、電子メールの要約経由で、違う、電子メール経由で、メールの本文経由でプロンプトインジェクションができるよ、できたよっていう、
なんかこれ何、誰かが報告してなんかレポートした感じなのかな、多分。
- あー、そうかもね。そこはちょっと覚えてないな。まあでも、どうせそんなところでしょ。
あー、そうね、バグバンティーで報告されたんだ。
で、結構簡単な、簡単にその長いメールのコンテンツの下の方に、その、あの、まあ区切り文字的な感じでエンドウビーメールみたいな感じのを入れて、その下に、えーと、まあプロンプトを入れるみたいな感じ。
で、えー、その区切り文字から下は全部白い文字になっていて、白背景に白文字で、えーと、まあユーザーはパッと見では分かんないみたいな、なんか、このイニシエのネタバレ防止。
- なんか、ノリやり方とか、なんか、そんな感じの。
これいいな、画像を貼っとこう。
- いや、うーん、面白すぎる。なんか、こんなんで刺さっちゃうんだ感がすごいんだけど、なんか。
で、プロンプトインジェクション後はあれだね、その、要約させると、このメールはこんなんだよっていうのを正しければ本当にちゃんと予約するんだけど、これがもう込まれちゃってると、フィッシングサイトへの、だから任意のURLで案内するような要約を作れちゃうっていうのが問題視されてる感じかな。
- そうだね。
- だからプロンプトインジェクションも成り立つし、その先の現実的な攻撃シナリオも成り立っちゃったっていう。
この前の、まあ、MS、マイクロソフト、アウトロックだっけ?
- コパイロット。
- そっちの方ね。
- あれよりはまあ、まだマシというか。
- 現実味あるよね。
- そうね。まあでもあっち。
- マシ?
- なんだっけ、メールを要約とかプリミティブなアクションじゃなくて、コパイロットでなんかプロンプトさせた瞬間にアウトだったからあっちは。
メールの本文全部たぶん裏で食っちゃって、それ解釈しちゃっててアウトだったって話だけど、こっちはまあ、そのメールで要約を走らせたらアウトって。
- 確かに確かに。
- ちょっと限定的だけど、まあまあまあやるよねって今の時代だったら。
- いやー、グーグルの。
- これはね、なんか結構現実味、これ現実味ありそうだなって思って、そのコパイロットのやつってあれ結構成立むずくなかった?なんか理論上あり得るよねみたいなレベル。
- いやー、そう、いや結構簡単。
- もっと現実味あるやつだったっけ?そうだっけ?
- まあちょっとその、あのコパイロット使ってないからそのコパイロット使うっていうのがどれくらい一般的な操作かはちょっと想像するところにある。
- なんかインジェクションまでが結構なんか間接的に頑張らないといけないような感じだよね。
- それなんか別の機器?
- 別の機器かな?
- 結構ね、
- もうごっちゃになってるかもしれない。
- えーわかんないちょっと待って、覚えてない。
- まあまあいいよ、いいよ。だから結構現実味ありそうだなーっていう、なんか感じはあるから。
- うん、こんなんで刺さっちゃうんだっていう、まあそれだけ。
- 個人だと、あれか、ジェミニ契約しないと使えないから。
- なるほど。
- いやー、なんかジェミニの防御モデルっていうか、セキュリティモデルの話、頑張ってるじゃんって話をしたやつ先に。
- あったね。
- まあなんかあれだね、発展途上って感じで。
- そうだね。
- 面白いね。
- あのー、私、イタチごっこの始まり感があるね。
- いや、このなんか2位の値、外部からの2位の値を食うような、まあ無理だな、もう気を付けるのは無理な気がする。
- いやー、まあまあまあまあ。
- これでもさ、ちょっと元ネタの方をちゃんと読んでないんだけどさ、ある種僕らでも思いつくレベルのアプローチではあるけど、そのこのタイミングで報告されたってことは、プロンプト自体の工夫は結構必要だったりするのかな。
- 直すのに時間がかかったんじゃない?多分。
- あー、じゃあ開示されたのかってことか。
- うーん。
- あー、それはあるかもね。
- 1月10日。
- あー、提出番号とかある。
- ディスクローズドーン。
- あー、本当だ。2月、今年の2月4日に報告されて5ヶ月かかったんだ。大変だねー。
- うん。
- 5ヶ月かかったんだ。
- いやー、これさー。
- うん。
- 治ったって言い切れるのがすごいよね。
- 確かにねー。
- だから、治ったって言い切るのが大変で5ヶ月かかったとこもあるんじゃない?
- あー、あるかもしれないね。
- 多分、提出、報告されたプロンプトはさー、
- うん。
- まあ、数多ある刺さるもののうちの一つというか、おそらく。
- うーん。
- だから多分。
- いやー、これこの、なんか後でこかつさんのスライドの話も出てくるんだけど、
- うんうん。
- それも多分全く同じこと思って、その、
- 治す方法が多分ちょうど良いかなって。
- うーん。
- ようやるなー。
- 悪魔の証明に近いよね、かなり。
- うーん。
- いや、そうなのよ、なんか。
- これどう、どう、どう治したのかめっちゃ気になるけど。
- どう治したんだろうね、めっちゃ気になるね。
- うーん。
- うーん。
- まあ、まるっと解除しないんだろうなー。
- うん。
- あはは。
- あの、バグ、これは何のページなのか分かんないけど、ゼロでの報告なのかな。
- なんか、CSSのスタイルを削除しろみたいな、セキュリティチーム系のあれがあるわ。
- うーん。
- カラーホワイトとかを向こうにしろとか、オパシティする。面白いね。
- ガードプロンプトを事前に追加しろとか、後処理フィルター。
- いや、こんなのやってらんねぇよなー。
- これスポットで言えばそりゃそうなんだろうけど。
- あはは。
- なるほど。
- なんか人間が解釈できる文字律だけを解釈する仕組みがやっぱ、必要なんじゃないかな。
- 前の、別のやつもあったじゃん。その、チャットGPTとかで文字コード、UIに表示されない文字コードが刺さるみたいなやつとか。
- あったね。うん。
- あとは、なんだっけな、なんか似たようなやつもう一個ぐらいあった気がするんだけど。
- なんか、それはもう、人間がディスプレイで認知できない文字を解釈しないみたいな仕組みがあったら解決したりしないのかな。
- うーん。
- まあいいね。知らんけど。
- まあ、そんな感じの面白い攻撃情報でした。
新たなセキュリティアプローチ
- ありがとうございます。いいですね。定期的に接種して、失礼したくないけど。
- まあまあ。
- はい。じゃあ、次。
- 次が、緊急現場から求められるガバナンスと生産性を両立する属性ベースアクセス制御、AEバックへの挑戦。
レイアエックスエンジニアブログの記事です。
- うん。
- はい。えーと、まあちょっとNotion AIのサマリーを読んじゃうか、そのまんま。
えーと、金融協会における、金融協会におけるじゃねえな。なんかもうのっけからちげえからやめよう。
- さっき読んだばっかだから、ふわっとね。
- うんうん。じゃあお願いします。
- なんかその、あれかな。従来、もともとはMDMにおける従来のメークル、MDM分メークルなのかな。
まあなんかID基盤として、そもそもEnter ID使ってますよっていう話があって、
新しいアクセス管理手法の導入
で、スキムで、その自動プロポジショニングで、まあいろんなサースにユーザーとかのグループ情報を同期していて、
なんでまあ、この部署の人は、多分その部署っていう単位でEnter IDに登録しとけば、
まあGoogleワークスペースもスラックもノーションもそのグループで同期されて便利だよみたいな話があるんだが、
まあ組織が大きくなったり、あ、MDMってあれか。会社のあれですね。
あのー、グループ会社が増えたり、また役割、まあロールとか契約形態の増加に伴って課題がいろいろ出てきましたよって話があって、
まああれかな、まあ要するにそのEnter IDで頑張って中央集権で、多分グループみたいな概念で管理していくのが厳しくなってきたみたいな話が多分ことの発端で、
えー、かつそのグループだと、あのー、ニーズを満たせないケースもあるみたいなのがどっかであって、
例えばこの部署みたい、この部署のうちこの人だけがアクセスできていい機密情報みたいな概念があったときに、まあグループだとそれは吸収できない。
で、それを何で判定するかで言うと、まあ例えばなんかその人のロールとか、部署にぶら下がるチームみたいな概念があってみたいな感じで、
まあそんな感じで運用が辛くなってきたみたいなところで、まあAバックなんで、まあアトリビュートベストはアクセスコントロールっていう、まあ属性でアクセス制御しましょうっていうのを取り入れたよって話ですね。
で、なんか結構おもろいなと思ったのは、Aバック自体の解説は特に、まあ気になる人、知らない人はちょっと勉強してくださいって感じなんですけど、
まあざっくり言うと、そのまあよくあるAバックはロールベストなんで、マネージャーはこれにアクセスみたいな、
とかこのグループはこれにアクセスみたいな、まあグルーピングみたいなものじゃなくて、
例えば僕だったらTENXに所属する、TENXのセキュリティチームに所属するソフトウェアエンジニアみたいなのがあったときに、
ソフトウェアエンジニアっていうものも属性だし、セキュリティチームっていうのも属性だしっていう感じで、その属性ベースで認証を通す、通さないっていうのを決める。
あとは正社員であるっていうのも属性だし、またその属性のモデリング次第でまあいろいろ入社年数とかもできるかもしれないし、まあまあ入社年数はあんまないか、まあまあそういうのが属性。
入社年数はないかもしれないけど退職が決まってるとかある?
ああ確かにね、それはありそう。そういうので認可をしましょうって話で。
まああとは給食中とか。
ああそうですね、確かに確かに。
でその辺のどうしたかで、それは結構個人的なものになったんだけど、なんだっけな。
まあモデリング、まあ属性設計をまずしまして、でそれをモデリングした情報をガッと集めてくるというのをやってこなきゃいけないから、
まあいろんなものからそれを集めてきたっていう話があって、で社内規定とか人事情報とか多分複数箇所から集めて集約して、
でそれの整合性を検証した上でグループ生成みたいなのをHCLファイルで生成して、でそれをテレフォーム通じてエントライディに適用して、
でエントライディまで反映できればスキムで配れるんでって感じでやりましたよって話かな。
属性ベースのアクセス制御の課題
これスキムってスキムなんだね。
スキムってどっかでね、なんか有識者が。
いや今調べたわ、なんかスキムだと。
なんかどっかのコーポレートITの人と話した時にスキムって言ってて、あ、スキムなんだって。
スキムって呼ぶようになりました。
知らんかった。
うん、すげえ違和感しかないけど。
わかる。
頑張ろう。
CIMより楽だからいいなと思って。
まあいいや、はい。
そうなんですよ。
まあちょっとね、これだけだとなんとも思っていて。
そうだね。
なんか理にかなってるというか、そうだよねとは思うんだけど。
これだけだとちょっとなんともなって。
結構泥臭い部分になるなと思ったな、その。
そうだね、なんか実際じゃあどうやってやってるのとか、
使用感はどうなのとか。
そういうところを、もうちょっとリアルなところを知りたいなって思うんだけど。
まあそういう人は多分この下に書いてあるポジションから、
続きはカジュアルメンタル。
体験できるのかなと。
まあなんか書くの大変だろうなと思ったりもするんだけど。
結構気になるのはその、どっから集約してきたのかと、
あと整合性の検証結構気になるなって気はしてて。
整合性の検証これどう実装してるのかちょっと気になる。
めっちゃ気になる。
どういう場所で矛盾が生じちゃうのかすごい。
やったことないからあんま想像できない。
金融系はいろいろあるんじゃないかな。
そうなのか。
なんかわかんないですね。
金融系特有の?
金融系特有のっていうか、
わからんけど、なんかあるんだろうね。
なんかでもどっちかというと個人的にはこの、
いやーまあね、でもむずいなー。
いやー、
現実多分無理なんだけど、
リソースアクセスのときにランタイムで
なんか矛盾の整合性の検証したほうがなんか
いいんじゃないかなってちょっと思った。
ただ多分事実上無理で、
アクセスできたらアウトみたいなものが多分あって、
ワンパスワードの中身とかね。
そういうのを考えるとやっぱり、
アプライの時点で整合性の検証せざるを得ない。
そうね。
ワンパスそうだね。
SaaSの方の制御は無理なのかな。
SaaS、まあでも、
まあ無理か。
そのランタイムでやるみたいなのはもうもはや、
ゼロトラスター、
オライリーのゼロトラスターアーキテクチャ本で
書いてあることそのものだなって思うんだけど。
そうだよね。
それをSaaSにかませる方法は思いつかんの?
SaaSにかませる方法は、
例えば社内システムだったらそういうものをかませて
動的に安定してってあるけど、
ワンパスの前にそういうのを立てるわけにはいかなくて。
まあでもCASBみたいな仕組みでできたりしないのかな。
CASBってなんだっけ。
もう毎回忘れるんだよな。
CAS、覚えられない。
クラウドアクセスセキュリティブローか。
まあ確かにね。
間に一段ネットワークレベルで入ってればできるように。
ローカルでもいいからさ。
極端な話だけどね。
技術的には可能かなと思うんだけど。
まあでもこれ入ってくるとゼロトラスターアーキテクチャって
また別やな、普通。
これが入ってる視点で一つの信頼性になって。
だからその上で属性検証を動的にやってほしいよね。
まあその辺はでもコストリターンなんだろうな。
だからリアルタイム性って話だよね、要するに。
リアルタイム性。
これなんでそう思ったんだっけな。
ちょっと忘れちゃったな。
忘れちゃった。
実装するの大変そうだなって思った。
大変だと思うな。
ランタイムで当てる方がなんか楽じゃないかな。
その人が今こういう属性情報を持って
これにアクセスしていいのかみたいな
のを検証するのって
ランタイムでやる方が楽じゃないかな。
でも結局
あらゆるリソース間で矛盾がないかを検証するよりも
限定された条件下で
あるリソースアクセスが許容されてもいいかどうかを
実装の難しさと気になる点
検証する方が多分技術的には楽じゃない。
リソースあるリソース。
パターン数が少ないでしょ。
検証しなきゃいけないパターン数が。
あんまり想像できてないかも。
例えば。
例えばだからAとBとCの要素があって
えーと
むずいな。
属性123っていう情報
属性を持ってる人が
AとBとCっていうリソースに対しての
アクセスを持ってますっていう
状況を
状況に対して整合性の検証をするよりも
属性123っていう属性を持ってる人が
Bというリソースにアクセスしていいかっていうのを
検証する方が
楽じゃない。
それで言うと
うーん
分かったようで分かってないかもしれない。
B?
僕の
うーん
そこをでも分離して
例えばAは1を持ってればOK
Bはえっと
1を持っていてかつ3を持ってない状態ならOK
Cはえっと
2を持っていて1を持っていてはいけない状況ならOK
2を持っていて1を持ってない状況だったっけ
みたいな状況だった時に
それぞれの組み合わせをまとめて検証するのと
ランタイムで
あるアクセスがOKかどうかっていうところに
絞って検証するのと
校舎のあっと見だけじゃないかな
うーん
そうだね。そうだけど
現実差数の手前にそれをかませられないって話があるから
やっぱり事前に定義して
だから実際に実装が気になる
現実そうだねっていうのはその通りなんだけど
複雑性でいった時にどっちが楽かなっていう
多分それだけ
まあでも結局
例えばだけどレゴで処理できる形にして当てましょうみたいな感じだったら
そんなにどっちも変わらないのかな
うーん
差分はあんまない気はするな
なんかない気がしてきたわ。俺も
なんか今頭の中で考えててない気がして
人と属性が分離されてるから
ごめんなさい。差分はないです
失礼しました。差分はありません
以上です
ID基盤の後はそれが
そうだね。ID基盤の仕様にも引っ張られるだろうね
それをグループみたいな概念しかないんだったら
グループとしてもやっぱりモデリングしておくしかないし
そこはなんかあれな気がする
いやーでも実装待ってます
実装実装
この実現にあたりのショーのこの
5箇所にすべてが詰まりすぎてて
ちょっと気になるって感じだよね
どのチームがやってるかも気になるね
どのチームがやってるかも確かに気になるね
セキュリティチームなのかコーポレットセキュリティなのか
そもそもチーム体制がちょっとわかんないですけど
書いた方の情報からは
どんなところが作ってるのかは何も想像つかなかった
所属チーム名とかがないんで
結構コード書けないと無理だよね
この方自身は普通に多分ウェブのエンジニア
そうなんだ
なるほどですね
まあヘロシーに聞く
聞いてみよう
じゃあ次行きますか
法的に非準拠な挙動は情報セキュリティ上の脆弱性なのか
聞いたの誰かの記事
これ何にもメモとか書いてないわ
でも内容はすぐ読めるぐらいのボリューム
さらっと読める感じで
産業ぐらいで言うと
もはや個人データの不正処理につながるような
何かって法的問題に留まらず
セキュリティ上のリスクでもあるよっていう主張で
それはなぜかというと
ISR-27001とかGDPRとかeプライバシー司令の考え方の中で
そういう研究があるからだよという風な主張をしている記事です
まあ違和感はないというか
うーん
違和感はないんだけど
なんだっけな
違和感はないんだけどさ
うーん
なんか
どうなんだろうな
このISR-27001の付属書Aってやつの原文はまだ見てないからわからないんだけど
ここで言われている管理策というのをもって
データ保護法の重要性
データ保護法違反が組織的セキュリティ失敗の範疇に含まれることが示唆されている
という主張がちょっと飛躍してないかなとは
これはそう
ここに飛躍があったらさ
高段も全部崩れるじゃん
まあ確かにそれはそうか
この辺はなんか難しいけど
定義の問題というかなんだろうな
結構個人的になるほどねと思ったのは
どれだっけな
なんかそのあれか
クッキー同意バナーみたいな話で
同意取ってないのにデータ送信しちゃったら
機密性の侵害だよねみたいなロジックは
まあ確かにみたいなところとか
その辺はなんというか
まあでもなだからなんだって話はちょっとどうなんだろうな
いろいろ本読んでるともう
事実上必須要件みたいな書き方されてる気がするんだよな
その昔どうだったかはちょっと僕はわかんないんですけど
今会社で輪読してるやつも多分
セキュリティの業務の中に法令遵守って入ってたと思うし
あとなんだっけな
サイバーセキュリティ対応の企業実務っていう本があって
僕はすごいいいんですけどそれにもがっつり
その法令遵守はもう明確に一つ
満たさなきゃいけない要件で
それ用の章立てがあって
へーって感じだったんだけど
なんかまあ実態そうだよねっていうのは
実態そうだよねはその通りだと思う
静寂、静寂性
まあなんか言葉されない気がせんでもないけど
じゃあじゃあイコールジーディピアルディープライバシー指令だよね
っていうのもなんか若干飛躍があるような気もするし
じゃあ故障法だとどうなのっていうのも
その要はなんて言ったらいいんだろう
結局さ各国地域の法令に依存する部分である以上は
法律を守ることがつまり個人データのプライバシー保護であるよ
っていう言い方ができないわけじゃん
ISMS側では
なんかそこって厳密に透過ではないはずで
確かに
まあそうだね
正しいかどうかはちゃんと調べないと全くわからんので
想像だけど
普通にこのプライバシーという
現代のプライバシーという観点において
このラインとこのラインは守らなきゃいけないよねってものを
法律関係なく定めた上で
それ守っときゃまあまあまあ
法令も大体突破できるみたいな
ラインを自分の中に持っておくとかがいいのかなって
ちょっとぼんやり思ったり
まあそういう時に使えるのが
法令でありガイドラインでありっていう話ではある
まあ確かにね
ガイドラインは良さそうだね
プライバシーとリスク管理
法令なあ
一回なんか
いやーそのさっき言った本にも
めっちゃ詳しく法令書いてあって
GDPRも当たり前ですけど
中国の法令とかアメリカとか
アメリカも州ごとにうんどんとか
日本の話も書いてあったけど
大変なんだよなあ
咀嚼するのが
大変だね
大変だしその
なんていうか
まあ非常に難しい
難しい
結論しろうとは無理だな
そうだね
という風に思ったので
その
解釈がなあ
その思想としてのなんていうか
あの
プライバシーとか
個人データの考え方個人情報の考え方
みたいな部分は
まあ十分にそういうとこからエッセンスとして
取ってくることはできると思うんだけど
その
法解釈の部分は正直なんかやっぱ
そこはもう素人にはできないな
そうだね
どちらかというと多分
我々が本当にケアしなきゃいけないのは
その実装の部分
なんていうか
プライバシー保護というものを
じゃあ真に
真の意味で実装するためにはどうすればいいんだっけ
っていうところは
むしろ我々の良分だと思って
まあそれで言うとこの結論の
このユーザーの動揺を得ないデータ送信
は脆弱性として扱うかは
ともかくとして一つ
分かりやすいボーダーではある気がするな
これでもさ
セキュリティの実装
まあいいや
あの話をすると
なんだユーザーの動揺を得ないデータ送信
ウェブにおいて
確かにね
HTTPリクエストは
まあ確かに
いやー
じゃあそういうブラウザを作ってくれよ
全てのリクエストを
事前に確認するブラウザを作ってくれよ
もう
思っちゃうけどな
これこそ専門家呼んで
ゲスト会でやりたいわ
全然ね
分からんな
はい
いやいいな
これ系はやっぱ話した方がいいな
うん
まあ結構人によって見方か
そうだね
うん
わざわざ
じゃあ次は
セキュリティ担当者の誘発
想定リスクの最大値をどう果てするか
ヤギ足さんの静かなインターネット
こっそりと誤説を引っ張ってきましたけど
まあどういう記事か
僕が解説してもいいんですけど
まあそうですね
いやなんか怖いな本人お前に解説するの
まあいいや
そのまま
お願いします
なんかセキュリティ
まあセキュリティの仕事と向き合ってる時に
まあリスクとまあ向き合う
まあリスクない人は一瞬と向き合わなきゃいけない場面があった時に
じゃあそれが結局どんぐらい重要なのか大事なのか
危ないリスクなのかみたいな部分の問いが必ずあるんだけど
えーっと
まあそれに答えるのが難しいよねっていうのが
まあとっかかりとしてありますって感じで
例えばだけど
僕はちょっと読みながら言い訳っていうか
想像したのは
まあなんかある脆弱性があって
まあ理論上は攻撃されたら何かが起きるかもしんないみたいな
なんなのななんか
すごいキワキワのエンドポイントで
こういうかなり
かなり小細工すればDドス攻撃成立するよみたいなのが
例えばあった時に
じゃあそれが放置したとして
下やられてサービスがダウンし続けるのか
1年間誰も狙わないのかは結構答えが出せないというか
そういう問いがあった時に
まあどうするんだっけみたいなところがあるんだけど
まあ分かんないですねで終わらせらればいいんだけど
インファンスセキュリティやる以上は逃げられないよねっていうところで
まあ頑張んなきゃいけないですよねみたいな話ですね
でこの辺をどう見積もるかとか定理するかとか
整理していくかが
ある種セキュリティを成り上げにしていく人の
文章見ながらとすごい表現に引っ張られちゃうんだけど
力試しというか
余地だよねみたいな部分ありつつ
まあでもそれって実は特別なことじゃなくて
仕事する人はみんな向き合ってる問題じゃねみたいな話も
ふわっと折り返しとしてありつつっていう感じですね
そうですね
これもともとはなんか
じゃあどういう心構えで
想定リスクの最大値を仮定すればいいんだっけっていう
どういうやり方があるんだっけみたいなのを書こうと思ってたんだけど
なんかめんどくさくなっちゃった
いやーこれ読んでと思ったけど
読んでと思ったことがめっちゃツラツラ書いてめっちゃ長くなっちゃったんだけど
これ書いてる間に3週3往復ぐらいしてるんだけど
分かるよ
俺もこの記事書きながら
飲み会に出かける行きの電車で書き始めて
帰りの電車でもぐるぐるしながら
なんかあれして最寄り駅に着いてから駅の前のベンチで
なんかくせーな書き上げて投稿して
なるほどねいいと思う
なんか僕の往復の仮定を話すとなんかその
まずセキュリティにおけるリスクがむずいなっていうのを最初に思って
あくまでN1年間だけど僕は元ソフトエンジニアで
ソフトエンジニア時代と比べた時に
例えばソフトエンジニアリングにおけるリスクとかを
思い出した時に結構グラデーションつけられるというか
例えば技術不採があります開発が遅くなりますみたいな時に
全額返済したら速度2倍になるけど
半額返済したら速度1.8倍になりますみたいな
そういう曲線傾き1ではないグラフみたいなのが必ずあって
それをどれぐらいの精度で描けるかとどこを取るかみたいな
そういうのがやりやすくて
経営とかステコロードの意思決定目線も
別に何だろうなこの塩梅でいいんじゃないみたいなのが決めやすいというか
逆に返済しないって意思決定をした時に
会社が潰れるってほぼ現実にはないと思ってて
これは不都合な真実でもあると思うんだけど
技術不採を仮に全く返済しない
いやそんなものはないと言って返済しなくても
潰れないことって往々にしちゃって
だからみんな苦しんで度々技術不採ってことが
炎上肌として上がると僕は思うんですけど
なんでそういう部分がソフトエンジニアリングであると思っていて
一方でセキュリティを見ると
グラフは描けるかもしれないんだけど
ゼロイチになっちゃうことが多い気もしてて
起きたらもうおしまいです
でも起きないかもしれませんみたいな
そういう語り口になってしまいがちだなみたいなのが
まず一応含めというか
向こう側にバーンって走ってて
でもなんかそこでちょっと折り返しと思ったのは
とはいえなんかそのなんだろうな
じゃあなんか起きたら潰れちゃいますって
本当にそうなのかと言われると
現実で向き合わなきゃいけない
コントロールしなきゃいけないリスク
クリティカルなリスク以外は
なんかそうでもない気もしてて
例えばさっきドスの例を挙げたけど
じゃあなんか現実
ドスに狙われちゃいました落とされましたって言った時に
じゃあ3日ぐらい落ちるかもしれないけど
攻撃されて死ぬ気で直して
普通の可要性レベルに戻った時に
事業を畳む羽目になるかって言われると
そんなことは多分ない大半の事業は
ただ事業次第でもあるとは思っていて
銀行だったらたぶんあと3日ATMつかないと
たぶんお客さん離れるけど
まあわかんない
ECサイトちっちゃいECサイトだったらいいかもねとか
補点でどうにかなるかもねとか
やっぱそこはなんか事業の円数とかが入ってきたりするから
意外とゼロイチじゃないというか
ちゃんと突き詰めていけばグラフも書けるし
トレードオフスライダーじゃないけど
どこでやるかって意思決定を
よりいい意思決定を
ステイコファラダと一緒にやっていくってことは
できるなと思ったんだけど
いやでもなって思うのは
優は安いなと思っていて
ソフトエンジニアはもう
僕が10年やったからさっきの話ができてるだけだって
たぶんもしかしたら
ゼロから始める人は同じように
いやもう不再編載しない以外なくないですかみたいな
思想になることも全然想像できる
っていう意味では
セキュリティもなんか
なんかなんだろうな
タフな打席に立つ回数を増やしていくことで
精度を上げていくしかないんじゃないかみたいな
気持ちになって
僕はちょっと着地したっていう
特になんか直近は
そのヤギ足が入ってくると
1ヶ月半経ちましたけど
なんだろうな
入る…
もともとの僕ともう1人のチームメンバーの質が
専門性と経験の重要性
低いとは思わないけど
やっぱその2人の時に
決めきれなかったものを
ヤギ足がスパッと決めてくれることがあって
それはなんか別に
前習いしてるつもりじゃなくて
そのなんだろうな
経験とかその
差し加減なんだろう
経験とか知識を基づく
差し加減みたいなものがあると思って
ないよ
いやあるんだよ
それはあるんだよ
あるあるある
それの精度が100点だと思ってないけど
でもそのなんだろうな
なんか
どっちかっていうと
決める勇気の問題な気がするんだけどな
いやそれもあるけど
それもあるけど
なんかいろいろひっくるめるかもしれない
ひっくるまってる気もする
だからその勇気を
決めたっていう経験値みたいな話もあると思うし
でもその決めるために
自分の背中を押してくれる知識とか経験を
どれだけ持っておけるかみたいな
話もあると思うし
あとはなんだろうな
セキュリティことセキュリティにおいては
決めたものをやっぱ
チーム外のステークホルダーに対して
ぶつけなきゃいけない場面も
ソフトエンジニアよりは多かったな
多いと思うから
そうだね
言い方はあれだけど
対立することは確かに
多いよなと思っていて
対立もそうだし
やっぱその
うちみたいな
いい意味でうちみたいな環境だと
やっぱ
なぜかを掘り下げるというか
言われた通りにする
スタンスの人じゃない
素質の高い人と一緒に仕事するってなった時に
大事なのは分かるけど
なんで今このタイミングで
この優先度この強度でやらなきゃいけないんですか
みたいなところを納得感を持って
やってもらうために
あまりにも何も説明できないとやっぱり
納得感も得づらいとか
あると思うから
だからなんか
それで言うと決めっすよみたいなこと
言い切れるのもあるし
それはそれで能力だと
思うというか
あるじゃん
実際の仕事でもすごい思うけど
これは決めるしかないんで
決めでやりましょうみたいなものもあるし
こっちは決めなんだけど
でも
こういう根拠もあるしみたいなものもあるし
いろんなパターンがあって
その辺の引き出しの
多さとか経験値みたいなやっぱり
差分としては出るなって気はするな
業務委託の効果
個人的には
だいぶ前に
ソフトエンジニアと
セキュリティエンジニアの
セキュリティ難しいみたいな話を
したことがあった気がするんだけど
その時にも結構ソフトエンジニアの
課題って見えてるものが多いみたいな
話をした気がするんだよね
うん
見えてるというかなんか
脳内のメモリーに
収まりやすいというか
そういう感覚はある
それと近いか
遠いかちょっと何とも言えないんだけど
なんか
さっき挙げてたような
技術不細みたいな話題って
その
明日どうこうっていう話じゃないんだよね
そうだね
大体の
ケースにおいて
うーん
場合によってはさ
技術不細が積み重なって
云々かんぬんみたいな話の中に
例えばディザスターリカバリーみたいな話が
もし入ってくるとしたら
明日云々かもしれないけどもしかしたら
でも
大体のケースにおいて
ある程度時間的猶予がある
というか
明日急に死ぬことはない
っていうのはよくある
でもセキュリティは
明日死ぬかもしれないが普通にある
っていうのは
確かにその通りで
かつなんか
なんて言ったらいいんだろうな
そのさ
何でもない一担当者がさ
明日死ぬかもしれない
どうしますか
うーんやる
うーんやらないみたいなところをさ
決めるみたいなのが普通にあるじゃん
そこは結構
独特だなとは思う
そうだね
その
明日死ぬかもしれないって別に
本当に明日死ぬかもしれない
レベルのものはもうちょっと
フォーマルなやり方に従って
多分意思決定すると思うけど
なんか
例があれだったな
例えば
明日1ヶ月
稼働が全部持っていかれるような問題が
顕在化するかもしれない
しないかもしれないみたいな意思決定とか
一担当者レベルでしなきゃいけない
っていうのが普通にある
そういうのは普通によくある
うーんそうだね
まあそれで言うと
結構独特だしね
でもなんかそれで言うと今
その記事の最後で
仕組み
実現する仕組み云々みたいな話だったけど
あるしさ
本当に明日死ぬやつは
例えばもうすぐやる
だからその
1ヶ月稼働取られるとか
そういう風に住み分けるみたいなのも
一つの仕組みな気はするし
うん
だから別に打つ手がないわけではないというか
実際
今の会社でも
不完全ながらも
フレームがないわけではないから
でもなあ
その辺もやっぱ
やってきたことで結構
できるようになったなって今しみじみ思ってる
うーん
機会があったらなんか不正対策とか
そういうところも
やってみてもらう
もっとリアルな世界だな
なんか
サービスの設計とかを
見てなんか見落とすと
そのリリース直後の
利益が全部吹っ飛ぶ
確かに
いやー切りつくね
いやー
不正対策なあ
ちゃんと言いたいな
実はメルカリの一番最初不正対策チームにいたんだよな
あそうなんだ
実はUSの方ですけど
あーなるほどね
面白かったな
メルカリ
メルカリはしんどいよ
あれ
しんどいよ
なんか
やばすぎる
ほんとにしんどい
新しいサービスが出ると
一個新しい不正が増える
そういう世界だから
一個にとどまらないけど
ここで
いやー
確かにそういうのをやってみたいな
なんかここで読むようなさ
要考えるなってやつのさ
まさにターゲットになってそうだなって
そうそうそうそう
あーなるほどね
わー頭いいなーみたいな
いやー
マジでいいとかわからないけど
やられて困るみたいなやつとか
あーなるほどね
いやーでも全然他人事じゃないよな
他人事じゃないんで
他人事じゃないけど
まあその
ネットスーパーという事業の特性を見た時に
まあ
正直メルカリよりは楽だな
あー
足が
つきやすいとか
扱うものが
扱うものがとかもそうだし
そのーさ
メルカリの場合はさ
全然関係ない話になっちゃうけど
メルカリの場合はさ
お金が中で動くじゃん
お金そのもの
あー確かにね
うん
それは結構大きくて
なんか
独特であれはあれ
確かに
いやでも良き記事でした
雑な雑な記事
良かったです
じゃあ次行きますか
次は
またあの
マッチポンプ記事なんだけど
セキュリティチームの専門性を高める
業務委託との共同という
TENXプロダクトブロ
記事です
相対1235という人が書いた記事
みたいなんですが
なんか本人に説明して
説明しちゃおうかしら
相対1235が
ここに来て
相対1235が説明します
ちゃんと予約するのむずいな
でもさすがに自分が書いたから予約できる
なんかそのタイトル
通りであるんですけど
あの
業務委託と
協力して
セキュリティチームの
専門性を底上げ
した話
何が狙いだったのか
というのを書いていて
狙いとしてはもともと前提として
このポッドキャストでは散々話した
気もしますが
やけしが入る前のTENXセキュリティチームは
僕ともう一名ソフトエンジニアの
二名体制で
セキュリティのバックグラウンド経験が
少なくとも業務では全くない
という状態からスタートしたので
ソフトエンジニアにできることは
いろいろありつつも
専門性が足りないという部分で
ハンデを打っている感覚がずっと
ありましたというのが
前提としてあります
具体的にどういう部分でハンデを打っていたかというと
記事中では
速さと質の両面
もしくは両面みたいな話をしていて
速さの部分でいうと
あるセキュリティチームに対して
同じ成果を出そうと思った時に
経験とか知識がもしあれば
例えば本を読むとか
頑張ってGoogleとか
めちゃくちゃ議論しなくても
これがベスト
よりベターだねというところに
たどり着けるところを
僕らはゼロから勉強しないといけないので
これはどういう
どういう風に
まずどういう風に切り込めばいいんだという風に
始まることさえあって
時間がなかなかかかるという話と
また時間をかけたとしても
質の部分でキャップがある可能性も全然あるよという話があって
自分たちが知らないことを
知らない概念というのは
未学習の分野
未極の分野で
やっぱりあって
何でしょうね
なんか
すごいプリミティブだけど
一回あったのは
XSS対策みたいなのを
何かの文脈で
社内で議論した時に
まあエスケープせなあかんよね
みたいな話を社内で
当然してたんだけど
なんかどうしてもエスケープしたくないみたいな
ユースケースがありそうみたいな
みたいな時に
ヤギ橋かな
もしくはもう一人の興味深くの方に
ドンピューフライっていうのがあってですねって言われて
そんなものかみたいな
それに
ググったらいつか辿り着けたのかもしんないけど
今となってはさ
反射で
出てくるような知識というか
そういうものがやっぱ
今の氷山の光そういうものが
あったって状態で
なんでまあ
そこに辿り着けなかった時に質が下がるって話もあるし
まあ早さが始まって
それを底上げするために
専門性を持った人を
業務委託として
探して一緒に
協議をしたって話ですね
採用活動と課題
理想論はもちろん採用できればいいんですけど
採用史上
少なくとも当時
僕ら採用活動してた時の目線では
少なくともコントロールできない
1年来
今年中に1人採用オファー出しましょうみたいな
目標はあんまり
意味さえないというか
向こうが
動くか動かないでしかないから
目標立てられるとしたらせいぜいアプローチするぐらい
プール数を増やすぐらいしか
できなくて内定数とか
業務委託の効果的な活用
あんま意味のある目標にできない
っていう部分で
コントロールできる部分で
もうちょっと正社員よりハードルが低い業務委託で
スポットで手伝ってもらうとか
そういうのを模索して
手段として一つ取り入れたという感じですね
あとは
業務委託と実際協業するにあたって
僕ら目線で
思ってたのは
セキュリティ業務を外注するのは
僕は記事中で書いたのは
ソフトエンジニアなんで
例としてソフトエンジニアを相対的な評価として
出してるんですけど
開発業務とかと比べると
効果的に外注するのが難しい
と思っていて
例えばソフトエンジニアだったら
完結しやすい
完了状況に分かりやすいタスクを
バーって用意しておいて
そのコストをかければ
あとはお前貸しますって
貸せるとかって結構きれいに回るんだけど
セキュリティ業務とか
作業をまず相対的にするのが
権限を外にどれだけ渡すかみたいな話もあるし
稼働時間みたいな話もあると思うし
あと何より
何でしょうね
記事中でも多分書いた気がするんだけど
ある意思決定をするときに
社内の事情とかフェーズとか
事業とか
いろんなコンテキストをちゃんと理解した上で
意思決定しないと
一般論に落とさざるを得ない
みたいなことがあると思っていて
記事で書いたのは
実際に昔あった話なんだけど
Googleクラウドで開発して
全員にロールズオーナー権限がついてるんですけど
どうすればいいですかみたいな
イシューがあったときに
これをそのまま相談しちゃったら
落としてください
以外何も言えないというか
でも本当はコンテキストがあって
でも実は今
デプロイがわかんない
事実とは異なりますけど
デプロイが今みんな手動でやってて
オーナー権限についてる権限が必要で
みんながどういう業務をしてるか
わかんなくて
速さ優先でこうなってきた背景があって
社内の雰囲気はこうで
そこに対して
じゃあこうすればいいんじゃない
そこまでちゃんとコンテキスト共有できれば
もう少し見栄えのある
回答ができるし
っていうところで
コンテキストをきちんと共有していく
という部分が大事だよね
みたいな話とか
それをするために
事前に期待値の定義を結構分面にしたり
あとは
やって欲しいこと
やらなくてもいいこと
期待しないことみたいな定義したりとか
またその相談
またその最後に
オチ的な感じに書いてるんですけど
意思決定の背景
ヤギ足に2年間くらい手伝ってもらってた時の
そのヤギ足の
もう1人もあるんですけど
今回ヤギ足のほうと同様に
テンプレみたいなのを軽く開示してるんですけど
週1、1時間で
相談トピックを
思いつく構えに
バーって吐き出して
それを一つ一つ同期的な時間で
咀嚼し切る
っていうスタイルで
うまくワークしましたよっていう話を
書いたって感じですね
なんか予約できないな
自分の記事喋るのよくない?
全部喋りたくなっちゃう
俺自分の記事喋らせていて
すごいあれなんだけど
全然ね予約できない
まあでもそう
そんな記事でございます
なんか
委託される側視点の
話をしようかなと思ったんだけど
あんま話すことない
率直にどうでした?
やりやすさ
やりやすさでいうと
やりやすさでいうと
まあどっちかというと
一問一答で済むほうがやっぱ
個人的には楽で
その場でクローズまで持っていける
っていうのがめちゃくちゃありがたくは
そもそも週1、1時間
っていうのも確かこっちから
だいたいこっちから
お願いしてた内容だと思っていて
副業でやってたので
要は本業がある中で
そんなに時間を割けない
っていうのがあるから
成果に対してコミットを求められる
働き方はできない
っていう前提において
こういうやり方を取ったっていうのが
あると思って
逆にその週1、1時間は好きに使ってもらっていい
っていう形にしてたから
教育分析とかもやったよね
なんか
上手く使ってもらえたのかな
とは思って
結構個人的にはブログに
書かなかったというか
ダソクだったので書かなかった
ダソクというか常駐になるので書かなかったけど
結構
セキュリティに限らず業務みたくちゃんと
表現がむずいんですけど
発注側目線は
きちんと活用しきるのは
マジで大事だと思っていて
活用できるかどうかは
マジで発注側の責任だと思っていて
決して特定の会社を
行ってるわけじゃないですけど
僕も副業をした経験が何社かあるんで
思うところが
あるというか
やっぱ
仕事の投げられ方で
働き方とか出せるバリューって
めちゃくちゃ変わってしまう部分があって
それはやっぱ
フルタイムで働けない以上は
自分で動いてキャッチアップみたいなことは
当然できないし
単純に
時間の制約もあるし
共有できる情報の幅も
めっちゃ狭いじゃないですか
週5時間だとしても
その人に全権限を渡してくれるわけじゃないし
社員定例に
出れるわけでもない
ってなった中で
ノウハウの共有
発注側の責任はめちゃくちゃ重いと思っていて
そこは
めちゃくちゃ
野木屋さんの
大人しいもう一個の業務とかも
意識はしていて
思ったのは
このノウハウはあんま
僕はあんま見かけたことないから
出せんなら出したいなと思って書いた
みたいな部分も結構あるし
ノウハウね
難しいよな
同じフォーマットで
みんなができるのかというと
そこは個人的には分からなくて
フォーマットは
全然変わり得ると思う
結構大事なのは目的ちゃんと
定義できてるかと
目的に基づいて
何を期待してどういう形で
それを進めるのかみたいな
ブレークダウンできていれば
結構ちゃんとできると思って
逆に言うとなんか
どっかがふわっとしてると
その業務もすごいふわっとする
と思うんですよ
あるあるはすごい
まあそうですね
あるあるなんか
ある主役やしも今回吉永に相談
業務委託だと思うんだけど大枠としては
でも本当に吉永に相談
っていう定義で始まっちゃうと
なんていうか
なんだろうなぁ
表現が難しいんだけど
相談されれば
吉永に応えるとはみたいな
部分もあるというか
達成条件も
それで言うとなんかあんまり
委託される側視点で言うと
割とむしろ吉永に応えるっていう
持ってき方をされていても
なんかあんまその
吉永に応えないみたいなことは
してたなその
できるだけ結論を出しに行く
っていうか
なんて言ったらいいんだろうな
あくまで外の人間だから
さっきの自分の記事で言うと
難しいっすねって言ってればいい立場なんだけど
それでもその
自分だったらこうしますね
っていうところはある程度決めに行く
っていうのはしてたし
そこは意識的にやったかもしれないな
そこめっちゃ
僕らにとってもめちゃくちゃ良かったし
それはありがたい
確かにね
見えてる情報から
判断するんだったらこうですね
っていう
理想論で言ったらこうだと
っていう話はよくしてたと思うし
そうやって難しいのかもしれないから
じゃあ例えばなんか
妥協するんだったらこういう妥協の仕方があるんじゃない
っていう話し方とかは
よくしてるかもしれない
なるほどね
例えばなんか
全員ロールソーラーなんですってやったら
それはエディターには落とせないんですかって話を
たぶんすると思うし
エディターでも足らないんですって
話だったら
なるほどじゃあちょっとなんか
事後的にでも変なことしてないかの監視とかで
妥協するしかないですね
みたいな話をするような気がするし
なんか
いるだけその
アクションにつなげられるような話を
するっていうのがなんか意識してる
いいな
素晴らしい
素晴らしいマインドやな
だから
良い業務委託の人を引けたという
生存バイアスもやっぱあるはあるんだよな
引けたっていう言い方ちょっとあれですね
どうなんだろうな
でも結構あのフォーマット個人的には好きで
なんか
このフォーマットで良ければ
もう今ちょっと普通に仕事
忙しすぎるから
もうちょっと余裕できたら
このフォーマット良ければまたなんか
別のところの
あれとかしたいな
思うな個人的には
このフォーマット個人的にもやりやすかったな
いやー
そうだね
また結構その
あとはなんか
さっきの吉谷のイチオスでもあるんだけど
本質的じゃないと解釈されたくはないんだけど
なんか活用するぞっていう
モメンタムを止めないみたいなのも
なんだかんだ大事な気はしていて
やっぱ業務忙しくて
流れるように
一週間経つと
何相談したかったんだっけってめっちゃなっちゃうから
相談トピックをなるべく入れやすい
もうなんか
ノーションで一番ゼロ距離の場所で
ポチっと押してポチっと押したら
とりあえず追加できるようにしておいてとか
朝会でまあ
その2人チームだったらお互い
これちょっと矢消しにすぐ相談しましょうみたいな感じで
入れたりとか
そういうのを結構意識的にしたりはしてたな
あとあんま動いてない
案件が動いてなさそうだったら俺がむしろ
そうだねそういうのは
だってこれ
あと聞くだけなんですよね
いやー耳が痛い
いやーあったな
これがちょっと
あれ入社決まってから
確かに
いやーこの辺の話はちょっと
いいな
いいオフトピック
ブログ裏話じゃないけど
まあなんか
このトピックを
失礼
クロスボーの紹介
同じフォーマットで仮にやったとして
なんか持ち込み続けるっていうのは
どこでもできることではないかもしれないな
あー
そうね
いやでも
そこの辺もだから多分
各チームごとにカスタマイズすべきだとは思うな
うちの場合やっぱ
2人で
求められるアウトプットが多くて
知識がないっていう前提があったから
多分この週1時間で
っていうフォーマットが合ってたけど
それもあるけど
そもそも多分課題の探索能力が
高いんだろうな
課題の探索能力が高くて
見つけてきて
溜め込んじゃうっていう
状況がまず前提にあって
うん
なるほどね
課題の探索をそんなにやってない
ところだったらこんなに上がってこないんだろうし
確かにね
もしくはその課題の探索をする
何だろう
時間を取り続けられたのがすごい偉かったかもな
振り返ると
なんていうか
やっぱなんだろうな
開発チームとかめっちゃあるあるだと思うけど
やっぱ
何かに暴殺されて
いやー難しいけどその
潰しておくべき
なんだろうな
ちっちゃいもやりみたいなのを
見逃さないみたいなのを
見逃しづらいチーム運営というか
そういう部分は大事だけど
チームと言っても2人なんですけど
いやー
まあ今となっては
社員になってもらったんで
社員というかチームに入ってもらって
お世話になってますって感じなんで
今後ともお願いします
はい24365で使い放題
24
まじか
現地で絵回したんで
これ聞いてる社員の人はちょっと
遠慮なく
24365メンション飛ばしてもらって
起きてる間
はい
じゃあ
次いきますか
あーこれね
クロスボー
Finding
Excesses in Salesforce
Owner Components
How Crossbow Got Created
っていうクロスボー
っていうなんかなんだろう
AIベンチャーなのかな
企業名なのか
企業名でありサービス
そうそうそう
そんな感じで
なんかすげーのよ
これ
ハッカー1のランキングで
一瞬なんか人間抜いて1位になってた
なんかその
完全自律型の
新入テストツール
前なんかちょっと話題に
ここでも上がってた
まあそれが
Salesforceのオーラコンポーネントの
Excesses
見つけた時の
フローみたいなのを
紹介してくれてる
キッチンなんだけど
別に
やってること自体は
別に難しいな
なんか普通なんだけど
あまりにも人間っぽいし
あまりにも根気強い
だからなんかすごいな
ただそれだけ
これなんかそう
目は通したんですけど
そうかやっぱすごいんだな
この
なんて言ったらいいんだろうな
なんかなぞってるところだけ
いくと本当に人間的というか
なんか
嗅覚の鋭いバグハンターが
やってる風な感じを
受ける
だから
ある種巧みっすよね
ある種巧みだけど
巧みはだってあれじゃん
ソース構図見るじゃん
マックボックスで見てるからさ
面白いねそういうことか
全然違うね
アプローチは全然違うんだけど
でも面白い
面白いというか
なんかすげーなっていう感じ
何がすごいんだろうね
やっぱ手数の多さなのかな
手数の多さと
これが有効だろうって
評価みたいなところが
上手く回ってんのかな
個人的には多分手数の多さだと思っていて
その
なんていうか
ぱっと見無駄だと思えるところを
なんか
めんどくさがらずにやれる
機械の強みだよね
機械ならではの
強みみたいなのがまず
あるんじゃないかと思って
確かにね
それはなんかこの
形に落としてるところは
このクロスボウの勝ちだね
間違いなく
いやー
ギガ人の記事にもなってたんだ
うん
これはね非常に
楽しみにしてる
頑張ってほしいっすね
現状多分XSSに絞ってやってて
そうなんだ
やっぱ向き不向きあんのかな
プロンプトインジェクションの技術
わかんないね
でも広く何でも見るっていうよりは
XSSに絞ったほうが多分評価もしやすいんじゃないかな
確かに確かに
セキュリティ
AIエージェントのベンチマークとかあるのかな
ありそうだよな
でもこれでもあれかな
トップのセキュリティラボの
なんかこれとか75%
XSS以下に見てくれてんのかな
よくわかんない
これだけ見ると
なかなか精度によかった
うん
ペンテスターラボエクササイズ
そんなんあるの
いやー
こんなの出てきちゃうとさ
僕目線はさ
今からその修行のために
まぁでもそんなことねぇな
いや何でもないっす
同じことやる意味ねぇなとか言おうとしたけど
そんなことはないなケースバイケースやな
面白いね
でも期待したい
全部見つけてくれ
ペンテスターやってくれ
これもうサービス提供してんのかな
物価デモにはなってるから
まだ
でもあれなんじゃない
どう売るかいくらで売るかみたいな
でもなんか別にバグバウンティーだけで
マネタリズムできそうだよね
そうなったら夢だよね
不論所得じゃん
完全に
いやー
なんか
バグバウンティーやる側は
その
まぁでもわかんねぇな
前も話した気がするけど
その気分がどこに来るんだろうな
バグバウンティー実施するより
これに金払った方が安いみたいなやつ
世界がいつか
発展し続けてくるわけだよね
いやー
面白いな
でも金河さんみたいな人は
作れる気がしないと思うと
そうだね
際際は残るみたいな
AIに征服される前に頑張って
なんか静寂性報告実績
作ってみたいな
NVDがパンパンな気がするけど
じゃあ最後
ウェブの
静寂性はCVつかないからな
ウェブサイトだと
そうなんだ
探すならブラウザーとか
いやーしんど
OSSとか
Node.js NPMパッケージ
読んでもあるか
それ系だったら
なんかプロトタイプポリューションとか
リドスとか探す
狙い目だね
プロトタイプポリューション
探すのしんどそうだな
でもなんか楽しそう
普通に
辛くなっす
CVEホルダーになろう
CVEホルダーになりました
頑張るか
じゃあ最後
オペレーティングオペレーター
こかつさんのスライドですね
こないだの渋谷XSSでの
発表のスライドで
面白すぎたので
読んでみてください
サマリーはできない
説明できないです
オペレーターっていう
オープンAIの機能があって
リモートのChromeを
Chromeプロンプトで
使って操作できる
機能なんだけど
そのブラウザーが
開くウェブページを
通じてプロンプトインジェクションを
どうやってするかみたいな
話
面白かったのはね
なんか
フルスクリーンモードにすると
勝手にフルスクリーンモード解除するらしい
なんか
フルスクリーンモード解除する前に
ウェブページにすごい
めっちゃ目を引く
何かを出して
AIの目を引いているうちに
フルスクリーンで
ブラウザのウィンドウっぽいものを
出していると
フルスクリーンであることを忘れて
そのままフルスクリーンのまま
操作してくれて
ブラウザの
画面外のブラウザ本体の部分の
例えば
ナビゲーションバーとかがコントロール可能になる
そうすると偽装しているから
表示を
なので
次どこに遷移したかが
いやー
なんか
どういう理屈なんだろう
想像できない
LLMの自由度が高すぎても
なんか
そんな挙動する
あまりに人間的で
結構面白いな
そうだね
やっぱパラダイムシフトがあるなー
そういうの聞くと
なんていうか
難しいな
面白いね
セキュリティの未来
なんか
結構この
プロンプトインジェクションではあるんだけど
例えば
それを通じて
本来取れないところにある
情報を取ってくるみたいなのは
XSS的アプローチだな
って思って
個人的には本当に面白い
これがなんか
攻撃を成立させる方も
させる方なんだけど
そのじゃあ
目立つ穴を
先に出すと
フルスクリーンであることを
忘れちゃいますよっていうのを
報告されて直す方も
直す方も
いやー
結局でもポリシーで
フルスクリーンモードを禁止する
対策をしてた
まあまあシンプルだね
いやーでも
他にもこれどうやって直したの
なんか
ね
あまりにもなんかその
よくわからん動作をするものに対して
直すという行為が成立するのが
非常に興味深い
まあ
ある種直す側も慣れっこっちゃ慣れっこなのかな
いやどうなんだろう
わけにわかんない
やつばっかやってるっしょ
って
面白いね
いやー
前年経っても
バグハンターは
バグハンター
全然食いパクれないというか
うん
すげーな
いやー
読んでみます
ありがとうございます
7個今日はこんなところですか
素晴らしい
うん
待ちポンプ2つ
書かなきゃ
来週も記事書かなきゃ
何がいいかな
また結構溜めてる
いやー会社ブログはもう間に合わないな
プロダクト
セキュリティ難しいな
なんかいい記事書いてくださいよ
先輩
でもフラットのあざらさんと
なんか
セキュリティの初期設定
昨日今日あたり話してたの
うん
セキュリティのその
こう
領域をどう分類するか
みたいな話とか
なんか結構面白いな
話しちゃったけど
なんかそれ系さ
1回やってみたいな
って気持ちあるんだよな
なんかちょっと直近
1週間ぐらい妄想してるのが
TENXの場合のスタートアップ
セキュリティの始め方みたいなの
めっちゃ体系立ててまとめたいな
みたいな
別に何のためかと言われると
分からないんだけど
なんだろう
でもいいんじゃない
立ち上げをさ
自分でやってたわけだから
どう立ち上げてここまで来たか
みたいな話とかは
結構有益だったし
なんかベストプラクティス
みたいな話はもう
いいじゃないですか
その絵のガイドラインとかベッジマークに任せて
再現性はないけど
この会社はこうなったよ
っていうのが結構
価値ある気がしてて
自分だから脳内整理してるんだよね
なんかすごい
誰かに聞かれた時にぽっと答えられなかったのが
セキュリティ担当いない会社で
どっから始めればいいって聞かれて
あんま綺麗に答えられなくて
なんだろうな
それはなんか
その人はどういう立場の人だったの
セキュリティ専任ではないが
責務としては持たなきゃいけない
感じのポジションって感じかな
ソフトウェアエンジニア寄りなのか
そうでないのか
だいぶソフトウェアエンジニア寄りではあるかな
であればなんか
ソフトウェアエンジニアに近いところに
セキュリティ担当を置きましょう
っていうところから
そうねそうなのか
何が言いたいかというと
関心を持ってる人の近くに置くのが
第一歩だと思っていて
あーなるほどね
それはなるほどね
面白いな
セキュリティの課題があるよねって
思った人
言い出しっぺのとこに
セキュリティの体制の
芽を生やす
第一歩だと思っていて
そこから最終的にどういう形になるか
わかんないけど
基本的にはそれが最初かな
なるほどね
確かに
面白い
大体そうじゃない?どこも
そうね確かに始まり方はそうか
うん
メルカリもそうだったでしょ
多分
メルカリもそうだね
そうかもしれない
いやまあ
で10Xもまあもちろんそうだったと思うし
なんか
ちょっと目から鱗でしたわ
確かに
なんか個人的には聞かれたらそう答えてます
いやいいっすね
それが
最初が採用なのか
あるいは誰かが
刑務なのか
わからないけど
私がセキュリティ担当者ですっていう
宣言をすんのかどうなるか
わからないけど
それはケースはいいです
好きにすればいいと思っていて
じゃあちょっとパクらせていただきます
本格的に
ありがとうございます
ゴーストライター
今後の計画
この先どうするかの話もね
どっかでちゃんと出したいな
そうだね
まあでもこの先どうするかの話をね
あんまりしてもしょうがないんだよな
この先こうなりましたの話を
どっかでしたいね
そうね確かに
まあ今年中に
なんか出しましょう
今年中
今年中
今年中
今年中
いやー
言うのはただなんで
言うのはただですか
うっす
じゃあその感じで明日も元気にもりもり
働きましょう
皆さんはどうか知らないですか
明日金曜か
また金曜か
いやー
ちょっと3連休で
体調戻さないと
2人とも病み上がりなんで
よう収録できたし
結構ギリだった
皆さんは体調にはお気をつけて
はいマジ気をつけてください
じゃあ次回もお楽しみに
おやすみなさい
おやすみなさい
