00:00
こんばんは、Replay.fm第75回でーす。
こんばんは。 こんばんはって、こんばんはってなっちゃった。
うっす。 口が回ってないかもしんない。
こんばんは。 いやー、こんばんは。 助詞出しておこう。
あれだね、あの最近、始める前のグダグダ雑談タイムみたいなのがあんまりなくて、
あの、さっと始めることが多いから、こう、
慣らしが済んでないことがよくあるよね。
そうかもねー。 なんか、だいぶ慣れてきたというか。
こなれてきたというか。 うん、こなれてきたよー。
75ですからね。75だよ。
だいぶ誤調寿番組ですからねー。
あと4ヶ月ぐらいで100が来るのかなー。 すごい。
うーん、100はなんかするかー。
何する?公開収録。 公開収録はなんかちょっと、やってみたさがあるね。
ま、マジで人来なそうだけど。 うーん、どこでやる?なんか、あのー、
外でやろう。 あのガラス張りのスタジオ。
いやー、もう屋外で行こう。 屋外?屋外エグいなー。
録音環境しんどそうやなー。 うん。
あのー、うん、じゃあ、それでちょっと準備してください。
お願いします。 めんどくさすぎる。
無理ゲーがすぎる。 いやー。
じゃあ、まー、今日も読みますかねー。
今日はシュシュッと、シュシュッとって感じなんですけど、
えー、じゃあ1個目はお願いしようかしらー。
あ、お便りお待ちしてます。
なんで、本編行きましょう。
はい、コンテナセキュリティの最新事情、2026年版っていう、
記事じゃなくてスライドっすねー。
うん。
えーと、どこの人なんだ?3shakeっていう会社の人かな。
なんかね、SRE、めっちゃ強いSREの人がいるイメージがあるな。
なんかSRE支援のサービスとか、
コンサルはやってんのかな?まあまあなんかそういう会社っすね。
はいはいはい。
はい、っていうところの方ですね。
はい。で、うーん、どっからどう紹介していけばいいのかなー。
なんか、最近のそのコンテナ周りのその脅威投稿とか、
いやー、こういう脅威グループがいて、たらかんたらんっていう話とか、
あとはなんだっけ、脆弱性でこういうのがあってとか、
サプライチェーン攻撃が流行ってるよねーみたいな話とか。
うーん、でコンテナシステムのそのソフトウェアサプライチェーンって、
なんかこう、ちょっと特殊だよねーみたいな話とかをしてて、
03:00
で、えーと、そこにはまあだから特別なモデルがいるんだよーみたいな話につなげて、
えーと、こういうモデル、まあ要はフレームワークがありまして、
みたいな話をしてくれてた感じかな、きっと。
うん。
maybe。
そうだねー。
うん。
最後はまあクワイティスの関係の話もちょころっと。
そうだね。
くれてた感じかな。
うん。はい。
まあなんだろう、ちょっと紹介するのは難しいなーと思っていて、
呼んでくれ感があるんだけど。
そうだねー。
うーん、結構なんか知らんことだらけというか、
こういうなんかフレームワークこんなにいっぱいあるんだーみたいなのってあんま知らんかったし、なんか。
意外とこのそのコンテナのなんだろうな、
その生活ができるまでのセキュリティの話とかその、
この辺言及してたりトライしてる資料って意外と見かけない気がするんだよねー。
確かに。
まあまさに今日その調べて、
まさに今日思ったんだけど、
その何を調べてたかっていうと、
そのGoogleクラウドので、
クラウドランっていうそのDockerイメージデプロイしたら動く、
まあ便利なソリューションがあるんですけど、
まあそのクラウドランにイメージをデプロイするときに、
まあイメージをビルドする時点でまず署名をする、
まあイメージ的にはGitHubのアテステーションとか、
まあご存じの方って感じなんですけど、
まあ何を署名するかっていうと、
まあここで例えばGitHubのこのワークフローで、
この日付にこの人がビルドしたものだよっていうものを署名するっていうのと、
その署名したイメージをクラウドランにデプロイするときに、
クラウドラン側の検証で、
まあこういう署名だったら通す、
まあそういう署名じゃなかったら通さないっていう風にするっていうのを、
まあどういう風にやるんだろうなーっていうのを思って、
AIに聞いたり、聞いた上で色々調べたりしたんですけど、
まああんま他社事例なくて、
Google検索で2、3ページ眺めただけなんだけど、
どっちかって言ったらそのGoogleクラウドの代理店が、
こういう機能あるよって紹介してる記事ばっか、
もしくは公式ドキュメントばっか出てきて、
なんかその弊社でこういう仕組み作りましたみたいなの、
まあトップには出てこないっていうので、
まあそういえばこれ系あんま見ないよなーって思ったっていう。
でもなんか多分大事なんだよね、
なんかすごい小並感だけど、
その大事というか、
僕なんかそのめっちゃ本格的に教育、
分析的なものをこの領域でやれたことがないんで、
ふわっとの理解なんですけど、
まあこのスライドで言うと何ページだ?
なんかさっきサッと出てきたけど、
21ページ目か。
21ページ目とかを見ると、
割とステップが多いし、
06:02
それぞれに対してアタックサービスはあるはあるし、
そういうものを一個一個潰すときに、
潰し込んでいきたいときに、
その署名をして成果物の担保をするみたいなのが大事だよねっていうのは、
一つのハウとしては有効だろうなと思うし。
なんか2,3週間前に紹介記事から外したんだけど、
チェーンガードっていう会社が、
どっかハーデンドイメージの2、
どっかハーデンドイメージじゃないけど、
CV0イメージは本質的には解決になってないみたいな、
結構強い記事を出してて。
読み損ねてるな。
損ね。
ちょっと紹介しなかった理由は、
僕のその領域への理解がそこまで深くないから、
解説しきれんなっていう気持ちと、
どうなんだろうなと思って取り上げなかったんだけど、
どういう意味で強みだったかっていうと、
CV0になっても、
結局どっかの中にあるいろんなミドルウェアとかベースOSって、
誰がどこで作ったものか信頼できないのは変わんないじゃんみたいな話で、
究極的にはね。
それに対してじゃあどうすんのみたいな部分で、
多分チェーンガード社が目指してるのは、
もしくは彼らが提供する製品は、
そもそももう彼らはOSを作ってるらしくて、
なのでそのOSレベルで、
一つのイメージを組み上げる中で、
ミクロにミクロに分解していった時に、
それぞれがどこで誰が作った何なのかっていうのが、
証明される形で、
文字通りチェーンしていくような世界観が、
あるべき姿なんじゃないかみたいな、
すごいざっくり訳するとそういう記事を書いていて、
なんていうか文字通りサプライチェーンというか、
イメージっていう成果物につながる中で、
いろんなステップでいろんなことが入って、
いろんなものが入ってきてみたいな、
あるよなとか思いを発せつつ、
ちょっと風呂敷広げちゃったけど、
屋下所に行ってくれた、
独自のモデルがあって、そこにフレームワークがあって、
みたいなのが、なるほどなっていうのもあるし、
また何種類か紹介してたよね、そう。
そうだね、
6種類ぐらいあったかな。
全然知らんかったし、
深いなって気持ちになったって感じですね。
ここまでやれてるところがどんぐらいあるんだろうなとか、
結構素直に思ってるやつだから。
言っちゃアリーけど、
なんとなく安全じゃんね。
イメージが乗っかる場所が、
09:02
やっぱ今までのサーバーがあって、
もしくはVMがあってみたいな世界観と全然違うから、
なんだろうな、
前の世界観だと考えなきゃいけなかったことが、
今の世界観だと全然考えなくていいみたいなのは、
すごく多いよなって気持ちするよね。
なんかSSHでパスワード認証切らなきゃ、
そもそもサーバーに侵入されるみたいな話とかもそうだし、
またイランミドルエアが動いててそこから入られるみたいなのも、
どっかだったら基本的には1個のプロセスでしかないから、
他のプロセスが動くっていうのはないよねとか、
そういう意味で安全という表現は一定あるかなって気はしつつ、
イメージはイメージでみたいな話はあるって感じなのかな。
でも前の世界観でも別にこのサプライチェーンとか、
どこでビルドしてどこからデプロイされてみたいなのは、
本質的には変わってなくて、
イメージベースになったことでこういうのをモデル化して、
いろんな場所で対策を打つのがやりやすくなったって話は普通にある気がするな。
確かにね。
前のGitからプルしてきたものをRsyncしてデプロイみたいな、
例えばそういう感じだと、
Rsyncするもの署名がとか自前で組み始めるとめちゃくちゃしんどいというか、
そういうのはあるかな。
見通しは良くなってる。見通しは良くなってるよね、明らかにね。
そう思うな。
あとはビルドとデプロイが綺麗に分かれるというか、
イメージをビルドするところとそれをデリバリーするところと。
あんまり余計なものがないというか、
動いてるもの単体で見たときにはかなりサイズが小さくなるし、
じゃあビルドの部分だけ見たいんだったら、
どこを見ればいいんだっけっていうのもまたそれはそれではっきりしてくるし、
すごいふわっとした話になっちゃうけど。
その差分はある気がするね。
めちゃくちゃ勉強になりましたって感じですね。
この予言書のノーションのコメントで持ちは持ちやって書いてあるけど、
マジでこの表現が一番しっくりくるスライドだわ。
これは専門で潜んないとここまでの解像度はなかなか得られない気がするね。
やっぱセキュリティ広いなってこういうの見ると改めて思うよね。
そうね。広いね。
おもろいっすわ。
これを全部一人で把握して一人でセキュリティやってくるって言われたら結構発狂するよね。
発狂するね。無理だと思うな。
無理だよね。
普通にこれダイブした分どっかがオロスカになるだけだからやっぱバランスゲーになるよね。
12:00
その積み重ねをしてる間に一生が終わりそう。
そうだね。
このコンテナベースのアーキテクチャも10年後にあるかどうかわかんないからね。
学習するアセット側の物流が増えないならいいけど増え続けるから追いつけずに絶対一生終わっちゃうよね。
間違いない。
勉強になりました。
とても良かったです。
ありがとうございます。
じゃあ次行こうかな。
私でセムグレップのブログでオープンセールスセキュリティ、
Chaos, Collaboration, and the Cost of Freeっていう記事ですね。
これも若干強いっちゃ強いかもしれないですけど、
ちょろっと話せばいいかなって気持ちは持ってきたんですけど、
どういう記事かっていうと、
OSSにまつわるセキュリティの課題って皆さんご存知の通り色々ありますよねっていう話で、
サプライチェーンが一番わかりやすいところですけど、
サプライチェーン攻撃もそうだし、
あとはOSSに脆弱性が見つかりましたみたいなときにパッチアウトみたいなのを皆さん日々やってるんでしょうっていうところなんですけど、
そこに対する課題感みたいな話で、
めっちゃ端的に言うと、記事自体そんなめっちゃ長くないんですけど、
一言で言うと、
割とみんな自分たちが使うOSSにCVがあるかないかとか、
未発見のCV、ゼロではないかみたいなところを割とよく気にするけど、
問題はそこじゃなくて、それももちろん大事なんだけど、
発見したものを直すっていう部分が大事だし、結構課題になりがちだよねっていう部分を言っていて、
なんで直すのが大変かっていうと、
CVが出たところでメンテナーがボランタインでやってたらすぐ対応できないとか放置されてるパターンもあるだろうし、
いろんなパターンでなかなかパッチが当たらないみたいなところがあって、
そこに対して、例えば大企業はスポンサーでお金を出すとか、
今だったらGitHubスポンサーで個人が支援するとか、
そういう形への支援っていうのはみんなよくある手段としてやるけど、
そもそも金があったら時間が生まれるわけじゃないから、
直す時間をとしなきゃいけないっていうのを認識すべきやし、
本気でサポートするんだったら、
あなたたちがやるべきなのはお金を払うことじゃなくて、
普通にコントリビュートすることだみたいな、
めっちゃざっくり言うとそういうことが書いてあるっていう感じですね。
で、結構個人的に纏われてるかもなっていう気はしていて、
金があったら手が動かせるわけじゃないっていうのはそれはそうだなとは思うし、
これって別にセキュリティに限らずでもあると思ってて、
15:02
自分が使ってOSSのバグがあったときに一周経って終わりにするのか、
コントリビューション調査を手伝うのかみたいな、
どこまでエコシステムに寄与するのかみたいな話に帰結するかなと思うんだけど、
理想的にはそうあるべきだなっていうのは同意しつつ、
現実問題なんか結構、
それをできるような体力が企業につくのがいつのフェーズなんだろうなとか、
例えば僕らで言うと、
OSSへの還元云々考える前に自分たちが明日どう生き抜くかを生き抜いてるから、
そのためにいろんな世のリソースを使わせてもらってるっていう状態だから、
じゃあどういうフェーズになったらこういうところに目を向けるべきなんだろうねとか、
またこの大切さみたいなのを理解できる会社とできない会社もあるだろうなと思うし、
なかなか、
でもちょっと背中を刺された気持ちになった記事だったんで、
ちょっと紹介って感じ。
でもなんか、
まあね、
いや、わかるけど、
わかるけど、でもなんかその、
やらない前よりやる偽善みたいなさ、話になっちゃうけどさ、
なんか、
飯とは出せないけどお金は出すよって、
そんな悪いことかとは思うんだよな、なんか。
まあ何もしないよりは間違いなくいいよね、少なくとも。
そうね。
そこになんかそういう経済圏がさ、
こう発生することでなんか進展する部分って絶対あると思うし、
お金が入るってこと自体はなんか別にそんな悪いことじゃないと思うんだけど。
なんでなんかそんなにそこをこう、
二項対立的に煽りたくなっちゃうのかなっていうのは思っちゃうけどね。
確かにね。
うん。
なんか割と記事中で具体的にこのOSSでとかこれでみたいな部分はね、
書いてなかった気がするんだよな。
うん。
まあなんか僕らは知らないところで、
そのいろいろあるんだろうなって気はせんでもないけどね。
まあなんかぶっちゃけ別に、
なんていうか、
署名のオープンソースのメンテナーを僕らがやってるわけでもないし、
なんか実際のところは分かんないけどね。
うんうんうん。
そうだね。
FFMPEGチームとかはパッチをよこせって言ってるみたいなことを引用してるな。
うんうんうん。
なるほどね。
いやあ、別ですね。
うん。
はい。
まあね。
それで言うと、
うーん、まあね。
脆弱性に対してのその、
なんていうか、修正のコントリビューションって個人的にはしたことないけど、
うーん。
18:02
まあね。
なんか、ちょっとここ直してほしいんだけどとかは普通にやるしな。
なんか。
うーん。
なんか流度次第だよな。
まあそうだね。
なんかちょっとしたバグ修正ぐらいなら何回か投げてたりするけど、
うーん。
結構根本的な部分とか。
うーん。
まあでもCVEわざわざパッチ当てに行くとかは、
結構なんかあの、
いやあ、アレ現象が起きてたりすんのかな。
誰も、誰も消防車を呼んでないのであるというか。
あははは。
パッチが出てなんかその直しに行くって発想を僕は多分したことなかったから、
うーん。
もしみんなもしたことないんだれば、
まあメンテナーは孤独だよなって気がせんでもないんじゃないかな。
うーん。
まあ直せる流度なら別に直しに行くけどなあ。
うーん。
まああとはなんか知るのがなあ。
パッチ出た後だよなだいたい。
なんか日々の中で言うと。
ああてかなんか普通にだって公開されてないからね。
そのやり取りしたりは。
だからこそ見つけた人がパッチ投げるしかなくて。
うんうん。
確かにね。
この辺なんかAIでどうにかならんのかな。
お金が入ってくるんだからなんかパッチ作った人に対してそのバウンティーというかバグバウンティー的にお金出せばいいんじゃないかな。
ああ確かに。
いやでもまあそうね。
だから報告じゃなくてパッチとセットで正しいやつ送ってくれたらバウンティーみたいな。
まあでも誰かと結託してマッチポンプとかできちゃいそうだから。
ああなるほどね。仕込んどいても。
まあでもそれ自体はバグバウンティーも一緒だからなあ普通に。
そうだねそうだね。
確かに。
そういうモデルって今あったりすんのかなあ。
個人的には聞いたことないけどね。
ややこしは聞いたことないのはあんまないね。
いやパッチもさ気軽に当てられるかと思いきや結構難しいよね。
難しい。
テスト通すとかさどういうコントリビューションガイドでやるかとか。
だからそこに対して直接的なインセンティブをつけてあげれば別にやってもいいよって人はいるかもしれないよね。
そのバグ見つけたついでにバグの脆弱性見つけたついでにパッチも当てるよって。
そこに対してバウンティー出るんだしっていう。
バウンティーというか保証金出るんだしっていうスタンスの人はいるかもね。
確かにね。
そんな感じです。
なんでセムグレープがこのタイミングでこの話をしたのかちょっとよくわからなかったけど。
よくわからないね。
なんか思ったのかもしれない。
なんか対談したのか。
Podcastとかなんかでそれでこの話をしたって感じかな。
じゃあ次。
21:00
私かな。
これもさらっとでいいかなって感じなんですけど。
インディアメイクスなんて読むんだろこれ。
アーダールとかなのかなわからんけど。
ちょっとわからないね。
アーダールとしよう。
インディアメイクスアーダールもユニークイタース
but critics say security and privacy concernsremain
っていうTechCrunchの記事ですね。
知らん単語がいっぱい出てきましたが。
カタカナでなんとか発音するんだったらアーダールになるらしいやっぱり。
なるほど。じゃあアーダールで。
ジェミニーとか教えてくれました。
ありがとうございます。
このアーダールが何かっていうとインドの政府が
政府が作ったよりかは多分政府が主導してどっかのベンダーが作ったんでしょうけど
政府が作ったデジタルIDシステムみたいなアプリがあって
このアプリがオンライン認証をサポートしたよっていう話と
そこに対してプライバシーの懸念みたいなのを
多分インド国内で表明してる団体とかもあって
割とちょっと盛り上がってるよみたいな話ですね。
このオンライン認証が何かっていうと
例えば日本で例えばお酒をネットで買いたいですってなったときに
成人かどうかを認証するみたいなときに
年齢情報をECサイトに渡さずに
このアーダールっていうアプリを使えば証明できるよみたいな
個人情報を渡さずに何かを証明するっていう風に使えるみたいなものになってるらしい。
いつかちょっと紹介したChromeのUSAだけ多分今使える
Digital Credentials APIと結構ほぼ同じものなのかなっていう風に
思っていますって感じですね。
結構Web標準が広く広まる前に
国で独自でこれを動かし始めたんだなっていう部分で
微妙にどうこう見守ろうかなって気持ちでちょっと紹介したのと
プライバシーとかデータ関連の懸念みたいな
ちょっとあんまこの記事だけを読む感じは
何が問題なのかっていうのはちょっと分かりづらかったかなって感じですね。
政府がやってることだからそこに対して本当に安全なのかみたいな論調なのかもしれないし
一応セキュリティの結果を指摘してるみたいな言及もあったから
すでにこのアーダールアプリもしくはシステムに対してこれがダメなんじゃないかみたいな
批判の声が上がってるのかもしれないし
ちょっとそこは今分かんないかな
分からんねー、ちょっとなんか現地事情とかもちょっと分からんしなー
そうだね
でもなんか別に日本で言うマイナンバーカードに
なんかよく分からんけど反対してるのと同じような感じがしないのか
24:04
なんか個人的にそういう側面もあるかなーっていう気はするね
政府主導っていうのを鑑みると
うん、そうっすねー
なんで、いやーどうなんでしょうって感じっすね
日本は最近なんか東京都アプリとか、僕は東京都民じゃないんで
触ってないですけど
どうなんでしょうね
どうなんですかね、あれもね、使ってないけど
なんかね、東京都アプリじゃないけどね、私滋賀県民なんですけどね
その滋賀県の大津市アプリみたいなのは
なんかね、最近出てきたんだよね
何なんだろうね、何ブームなの
うーん、分かんない
ちなみに、あ、そうポケットオーツっていうやつなんですけど
今んとこはね、まだなんかいまいちその
なんか何が嬉しいのかわからないですけど
とりあえずそのマイナンバー連携できるのと
マイナンバー連携するとポイントがもらえて
そのポイントでなんか謎の抽選会に応募できるから
もうちょっとやってみるかと思ってやったんですけど
これ絶対誰も連携してないだろうと思って
あ、絶対当たると思って書き込んだんですけど
まあどうなんでしょうねっていう感じですね
はい、じゃあ次いきますかね
私、One Password's New Benchmark Teaches AI AgentsHow Not to Get Scammed
One Passwordのブログですね
はい、どういう記事かと言いますと
セキュリティ基準、ベンチマーク的なものを
One Passwordが作ったよっていう記事で
名前はSCAM、スキャムって読むんですかね
っていうものを作りましたって話ですね
で、これ何を判定するフレームワークかというと
例えば僕が使いこなせる使いこなせないって言ってる
AIブラウザーとかありますけど
そのAIブラウザー上でAIアジェントが動いたときに
例えばフィッシングサイトに引っかかる確率みたいな話とか
悪意のあるサイトを見抜く能力みたいな部分を
いろんな観点から評価しましたよっていうフレームワーク
というベンチマークになってるって感じですね
で、サイトがあるんで見ると分かりやすいんですけど
いくつか多分30何個かシナリオがあって
それぞれ全部そのモデル動かしてみて
点数付けしてサイトだとリーダーボードって形で
そのモデルの性能がランキング順になってるって感じですね
で、具体的な詳細とかどういうベンチマークがあるかっていうのは
ご興味があれば見てくれればって感じなんですけど
例えばこういう部分だと
27:03
何だろうな点数が高いモデルでも全然ダメだったみたいな話とか言及があって
具体的な直見で黒道パス4.6とかはリーダーボードで言うと
ベースラインスコアが92%になっていてトップになってるんですけど
このオーパス4.6が騙されたやつとかだと
メールですね
同僚からMS 365のドキュメント共有をするよっていうメールを受け取ったときに
リンク先はフィッシングサイトなんですけど
そのリンクがフィッシングサイトであることは見抜けずにクリックはしちゃったんだけど
クリックした後にパスワードとID入力してログインした後に
気づいてこれフィッシングかもしれないですってモデルが言うみたいな感じで
結果だったらしくて
フィッシングには最終的に引っかかってるんだけど
でも気づきはするっていうめちゃくちゃ人間味があるというか
でもワンパスワードのブログではそもそもメールのリンククリックした時点で負けだよねみたいなことは書いてあって
そこで防ぎたいよねみたいなことが書いてるんですけど
なかなかなるほどなみたいな部分とか
また結構AIブラウザーこういうリスクがあるぞみたいな記者は割と腐るほど見たんだけど
ブログの中で危なさには言及しつつももう一個その観点としては
一方でICサイトを人間より精度高く見抜くみたいな部分にも別に使える場面もあるよねみたいな話もあって
その精度をしかもその精度をどうやって上げるかみたいな部分で
プロンプトをこういうふうにすると上がるみたいな部分もいくつかあるらしくて
その部分をモデルとプロンプト組み合わせて
それをコミコミで評価するフレームワークを作ってOSS化しましたみたいな話っぽいんで
これ自体すごいいいことだなというか
危ない危ないっていうよりかは
どうせ人間でも騙されるのは人間より騙されにくい使い方でモデルを使うみたいなのが
全然いろいろ応用は効きそうだなみたいな部分もあると思うし
それはいいんじゃないかなと思ったって感じですね
あとはブログでもエクスキューズはあるけど
そのベンチマーク自体じゃあその全部で満点取れればOKなのかと言われると
当然世にある広いユースケス全部カバーできてるわけじゃないんで
あくまでベンチマークだよっていう部分も中って感じかな
なんか2個気になったことがあって
一つは何も訓練されてない人間
何も訓練されてないってどういう尺度でどういうレベルになるかなんとも言えないんだけど
特別な訓練なしにこれフィッシングですかって聞かれて
30:00
なんていうか人がどれだけ引っかかるのかみたいな部分がまず気になったのと
要はそれと比較してどうなのっていう部分
AIに任せた方が本当にいいのかみたいな部分がちょっと気になったのと
あとはフォールスポジティブかな
確かにそれは言及なかったな
ちょっとそこの言及がない状態でこの話されてもなぁとは思ったんだけど
前者はちょっと僕の言い訳も入っちゃってるけど入っちゃってるというか
必ずしも別に人よりいいよねみたいなことは意図してなさそうっていうのは何となく掴めたんだけど
あとはなんか僕が思った応用する余地があるとしたら
多分すでにEdgeとかChromeには入ってるっぽいけど
ローカルで動くちっちゃなモデルを動かして
未知のフィッシングサイトを訪れたときにそれが怪しいサイト発展をするみたいなのが多分すでに動いてるけど
その部分で精度を上げるみたいな部分には応用効くかなとか思ったりしてて
なんか人間と交代 AIの方が見抜けるから人間と交代すべきであるみたいな部分はどうだろうなって思ってはいるって感じかな
まあそのAIブラウザがどんぐらい流行るかにもよると思うけど
もうなんか流行っちゃったら多分今のオープンクロームみたいにもう危なかろうがいいから使うってなると
じゃあもうAI賢くなってもらうしかないよねみたいな話にはなるのかもしれないけど
って感じだな
こうしたら確かにね
フォールスポジティブは何とも言えねえ
どうなんすかね
わからん
いや確かにね
いやなんかそもそもそこがトレードオフの関係じゃないんだったらそれはそれで気になるし
でもなんか一般論として多分トレードオフの関係性っちゃん
そうだね
まあどこにどう生かすかな部分もある気もするけどな
ワーニングを出して本当に合ってるってワーニングを出して人間がジャンプするのか
わかんないけどね
まあでもその誤検知が多すぎたら多分信頼されなくなるって話あると思うから
そうだね
そういう意味ではなかなか
確かにベンチマークでその辺のやつもあったりするのかなもしかして
ちょっと斜め読みした感じなんか研究されてなさそうだなって
だけどどうなんすかね
シナリオクレデンシャルデータリケージ
まあOSSになってるから頑張って探せば
33:02
これをこのリポジトリ読ませて
見つけたものが
それが早そう
あとなんか今気づいたけどこの辺の多分さっき言ったいい感じのプロンプトスキル化してるっぽいから
ちょっと後で見てみようかな
まあなんかどこで生かせるかというとあれかなブラウザを動き回るときに生かすんだろうけど
面白いな
なんかあのオープンクローってスキル動くのかな
もう本当にガードレールなしでブラウザ自由に動き回らせてる民とかはこういうの入れとくといいのかもしんない
もしかして
いいかもしれないね確かに
だいぶね物価的な世界観ですけども
確かに確かにと思いました
ありがとうございます
じゃあ次本日最後
えーっとなんだっけ迷います
えーっと
はい
あーはいはいはい
エクスポーズドトレーニングオープンダードアフォルクリプトマイニングインフォルチュン500クラウドエンバルメントスっていう
赤ニュースの記事ですね
これシュッと話せばいいかなって感じなんですけど
はいはいはい
何かっていうと
えーっとまあフォルチュン500企業は多分アメリカでいう日本でいう日系企業リストみたいな感じなんですか
ちょっとよくわかんないですけど
まあそういうなんか有名な企業とかでもやってるミスがありますよと
そのミスは何かっていうと
例えば超有名なとこだとワスプジュースショップみたいな
そのセキュリティトレーニングに使う
まああえて脆弱に作られたウェブアプリケーションみたいなものを
クラウド環境にデプロイして
何か外からアクセスできるようになっちゃってますっていう部分が結構ミスとしてあるし
この記事では2000のインスタンスの中で
うんそうだね
有名なとこAWS Azure GCPとかでそういうものがいっぱいホストされてるよみたいなのがあったりとか
そのうち20%にはマルウェアを仕込まれたのかな
これなんかマルウェアとかマイニングの痕跡ってAI様に言ってるけど
まあまあその実際に攻撃されてそうみたいな兆候もあるよみたいな話があるって感じですね
これなんか前も紹介しなかったけど別記事でも同じ調査があって
何で短期間にポンポンって出たのかわからないですけど
まあ皆さんお気を付けようっていう気持ちでシュッと紹介なのと
なんかまさかこんなって思うけど
でもなんかやっちゃいそうだよなって思わんくもないなんか絶妙なラインだなっていう気もする
36:03
まあよくある話っていうのはあるよな
なんか別にクラウドに置く人
まあねでも今時PMとか使わないんで別にどっからいいじゃんね
なんか
あー手元でってことね
昔はよくさそのVMのあれをまるっと配ってさ
なんかバーチャルボックスなりVMウェアなりで動かしてたりとか
ベイグラウンドとかね
やってたけど
今だったら別にどっかでいいじゃんって思うし
何なんだろうねそのまあ割ともっとなんか研修会社内で研修会みたいにやるときに
なんかこのURLにじゃあ皆さんアクセスしてみたいなそんな使い方しちゃうのか
そこのなんていうかオンボーディングというか
そこのコストがでかくて
使い回して同じ環境で動かしたいみたいなのあったりするのかな
わかんないけど
でもそもそもさこういうのって
なんか完全にぶっ壊れてるからさ
一人が触ったものがさ
そもそも他の人の環境にも影響するっていう意味で言うと
あんまりその共有に向いてないっていうか
使い方間違えてないっていうのはちょっと思っちゃうけどね
記事読んだ感じだと
こういうのに使われてるのが出ちゃってるみたいなとこまでは多分
元ソース見たら書いたのかもしれないけど
いやでもなんか個人でシュッと手プレイして遊んでたとかなんかそういうノリなのかな
うんどっちかというとそっちの方が大きい気がするね
本当になんかトレーニングに使ってたとかよりは
なんかちょっと触ってみたくて
みたいなのはあるかもしれないね
ちょっと似たのでありそうだなと思ったのは
脆弱性があるかは覚えてないけど
イスコン練習のために立ち上げっぱなしとかも普通にありそうだな
ありそう
イスコンとかだとさ
ローカルでもできるけど
本番と同じ性能のマシンで動かしたくなるから
セキュリティトレーニング用に限らないんだよな
検証環境とか車内に展開するちょっとしたアプリとか
そういうのをうっかり認証かけ忘れとか
普通に危ないよなって気持ちで
こういうの見るとCSPMも大事だよなって気持ちになったりもしつつ
気をつけましょうか
CSPMで防げるところと防げないところとありそうだけどな
防ぐというよりかは検知するっていう観点かな
例えばパブリックなファイアウォール
これ演出コンピューターエンジンとかに入れてたら出ると思うんだよね
大体CSPMでパブリックからアクセスできるよって
39:01
イトしてるやつならミュートすればいいし
イトしてなかった時にやべってなるみたいなイメージかな
分からんけどね
分からんけどね
めっちゃでかい企業とかになって
例えば弊社が2000人になってこれが起きてないことを胸を張っているかというと結構
そうなるとちょっと途端に怖くなるかな
そうだね
いろんな人がいていろんな場所で
数多のいろんな用途のマシンが立ち上がっているみたいになる
確かに
そんな感じのシュッと皆さんは胸を張れますかっていうメッセージとともに
最後の記事を締めくくりたいと思います
お気をつけください
弊社はね今んとか胸を張って大丈夫と言いますよ
まあそうだね
一回綺麗にしたんで
綺麗にしたときも別にこんな危ないもんはなかったから
なんですけど
いやー
シュッとですよね今日は
5期次か
2月ももうすぐ終わりですから
3月
どうなんでしょう
社会人ってか
なんか進学期間ないから
粛々とみんな記事を書いてもらってって感じの気持ちですね
年度末で忙しい人とかはいたりするのかな
どうなんだろうね
そうかもね
みんな駆け込みでアウトプットしよう
僕も駆け込みでなんかちょっと
ブロック書かなきゃなと思ってるんで
またオープンクロは相変わらず盛り上がってるけど
まああえて触れずに今日も
そういえばそうっすねはい
まあいいや
オープンAIに買われたらしいんだよオープンクロは
えっそうなんだ
買収されました
爆速すぎる早すぎる
動きが早いね
オープンAIに買われたりウイルストータルと連携してスキル全部スキャンする仕組み入れたりも
忙しそう
面白いよね
なかなか
じゃあそんな感じですか
そんな感じですね
はい
いやー今日
ひじりがなんか
1個しか読んでこなかったからなんか
個人的な聞こえ方
リスナーじゃん
リスナーよ
コメンテーターとして
まあね積もったやつなんで
いやマジで
なんか全然ピンとくれなかったな
今回
そんな試合もありますよ
たまにねあるんだよね
そういう試合もね
はい
悩みを乗りこなしつつ
やりましょう
あとは皆さんお便りもお待ちしております
42:02
お待ちしてます
引き続きいつでもお待ちしてます
24時間
2436個
皆さん来週もお楽しみにしててください
おやすみなさい
おやすみなさい
