肉の話題
こんばんは、Replay.fm第29回です。
こんばんは。
はい。肉。肉の回です。
肉の回?あー、29回でね。
うん。
じゃあ、29回記念で肉食べに行きますか。
マジで?
いやー。
じゃあ、ちょっと滋賀に来て、蜂蜜牛食べよう。
滋賀か。
新幹線代いくらくらいかかるの?東京から。
新幹線代は、片道1万5千…1万4千かな?
1万3千か4千。
まあまあかかるんだな。
まあ…
車で行くか。6時間くらいかかるんだ、車だと。
6時間しかかかんないんだ、でも。
6時間…今の時間だからじゃない?夜遅いから。
あー。
日中だったらもうちょっとかかりそう、さすがにね。
6時間ならでもなんか、行ける気がしてきたな。
いやー、それは結構バグってる感覚。
450キロでしょ?
うん。
まあ結構疲れるけど、行けんくもないな。
まあいいや。
まあ、じゃあ俺がいい肉を持って東京に行ったときに食おう。
中間地点で落ちちゃえばいいの?
あ、それで言うと、静岡の沢役が一番熱いの。
あー、それで行くか、じゃあ。
うん。
名古屋だとこっち寄りすぎるんだよね、たぶん。
うん。
静岡、いやでも静岡新幹線であるいな。
静岡にもいろいろあるよ。
あんの?
あの、浜名古近辺がいいのか、もうちょっと真ん中寄りでもいいのか。
ちょっと、ちょっとGPTに聞くか。
いい肉は食べたいです、中間地点教えてって。
静岡はね、東西に。長いね。
長い話がありますね。
まあでも中間地点ぐらいで言うと八重洲とかなんかその辺なんじゃないかな。
八重洲、どこ?
いやー。
いやー。
まあいいんですよ。
いいんじゃないですかね、はい。
まあじゃあ、どの沢役にするかは後で。
はい。
いや、ちょっと沢役行こう。
それは関係なく沢役行こう。
いいね。
やりたいことリストに沢役。
そうだな。
そっか。
どこに行こう。
マッチポンプの記事もあるかもしれないけど。
そうなんですよ、今日はもうあのー。
マッチポンプ。
マッチポンプ記事があるんで。
フィッシング攻撃のケーススタディ
ちょっと今日だめだな、ガチ眠い。
OK。
頑張るよ。
ガチ眠いわ。
頑張ろう。
マッチポンプまで八重キロ。
いやー、マッチポンプ終わったら寝ていいっすか。
うーん、その勢いで最後まで。
よし、そうしましょう。
じゃあ、最初。
オープンAIモデルコンテキストプロトコルをサポートっていう。
GEO.JPっていう技術評論者の、何なのこれ。
分かんないけど、なんか。
これ俺初めて見たかもね。
初めて見たって俺も初観測したんだけど。
今後も追いかけるべきなのかどうかが非常に悩ましいんだけど、多分追いかけない。
タイトルでもう終わってて、
MCPがこのままデバッグとスタンダードになっていく流れなのかな、どうなのかなみたいなのをちょっと気にしてたんですが、
おそらくそういう流れになりそうだなっていう感じですね。
MCP自体、LSPとかと一緒で中身自体そんなに特殊じゃないし、
多分オープンAIとしてもそんな流れに逆らう理由もないんだろうなみたいなことを思ってました。
なんか同僚から聞いてマジかって思ったんだけど、GitHubもMCPサポートするらしくて。
もうこれをベースに標準作り込んでいく感じになるんだろうね。
止まんないね。
意外とすぐ来たね。
てかね、動きが普通に速すぎるんだよね。
マジって早いよな。
だから乗らないと話にならないっていう状況に本当になっていて、
個人的にはわからんけど、2年ぐらい前はもうちょっとスーッと落ち着いていくのかなって思ってたんだけど、止まんないね。
開発文脈はマジですごいね。
開発方面の。
制作性中か、当然ちゃ当然なのかもしれないけど、バイオコーディングとかいったり。
いやー、なかなかこのビッグウェブに乗れてますか?僕はまだまだ、もうちょっと。
なんか自分のペースでっていう感じかな。
早くゴーランドで何か使えるのが来てほしいんだけど。
ジュニーのウェイティングリストはどうなの?
ジュニーはね、ゴーランド対応してないんだよ。
あ、そうなんだ。
来たんだけど。
ウェブストームでなら使えるんだけど、使ってる範囲で言うとね。
いやもう、そのまだやってないけど、次時間取れた時にクラインも試すかって気持ちになって。
個人的には普通にチャットGPにぶん投げて、なんかやってるな、今のところ。
アジェントを体験したいという気持ちと、アジェントが好き勝手暴れても問題ないようにパソコン掃除しなきゃなって気持ちでいるわ。
まあね、ちょっとこの辺のぐいぐい乗っていきましょう。
別に伏せる必要ないんで、一応モザイクFMを久々に聞いたら、
3ヶ月前はウェブフロントエンドの話を、もちろんだけど、そういうポッドキャスターずっとやってたけど、
最新回とかは、なんかLLMの話、まだね全部聞いてなくて、たぶん2〜30分ぐらい聞いてるんだけど、今のところ2〜30分ずっとLLMの話をしてて、
すごい時代を感じる。
なんかジャックさんも、もはやLLMの話しかしてないけど、まあしょうがないよねみたいなこと言ってて、
分かると思う。しょうがないよなって。
もう触れずに、触れないわけにはいかないというかね、ソフトウェア開発向き合う上では。
置いていかれないように。
じゃあ、次行きますか。
行きましょうか。お願いします。
個人名義の記事ですかね。Troy Huntさんの記事ですかね。
そうですね。何が起きたかっていうと、
メールチームでいいのかな。
たぶんメーリングリストか、Gmail的なサービスなのかな。
メーリングサービスをこのTroy Hunt氏が使っていて、
たぶんこのメールチームの機能としてメーリングリストを作って、メルマガ的なものを作れるっぽくて、
この方はメルマガみたいなものを見ました。
これは私か。
これは私だな。失礼しました。
そうね。でも読んだから。
タイトルに見覚えがなさすぎてあれだったけど、失礼しました。
全然大丈夫です。
引き続きお願いします。
補足してもらえるような感じです。
メーリングリストをこのサービスを使って作ってたんだけど、
この人自身が一心攻撃に引っかかってしまって、
メーリングリストのメールアドレスかな、
がたぶん全部漏えいしちゃってごめんなさいっていう話を、
まず謝罪っていうところと、
あとはどういう経緯で引っかかって何が起きてしまったのかと、
それに対してどういう対応してて今どういう状況なのかっていうのを
結構細かに書いてくれてるって感じですね。
で、結構何がどう…
基本的に何でフィッシングが引っかかったかで言うと、
フィッシング…ちょっと覚えてないけど、
よくあるフィッシング…
ジェットラグがあって書いてなかった?
そうそう、何かしらの方へとりあえずフィッシングページに行っちゃって、
そこでまずいつも通りログインしようとしたんだけど、
ワンパスアウトの補完が効かなかった。
で、補完効かないっていうところで引き返せればよかったんだけど、
行ってくるとジェットラグというかめっちゃ疲れちゃってて、
パスワード、メアドパスワード入力しちゃって、
その後OTP、2FAでOTPをTOTPかな、
登録してたんで、それも入力しちゃって、
入力した後に多分ログイン後の画面に行けなくて、
そこでハッとなってマズいってなったんだけど、
気づいた時にはすでに遅しという感じで、
おそらく全部裏側の挙動は自動化されていて、
遅くロンドンからのログインの通知が来てて、
メーリングリストのエクスポートが走ってる状態になっちゃってて、手遅れだった。
で、なんか要因として、さっき言った通り疲れてたから、
正常な飲み座っては引っかかんなかったはずなのに、
引っかかってしまったって話と、
もう一個個人的になるほどって思ったのは、
このログイン画面みたいなのがいろんなURL、
オリジンの経路があるせいで、
結構保管が効かないのがあるあるだみたいなのが書いてあって、
これは分かるな。
って言うのもあるしね、
ログイン画面だけ別ドメインに、
機能改善とかに一貫で切り出すってパターンがあったりするんだよね。
なるほどね。
いつの間にか効かなくなってるみたいなのが普通にあったりとかするし、
そういう時にまめに対象のドメインとかを足したり書き換えたりしてるかみたいなのが割と、
生命線になってる印象がある。
なるほどね。
この、これ読んでさっきに思ったのは、
クレジットカードのメール確認コード、
3Dセキュアの画面とかって、
めちゃくちゃバラバラだから、
毎回結構ドキドキしながら入力してるわ。
これ本当に、もう確かめすぎないよな、
この画面だけど。
そうだね。
あとは他、もろもろ溢れるとしたら、
メーリングリストを流出したんだけど、
メーリングリストをコード解除した人のデータもなぜか保持されてて、
それも漏えいしちゃいましたっていうので、
ちょっとなんで保持してんねんみたいな、
恨み辛みがちょろっと記事に書いてあったりとか、
あとは2FA、
もう設定してたけど、
ピッシング対策のある2FA、
ただパスキーとか、
セキュリティキーみたいなのを、
このメッチンプが提供してなかった、
してない、今時点ではしてないので、
まあなんていうか、
そこも辛いポイントです、
みたいなところは書いてるっていう感じですね。
セキュリティと認識
はい、そんな感じです。
これは、
なんていうか、
全部生々しく書いてくれてて、
いいなっていう気持ちと、
僕は持ったのは、
パスワードマネージャー、
とかなんかな、
西洋和説をちょっと思い出したじゃないですけど、
なんかやっぱそのパスキーだったら、
もう原理上、
どう挙げてもログインできないじゃないですか、
ピッシングサイトに。
そうね。
基本的にはね。
まあブラウザがそこをストリクトに縛ってるからね。
そう。
このパターンはやっぱ確かに、
なんていうか、
やっぱ自分の行動をやっぱね、
この人は多分、
そのフィッシングを知ってたのに、
ノーミスがあっててやられちゃったし、
フィッシングを知らない人だったら、
もっとなんていうか、
普通のノーミスでも、
引っかかりそうだなっていうところをもっと、
まあパスワードマネージャー入れてるから安心です、
とは思ってるわけではないけど、
これが一つ反証として、
実際の事件としては、
貴重なケースだなって思った感じかな。
いやー、
またスピードだね、
確かにね。
相当速攻やられてるもんね。
この人入力した瞬間に気づいてるけど、
手遅れだったから。
なんかね、
結構私がこれを紹介したいなって思ったのは、
この実際に被害に遭うと、
こういうスピード感でやられちゃうんだよ、
っていうのが分かる点が興味深くて、
一言で言うと、
サービス提供事業者視点で、
これを検知して投稿っていうのがね、
もう無理なんですよね。
そうだね。
そうだね。
だから、
なんかログインさせないようまずしないといけなくて、
まあそうは言ってもねっていう部分がやっぱりある。
あとは、
なんかキリがないっていうかさ、
あとは?
今思ったけど、
まあでもキリないか。
いやなんかその、
たとえせめてそのメーリングリストのエクスポートの前には、
もう一度TOTPを要求するとかしてれば、
フィッシングと認証方法の課題
被害範囲は狭められたのかなとか思うんで。
まあでも結局、
そういうフィッシングサイト作るだけなので。
まあ、
そっかそっか。
あんまりね。
確かに。
もう一回、
エラー出たのでもう一回入力してくださいとかして。
まあ確かに。
まだ要はフィッシングレジスタントではないっていう事実は、
もう依然として残るんだよね。
確かにね。
そうですね。
なので、
フィッシングレジスタントであるものとそうでない、
その認証方式っていうのはやっぱり、
大きく、
隔たりがある。
っていう中で、
パスワードマネージャーもこうやって使っていても、
なんていうか、
ある種の脆弱説として、
こういうケースが生まれてしまうっていうのが事実としてあるので、
このパスフィッシングレジスタントな認証方式の提供をサービス提供事業者がやっていくっていうのもそうだし、
それの普及をこう、
なんていうか、
頑張るっていうのは普通にその、
事業者視点でどうこうっていうよりは社会的な課題だなっていうふうにも思っていて。
そうだね。
いやー。
要はさ、
なんか特殊作品みたいな話をさ、
その、
なんていうか、
引っかかっちゃう本人の問題だよねって言わないじゃない?
うんうんうん。
あれって別にある種の社会的な課題だよねっていうふうに意識されてると思っていて、
これも一緒だよねって思うんだよね。
フィッシングってなんか、
国として云々とかあんま、
少なくとも日本はないよね、
なんていうか。
うん、聞かないね。
うーん、私アメリカも、
多分特定の、
その事業セクションとか、
特定のサービス、
だからもうこれ取られちゃったら流石にまずいみたいなものとかは多分、
あの、
注意喚起というか、
ある程度の、
まあ、NISCからのお達しみたいなの見たことあるような気もするけど、
なんか、
フィッシング自体を、
根絶しようみたいななんか、
ビッグムーブメントみたいなのは確かにない気がするな。
うーん。
うーん。
確かにね、
この辺、
そうだね、
どう、
どう、
まあパスキー、
現状だとパスキーに、
浸透とかを頑張って被害を減らしつつ、
なんだろうけど、
それをなんていうかね、
あれが当たり前になるっていう世界に持っていくためには、
だからもう一、
もう一つ、
二つなんか、
手が必要なかもな、
ちょっと今話を聞いたと思って。
うーん、
うーん、
うーん、
うーん、
そうねー。
うーん、
あの、
パスキーにすべてを、
あの、
すごい時間かかったんだけど、
うーん、
やっと飲み終わったんだけど、
うーん、
なんかやっぱ、
ね、
その、
何もかもパスキーにするっていうのはまだ、
もう時代的に無理っていうか、
その、
うーん、
ユーザーが持ってる端末とかを考えると、
うーん、
やっぱどうしてもその、
サブセットとして別の認証を用意するとか、
そういうのは、
うーん、
せめないよねとか、
うーん、
まあそれはそうだよねって思うんだけど、
そうね。
うーん、
じゃあなんかいつになったら、
通信の秘密の重要性
その、
パスキーだけでログインをするのが当たり前の世界になるってなった時に、
うーん、
ね、
なんか一事業者が頑張って、
どこまでできるのかみたいなとこが、
うーん、
現行が出そう。
間違いない。
うーん、
気はするね。
うーん、
トランプ、
トランプさん、
トランプ政権で、
なんかそういう動きが起きるイメージがわからないんだよな、今のとこはなんか。
うーん、
まあね、
ちょっと、
はい、
なるほど。
いやでもこれは興味深かった。
はい。
これTwitterで見つけたの?
えーと、
そう。
うーん、
誰かがなんかあれしてた気がする。
うんうんうん。
いやー、
いいっすね。
いいやってたな。
うーん、
はい。
ありがとうございます。
じゃあ、
で、
次が、
はい。
LINEアファを行政指導、総務省写真後表示は通信の秘密の漏えいっていう。
えーと、
産経新聞の記事ですね。
まあまあ多分他のサイトでも似たようなニュースは出てたんじゃないかなと思うんですけど。
うーん。
うん。
なんかちょっと前にその、
なんだっけ、
LINEのアルバムのサムネイルが全然違う人のものになってたよっていうのがあったんですが、
うーん。
えーと、
まあ漏えいだよっていう判断を総務省がして行政指導したっていう話ですね。
まあなんか別にこれ自体妥当な判断だよねっていう話ではあって、
まあそういうその結論、一定の結論が下りましたよっていうだけの話なんですが、
この通費、通信の秘密の話ってなんか結構みんななんか軽視しがち、
そんなものが通費になるんですかみたいな、
なんかそのもっとその、
なんていうか重いものだとみんな思ってるんだけど、
逆でその、
軽いところにあってかつ重いものなんですよね。
うーん。
なのでその、
かつその現代、
現代社会におけるその自由の礎になっている概念っていうのもあるから、
そのマジで厳しく見られるっていうところを本当に気を付けないといけなくて、
うんうん。
一方でなんかその過度に恐れる必要はないんだけど、
その軽々にこう、
なんていうか、
いやそんな通信の秘密つってもしょうがないじゃんみたいな扱いをすると、
非常によろしくないよっていうふうに思っていて、
うーん。
まあなんか、
そうね、
その、
なんていうか、
別に実際に何かがあった起きたっていう話ではないんだけど、
その、
こういう話をする場面に遭遇してきた。
うんうん。
うーん。
なるほどね。
僕めちゃくちゃ恥ずかしながらこの通信の秘密という概念を今ググって理解したんですけど、
憲法で定められてるんだね。
そう。
うーん。
そう。
なるほどね。
で、
その、
なんて言ったらいいんだろうな、
例えば電気通信事業法上のその通信の秘密とか、
うん。
あとは、
えーっと、
なんだっけな、
えーっと、
えーっと、
なんかね、
いくつかのその法律においてのその、
うんうん。
なんていうか、
通信の秘密っていうのがあって、
うん。
えーっと、
電通法と、
あとは、
えー、
有線、
有線電気通信法もそうなのかな、
これ現行法なのかな、
うーん。
そうだね、
あるね、
うん。
あと電波法にもあるのか、
うーん。
みたいな感じで、
うん。
あるらしくって、
という、
よいしょ。
なるほどね。
これは記事、
記事というか、
あのー、
PDFがあるので、
うんうんうん。
貼っときます。
どうすればいいんでしょうか。
なるほどねー。
なので、
まあ、
その、
通信の秘密という話ですね。
うんうんうん。
まあ、
サービスによって、
その自社のサービスにおいて、
何が通信に当たるのかっていう話は、
うん。
えーっと、
専門家に聞いてください。
うんうんうん。
了解です。
まあ、
LINEの場合はもう、
ドストライク、
ド真ん中の通信なんで、
そうだね。
うん。
通信というか、
えー、
両方交換。
あ、
すいません。
いやー。
これ厳密に言うと、
例えばだけど、
ネットワークのルーティングも、
うん。
LINEのサムネイル問題
整理上は。
あー、
なるほどね。
例えばISPがネットワークのルーティングをしていることは、
パケットの中身を見て、
えー、
行き先を決めてルーティングしてるよっていう。
うんうんうん。
それ自体通信の侵害だよねっていう風に、
整理されるんだけど、
えーっと、
それはあくまでその、
正当業務行為であって、
うんうんうん。
その、
通信の秘密の侵害っていう部分のその、
違法性が、
えー、
それによって阻却されてるよねっていう。
その、
業務上必要な行為であり、
えーっと、
それはまあ許されて叱るべきものだよねって。
うんうんうん。
風に見なされてるからOKっていう風になってる。
なるほどね。
それぐらいその、
範囲が広いし、
うんうんうん。
重い。
うんうんうん。
構造がだから、
その、
多分、
一般にイメージされるものと完全に逆。
うんうんうん。
だと思っていて、
うん。
なので、
まあ、
あのー、
皆さん気を付けましょうっていう。
ありがとうございます。
これ、
そもそも終えてなかったけど、
原因、
出してくれてるんだね。
うん。
チェックしてなかったな。
集中した際に、
ね、
知らんこと。
あー、
なるほどね。
画像を長期保存するため、
投稿から35日以上経過した画像を、
圧縮変換して保存しています。
この圧縮したアルバムの画像を、
サムネイル画像に変換する工程で、
処理が集中した際に、
画像のデータが混在した状態で、
変換処理が行われたため、
レースコンディション的な、
コンディションでしょうか。
いやー、
分かんないね。
どういうことなんだろうね。
ね、
混在。
どっかで何かバグってたんだろうね。
いやー、
これは怖いな。
多分、
多分、
何かが衝突するんだろうね、
集中した時に。
その、
えっと、
ユニーカー家を多分振っていて、
その、
この圧縮する過程で、
あー、
なるほどね。
どの単位で振ってるか分かんないけど、
何らかの、
何らかの単位でユニーカー家をおそらく振ってるはずで、
えっと、
それが集中した時に多分、
衝突が起きて、
えっと、
別のユーザーに紐づく画像が、
えっと、
自分のユーザー、
自分のユーザーアカウントに、
えー、
衝突してるので、
紐づいてしまってる状態、
みたいなのが多分、
生じたんじゃないかなと思うけど、
ちょっと分かんないね、
これだけは。
うん、
なるほどね。
いやー、
大変だ。
厳密な数字も分かってないんだもんね、
ログが。
でも、
0.3%以下の割合とかになってるから、
結構、
HKSだったんだな。
うん。
なるほど。
いや、
ちょっと話し通しちゃったけど、
ありがとうございます。
はい。
大事。
ほい。
じゃあ、
はい。
次行きますか。
行きましょう。
えー、
次は開発チームの中でセキュリティを育てる、
セキュリティエンジニア派遣の試み、
えー、
上梨エンジニアブログさんの記事です。
うん。
えーっと、
なんか上梨さんで、
セキュリティエンジニア開発チームに派遣する取り組みをやってるらしくて、
えーっと、
開発チームにセキュリティエンジニアを派遣し、
サービスを深く理解してもらうだとか、
えーっと、
逆に開発チーム側にいろんな、
まあ、
セキュリティに紐づくものごとを根付かせていくみたいなところを、
まあ、
狙いとして持ってやってるよっていう話だったのかな。
うんうんうん。
うん。
そうっすね。
そんな感じの会社で。
うん。
はい。
そうそう。
はい。
なんかどうでした?
うーん、
まあ、
まあ、
良さそうという気持ちと、
ご実談聞きたいなって気持ちと、
まあ、一種のエネ、
イネウリング、
まあでも、
イネウリングっていうよりかは、
セキュリティチーム側のメンバーのインプットとしてって感じだよね。
そうね。
まあ、それもあるんだろうね。
うーん。
うーん。
なんか、
悪いポイントはないんじゃないっていう、
うーん。
気は、
そう。
している。
けど、
うーん。
そうだね。
うーん。
なんか、
極論普通に、
なんかプロダクト開発やってるソフトエンジニアとセキュリティエンジニアで、
なんか相互にローテ組めないかなみたいなのを思ってて。
うーん。
素朴にね。
うーん。
あとはなんかこの、
これって全部一時的なもので、
神田さんって確か5人って書いてあったっけ?
5人ですね。
5人体制。
4人委託含むってなった時に、
うーん。
まあ、今1人2人派遣してるかもしれないけど、
その、
いずれはみんな戻ってきて、
派遣されてるセキュリティエンジニアがゼロっていう状態になった時に、
なんかこの記事で言うところの、
なんだろうな、
その開発チームで実際に、
なんか、
起きてる、
ここをセキュリティエンジニアにしてほしいけど目が届かないみたいな部分。
なんか具体例すごい、
いろいろ書いてあるけど、
ワーフの設定が適切かとか。
うーん。
けど、
その戻っ、
5人が修行して戻ってきて、
その後じゃあその、
目の届かないところどう担保するのかみたいなところは、
うーん。
まあ、
気になるというか、
まあもしかしたらそのいろいろ持ち帰って、
目が届くような仕組みを、
まあプラットフォームとして作ろうって話しちゃうかもしれないけど、
うーん。
それはどこまでワークするのかみたいなのは結構、
うーん。
気になるな。
まあそれで言うと、
そうなんだよね。
神橋さんの開発チームの規模も多分知りたいな、
だと。
ああ、
確かにね。
うーん。
それ次第で回る。
なんか、
個人的には結構その持続可能性と効果測定が課題なのかなと思ってて、
うーん。
その、
私はセキュリティ機能について考える開発チームっていうのをやってたので、
うーん。
まあその身としては、
その普段の業務、
普段の開発の業務の中で、
そのプロダクトセキュリティ的な観点が求められる場面って多分そんなに多くないんですよね。
うーん。
あくまで本当に普通に開発してますっていう状態になるはずで、
うーん。
うーん。
まあ別にそれも目の目の一つだからいいんだろうけど、
うーん。
なんか、
まあ一つのチームに入り込んでいく動きよりも複数チームを同時に見る動きの方が、
セキュリティエンジニアとしてのレバレッジは効かせやすいよなとは思う部分もあって、
うーん。
どうなんかな。
その、
うーん。
なんていうか、
さあその、
じゃあ一個のチームに所属が終わったら次のチームに行きますっていうのを仮に繰り返したとしたらさ、
うーん。
その、
もうはやそれセキュリティチームの人間じゃなくないみたいな話になっちゃって、
この間なんかタイガチームの記事って紹介したんだっけ。
知らない。
この、
タイガチームの話みたいに多分なってきちゃって、
うーん。
その、
なんか、
どうなんかなとかちょっと思ったりもするし、
うーん。
まあまあまあ一概にでもなんかその、
こう、
まあ私がこう思うよねっていうのが、
なんか必ずしも正しいわけじゃない。
うーん。
なんかいろんな会社がいろんなことやって、
そのいろんな事例が生じて、
あのー、
なんていうか、
いい感じのものが最終的にこう、
合意形成されていくというか、
そのスタンダードになっていくみたいな流れであってほしいと思うので、
うーん。
面白い試みだなあと思うんだけど、
そうだねー。
うーん。
なんか1年後に振り返ってどうなってるかな、
1年後だとちょっと難しいのかな、
半年後、
半年から1年程度っていう形だから、
10年後にどうなってるかっていう観点で多分見たいんだけど、
えっと、
10年これにかけて結果どうでした?は
普通に時間がかかりすぎなので、
うーん。
自分がもしこれやるんだったら多分もうちょい短いイテレーションで、
えっと、
何サイクル回してみてみたいな感じでやった上で、
なんか実際こうでしたねって振り返りをしたいなと思うし、
うーん。
うーん。
難しいですね。
そうだねー。
うーん。
なんかフリーさんとかはその、
ある、
この辺のアプローチってセキュリティチャンピオンみたいな形で
チャレンジしてる認識で、
うんうんうん。
割と対照的ではあるから、
うーん。
ぜひなんか結果は知りたいところではあるね。
ね。
うーん。
今、裏で調べてたけど、
多分エンジニア30人ぐらいかな、
オフィシャルのチームのほうと。
うんうんうん。
まあまあまあ、
なんていうか、
持ち帰ってきて、
どうイネベリングするかみたいな。
そうね、
まあでもいろいろ、
神田さんも、
なんていうか、
いいね、
アクション撮っている様子が外から見えるというか。
うん。
結構このポッドキャストに登場する頻度も高いし、
うーん。
はいね。
なんかどんな感じでやってるのかすごく気になりますね。
神田さんの中の人、
私全然知り合いがいないんで、
うんうん。
あれなんだけど。
呼べるように頑張ろう。
うーん。
頑張ろうと思って。
どっかで、
どっかで会うことないかな。
誰がいるんだろう。
一人だけ知ってるんだけど、
その方以外は分からないな。
調べたら出てくるのかもしれないけど。
うーん。
はい。
会社情報ばっかりで、
まあそんな感じのことを思いましたという、
うん。
お話でした。
うんうん。
なんかね、
各社がいろんなこと言ってて、
うーん。
面白いな、
以上になって。
はい。
意外とこの辺、
日本は、
使った日本は過渡期というか、
あれかもね、
なんか、
まだまだこうすればいいよねみたいな。
決まってなさな気がする。
うーん。
日本が過渡期というか、
その、
なんか、
ベストなパターンは多分誰も見つけてないんじゃないかな。
ああ、そうね。
うーん。
なんか日本がって言ったのは、
その、
海外事情を知らんからっていうのと、
まあアメリカはもうちょっと進んでるじゃないけど、
なんか、
うーん。
7週間はしてそうだなっていう、
うーん。
気はする。
それで言うとセキュリティチャンピオンとかはさ、
あの、
なんて言ったらいいんだろう。
普通に、
なんて言ったらいいんだろう。
うん。
あの、
あれだから、
あの、
なんて言ったらいいんだろう。
その、
うん。
普通に、
タームとして通用する、
あれにはなってるはずだから。
うんうんうんうん。
ああ、
まあ。
ただセキュリティチャンピオンが何者なのか、
みたいなのは結構、
まあ開発チーム側でセキュリティよく分かってる人以上のもので多分なくて、
うーん。
それをどう作るか、
みたいな。
そうだね。
どう生み出していくかみたいなところは結構、
うーん。
多分各社によってやっぱ違うはず。
うーん。
それプラクティスじゃないけど、
まあここはこうやってうまくいったみたいなのが、
もうちょっと目立ってくると、
いいなっていうのと、
まあ、
もしくは自分がキャッチアップできたようなものがあったら、
キャッチしていきたいなって気持ちとか。
はい。
いやなんか開発チームのほうはある、
開発チームとか、
なんか別のところはある程度ある気はしていて、
なんていうか。
うーん。
まあこういうソースコードでこういうアーキテクチャーだったら、
まあこういう風にやってるパターンとこういう風にやってるパターンがまあまあ結構ありますよね。
うーん。
このパターンだと、
まあこの辺が辛いけど、
この辺でリターンがあるとか。
うーん。
まあ分かんないけどね。
まあでもどこまで行っても正解ないな。
じゃあ次お願いします。
発表。
はい。
えー、
退職の決断
株式会社メルカリを退職しますっていう、
ヤギハッシュさんの記事でございます。
おつかれさまでした。
はい。
対戦ありがとうございました。
実はこの収録をしてるのが4月1日でして、
昨日最終出社でした。
はい。
でこの記事自体は3月24日に、
なんか退職面談をやったんですよねこの日に。
あーそうなんだ。
そう。
でなんか、
自分の中でひと段落ついたなと思って、
投げちゃえと思って投げましたが。
はい。
新しい職場の決定
これをこの記事の中では、
次どこ行くかまだ決めてないですっていう風に書いてるんですが、
3月中には決める予定で実際決めまして、
はい。
6月1日から行くところがもう決まってるという状態です。
まだねサインしてなくて、
クラウドサインマッチなんですけど。
うんうん。
はい。
じゃあ6月、
まぁわかんない、いつかわかんないけど。
別になんかね、
これ隠す意味あんのか?
まぁいいけど。
いやわかんない。
意味あんのかどうかわかんないけど、
なんか、
まぁまだサインしてないしな。
確かに。
サインしてるから、
いや任せるよ。
転職の決断
まぁいっか。
まぁまぁまぁ、
うんなんか、
はい。
ちょっと、
そうっすね。
隠す意味あんのかこれ。
うん。
めっちゃ迷ってるやん。
まぁ、
いっか。
なんかまぁ6月からは、
あの、
10Xにお世話になる予定でございます。
ありがとうございます。
何もなければ。
うん。
なので、
まぁめでたく、
あの、
同僚として、
はい。
ポッドキャストは、
はい、
続けていくことになると思うんですが、
そうっすね。
よろしくお願いします。
お願いします。
はい。
ポッドキャスト、
ポッドキャストには、
こうなるとは全く思ってなかったんで、
あぁー。
エクス、
エクスキューズじゃないですけど、
はい。
まぁでも変わらずやりましょう。
うん、
変わらずやっていきましょう。
うん。
いやーほんとにね、
難しい意思決定だったんですよ。
うん。
面接と業界の状況
マジで難しい意思決定だったな。
僕らもう、
はい。
社会人10、
え?
ちょうど10年ですね。
今日から11年目じゃん。
やばい。
うん、そう、
今日から11年目です。
いやー、
まぁなんていうか、
いろんな道を、
まぁいろいろ広めてきてる中で。
うん、
うん。
今このタイミングにどの会社で何にリベットするかみたいな。
うん。
いろいろできるからこそ、
悩ましいっすよ。
ほんとに。
悩ましいっすね。
うん。
まぁ今自分のやりたいことを、
まぁ講師ともにね、
その仕事もそうだし、
プライベートもそうだし、
あぁね。
その、
自分が何をしたいか、
何やりたいか、
まぁどういう予定で、
なんかこの先のこと考えてるかみたいな、
うんうん。
あらゆる物事を、
まぁちょっと総合的に考えた上で、
うん、
今回はちょっと、
そうですね、
Xに行こうっていう風に決定をしましたが、
はい、
まぁちょっとね、
そのうち、
そのうち多分これ系の記事を書くか、
ちょっとね、
出すか出さないかね、
非常に迷っていて、
うん。
その、
なんか、
このセキュリティの人の転職事情、
あるいは採用事情についてっていう記事を、
あぁー。
まぁもうほぼ書き上げてあるんだけど、
はいはい。
その、
出すかどうかちょっと迷ってて、
なるほど。
なんか、
うーん。
レビューしようか。
ははは。
なんで迷ってんの。
いやなんかねー、
うーん、
まぁ今回お断りしてしまった会社さんも、
実際あるわけで、
うん。
なんか、
うーん、
なんか別に、
なんかまずいことが書いてあるとか、
そういう話は全然ないんだけど、
うんうん。
なんか、
うーん、
気持ち的に、
なんか、
こういう、
この話をここで出すべきなのかどうなのか、
みたいなのを結構迷ってる。
あぁー。
うん。
別になんか具体的な話は何も書いてないんだけど。
うんうん。
うーん。
まぁー、
まぁでも、
いやー、
まぁ内容は知らないけど、
まぁでも、
更新のためって思うと、
すごい、
いいんじゃないのって、
個人的に思うのと、
まぁ、
うーん。
会社もとか。
更新のため、
そうだね、
更新のためであり、
うん。
えーっと、
そうね、
更新のためであり、
まぁ、
あのー、
そういう人を採用したいと思ってる側の、
うんうん。
人のためでもある。
うんうんうん。
うん。
うん、
気持ちではあって。
まぁ、
いやーでも、
ややしの優しいところがあります。
その、
うすー、
個人的には気にせず、
いやーでも分かんない、
自分が同じ立場だったら迷うかも、
確かに。
うーん、
そうなんだよねー、
うんうん。
なんかねー、
迷ってし、
迷ってしまっていて。
いやー、
まぁでも、
ここで喋っちゃったなら出したら、
もう。
逆に?
うん、逆に。
あー、
まぁでも、
どういう内容かっていうとねー、
うん。
なんか、
すごい話がそれるけど、
うん。
なんか、
そのー、
なんて言ったらいいんだろうなー、
なんか結構事前の備えが大事だよね、
っていう話、
まずあって、
はい。
うん、
今回なんか、
まぁ、
3社受けてたんですけど、
うんうん。
まぁ普通に年単位で以前からその会社として、
まぁあるいは仲の人と直接、
うんうん。
なんかコネクションがあったっていう会社さんを、
まぁ今回受けていて、
うんうん。
で、
えっと、
まぁなんかそういうコネクションがないとやっぱり、
そのー、
うんうん。
転職しようと思った時に、
第一早期のその候補に入んないんですよね。
うんうんうん。
で、
うん。
まぁ結局その3社が、
まぁ一番最初に思い浮かんだところで、
うん。
その3社を受けて、
えっと、
まぁありがたいことに3社さん、
えっと、
いずれからもオファーをいただいて、
うん。
えっと、
2社を断りしたっていう、
うん。
原因なんですけど、
うん。
なのでそこの事前のコネクションがまずないと、
話にならんっていう、
うんうんうん。
話にならんって別になんか、
ダメなわけじゃないんですけど、
そのー、
なんか、
いやー。
実際対象検取を出して、
まぁちょっと私がなんか濁したっていうかその、
うんうん。
まぁパッと読んでわかりにくい書き方だったのかもしれないし、
実はタイトルしか読んでなくて、
その、
なんていうか、
タイトルしか読んでないってことはないんだろうな、
いやまぁ何かというとその、
うん。
対象検取出してからその連絡が来るっていうパターンが、
うんうんうん。
あったんですよ、
それ受けて。
いやーでもあるあるだよね、
あるあるだと思う。
そうそうそうそうそうそう。
で、
まぁ別にもうここからどこか新しく受けるっていうのは全然考えてなかったので、
うんうんうん。
なんか、
いやー。
最初に思い浮かんだところに入ってないっていう時点で、
うんうんうん。
もうその、
うーん、
なんていうか勝負権がない、
うんうんうん。
状態だよねっていうのがまずあるとか、
うーん、
まぁあとはなんか結構、
このセキュリティの人のこのタレントプールがやっぱ小さいと思われてる節があるよねっていう、
うんうんうん。
ところを確か、
確かに書いていて、
うんうんうん。
記事の中で、
うーん、
なんか、
そう、
実際どうなのかねっていう。
うーん。
うーん、
まぁ何にしてもなんかどこかでセキュリティの人をやってる人、
まぁいわゆるインハウスのセキュリティのその何らかの担当をしてる人っていうのを、
うんうんうん。
外から取ってくるって非常に難しい事実があると思っていて、
うん。
その、
まぁ私自身7年と3ヶ月メール買いにいたんですが、
うんうん。
えっと、
なんていうか、
まぁ端的に言って7年動かないわけですよ。
そうだね。
うん。
例えば。
そうそうそう。
うんうんうん。
でなんか、
タレントプールがじゃあ増えていかない限りは、
その全体的なその市場に出てくる数っていうのが増えてこない限りは、
うん。
不足感みたいなのは永遠に込み出されることはなくて、
うんうんうん。
業界への洞察
うーん、なんかどうなんだろうねみたいな話。
うんうんうん。
その、そもそもその、
私自身そのベンダーから出てきたっていうのもあったりするので、
うんうんうん。
ベンダー側にいてなんか違うなーって思ってる人とかもいるだろうから、
そういうとこ探しに行ってもいいんじゃないみたいな話とかを、
うんうんうん。
書いたりしてるところと、
うん。
あとはえっと、
なんか自分、
うん。
そうだからさっきのコネクションの話に繋がるんだけど、
うん。
そのなんていうかとにかくヘッドカウントがあるかないかとか、
再活動してるかどうかとかに関わりなく、
うんうん。
多分これどの職種でもきっとそうなんだろうなと思うんだけど、
うんうんうん。
そのなんていうか、
タレントプール作りとか、
あとはコネクションを作っていくっていうのは多分、
継続してずっとやり続けないといけないはずで、
うんうんうん。
みたいなことをまあ書いてると、
うんうんうん。
あとはなんか、
こうなんかね、
これがね結構その、
割と書くかどうか迷ってるポイントの一番、
公開するかどうかすごく迷ってるポイントの、
うんうんうん。
でかいとこなんだけど、
その、
なんかね、
まあ、
一言で言うとね、
今回のね先行の体験はね、
三者さんとも非常に良かったんですよ。
うんうんうん。
なんか、
うん、
非常に良かったんだよね。
で、
なんかっていう中でその、
なんていうか、
どういう人が欲しいんだっけっていうところをこう、
うん。
説明できるようになるっていうのが、
割と大事だなあっていうのをこう、
うんうんうん。
うん、
まあ先行受けてる中で思った。
できてなかったっていう話じゃなくて、
むしろできててすごいっていう、
うんうんうん。
その、
面で良かったなあと思っていて、
うんうんうん。
なんか、
セキュリティって一言で言ってもかなり幅が広いよねっていう話とか、
うんうんうん。
うーん、
っていう中でその、
今自社で何ができてて何ができてないのか、
セキュリティ業界の採用プロセス
えーミッシングピースが何なのかみたいな、
うんうんうん。
うん、
なんか話、
とか、
なんかそういうところをこう、
言語化するところまでは多分、
うん、
いる人たちで頑張らないと、
うんうんうん。
うん、
なかなかすり合わせがそもそも難しい、
うんうんうん。
し、
採用するにあたってその、
自分たちが求めてるバーを超えてるのか超えてないのか、
もう分からんよねみたいな、
うんうんうん。
話とかも多分あって、
うん。
そこはなんか採用する視点としては、
できてないとまずいよね、
うんうんうん。
っていう話がまずある。
うんうんうん。
みたいなことを書いてる、
なるほどね。
感じでございます。
うんうんうん。
なんかそんなにあったら別に公開しても嘘だけどな。
うん。
でもなんか1点目は、
その多分全職種一緒ではあるけど、
ことセキュリティにおいては、
なんか、
めちゃくちゃ重要だなって個人的には本当に思う。
うん。
その、
多分、
理由は2つで、
世の中のタレントプールが多分、
うん。
サイズがめっちゃ小さいのと、
うん。
分かんない、
自分が想像しているよりでかいという可能性あるかもしれないけど、
でもどう考えても、
例えばソフトエンジニア、
なんかバックエンジニアとかよりは小さい。
うん。
日本においては。
そうなんだよね。
うん。
だからその小っちゃいっていうのと、
あとはそのナイフサイクルっていうかその、
なんだろ、
転職のサイクルが、
分かんないけど、
まあ、
自分が観測してる範囲とか、
を観てると、
長く感じるし、
なんか取り組むこと、
ベースで見ても、
なんか長くなるのかなって気がしていて、
うんうんうんうん。
その、
長いのがいい、
短いのがいいとか話ではないんだけど、
例えばバックエンジニアとかソフトエンジニア、
ってなった時に、
その5年プロジェクトってなかなかないと思うんだよね。
その、
うん。
まあ本当にレガシーで、
10年もののシステムをもう、
0から100まで作り直しますみたいなプロジェクトを、
なんか最初から最後までリードするとか、
それぐらいだったら多分5年とか払くって、
やんなきゃいけないと思うんだけど、
まあそういうのに、
リードできるような立場とかリードする、
打席の数ってそんな多くないってなると、
まあ、
なんだろうな、
事業的な面白い機械に対して、
1年で爆速で開発してリリースして、
まあ運用保守、
回して、
また社内で次のやつをやってとか、
なるとまあ、
裸の周り見てたりしても、
3年いたら個人的には、
ああ3年いたんだみたいな気持ちになるし、
4年いたら長いって思うというか、
5年いたら、
ああこの会社のことが好きなんだなとか、
いい会社なんだなって思うというか、
だから2年でも全然驚かないんだけど、
セキュリティの触手で、
じゃあなんか2年で何できるっていうと、
まあ別にできることがないとは思わないんだけど、
僕がセキュリティの仕事始めて2年経って思うのはなんか、
なんだろうな、
例えば僕がじゃあもう、
TENXでセキュリティ、
ある程度のところをひと回しして、
もうなんか胸に、
TENXでこんな実績を出しましたみたいなバッジをつけて、
転職市場に胸を張って出れるようになるかって言われると、
全く2年じゃそこまで来れないなと思うし、
そうね、
あと3年ね、
いやまあある程度は良くなったけどももちろん、
転職市場における成果
でもなんかその、
なんだろうな、
エンジニア時代に、
例えばなんか新規プロダクトを爆速で作ってリリースして、
で利益を上げたみたいな、
そのあの経験と同等の経験、
同等の感覚をセキュリティで得るには、
2年じゃあまりに短いなって思ってるし、
セキュリティに真摯に向き合う人であればあるほどやっぱ、
なんていうかね、
そのきちんと長く腰を据えて、
でも確実に成果を出すみたいな、
マインドの人が多いのかなって思うと、
まあ、
なんでしょうね、
タレントプールじゃないけど、
そのコネクションを持つのは大事だろうし、
まあ、
あの、
その役所に連絡してきた人をディスリートは全くないけど、
セキュリティでなくても退職しますの後に連絡するので、
マジでもう5手ぐらい遅れてるってのは間違いなくて、
そうなんだよね。
その、
やっぱもうね、
アメリカ時代に学んだことだけど、
その、
転職とか、
もう、
なんだろうな、
1%しか考えてないような人でももう、
3ヶ月半年を決めますとか、
またそういう人たちと接談作るためにイベントを継続的にやるとか、
さっき言ってくれたことだよね、
継続的にやったらマジで大事だなって思うな。
実際やってるんだよな、
その、
なんかね、
そういう、
その、
ちゃんとやってるとこはやってるよね。
そうなんだよ、そう。
本当にそう。
大変じゃんって思うんだけど、
思う人もいるかもしんないんだけど、
やってるんだよなって思っていて、
その、
やってることによって、
なんか、
ね、
要はある種のCMと一緒よ。
そうだね、そうだね。
うん。
大変だけど、
そう、
やってるとかやってるし、
とかやらないとたぶんスタートデザインに立てないから、
話にならないんだよね。
そうなんだよね。
効果的なネットワーキング
やらずに、
なんか、
そういう、
なんだろうな、
うん。
ハイクオリティな人材が舞い込んでくることは、
うん。
まあ、
まあないよね。
そう、で、
なんかウォッチしてる人はね、
やっぱウォッチしてて、
その、
まあ、
例えば私で言うと、
うん。
なんか、
あの、
もう2024年の振り返り記事がもうなんか、
これ、
読み直すと完全にもう、
やめそう感しかないんだよな。
うんうんうん。
これ、
これ読んで連絡を取ってくれる人って、
連絡してくれる人ってやっぱいて、
ああ、
そうなんだ。
うんうん。
例えばね、
うん。
なんかね、
やめそうレーダーに引っかかって、
こう、
連絡してきてくれる人ってやっぱいるのよね。
うんうんうん。
その前の他の記事とかもやっぱり、
うん。
見て連絡くれた人とかいたし、
うーん。
うん。
大事だよねー。
まじで。
そう。
だねー。
そうなんだよ。
うん。
うん。
なんか、
ちょっとその、
似合わせとはまた別だけど、
僕が10X行くときに、
その、
ユートラストの転職したステータスを変えたときに、
もう今でも忘れないんですけど、
10Xともう一緒の人からDM来たんだけど、
うん。
10Xの人から、
ステータス変えて1分でついたDMが来て、
その2分後にもう1人からDM来て、
うんうんうん。
なんか、
偉いなと思ったというか、
うん。
やっぱなんかね、
こっちも人間だからさやっぱ、
うん。
あー見てくれて、
すぐになんかくれるんだとか、
うんうん。
うん。
で、そういうとこからリレーション作るとかもね、
全部できるし。
うん。
っていうのもあるしさ、
なんか、
普通に話した順にさ、
そうだね、そうだね。
ははは。
それはそうだね。
超純粋な話なんだけど。
うんうんうん。
これはほんとにそう。
そうねー、ほんとだねー。
あと2つ目か、
2つ目のやつはまじで、
いやーでも全然、
全然事実だと思うから、
個人的には。
うん。
いやー、
まぁ悩ましいのはそのニワトリ卵に陥る会社はあるだろうなって気はしてて、
うんうんうん。
でも、
なんか、
いやでもね違うんだよ、
その、
セキュリティの人が必要だねって、
その、
誰かが言ってるから、
うんうんうん。
その採用しようとしてるわけで。
そうだね。
そう。
なんか、
いやー、
だからその言語化できるレベルって様々あるよねとは思っていて、
うん。
その、
なんか、
まぁだから他社のJDを参考にしつつとかでも全然ありだと思うし、
うん。
ただ、
その、
導入としてのJDはさ、
それでいいのかもしんないけど、
うん。
その、
その先のすり合わせみたいな部分って、
なんか、
自分でやっぱ言語化できてないと、
うーん。
何かしんじゃうかなって。
あとはなんか生存バイアスかもしんないけど、
うん。
なんか甘えちゃいけない気がするんだよな、
なんていうか。
うん。
分かんないけどさ、
JD、
うちとかももう2年ずっとそうだったけど、
その、
うん。
そのヤギ足とかみたいな、
そのセキュリティの庭でちゃんとプロとしてやってきましたみたいな人が、
うんうん。
いなくて自分で勉強していく中で、
まぁJDも、
えー、
昔、
今はその表には出てないけど、
昔表、
うん。
とかを作るときとかに、
何だろうな、
まぁでも社内にいないな、
いないです。
その外部で、
何とかつって引っ張ってきて、
うん。
業務見たくて、
うん。
礼儀をお願いするとか、
あの、
実際に2,3回くらいやったけど、
うん。
あの、
セキュリティ系のイベントやったりとかしたんだよね。
うん。
やってたね。
なんかそのできることはあるし、
またその、
うん。
今のは社外的な、
社外と接点的なとこだけど、
社内的にもその、
まぁ僕はなかなかうまくいかなかったとこなんで、
ヤギ足入ってきた後にその一緒に頑張りたいなと思ってるとこだし、
うん。
まぁ別に全然できてないわけじゃないけどその、
うん。
何だろうな、
転職活動と技術の活用
言語化するためにその経営とディスカッションするとか、
うんうん。
経営に限らず社内のメンバーとディスカッションするとか、
うんうん。
そういうのは別に、
ね、
なんか脆弱性見つける能力がない人でもできるというか、
なんか情報漏洩怖いよねぐらいからチャートオープンエグザンスとか、
うんうん。
今だったらね、
セーセーアイになんかどういうの見ればいいですかとか聞いて、
いや、
ね、
あれさマジでそうなんだよな、
そう。
なんかね、そうなんだよ、
なんか、
そうなんだよ、
チャットGPT、
なんかね、
大抵の問題解決する可能性があると思うんで、
そう。
その、
うん。
なんか、
だからイニシャルコストは本当にね、
2年前と比べると下がってるというか、
うんうん。
なんか、
甘えちゃいけない部分がある。
どれ、
そう、
どれぐらいね、
あらゆる問題が解決するかというとね、
うん。
今回、
なんか、
え、
3、
3月31日が最終出社で、
うん。
もうなんか、
じっくり考えてる時間とかもない、
ない状態だったので、
ないのかかってる状態だったから、
3月30日とかに、
うん。
日曜になんかめっちゃ考えてたんだけど、
うん。
なんか、
もう頭おかしくなって、
うん。
そのチャットGPTと一問、
うん。
なんか、
もう3社で迷ってて、
うん。
その、
こう、
一問一答形式で、
うん。
なんかひたすら質問してもらって、
うん。
あなたのおすすめを教えてくださいっていうのを、
ずっとやってた。
あー、いいね。
笑
いや、
でも、
壁打ちやっぱいいっていうよね、
うん。
うん。
いや、
マジ、
これはね、
うん。
テレビ屋プログラミング味を感じるわ、
うん。
なんていうか、
うん。
優秀なテレビ、
そこそこ優秀なテレビ屋との、
うん。
対話しながら、
うん。
うん。
課題解決というか、
うん。
あー、
なんかログがね、
ちょっとできない。
えーっと、
これか。
よいしょ。
えーっと、
この画面って、
これをね、
皆さんにお見せしないという、
この、
笑
まあ見せたら、
その、
あれだよね、
他2社の、
うん。
2社が見せらんの。
うん。
笑
あー、
面白い。
なるほどね。
そう。
質問を決めて。
うん。
いやー、
面白いね。
質問イントロ形式で、
あなたが質問し、
私が回答するやりとりを、
10回から20回ほど繰り返した後、
あなたのおすすめはどちらかを教えてください、
っていうので、
うんうんうん。
なんか、
どちらのオファーも練習は同じですか、
とか。
うんうんうんうん。
仕事の内容やポジションに違いはありますか、
とか。
うんうんうん。
マネジメントとプレイヤー業務、
どちらによる興味がありますか、
と。
うんうんうん。
ひたすらこう、
いいねー。
そう。
面白い。
ワークライフバランスはどうなりそうですか、
と。
笑
確かになー、
各社の情報とかもさ、
引っ張れちゃうもんね、
今なら。
そう。
あのねー、
ちょっとね、
見せないけど、
うん。
実際にそういう質問も最後の方にはしていて、
うんうんうん。
なんか、
AとBとCっていう形で、
うんうんうん。
あのー、
まあ、
一問一答の中でやってるんだけど、
うん。
その、
まあ実は、
Bはなん、
なん、
なん、
なんとかっていう会社で、
みたいな、
うんうんうん。
笑
ちゃんとGPTに提供してる。
そう。
なるほどね。
これって今どういうフェーズですかっていうのを、
うん。
ちゃんとGPTにあえて聞いてみるとか、
うん。
うん。
面白いね。
そう。
いやー、
いいねー。
いい使い方。
これはねー、
これは結構ねー、
これはねー、
これは結構自分の脳内の整理にめちゃくちゃ役立ったなー。
うんうんうん。
ちょっと他のやり方も実は試してたんだけど、
このやり方がね、
かなり効いた。
うんうんうん。
最終的に。
うん。
これはね、
よかったなー。
いやー、
だしねー、
かなり。
なんか転職先に迷った時は、
うんうん。
ご活用ください。
ちょっと、
やりましょう。
笑
その時が来た。
笑
うん。
その時は、
来ないよ。
来ないか。
来ないよ。
まあー、
来ないようにしていきましょう。
来ないようにしていこう。
長く、
いいチームを作りましょう。
はい。
これ、
このポトキャストが、
初座診断の、
転職先の情報、
もし。
パブリックにすんなそうだね。
おー、
ドキドキするね。
まあなんか、
何食わぬ顔で出して、
普段聞いてくれてる人が、
あ、そうなんだ。
あら、
あぶ、
あぶり出される。
笑
そうだね。
そうだね。
あぶり出していただいて。
なぜか、
なぜか知ってる人がいたら、
そうだね。
その人は、
聞いてる可能性が高い。
そうだね。
なんかその、
全然ある。
この音っていうさ、
あーでもあれか、
文字起こしあるから、
その、
たどり着かれる可能性あんのか。
あー、
消しとこう。
笑
もう、
自動で、
自動でやられちゃうんだっけ?
自動でやられちゃうんだよな。
特定の、
まあでも、
大丈夫だよ。
まあ、
気づいた人は、
ラッキーというか、
ラッキーというか。
まあまあまあ、
別に、
6月になったら普通に、
うん。
インターネットにすると思うし。
そうだね。
まあまあ、
一歩早いから聞いて。
うん。
まあ普通になんか、
入社しました記事渡すと思うんだよね。
うんうん。
静かなインターネットに知るって。
うん。
確かに。
ありがとうございます。
まあ別に隠せる理由ない気がするから。
そうね。
そうですね。
うん。
野球車、
隠したいわけじゃないんであれば、
僕は全然。
はい。
お世話になります。
うんうん。
よろしくお願いします。
お願いします。
はい。
ほーい、
じゃあ。
9時でした。
大丈夫ですか?
大丈夫です。
眠いけど大丈夫だよ。
じゃあ、
行きましょう。
はい。
パスキーに関する情報
えーっと、
パスキー導入の課題とベストプラクティス、
今後の展望っていう。
えーっと、
伊藤さんのスライドですね。
どっかで多分発表したやつなのかな。
わからんけど。
はい。
えーっと、
まあちょっとごめんなさい。
これね、
もう紹介はしなくていいかなと思っていて。
うんうん。
えーっと、
ざーっとちょっと、
長い時間、
長い時間、
長い時間、
長い時間、
長い時間、
長い時間、
長い時間、
長い時間、
長い時間、
長い時間、
長い時間、
長い時間、
長い時間、
長い時間、
長い時間、
長い時間、
長い時間、
長い時間、
長い時間、
長い時間、
長い時間、
長い時間、
長い時間、
長い時間、
長い時間、
長い時間、
長い時間、
長い時間、
長い時間、
長い時間、
長い時間、
長い時間、
長い時間、
長い時間、
長い時間、
長い時間、
長い時間、
長い時間、
紹介したような気がするんだけど ハイブリッドトランスポート
のパックについても触れてくれて いたりとか 割と全体的にパスキー
すごくいいんだよ みんな使わな きゃだめだよみたいな感じでも
なく パスキーだめだよみたいな 話でもなく バランスの取れた
トーンで紹介してくれてるので 人に進みやすいスライドだな 資料
だなというふうに思いながら これは見ていました なので ちょっと
散々このパスキーの話 このポッド キャストでもしてるから もうちょっと
ヘキヘキしてる人もいるかもし れないんだけど もし その辺の
トーンがいい具合にバランス取 れてるのか 読みたいなって人は
ちょっと読んでみてもらえれば と思いました
そうだね もう1から10まで同じ 感想です なんかパスキーのすべて
を読む時間がない人はとりあえず このスライドを読んで ふわっと
外観を使うみたいな 入力してる ということですね
エディターの紹介
パスキーのすべてもね なんだら あれ 別に全部読まなくていいんだよ
ね
そうだね 結構技術的な
俺 全部読んでないわ
要件中か 手動かす系も多いでしょ だったから
APIの解説とか 全部ザーって終わり にしちゃった
ハイブリッドトランプスポット の話だけ ちょっとパッと読んで
わからなかったけど パスキー のすべての方法を全部読んで理解
して
素晴らしい
繋がりました これはぜひ
以上です
いいリファレンス
で パスキーの話題が続くんですが 次の記事がパスキー's journey to prevent
ファイルアライアンスに投稿された ホワイトペーパーですね これは
コククマさんがツイートしてたん だけど これって そうだよ 良かった
名前出てなかったらどうしよう と思ったんだけど エディター
がコククマさんなんですよね メルカリ のIDPの認証認可にすごく強い
フィッシング攻撃の手法
人が書いてるホワイトペーパー で 非常に長いのと 私は個人的に
結構話す機会が多かったので あえて別に読み直す必要はない
ぐらい 彼の思うところを言ってる ことっていうのは分かっているので
別に何も話すことないんですけど どうでしたか
ここはさすがに時間なくて 読めてないんですよね
ノートブックLMに全部突っ込んで 要約してもらったのをノーション
のほうに貼ってあるので 読んでみて もらえればと思います 一言 二言
で中身を紹介するならば パスキー をいきなり全部に適用するのって
やっぱ無理だよね 無理があるよね っていう 一方でフィッシング
体制をサービスとして獲得したい みたいな観点で見たときに 必ずしも
フィッシングレジスタントな認証 方式を完全に適用するっていう
のが 唯一絶対の解っていうわけ ではないよねっていう話 完全に
防がなきゃいけないっていう場面 もなくはないんだろうけれども
そうでない場面っていうのは 一定 妥協した 例えばさっきのメール
チンプの話でいえば 何らか重要な 操作をするタイミングで もう一回
OTPを要求するとか そういうやり方 に近いところであるんだけれども
これって ちょっと待ってね どこまで具体的な話を書いてるんだっけ
それこそノートブックエレーメン に聞けっていう話なんだけど ちょっと
待ってね さっきみたいにそういう 追加でSMS OTPを SMS OTPじゃない
追加でOTPを要求しましょうみたいな やり方に近い話なんだけれども
紹介されてるらしくって 多分 言っちゃっていいんだけど Email
Magic Linkを一応 例えば挙げていて 何て言ったらいいんだろう 行って
そのURLがメールで送られてきて そこにアクセスすると初めてログイン
できるっていうやり方なので 知識 をサイト側に提供するっていう
やり方じゃないので 行ってフィッシング しにくいよねっていう前提が成立
するだろうっていう話があった りとかするので 徐々に徐々にその
フィッシング体制をサービスとして 獲得していくっていう ジャーニー
においてそういうやり方もあり なんじゃないっていう話を多分
書いてくれてる
なるほど めちゃくちゃいいですね これもさっきのスライドじゃないけど
今時点における現実的なところで どうフィッシング攻撃と向き合って
いくとかパスキーと向き合って いくとかみたいな部分が階層と
高くまとめられてるのかなっていう 印象を受けましたね
なるほどね
非常にメルカリって実はSMS OTP 最初にMFA作って入れたときのSMS
OTPってどういう実装だったかは 言えないけど 実質ほぼ全権発火
だったんですよね
うん 普通にサービス利用してても そういう印象でした
そうそうそう 何も関わらずパスキー はなかなか全部でやりましょう
っていうところまでは行けてない 現状としてある中でどうしたら
いいかっていう話を実際している 中でこういう話が出てきたのかも
しれないし あるいは外で話している ものがこういう形で高くまさんの
中で整理された上でホワイトペーパー にも出てきてるし 社内で別に特定
案件に関してっていう話では全然 なくて 高くまさんといろんな議論
の中でこういうのが背景情報として 出てくるっていう話だったのかも
しれないし それはもううかがい 知ることはできないんだけど
確かに
こういう感じでしたという話ですね
ありがとうございます これはちょっと ちゃんと読もう
てかノートブックエレメントが 普通に便利すぎて切れそう 便利
すぎるこれ 結構同僚の主張みたいな 部分ではあるから 前提としてベース
の考え方をすでに知ってるっていう のがあるから それによってブースト
がかかってる部分は否定できないん だけど それにしても全部突っ込んで
あの話 終わりってきちゃうので これは強いなと思いながら
なるほどですね いいですね AIも活用しつつ 分量そんなに多くないから
クリックフィックスの解説
読みたいな
そうね でも話としては今の話で 終わりっていうか たぶん
そうかそうか この辺 全てインプット して自分の中から同じ結論を出せる
ところまでは噛み砕きたいなって 気持ちがあるわ なんていうか
聞いて全部理解できる
いい心がけだと思います ただなんか まあいいや いい心がけだと思います
なんかセキュリティ領域めっちゃ 大事だなって気はするんだよ
ややしから聞いたことを活かせる 場面に仕事に遭遇した時に 自分の
口から全然スルスル出てこない とか 結構自分の中にあるってあって
大事だなって
はい ありがとうございます
次 まあなんか時間が取れそうな人は ちょっと読んでみてください
感じてほしい
はい ありがとうございます
はい じゃあ次 僕は
ピオログの記事で 閲覧者自身の 操作によりマルウェア感性を狙う
攻撃 クリックフィックスについて まとめてみたっていう記事ですね
で タイトルのとおりで いつも通り とてもちょうどいい流度でまとめて
るんですけど 結構そのインシデント とかをまとめてることがピオログ
さんもすごく多いんですけど 今回は 一つの攻撃手法 クリックフィックス
っていうぐらいのものについて まとめてまして そもそもクリック
フィックスって何なのっていう ところから それが今どれぐらい
なんか増えてるのかっていう話 なんですけど クリックフィックス
自体をざっくり言うと これ 名前の由来みたいなところと
つながってるんですけど ウェブサイト を見てるユーザーに対して何か
したアクションを取らせて レア なりをインストールさせるっていう
ような攻撃の手口です 例えば 偽のキャプチャー画面とかを表示
して 本物のキャプチャー画面とか あと車の画像はポチポチポチ
押させたりするんだけど UIとして はそれに告示させたもので ただ
指示としては画像をクリックしろ とかじゃなくて まずWindows Rだっけ
Rキーを押してくださいみたいな 1 2 3ステップでやってて ただ裏側
ではクリップボードにマルヤー をダウンロードしてくるような
ペイロードが入ってて それをWindows ちょっとあんまおかしくない
んですけど Windowsはファイル実行 みたいなショートカットがあって
そこからそれをクリップボード を貼り付けちゃうと 裏側でマルヤー
がダウンロードされちゃうみたいな 挙動をするみたいな そういうような
割と素朴な手口ですね ClickFix時代に誘導されるケース
はいろいろあるみたいで マルバー タイジングもそうだし SEOポイズニング
もそうですし メールで来たりとか 政権のウェブサイト解散されたり
とか いろんなありとあらゆる 手口があるっていうようなところ
ですね これ自体は去年の4月に初めて 報告されていてとか おととし
2023年8月頃に悪用してるのを確認 したみたいな報告もあったり 割と
最近のやつなんですけど ただその 件数自体が結構直近増えてるっていう
話があって グラフも引用したものを ブログに貼ってくれてるんですけど
そうですね キャンペーンか ClickFixのキャンペーンの数が徐々に
徐々に増えていったりとかっていう 感じですね
なんでこれは流行ってるって話ですね これもClickFixの事例みたいな
画像も1枚貼ってくれてるんだけど 僕ら目線だとどう考えても怪しい
じゃんみたいな画面なんですけど 流行ってるんで 多分それなりに
実行力がありそうだし 対策どうするの みたいなの結構難しくて
Windowsの場合で業務端末の場合は グループポリシーとかで
Windows Rキーを実行制限するみたいな ことだとかで防げるっていうのを
記事でピオログが引用してる記事には 書いてありますってことが書いて
決定的な防ぐ方法っていうのは なかなか難しそうだなっていう
フリピンコンピューターとかハッカーニュースで 実はもともと知ってて
先週先々週とかに記事あったんですけど スキップして
ちょこちょこ見かけた気がするわ
ただ件数増えてるっていうのは キャッチできてなくて
コンピューター学部さんのまとめ見て 流行り始めてるんだなっていうところで
紹介しようかなって
なんでなんか流行ってるの?
思ったより上手くいくじゃんってなって
流行るって言葉はリターンがあるから 流行ってるのかなって気はしていて
あとはシンプルではあるような 仕込むだけ仕込んで置いとけばいいというか
あれは用意する必要あるけど 今だと多分
ヒジチュで元気あったかわからないけど インフォスティアとか仕込んだけど
あとはサイトがバンされるまでは 動いてしまうというか
誘導した後の 誘導
自分のサイトに誘導できた後に 何をするかみたいなところで
フィッシングではなく こういうことをしてるって感じかな
いくつか手がある中で
フィッシングで単一の…
わかんねえな攻撃者の目線に立てないから
目線に立てないというか
パスキーとセキュリティの未来
パッと思いつく攻撃の回数が低すぎて 自分の回数が低すぎる気がするけど
でもインフォスティア入れられたら 結構上手いよねっていうのが
直近が早いでもそうだし
ありそうっちゃありそうな気がするけど
類型としてはセルフXSSとかも一緒だよな
確かにね
その辺がこの…なんて言ってるんだろう
偽のキャプチャのこの画面とかで
なんとなく洗練されてるっていう感じかな
ここまでやるんだったらもはや
セルフXSSであまり必要すらなくて
デベロッパーコンソールにスクリプト打ち込ませるのを
セルフXSSと呼んでいいのか個人的には よくわかってないんだけど
ああいうのは多分一緒だなと思うんだよな
あれができるんだったらもっといろんなこと
マシンそのものを乗っ取りにいけるじゃん
そっちで多分シフトしていくのかな
あとはこれMacの話は多分記事にはないけど
Windowsの場合はショートカットで
ダイレクトにファイルダウンロードまで
こうやってブラウザがダウンロードするわけじゃないじゃん
このCMSと
そういうところとかもなんだろうな
それこそセルフXSSとかの差分としてはあるのかな
ブラウザがダウンロードした場合は多分
それを勝手に回答させるみたいなところまでは
セーブできないと思うんだけど
その辺はありそうだったり
あとは始まりづらいのかな
地味だけど効くんだろうな
別のやつとかでもクラウドフレアの
Bot認証のやつ
クリックしてあなたは人間ですかみたいなやつを
偽のものを用意するパターンもあるし
そもそも本物のクラウドフレアを契約して
かませて信頼性を上げるみたいなパターンもあるけど
そういうところに付け込んでる部分も
もしかしたらあるのかもしれない
キャプチャー
セキュアな
ざっくりこれってセキュアな機構だよねっていうのが
動いてる中で
これに言うことを聞けばいいじゃないけど
いやー
手おかえしなおかえですね
これさー
難しいのか
真にパスキーが普及した世界においてさ
キャプチャーって生き残ると思う?
あー面白い質問だね
ローカル認証必須だからさ
そうだね
パスキー通せばええやん
生き残らないんじゃない?
本当にパスキーだけになるんであれば
事件の背景
ただなんか
その
なんて言ったらいいんだろうな
純粋なボットディテクションみたいな
用途で残るのかなと思うんだけど
そうかそうね確かに
こういうのが入り始めると
キャプチャーそのものがそもそも怪しいみたいな
論調にはなったりせんのかなどうなのかなと
どうなんだろうね
どこまで
ここからどこまで入るかだよね
なんか
確かビジネスにも書いてあるけど
日本語バージョンとかはまだそんなにはなくて
英語バージョンか
でも翻訳された事例とかもちょこちょこ出てるけど
みたいな感じなのかな
うーん
いやーまあでも
いやだなあ
あんまりやんないほしいけど
まあbooking.com狙ったりとか
異動分野狙ったりとか
知ってるかも
うーん
確かに
いやーキャプチャー
うーん
むずいね
昔
私キャプチャーがそうだね
うーん
まあまあまあ
まあというなんかジャスト
ジャスト開きもの
確かにでも考えた事なかったな
ディレクション以外の
用途はなくなりそう
リベンスは下げるものしかない
くなるよね
いやまじでこれ
もう
純粋に1ユーザーとしての意見なんだけど
そのメルカリのweb
でなんか
IDパスワードを入れてから
パスキーを通すみたいな経路にすると
普通にキャプチャーでポチポチしてから
パスキー要求されるんだよね
あーなるほど
うわー無駄ー
っていうところから
考えに至ったんだけど
なるほどね
ホンモロ
いやー
大事だよ
利用者目線でどう見えるか
むちゃくちゃ大事
利用者目線でどう見えるかそうなんだけどさ
でもさその
パスキーがどういうものか分かってるから
その判断ができる
その考えに至ることができるけど
はいはい
そこに人間がいることを確認するみたいな意味で言うと
まあね
でもローカル認証の仕様がさ
どういうものかっていうのは
なんか
分かんないからな
リライングパーティー側からすると
そうするとなんか
うーん
まあやっぱりキャプチャーリキャプチャーっているのかな
うーん
まあでも
いやー分かんないな
なんか存在認証みたいな概念があるよね
そこに人間がいる
うーん
概念としては別物なのよ
あくまで
リキャプチャーとか
なんだっけ
クラウドフレアのあれとかもそう
概念としてはやっぱり別物で
ある種のチューリングテストなので
あなたは人間ですよね
っていうのをチェックしたいだけだから
だからまともな
オーセンティケーターだけが
オーセンティを使えるっていう
選定においてはローカル認証で
パスコードを入れさせたり
本人しか知らない
人間の脳みそを持っている本人しか知り得ない
パスコードを入れさせたり
あるいは
ローカル認証で生体認証を
するっていうのが挟まるから
まあ実質それってなんか
その
キャプチャーとかで満たしたい程度の
その
人間かどうかチェック
できるんじゃないっていうのが
思ったこと
大体からしてさ
その
普通にキャプチャーとかLLMで余裕で破られそうだよね
いやーそれは本当にそうだね
そこはすでに
イタチごっこ始まっててもおかしくないよね
どうなってるんだろうね
誰かやってみてないのかな
プレイライトでさ
クロードとかに
ブラウザを操作させて
MCPでさ
プレイライトが動かせるっていうのがあるじゃん
あれでその
ブラウザを操作させて
普通に純粋に
ブラウザだから画面上何が
表示されてるかって別にスクリーンショットで
とってきてさなんか判別できるわけだから
ポチポチポチポチって
エージェントがやるって多分できるよね
もう
なんか雑にググったら
AIが100%
突破できないキャプチャーの
研究みたいなやつとか出てきた
やってんだ
なんか
これも多分イタチごっこだと思うんだよな
本当に
パッて出てきただけだけど
例えばリンゴの画像みたいなの
都会の画像で作詞画像を作って
これをリンゴ判定するのは人間しかできない
とか
まあ
でもこれも
本当に本番投入された
本当に突破したい側は
人間にどう聞くのって話だよね
だってリンゴの作詞画像見せてられるとさ
リンゴですかって
リンゴじゃないやんけ
そうだね
リンゴに見えますか
だったら多分全然
AIでも判定できると思う
これはリンゴの作詞画像ですね
普通に判定できそうじゃん
確かに
10択ぐらいにするんじゃない
これはどの果物に見えますか
って
知らんけど
まあまあ確かに
いやー全然できると思うな
その辺の記事流れてこないの不思議だな
まあいつか流れてくるかもな
うん
なんか別に
何にも認証しないんだけど
ローカル認証を要求するみたいな
バスキーのユースケースってもしかしたら出てくるのかもしれないね
あーなるほどね
面白い
確かに
さああの
ここでバスキーを体験できますっていうのがあるじゃん
あのノリ
なるほどね
機械じゃないよねっていう
機械じゃないよねの用途で
そういうのが出てくるかもしれない
それがハードウェアレベルで担保される
はい
まあそんな感じです
お気を付けください
うん
じゃあ
次いきますか
結構この辺ずっと僕だな
こつこついきますけど
えー次はスキャンネットセキュリティさんの記事で
予約前にを明らかに
個人情報保護委員会が
株式会社伊勢東への行政上の対応を
発表という記事ですね
はいでまあこれ
ものとしては
まあタイトル通りで
昨年の5月26の
複製アクセスの件で
多分さやつ坊主作の方
触れた記事を
ここでも取り上げた記憶があるんですけど
それに関して
その件インシデントに関して
個人情報保護委員会から
行政処分の
行政上の対応というのを発表しました
というところですね
でこの行政上の対応みたいなところを
発表するっていうのが
割とイレギュラーっぽくて
なんで
中身読んでみたんですけど
なぜイレギュラーかというと
結構その
被害がかなり大きいという部分で
公開に
しましたみたいなところが
PDFの一文最後に
書いてあるんですけど
中身を読んでみると
なかなか
なんでしょうね
そのメディアとか伊勢東の方から
開示されている情報以上の
めちゃくちゃ新しい情報があるかというと
そういうわけではないですけど
一つはかなり簡潔に
まとまっているという
ところと
いくつか気になるところを確かめも
していて
基本としては復習みたいな部分があるんですけど
結論は
なんでしょうね
社内ルールみたいなのが伊勢東側には
実はあって伊勢東内の
伊勢東の
ネットワークの構成としては
機関系のネットワークと
業務系のネットワークというのがあって
業務系の
ネットワークにしか
個人情報とかは
保管しちゃいけないというセキュリティポリシーが
あったんだけども
そのポリシーが
守られてなかったという
部分があって
これは一番最初の
報道とかでもあった
置いちゃいけない場所にデータを置いてやられちゃいました
みたいな話
それが改めて書いてあって
その状態の中で
今回やられたのは
機関系のネットワークには
侵入されたんだけど
業務系ネットワークへの侵入は許してなくて
なんでポリシーをちゃんと
徹底できていればそもそも被害が
大きく抑えられたんだなという
部分が
ルールは
正しいとまでは言わないけど
守れてれば機能したんだけど
守れてなかったという部分が
なかなか学びじゃないですけど
そこが知的差異という部分もあるし
端から見てもそれはそうなんだけど
でも守るの難しいよなという部分
あと全体的に結構
ログみたいな部分が残ってない
というところで
否認ができていない部分が
かなりあって
例えばVPN機器のログは取れてなかったので
どういう風に侵入されたか
本当真の理由は実は分かってない
とかネットワーク機器の
ログとかも取れてないという部分で
セキュリティポリシーの問題
結構結論としては推測になってるんですよね
例えば
VPN機器経由で侵入されたのは
多分ほぼ確定なんですけど
どういう風に
Howの部分は未確定で
ただパッチ適用が
5年だったかな
5年か5年か放置されてた
みたいな部分があったので
何かしらCV使われちゃったんでしょう
みたいな部分が書いてあるんですけど
それもログがないから分からない
みたいな部分は結構
厳しいというか
なんでしょうね
否認できるだけのログを取っておくっていうのは
言うは安心なんですけど
でもきちんとやる気になきゃいけないよね
という部分がちょっとあったというところですね
はい
何だろうな
結構レポート自体読みやすいし
良いリュードだし
何がダメだったのかと
そこに対してこうすべきだと
読めって部分は
そうして違和感がなかったりもするんで
時間ある人は
ささっと読んでみてもいいのかな
と思って紹介させてもらいました
はい
あれか
合わせて読みたいに書いたけど
この多分責任を取る形で
代表取締役は交代に至っているのと
取締役も一部
交代なのかな
確か
責任の所在
取締役が新任ですね
代表取締役が交代で
という感じなんで
社長が
辞任しなきゃいけないというのは
なかなかなことではあると思うので
経営層でこのフォトキャスト聞いてる人は
いないと思いますけど
なんていうか
個人情報保護委員会に
公開されるぐらいの
インパクトのあるインシデントを
起こした時に
首を切るというか
こういう形で責任を取らなきゃいけないという
一つの判例としては
重いものがあるので
ログ管理とデータポイズニング
気を引き締めていきたいなというところも
合わせてあるという感じですね
はい
委託
いやー
レポート読んでください
基本的には今までの情報とそんなに
それはないです
漏れた情報の重さと件数と
範囲というかやっぱりちょっと
大きい読みという
そこに対して
ある種
パッチ的をきちんとやるとか
ポリシーをきちんと守るという
ところが
できてないにしてもちょっと
見たすべきLINEとの
乖離が大きすぎたという部分が
こういう時点になったのかなという
感じですね
はい
貧民のためのログが全然取れてなさそう
みたいな話はさ
さっきのLINE
Yahooの行政指導の話もそうだけど
厳しいよね
厳しいね
なんか
厳しいよね
言うはやっしーって言ったのは本当にそう思って
そうそうそう
なんか例えばGoogleクラウドで
じゃあ
取れるログ全部取ろうっていうのは多分
財布爆発するんですよね
例えば
だし
じゃあどこまで取るのとか
もそうだし
取ったログが改ざんされないことをどう担保するのか
みたいな話もあると思うし
あと未来の
そういういいフォーマットを
作れないかな
ある種の
ブルームフィルターみたいな
ブルームフィルター
ブルームフィルターっていうのがあって
全然ブルームフィルター自体は全然
この話と関係ないんだけど
めちゃくちゃ
データ容量面で有利なんだけど
その
なんていうか
ログそのものではなく
この一定の期間の間に
こういうイベントがありましたか
イエスノーっていう情報だけが
そこから取り出せるフォーマットみたいな感じで
ログを残せないかな
なるほどね
確かに
そうすると多分めちゃくちゃ
データ面での
浸透さみたいなのが
あと果たしてそういうフォーマットが
実現
フォーマットを実現できたとして
それが果たしてその
証拠としての能力をそこに認められるか
っていう話が出てくるのかな
そうだね
うん
めっちゃ夢ありそう
事業に実現できたら
めちゃくちゃ需要ある
うーん
アイディアとしてはこういう方向なんじゃないかな
と思うんだよね
確かにね
事実をね
そもそも純粋なテキストデータの
なんか
データの圧縮の効率ってどんなもんなんだろうね
何パーセントくらい
圧縮できるもんなんか
テキストデータ
ログデータの
テキストデータとしての特性そのものを
工夫してあげることによって
めちゃくちゃ圧縮効率上げるとかも
もしかしたら
プリミティブな方法として
あるかもしれないね
なんていうか
時系列順に並んでるのが基本のログを
時系列は完全に無視した上で
例えば
同一の文字列が
同一の内容のログがあったら
それを全部並び替えて
寄せてあげたら
そこの部分めちゃくちゃ圧縮が効くとか
ありそう
いやー
それをクラウドプロバイダーに期待したいな
いや
なんかその
何思ったかっていうと
Googleクラウドとかの場合は
出力するログに課金される
っていう部分は変えらんないから
取ったログを保存する部分の
圧縮は効くんだけど
今言ってくれたようなアイディアを使うと
全社が
おそらく圧倒的に
コストセンターになるから
うん
なんかね
いやー
どこまで備えるかだよなとは
本当に向き合うなら
でもVPN機器はたぶんちゃんと取った方が
いいんだろうなと思うけどね
この事例で言うと
ネットワーク機器は
まあ分かんないな
分かんないよね
うん
確かに難しそうだね
まあそんな感じです
CCIとセキュリティ成熟度モデル
一つの
せっかくここまで開示されてるんで
学びとして
色々良くなってくれればいいな
って思ってます
はい
じゃあ次
私
読ませていただきました
CCIを利用する上での
セキュリティ成熟度モデル
NPO日本ネットワークセキュリティ協会
JNSAっていう団体の
これなんか別のレポートも
読んだことあるな
あーこれ読みたかったんだよ
読みたかったな
読んできました
でも
そうですね
話すと
タイトルの通りであるんですけど
CCIを利用する上でのセキュリティ成熟度モデル
っていうのをワーキンググループから
の方々が作って
公開したよって話で
具体的にどういう
場面に使えるものかっていうと
例えばチャットGPとかを
使う場面とか
そういうもののAPIを使って
独自の環境を作ったり
社内環境と連動するパターンとか
また実組織のデータを
ラグなりを使って
モデルにモデルというか
システムに加わせて
CCIを使うパターンとか
あとは
モデルを自社で開発するパターン
みたいな部分に対して使えます
なんで割と幅広く
サービス使う立場から
サービスをもうちょっと深く活用して
カスタマイズするところまで
に対して適応した成熟度モデル
って感じですね
中身は
ギター部に全部あるんで
次読んでくださいって感じで
ワークラウンでまとまってますけど
僕も正直
1から100まで隅から隅まで読みました
って感じじゃないんですけど
思ったところとしては
まあまあ
今までも何個か紹介してきた
こういう部分気を付けましょうみたいな部分
の資料とか
セットってあったと思うんですけど
そういう部分とそんなに
よくも悪くも
いい意味で差分があんまないというか
いろんな視点を漏らさず
書いてくれてるのかなと思ってて
あとはやっぱ
WASP
トップ10のLLMとかを
見ても
すごく思ったけど
LLMだからっていうよりかは
システムを使う上で
大事な部分っていうのも
漏らさず書いてくれてるのは
すごくいいなと思っていて
例えばアカウント管理ちゃんとやりましょうとか
モデルを載せるインフラ基盤があるんだったら
そのインフラちゃんと守りましょうとか
そういう部分も
書いてあって
個人的になんかそれめっちゃ大事なんじゃないかな
と思ってはいるので
それはすごくよかったなっていうのと
あとその
全部取り上げらんない
AI特有のトピックみたいな部分で
気になったものをいくつか話すと
というわけで訓練データの線みたいなのは
これ面白いね
ここで話したんだっけな
ちょっと忘れたけど
会社で話したんだ
昨日か一昨日同僚とめっちゃ
これ怖いけど
でもどうしようもないじゃんみたいな
堂々めぐりの議論をしてたとこなんですけど
1ページ1セクション紹介されていて
これ名称知らなかったんですけど
スプリットビューデータポイズニング
っていうのと
フロントランニングデータポイズニング
っていうのが紹介されてて
前者は
生成AIのモデルが
クローリングしに来る
クローリングして
回ってると思うんですけど
スプリットして
ドメインが機嫌綺麗になった
サイトのドメインとかを購入して
汚染したデータをそこに置いとくことで
訓練データを汚しに行くっていう
方法で
校舎の方は
面白いなと思ったんですけど
生成AIが事前
ここから訓練データを集めていくっていう
部分を把握してそこに
汚染したコンテンツを差し込むっていう
手法があるらしい
なんで
これ以外にもいくつかあると思うんですけど
なるほどなっていうところと
またこれ対策は
もうなんかきついな
と思っていて
これモデル作る側の
多分視点なんですけど
訓練データに何使ってるかとかを
公開しないようにしましょうとか
その訓練データの正当性
とかサプライチェーンの検証しましょうとか
サニタイズしましょうとか
まあまあ
金の単語はなさそうだな
これでも
これきついよね
公開制限のさ
モデルそのものは公開する
わけでしょ
なんか普通に
バレそうだよね
そのモデル
例えばだけど
その
訓練データに何を用いているかを
隠したいなと思ったときに
モデルそのものにそれをどう喋らせないように
するかっていうのが多分非常に難しくて
何か特定の事象について
喋らないという事象によって
訓練データに何を用いているかを
推測されると思うので
多分ね超難しいと思う
面白いね確かに
GLブレイクみたいなのが
やっぱ一つ
分かりやすいところであるけど
それができなかったとしてもってことだよね
そう確かに面白い
いやーそうね
まぁ
そうねこれは本当にちょっと
きついなっていう
ちなみに会社で話してたのは
コード保管
でマイエージェント系が
コード返ってくるけどその中に
例えばマリシアスな
NPMパッケージが
ポンって入ってくるとか
あいつらは速攻NPMインストールする
NPMインストールしたら一発アウトの
やつも世の中にあるわけで
それがないことをどう
担保するんだっけみたいな話をすごいしてて
いやー
分かるけど
データ管理の課題
でもなんかその時話したら
なんか人間でも一緒じゃん
っていう気持ちと
人間だったら防げるパターンも
あるんじゃないのと
あと一つ確かにと思ったのは
じゃあ今日
有名なこのパッケージがの
最新バージョンが侵害されたことが分かりました
っていう時に人間は
それを達成して
お願いベースとかになっちゃう
かもしれないけどこれインストールしてない
って言えるけどモデルは
今日のデータを多分すぐに学習して
1時間後に反映することが
できないってなった時に
それ踏まないことってどう担保するの
っていう問いをもらって
うーん確かに
みたいな気持ちで
結構付け方
むずいというか考えすぎな気が
せんのもないけどでも
向き合わないわけにもいかないな
まあね
まあでも
NPMのインストールとかも
暗号化されてるわけだから
そうね
エコシステムとセキュリティ
まあでもローカルで
TLSを解いてあげて
みたいなことやれば
別にできなくはないのか
あとはなんかその
まあでもそこまでいくと
完全にEDRの世界だなやっぱり
そうなんだよね
個人的にはその
エコシステム側に頑張ってもらうしかないんじゃないかな
って気もするんだよね
NPMインストールで
例えばNPMインストールで何でもかんでも
権限を出して発火させないようにするとか
後発のリーノとか
その辺の思想が入ってるんだけど
うーん
なんだろうな
わからんでもないけど
でもその正規のユースケースでさ
なんか悪用ができるものって
いくらでも今後出てくると思っていて
確かにその
何でもかんでもできるのがそもそも
良くないよねっていうのは
ある種のセキュアバイデザインみたいな思考だと思っていて
うーん
難しいとこだな
そうね
エコシステム側に頑張ってくれっていうのは
その通りだと思うんだけど
じゃあGAする必要がなくなるかというと
全くそんなことはなくて
どちらかというとGAできる手段を
エコシステム側に
影響してもらいたいという話なのかなとは思います
そうだね
確かにその辺は正しいかも
うーん
自社の自社管理端末において
そのエコシステムにおける特定パッケージを
動作させない
ダウンロードさせないみたいなのが
指定できるよみたいな仕組みがあれば
そしたら解決する可能性があって
その
モデル側に反映するのは間に合わないよね
みたいな話とかは
ある部分ではあると思っていて
例えばだと
まあ
なんか
はい
あとはもう一個すごい
これめっちゃいいじゃんと思ったのは
その
なんか
プレフィックスがついててちょっとプレフィックスの理由
意味分かんないんですけど
Pプレフィックスが3つあって
この辺がそのポリシーの話が書いてあって
その生成IDOに関する
ポリシーの整備をしましょうとか
あとその教育
生成IDOに関する教育をしましょうとか
あとそれに対して
法律のとか規制の確認しましょう
っていう3ページがあって
これはかなりいいなって
思いましたね
いいなっていうのは
会社で生成IDO
どの会社も基本的には生成IDOを利用
生成IDOに基づくサービスの利用を
進めていく中で
セキュリティ観点で見ると
なんでもすべて許可というわけにはいかない
ところの中でどういうところに
土地得を作るのかとかどういう観点を
漏らさずに考えなきゃいけないのかっていう部分が
結構頭の内面の種になると思うんですけど
これ見ると
割と抑えるビットコインと
抑えられてそうだなって気はしていて
ぜひ参照するリファレンスとしては
良さそうだなと思った
一方で半年後に
じゃあこれがこのまま役に立つかと言われると
分かんないね
そうなんですよ
それはまた悩ましいなと思っていて
何も分からないけど
結構上がってるもの自体は
ベーシックなところなんじゃないかな
いい感じの抽象度には
収まってる気はしていて
全然腐るとは思わないんだけど
頭をよぎった部分ではある
生成IDOの必要性
って感じ
Pはポリシート教育で
Mがモニタリング
Aがアプリケーションの
セキュリティ
Eが入出力関連で
Lがモデル関連なんだけど
EとLは
分かんないね
何のかしら文字から取ってるか分かんないね
Eはエクスプロイト
Lはランゲージ
エクスプロイトなのかな
まあいいけど
でも
思ったより分量少なかったので
ぜひ読んでみると良いね
そしたらスルスルっと
流し読みするぐらいだったらすぐに読める
JNSAの別の
なんかも読んだんだけど
それ良かったんだよな
団体さん
すごい良いなって
はい
以上です
ありがとうございます
じゃあ次行きましょう
次は
ジームオブフラットセキュリティ
セキュリティ診断AIエージェント
匠リリースっていう
プレスリリースですね
何かっていうと
タイトル通り
セキュリティ診断AIエージェントの匠をリリース
しましたって話で
匠はなんぞやっていうと
脆弱性診断に特化したAIエージェント
ですよと
スラックを通じて使うことができて
月額7万円
だそうです
実際にその社内の
検証機関とかに
Vimとか
有名なこのOSSとかにも
ゼロで10個のゼロで
報告しましたっていう
書いてあって
ちょっとないないで聞いて面白かったんですけど
VimのGitHubで
見れるCVのページには
リポーターのアカウント
みたいな参照があるんですけど
そこに
Botアカウントの匠が
リンクされてて
匠君とフラットセキュリティ診断
の誰かが報告した
ことになって
という感じでしたね
これは多分申し込んだらすぐ使えるか
っていう
使えるっていう状況というよりかは
今はその事前登録を受け付けてる段階になっていて
なんで
興味ある方はウェイティングリストに
登録してくださいっていうような状況
です
実はこの
匠の
プレイスリリースにはないんですけど
えっと
サービスページですね
サービスページの
見ました
そう匠紹介する
コメントがあるんですけど
なんか僕が寄稿していて
なんでちょっとステマ
この記事しゃべりだす瞬間にステマになるのかと思いながら
でもまあまあまあ
せっかくなんで話せればなと思って
という感じですね
なんで僕は実はもう
触ってますこれは
触りたい
匠の脆弱性探して
確かにね
いけるのかな
この声を寄せてる人の
まさに別の人の声
別の人が
Twitterでしゃべったりもしてるんで
割と生の声は既に出てたりとか
あと5日後かな
イベントがあってそれで実際に触れるみたいなんで
そこでいろいろ
反応が起きてると思うんですけど
どこでイベントがあるんですか
なんかねコンパスのイベントがあるみたいですよ
場所は分かんないですね
どこで
この
リアルタイムスのページのどっかに書いてある
うん
あ、これか
まあでもやけやしこれで
入れてもらえるんじゃない
いやいやそんな大した人間じゃないけど
7日
中9時
行けんこともないけど
ファインディのコラボイベント
ファインディの会場
全然このイベントに関してはキャッチしてなかった
本当
なんであの
匠が動くスラックワークスペースがあるんですけど
事前告知で
4月7日に80人ほどクラウドスラックに殺到するけど
驚かないでください
ってアナウンスありました
うん
肝心なあれですね
どんな感じかっていうと
今の感じだと
クラウドベーターで
みんなで同じボットを
使ってるんで当然ちゃ当然なんですけど
プライベートリポジトリとか連携はできなくて
たぶん正式リリースのときに
できるようにすると思うんですけど
なんでそのパブリックリポジトリの
GitHubの
パブリックリポジトリの脆弱性を
探すってことができて
具体的にはスラック上で
巧みに
GitHubのURL渡して
このコードの構造解説してとか
脆弱性怪しい場所探してとか
言うと
スレッドにスラスラと
分析始めてレポートしてくれる
って感じですね
腹感としては
自分が書いた
すごいスモールなOSSですけど
そういうものとか自分が把握してるんで
食わせてみたりして
脆弱性が出るようなものじゃないんで
見つかるだろうなと
投げたりしてるんですけど
結構
確かにここキナ臭いなって部分を
結構正確に指摘してきたり
とか
ある種の
セキュリティ診断しかできないわけじゃないんで
コードベースの
解説というか
どこに認可機能がありますかとか
どこで認証実装されてますかとか
そういう解説もすることができて
その辺の制度もそんなに
悪くないというか
特に嘘つかないっぽいなという
気はしてますね
一応なんか
何かのケースとかだと
見つかんない脆弱性を一生
高そうとするとか
そういうこともあるらしいんですけど
その辺も改善中って聞いてますね
なんか
いいですね
なんかいいんですよ
あの
あんまり
いや分かんない
なんか言ってるわけじゃないけど
生成活用ブームの中で
言葉選ばずに
言うと的外れじゃないですけど
とりあえず入れましたとか
AIチャットボットとか
マジそうだなって個人めっちゃ思ってるんですけど
全然役に立たないみたいな
ある中で
これは結構普通に業務で使うイメージ
めちゃくちゃわからなかったのが
いましたね
今のところの感触としては
いいですね
はい
本当に
回し者になって
ちなみに僕は1円も受け取ってないんで
10Xも1円も
受け取ってないんで
なんですけど
フラットに
考えると
思ってるところは
その
他社さんも
開発中のところがあれば
頑張ってもらって
僕らが楽できるようになったらいいな
っていうのは結構普通に思ってます
出てくると思うんだよな
普通に他の会社に
国内だと
どっかやるとこあるかな
AIセキュリティベンチャー
みたいなのが
普通に出てきてもいいよなとは思う一方で
どうなんだろうね
これを作った裏側が
普通に聞きたいな
それはそうだね
あとこの月額
7万円っていうのも結構絶妙だよな
なんか
フラットセキュリティの匠
トークンというか
その辺の制約次第だけど
個人的には激安だなって思った
触ってる感触
思う
さすがにやりすんじゃないかって
気もせんかもないけど
どうなんだろうね
するとは思うけどね
どうだろうね
それにしても結構安いよな
私が真剣に思うのは
こういうのが出てくると
私が今までやってきたような仕事の
大半はもうなくなるわけですよ
セキュリティの現状
素晴らしいことなんだけど
指導診断とか
そうそうそう
セキュリティレビューみたいなところもそうだよね
そうだね
なんか
ほとんどの仕事がなくなっていく中で
なんか
残った部分に対して
何が残るのかっていうのもそうだけど
難しいなって思います
なるほどね
どうだろうね
どこまで削られきるか
これに関しては結構
ある種のルーティンというか
分かんないけど
社内でも話してるし
例えば認可制御不備みたいな
あるある実装おもれみたいな
がちょこちょこ生まれて
脆弱性診断とかで指摘されるみたいな
世界線があった時に
じゃあ全部のプロジェクト
セキュリティレビュー
セキュリティチームがレビューするのかみたいになると
そんなん無理だから
開発ガイドラインで担保しましょう
開発ガイドラインを見るのも人間で
レビューするのも人間で
でも開いちゃいけない穴ってあるわけで
そういう部分とかに
差し込めると
めちゃくちゃいいんじゃないかなっていう
そうだね
開発ガイドラインそのものを解釈した上で
バイオレーションを見つけてくれるだろうから
リンターとかが出せると
いらなくなっていくのかな
確かにね
そう
あるいはリンターに組み込まれていく
っていう世界観なのかもしれないけど
ちょっとどっちがどっちっていうのは難しい
なんとも言えないとこだけど
そういう感じになるのかなとは
思うし
うーん
これこの辺でだから
指摘できるのってもう直すしかないじゃん
っていうものだろうから
直してやらせるようになるんだろうけど
うーん
どうなんだろうな
可能性はあるんだけど根が深くて
すげー直すの難しいですみたいな
ところに対して
さっきの
パスキーのジャーニーの話
じゃないけど
100%フィッシングレジスタントな
状態っていうのはもう作れないよね
っていうのに対して
作りにくいよねっていうのに対して
そこそこフィッシングするのが難しい
みたいな状況を
まずは目指そうよみたいな
そういう考え方意識決定
に基づく判断みたいな
2030年のセキュリティ動向
ところが多分人間に残される
部分だと思っていて
うーん
そこはだから残るんだろうね
行動を見て別に何も考えずに
これは直すべきっていうところまでは
こういうところに全部任せてしまって
もっと
俯瞰してみてこうするべきだよね
っていう話とかあるいは
使う側の
ちょうど
この後の記事でそういう話が出てくるんだけど
その
使う側の視点に至ってこうあるべきだよね
みたいな
社会的倫理的な課題っていうところに
自社のプロダクトを通じて
どういう風にアクセスしていくかっていう
話が出てくるんだろうなとは
思いますね
確かに
だからやっぱパラダイムシフトだよな
うーん
そこに
いいなぁ
匠の世界最速体験会
いいなぁ
無職でも
行っても許されるかな
いいんじゃない
ダメ元で申し込んだけば
キャンセル出るかもしれないし
申し込むか
行きたい思いを
ではなくさ
まあいいか
はい
まあみなさんもぜひ
関心を払って
まあなんか期待してます個人的には
はいじゃあ
ん?
補欠にも申し込めない
あー申し込みがもう
閉じてんのか
いや
大丈夫そうだけどね
4月7日
私がブロックされとる
俺もう
申し込めそうだよ
えブロックされてんのそんなことある?
ログインしてないじゃん
あできた
なんか待たないとこれ有効に
なんないんだねボタンがね
あーそうなんだ
押し込んだ
これ先着なのかな
あー先着か
先着っぽいね
フォローしてる人の参加書
入力書とか
はい
まあきっと
触れる日がいつか来るでしょう
はい
じゃあ最後お願いします
最後?これ最後なの?あ最後だわ
今日は最後です
2030年にかけて輸送される
サイバーセキュリティ動向の変化
NRAセキュアが解説
GDNETさんの記事です
はいえーと
なんだろうな
なんか読んでください
という感じではあるんですが
NRAが
ITロードマップっていうのを
毎年出してて
知らなかったんですけど
NRAセキュアが2017年版の
ITロードマップから
セキュリティ技術の最新動向を
担当してるらしくって
2025年版のITロードマップでは
セキュアな未来の創造テーマに
2030年の日本社会における
セキュリティランドスケープなどを取り上げている
らしいです
で
農書の方に貼ったんですが
スライドが1枚
記事の中でも紹介されていて
セキュリティロードマップの中において
2030年にかけて現れると
予想されるセキュリティに関する
動向の変化について
ついての動説を
6つ
こういう変化があるよっていうのを
6つ挙げてくれてるんですが
ちょっと順に説明というか
紹介していくと
1つ目がセキュリティ対策に関する
透明性向上を求める声が
より盛んに
2つ目が海外だけでなく
国内においてもサイバーセキュリティと
安全保障が融合
3つ目が対象が広がった
より立体的なデータセキュリティが
求められるように個人から産業まで
あらゆるデータを守るって書いてくれてるんですが
そういうことらしいです
4つ目が
セキュリティはイノベーションの加速に不可欠な
ガードレールになるよっていうのと
1つ目がフロンティア領域
宇宙とか海洋への
デジタル技術の設計投入により
サイバー距離が増加
6つ目がセキュリティに関する
社会技術的 ソシオテクニカル
なアプローチが普及する
っていうのを挙げてくれていて
結構なんか全般的に
1つ目の話もそうだし
3つ目の話もそうだし
4つ目の話もそうなんですが
割と
社会みたいな部分が
鍵になっていて
総まとめとして
6つ目の
このソシオテクニカルっていうのが
キーワードとしてできている
このソシオテクニカル
社会技術的っていうのは
つまり何かというとテクノロジーが
人間の日常生活に浸透していく中で
セキュリティを技術的な問題として
捉えるだけでなく倫理や法
人間の認知や行動と
一体的に捉えていく概念
ということらしくて
はい
この辺の対策においては
技術と社会的要素を含めた教育分析
などが重要になるよってことを
言ってくれている
例えばだけど個々の利用者や
悪意のある第三者の真理行動
といったマクロレベルと社会全体など
マクロレベルマクロレベル
になってるけどおかしくね
社会技術的アプローチの重要性
マクロレベルと
社会全体などマクロレベルの
社会全体などの
とかかな
なんかあれかもね
言文ままなんだけど
言文があれかもね
マクロとミクロがさ逆だよね
逆だよねっていう
前者がミクロ
前者がミクロだよね多分ね
まあいいや言文ままなんで
許してください
はい
双方を認識し
認知心理学や法学
倫理学行動経済学などの
関連分野を交えたセキュリティ対策の
対策が必要になるだろう
というふうに思ってるらしいです
で前に
沖田の
ジャパンリージョン
CSOの板倉さんの
インタビュー記事の
時にもちらっと言及したんですが
行動経済学と
セキュリティの相性が良さそうだな
ってその頃からだいぶ思ってて
まさにその辺の話だな
というふうに思ってる
なんか私
結構ここの感の鋭さに
自分でおって思ってて
やっぱそうなるよねっていうふうに
みんなそう思ってるんだな
みんなそう思ってる
みんなじゃないかもしれないけどそう思ってる人もいるんだな
っていうふうに
わかったのがすごく面白かった
興味深いなというふうに思ってました
っていうのがまず一つと
あとはなんていうか
なんて言ってるんだろうな
今回の伝書活動
でも
社内の人と話してもそうだったんですが
プライバシーに感度のある
セキュリティエンジニアみたいな概念が
地味に貴重っぽくって
通費の話とかもそうだったんだけど
なんか
セキュリティリスクの不確実性だけ
ではなくて
セキュリティとかの取り組みを通じて
ユーザーの行動変容をどう促すかっていう
人の感性も踏まえた
何かみたいなのを多分
ケアしていかないといけない
と思っていて
AIのエージェントの
あれも多分そのうち
不気味の谷は
特に超えてるのかな
あれって不気味の谷的なものは
ないのかな、あの世界において
どうなんだろうね
どっかで気持ち悪いこいつって思われる
タイミングが出てくるんじゃないかなとか
も思ったりするし
すごい便利だなみたいな
それだけで済まないタイミングが
出てくるんじゃないかなとか
あとは
社会的な課題だよねって話で言うと
パスキーの話とかもそうだけど
あとはそうだな
このロードマップの話で言うと
セキュリティはイノベーションの加速に不可欠なガードレール
に書いてくれていて
便利で革新的な社会のために
守るよって書いてるんですけど
これはまさに
その通りだと思っていて
例えば10Xの場合は
リテールの領域が主戦場なわけですけど
例えばだけど
リテールの領域の
その市場を100%10Xにいったとしたら
10Xのセキュリティって
事実上リテールのセキュリティじゃないですか
そうだね確かに
それってまさに社会的な
課題であるセキュリティっていうところに
アプローチしてるよね
って話だと思っていて
ある種の広い
視野みたいなのが
必要になっていくのかな
みたいなことを漠然と
今思ってたりします
というお話でした
なるほどありがとうございます
なるほどね
いやー
このコメントと記事を読んだときは
あまり深く考えられてなかったけど
なるほど確かにという
気持ちがあるな
そうだね
セキュリティの課題
なんかその
なんだろうな
漠然ともしまたずらなこと言ってたら
指摘してほしいところで
あるんですけど
セキュリティの仕事をしてて
あとはこの記事
読む取り組みにいろんな
事件インシデント
トレンドを見てて
思うんだけど
仕組みとか技術とか
たてつけで解決できない
領域が結構
残るよなっていう
気持ちがあって
というかなんかむしろそこに
付け込むっていうのが
ここ最近どころか
ここ10年20年ぐらいの
セキュリティの攻撃者目線の
トレンドなのかなっていう
気がしていて
そうなるとどうしても
人間にアプローチしなきゃいけない部分
って残るし
避けて通れないよなっていう部分が
あるなっていうのをちょっと話を聞きながら
心の中で噛み締めていた
まあね
それで言うとソーシャルエンジニアリングっていうのはさ
ずっと昔からある
フレーズなわけで
最後には人だよね
っていうところにようやく
たどり着いたというか
これってなんか
基礎的な
セキュリティというか
技術面でのセキュリティみたいなところが
ある程度一周回ってきたから
こそこのある種の
綺麗事っぽいというか
高尚な
悩みをようやく我々人間が抱えられるようになってきた
っていう
話なんじゃないかなとも思っていて
確かにね
そういう意味でも
AIの進化みたいなところって
個人的にはかなり期待していて
私がやりたいのってまさにそこなので
世の中をどれだけ安全にできますか
っていう話をやりたいと思って
セキュリティやってるから
面白いな
目の前のものに必死だったけど
確かに
人間
守るのもそうだし
守るものを作る側の
人間も
いい感じにした
っていう中で
社会的責任みたいなものの
捉え方もきっと変わってくるんだろうなとは
思うんだよな
この辺の話の中で
要は
フィッシングレジスタントでない
認証方式を適用するサービスなんて
クソだみたいな
論調がもしかしたらあるかもしれないし
ないかもしれないし
でも社会的責任として
道義的責任としてそこに対してちゃんとやるべきだよね
っていう
そういう世界になってほしいな
と思うし
真にユーザーを守るためには
それをするしかないよね
パスワードマネージャーでもやっぱやられちゃうんだよ
ダメなんだよっていう話は当然あるんだと思うし
実際に
今日の紹介した記事の中でも
あったようにね
今の現実としてはどっちかというと
後手に回ってる感じだよね
直近だと
もう伏せても
わかるんで伏せないですけど
ナークテン証券とかSBA証券の
2FAの話とかあるけど
あれも
わかんない自分が観測してなかっただけで
もともと燃えてたんかもしんないけど
ある種やられてから燃えてるというか
あの話もさ結局
保証はしませんよ
っていう方向に
倒そうとしてるみたいな話もそうだし
そもそも認証ってそんな強いの?
みたいな
弱い認証を
技術と責任
使える状態で放置してるのって
それって果たして
あるべき姿に対してどうなの?
っていう話もそうだし
もっと言うとマネーフォワードとかに
マネーフォワードとか会計ソフトに連携したいですみたいな時に
パスキーが必須だったら
そもそもそんなことできなくなっちゃうじゃん
みたいな話とかもあったりするわけで
どんどん話として多分広がっていく
じゃあなんでそこAPI連携提供してないの?
って
なんかそれが
提供されてて当たり前なんじゃないの?みたいな
そこまでいくとちょっとセキュリティから
外れてきちゃうかなとは思うんだけど
でもそういうのも含めての
ある種の人の真理だったり
その行動変容だったりとか
なんか
そういう話なのかなとは思うんだよな
いやー
いやー
なんかすごく広い視野で
物事を見ないといけない
自社サービスだけでとか
なんかそういう話ではない
なくなってくるのかなとは
思うんだよな
じゃあそこを見越してなんか物事を考えられる
セキュリティエンジニアって今どれだけいるの?
っていうのはすごく気になるところで
そこまで大きい話じゃなくても
多分もっと小さい
日々の話で
こういう課題っていっぱい
転がってると思うんですよね
例えばなんだけど
こういうセキュリティ機能が
あったら
使う人がいるんじゃないかみたいな
ニーズに対しての仮説
みたいなところもそうだし
人の真理みたいなところを
こう
あんまり
推測に耐えるのも良くないと思うんだけど
なんとなく察して
そういう仮説を立てられると
ちょっとすごい漠然とした
具体例を今
頭の中ではばっちり具体例が
思い浮かんでるんだけど
出せない話なので何も言えないんだけど
頭の中に浮かんでる
具体的な課題があるんだけど
出せないニーズがある
でもなんか多分
そう言われてみるとあると思うんだよね
なんか
自分が考えられる人こそ
セキュリティエンジニアであってほしいな
自社を守る
自分のプロダクトを守る
っていう話だけじゃないよね
結果的には
社会の中で誰かが守られる
っていう話だし
特定の業界に注力している
プロダクトならその業界そのものを守る
っていう話にも当然なるわけだし
っていう
そういう姿勢を
みんな持ってほしいな
間違いない
特にインハウスのセキュリティの
人たちっていうのは
そういうのを持ってほしいなって
すごく強く思っている
社の言葉を借りると
その事業全体に
サービスが浸透した時に
その事業のセキュリティを守る
っていうのは結構
目から鱗感があるな
そうだよね普通に
普通にというか
各種の社会的責任を
きちんと自分たちに認識できる
っていう話だよね
それでいうと全然
候補にも何もしてないけど
デジタル調でセキュリティやるとか
多分めちゃくちゃ意義のある活動だと思うな
極端な話
日本国民全員が使うサービス
プロダクト
なんだかの公共的な
何かみたいなものに対して
セキュリティって
めちゃくちゃインパクトがでかいし
1億人の
情報
確かに確かに
真にその日本国民を守ることであり
日本の社会を守る
っていう活動であり
っていうのが約束されてるっていう意味では
めちゃくちゃ面白いんだろうなとは
思いますね
でも個人的にはその
事業の成長会社の成長っていうところ
に合わせてそういうところをやれると
なお面白いだろうな
だから
どっちかっていうとそっちよりは
ある種のノラのセキュリティの
人間でいたいなとは思うんだけど
めっちゃ勉強になりました
勝手に勉強させてもらった
なるほどね
面白いね
一方でも目の前のことでみんな精一杯だよ
っていうのはその通りだと思うので
そうだね
またその
言ってくれてたけど
やっぱいろんなものが
紐づいていて視野を広げて
いった時に
やっぱり今の現実世界も
なんだろうな
この視点を持ってくれてる人っているんだろうな
と思う一方でやっぱ
いろんな現実のしがらみで
身動きも取れんじゃんみたいな
ある気がしてて
そこは根強くというか
泥臭く戦うしかないんだろうな
事業会社だとやっぱり
一番分かりやすいのは
利益を取るとか
スピードを取るとか
そういうトレードに
負けがちとまで
何しても語れたことはないけど
一般的には負けがちなイメージとかは
やっぱりあるだろうし
そこに対して
戦うっていうよりかは
守るためにやりたいんだよ
4番だよね
セキュリティイノベーションの加速に
ガードレールであって
ブレーキではないって
言えるようになりたいというか
働きかけができるような
セキュリティエンジニアになりたいな
ってしみじみ思うな
セキュリティっていう専門性を
持った上で
問題解決に取り組む
ただそれだけの話
はずで
未来のセキュリティエンジニア
だからこそ
問題に取り組むっていう
立場において
そこに対立構造は
本来ないはずで
そうだね
そうですね
この世で生きるセキュリティエンジニア
みんなで頑張っていこうぜっていう気持ちになってるわ
なんかそういう気持ちで生きてるよ
私は
あと打算的な話をすると
これは私にとっての
生存戦略の一つでもある
なるほど
わからんけど
こういう考え方
こういう方向性にいかないと多分
もうやることなくなっちゃうんじゃないかな
と思ってる
超打算的な話だけど
確かにね
さっきの診断の話じゃないけど
言わんとすることはわかるような
気もする
なんかちょっと
全然言語化できないんだけど
ある種の未知の何かを
作り出すみたいな
話に
微妙に被ってるような気がしていて
この辺の考え方って
この辺はまだ自分自身で全然
言語化できてない
いいですね
実現しましょう
まずは平心
まあね
言っても
みんな目先のことで忙しい
というか
その
まあ本当に
日進月歩だと思うわ
なんていうか
現場で起きてる問題はまずどうにかしようよ
っていう話は本当に正しくて
でもなんかさ
それをやってた先に
これがあるんだよって言われたら
すごく楽しくなってこないですか
そうですね
またその
その目線
目線というか
その目線を持ってすることで
日々の業務の取り組み方も
変えられる部分はあるというか
全部が全部そうとは言わないけど
その間違いなんかあるかな
なんていうか私のものの考え方みたいな部分
なんか
主にこの話題を
この話題をベースにして
日進月歩の考え方みたいなのを話したんですけど
そんなことを考えながら
はい、転職します
ありがとうございます
今回の回の名前はさすがに
転職しますのか一応
ウケる
転職に対する思い
どっちが
どこにいって
ざわつきそうだな
弊社の人は俺に対して
ざわつかないはずだから大丈夫かな
いやちょっと
でも釣りみたいになるの
ちょっと悔しいな
なんか普段聞いてる人にだけ
届いてほしい気もするな
このタイトルつけたら普段聞かない人だけさ
絶対
いやそうね
それだったらいいかもね
このタイトルでいきましょう
転職します
ちょっと
まあいいや
これをきっかけに聞き始める人が増えると
なんか今
尺だなとか言おうとしたけど
これをもし
これをきっかけに聞いてくれてる人が
今の尺だなみたいな発言聞いて
じゃあ聞かないよみたいになったら
すげえ申し訳ないなと思って
きっかけはなんであれ
今日もありがとうございますって気持ちが
大事だなって内省しました
はい
面白ければ最後ですけど
まあなんか
しばらくは多分
しばらくは多分ずっとそうであってほしいんだけど
少なくとも
5月中ぐらいの収録分まではきっと
晴れやかな気持ちで
収録してると思うから
そうだね
その先もそうであってほしいとは思ってるけど
確実に
言えそうな範囲で言うと
有給消化中の収録はきっと
穏やかな気持ちで
こういう話をする
タイミングがいっぱいあるんじゃないかな
と思うので
そういう話好きだったらぜひね
続けて聞いてほしいなとは思います
良さそう
はい
ありがとうございます
じゃあ今回そんな感じですか
そんな感じですね
眠気に負けず今日も2時間頑張りました
2時間半
普通に元気まりで今ギンギンに目覚めてんだけど
無職の活動
まじで
覚醒したわ
終わった
いや無職でしょやっていこう
無職だけど別にやることがないわけじゃない
ご存知ないかもしれない
無職にもやることはある
そうなんか
飯食って寝るぐらいしかないと思ってたけど
そうなんですね
チーポケとかやることがある
チーポケ
課金集がするという噂の
チーポケは結構課金しないと
しんどい感じがしますね
あれはなかなか
なんかすごい
虚無を感じる
パジャマのウサギが
何かいつになったら手に入るのか
すごくわからないまま
何か手探りで
虚無っぽいな
ゲームの内容知らないのに虚無感伝わる
良い表現
おすすめです
有給償還には持ってこい
頑張ってください
頑張ります
今日もそんな感じで
ありがとうございます
ありがとうございました
おやすみなさい
おやすみなさい
