収録の始まり
こんばんは、Replay.fm第53回です。
こんばんは。
いやぁ…
どうですか?なんか前回の収録から…
いつか?
一昨日か。うん。
すごいなんか…これもまた不思議な感じですけど。
頭の中が、スプレーチェーン辛いなっていうところからあんま切り替わってない。
引きずってる。
なるほどね。
今週は言うて、そんなにないよね。
ま、入れてないだけって…
いや、でも…
あー、そんなこともないな。
いや、結構ある。
そう、そんなこともないし、なんかね、見え隠れしてるんだよね。
そうだね。
まぁでも、先週よりだいぶ色は薄くなったかなって感じだけど。
まぁまぁまぁまぁまぁ。
これですか、じゃあ。
順々にやりましょう。
うん。
じゃあ、早速1個目からお願いしてもいいですか?
えー、CMの教科書をCMを使うために1記事ですね。
えーっと、これ、Xの名前とノートの名前が全く一致してなくてごめんなさい。
誰だったかよくわからなかったんだけど。
もう3枚出たんだね。
そうだね、3枚出てた。
なんか、CMの話を何回かに分けて、あのー、紹介してくれてる感じなんですが。
わじふわって言ってんだ。
うん。
第3回目で読んだんだ。早いね。
まだ、なんか2回、2回読んだっけ?
2回目読んだっけな?
第3回はね、ほんと11時間。なんか昨日出たばっかだった。
うん。
で、第2回は、いつ出たんだろう?
9月12日。あ、4日前か。
うん。
そうね、なんか目通ってるかも。
なんかサラッと読んだ気がするな。
うーん。
まぁあれそう、1個1個が、なんか連載って言ってるから、結構1個10分もかかずに読む。
10分も、まぁ5分もかかずに読めるようなボリュームで求めてくれてて。
なんか、タイトルが教科書って言ってる通り、結構丁寧なっていう印象がかかるな。
そうだね、うん。
なんかかなり丁寧に書いてくれてて。
うん。
これなんかレイヤーモデルの話が第1回に書いてあって、
なんかこれ結構個人的に、あーなるほどなーと思ったんだけど。
うーん。
うん。
まぁこの監視って個人的にあんまり専門じゃなくて、なんか何とも言えないけど、
ある種のデータ基盤みたいな、なんていうか見方をしたときに、
まぁこういう考え方も確かに出てきそうだなと思ったりしたのと。
うんうん。
なんか、まぁこれが無料で読めるというのは良い時代だなって感じですね。
そうだねー。
なんか数百円ぐらい取っても読むけどなって思ったけど。
確かにね。
うん。
まぁ優勝だったらここでは紹介しないかもしれないね。
まぁ確かに。
うん。
ネタバレっていうか、横流しになっちゃってね。
レイヤーっぽいレイヤーで良いよね。
うん。
なんかこう見るとなんか、
うーんその、このオンラインというかその、
ポッドキャストかそれ以外の雑談ややし話とかちょっと思い出すんだけどその、
まぁとりあえずログ集めてグレップできれば良いみたいな。
うん。
そのところのグレップできれば良いをなんかちゃんと整理してバラすとこうなるんだなって気持ちですごい読んだというか。
またなんか、下から積み上げないとどうにもならんっていうのはちょっと再認識というか。
相関分析みたいななんかちょっとなんかグレップできれば良いからはいつだってしてる。
それこそスプランクみたいな。
2回とかで多分スプランクの話とかも。
でもなんかそのそれこそ第2回か3回か忘れたけどそのなんだろうな。
例えばエンドポイントからとか各そのなんでしょうね。
いろんな場所のいろんなシスログとかもありとあらゆるログをバーッと集めてその正規化していった時に、
例えばそのそれぞれのイベントを紐づける何かのキーがないとどうにもならんようにみたいな部分とかは今話が振れてて、
まぁ相関分析っていうよりかはその下のデータエンリッチと。
確か。
なるほど。
だからなんかそのグレップできれば良いの中にはそういうのも自ずと入ってるのかなって結構個人的には勝手に解釈した。
有識者経験者が言うところのグレップできれば良いっていうのはなんかゴミデータがいっぱい集まってれば良いわけではなくて、
紐づけできるのは多分無理というかどうしようもない場面あるんだろうなと思うと、
最低限そうだな、正規化されている同じフォーマットになっているそれぞれが紐づけるための。
もしかしたらジョイン1回じゃ無理かもしれないけど、少なくとも何回かジョインしたらできるようになるとか。
なのかなって、ちょっと妄想しつつ読んでたって感じですね。
なんかちょっと勉強させてもらいます。
これは。
なんか打席に立ちたい。
そうね、CM使ってみたいな。
なんか個人でも使えるCM。
いや別にOSSとか使えば良いのかな。
個人でこんな膨大なログを手に入れられないしな。
そうですね。
4日に1回くらいのペース出してるのかな?
あ、そんなことじゃない。
4日間で3期次出してくれてる。
第何回の連載なのか分からないけど、
僕はとりあえずRSFを押したんで、
完結したらまた。
今、RSFなんかヒドリにつかみたいなと思ったけど、
ヒドリが死んどる。
忘れそう。
ダメじゃん。
可用性が。
終わった。
この収録終わったって俺がリマインドしてあげよう。
GitHub Actionsの新機能
やったぜ。
はい。
そんな感じ。
だいぶ1期次目からフワッとしてる。
ぜひ読んで欲しいなって感じですよね。
次が、
GitHub Actionsのシャーピング・エンフォースメントを有効にする。
これどこの会社?
これいつも読み方分かんないね。
フィナテキスト?
フィナネックス?
スズリ的に。
あ、フィナテキスト。
どういう会社なのかは存じ上げないんですが、
この会社ね、めちゃくちゃプロダクト・セキュリティすごいんですよ。
そうなんですか。
この会社の、ごめんごめんちょっと。
気になる気になる。
差し込んじゃったけど、
この会社の人が出してるプロダクト・セキュリティ系のスピーカーデック見ると
だいたいめちゃくちゃ素晴らしいなって気持ちになってする人が多い。
プロがあったんだと思ってこのフィナテキストを読んだ時に突っ込みました。
多分なんかあれかな、事業団員的にはフィンテックとかから連れ回ってしっかりしてるなと思う。
すいません。
で、この記事は。
この記事は、先日8月15日。
結構前だね、もう1ヶ月経ったんだね。
ついこの間のような日がするけど。
シャーピンニング・エンフォースメントっていう機能がGitHubでリリースされて。
これはGitHub Actionsの実行時に呼び出し先のアクションのバージョン指定が全部コミタッシュで。
コミタッシュじゃないか。
コミタッシュでピンニングされてるっていうのを担保するような機能なんですが。
それをオーガニゼーションで多分エンフォースメントしたんだよね、これはね。
そうだね。
エンフォースするまでの運用曲折を書いてくれてるっていう感じ。
これは素晴らしいのとやれるんだなって思ったな。
そうなんだよね、結構すごいよね。
すごい。
これなんかすごい体力ある、やっぱなんかすごい、前なんかそれ見続けも思ったんだけど、
たぶん資産と体力と体制が全部あるんだろうなって気がしてて。
資産みたいなとこで言うと、あったなって思ったんだけど、リユーザブルワークフロー。
今はルールセットでリクエードワークフローって形で、
オーガニゼーション全体のすべてのプロデュクニーがこのCIAをパスしないといけないって設定はGitHubできるんですけど、
それがちょっとGitHubの正規の機能の使用っていうのが、
そのユースケースとかやりたいこととちょっとアンマッチな部分があって、
この人たち内製してるんですよね。
名前なんだっけな、どっかで出てきたんですけど。
なんかあったね。
それにたぶん今回のやつもある種の活用しているみたいな部分があったりとか、
またそのハッシュ固定の自動修正の方法もここでも紹介よくするピンアクトとか、
あとこれ知らなかったんですけど、フリッツビーっていう規制のツールもあるんだけど、
やりたいこと満たせなかったから普通に作っちゃいましたみたいな話とかも。
っていう感じだし、
あと結構びっくりしたのは新しいアクションズが増えるときに、
これはピンニングっていうよりかはサードパーティアクションをどう管理するかの話まで、
たぶん吉田は踏み込んでるって話なんだけど、
前に紹介したホワイトリスト方式が元々あったんだけど、
ブラックリストもできるようになったよっていうところに対して、
ブラックリストだと運用厳しい部分があるから、
ホワイトリストをコード管理できるようにして、
そのコードに対してプリコダス新生成にしましたってことが書いてあって、
これ結構驚いた。
僕は正直やりたくないなと思ってるけど、
規模感とかあれによるのかなと思うけど、すごいなと思ったし。
なんか前段がさ、元々こうしててみたいな話が、
いや、この記事じゃなかったかな。
この記事じゃないか。
いや、なんでもないです。
わけわからん感じです。
3月のあれだね。
TGアクションズ。
たぶんそうだね。
3月の、それきっかけでいろいろやってたから、
これもやったしみたいな感じ。
いやー、すごいなって思った。
またそのCIジョブの細々工夫が行き届いてるよね。
なんかタイプを検知するとか。
この自動修正と自動コミットみたいなの、
よくやるよ。
かりかりまで人間がやることを極限まで削いで、
ストレスを減らしつつ、守るべきとか守るみたいな部分を
やりきってるっていうところがあっぱれというか、
素晴らしいなっていう気持ちですね。
そうそう、これだ。
幸いにも全リポジトリ対象としたCI基盤上で、
GitHubアクションズのオートキックスジョブを。
これがもともとあったのが結構強いなって。
そうだね。
この全リポジトリを対象としたCI基盤が
プロダクト・セキュリティの重要性
Orgっていうリユーザブルワークフローを自前で
AWS Lambdaで実装するってやつ。
いやー、素晴らしいですね。
こういうのやりたいなってすごい真面目に思ったわ。
なんかこれをやるために何を圧縮したのかが気になるね。
圧縮っていうのは。
要は感覚的にさ、さっきのディナイリストの
フルリクエスト出してもらってみたいな話とかもさ、
別にやってやれんことはねえよなとは思うんだよね。
ただ物量が多くて大変とか多分あると思うと、
いやでもどうなんだろうな、そんなワークフロー触んないよね、みんな。
だから意外とめっちゃレビューの数は多くない気がするんだけど。
調査とかが何を持ってOKとするかの判断が多分無理ゲーだよな。
そうそうそうそう。
だからそういう観点でレビュー観点みたいなのを整理もそうだし、
ある種判事上でどこまでやれるかみたいな部分もそうだし、
あと開発者目線に見たときにどこまでストレスフリーにやれるかみたいなところもあると思うし。
そこはなんか頭の中にも全部設計してできるんだけど、
正直僕はイメージはつくんだけど、
まあなんだろうな、やればいい系ではあるんだけど、
やってすぐにはい回りますってものでもないよなと思うというか。
まあね、どれくらいハードに設計してるのかな。
レビューの項目みたいな部分はそんなにはめっちゃ溢れてないよね。
あとはオーガニゼーション全体でのパラウリストの管理なのかリポジトリごとなのかでどっちなんだろう。
いやオールグだと思ったけどどうでしょうね。
多分じゃないと。
CIジョブの管理とその課題
でもなんかオーガニゼーションのタイプっぽい気はするが。
いやーこれいいな。
管理リポジトリのCIジョブも少し増していって、
スタートパーティーアクション名のタイプを検知するジョブやソートするジョブなどを入れました。
これ地味にいいな。
タイプスクラッピングにも結構多いな。
そうだね。
でもSHAこれもともとやってたことなんだろうけど、
ピンニングに生きてるだろうな。
ピンニングの仕様の問題として何か使いたいって言って、
仮にブラックリストホワイトリストが有数入ってないときに塗るって足せるけど、
いざまじしたら動かないってのが普通に起きるわけじゃん。
それは仕様だからしょうがないんだけど、体験としてはめっちゃ悪いというか。
そこで前ここで紹介したGTA3みたいなやつで自動でチェックして、
ブロックするとかやればできるかもしれないけど、
ホワイトリスト運用してるとそもそもここでこれそもそも使えないですよみたいな話ができるから、
しかも根拠付けとしても割とサプライチェーンのリスクがあって、
結構いいな。
結構綺麗に整ってるんだよな。
ロジックも通ってるし、仕組みも整ってるし、
これ一歩この上なしな気がするな。
結構。
でもなんかこうしてみるとやっぱりGitHubの機能だけで色々やるとなかなかしんどいなって気がするな。
ちょっと頑張ってくれてると思うけど、なかなか追いついてこない部分もあるよね。
この記事にもあったけど、
最初のピンニングの微妙な仕様の部分みたいな話も面白いなと思ったけど、
直感的に違う挙動があって、
でもその辺はコミュニティにフィードバックしたら歓迎だよみたいに言ってくれてたから。
これは一番あるべき姿だよね。
自分たちでカバーしつつ本気にもフィードバックしつつ。
で何ならサードパーティーアクションにもプルリクを投げていくっていうところまでやってるわけだから。
すごいよ。
何人くらいいるんだろうね。
気になるね。
プラットフォームチームの人なんだよね。
294名。
でもめちゃくちゃでかいってわけじゃない。
ホールディングスが290。
セキュリティ専任ってどれくらいいるの?
でも別にセキュリティ専任の人がやってないんだもんなこれ。
そうなのか。
プラットフォームチームの人だよねこれ。
なるほど。
それもそれでいいね、素晴らしいね。
今採用ページを見てるけど、セキュリティの採用は今開いてないな。
セキュリティチームがあんのか、セキュリティチームの役割をあれなのかな。
でもこのCiのやつ自作したりとか、結構CiCD周りをガッツリちゃんと見るチームがあって、セキュリティもちゃんとやってるみたいな感じなのかな。
そんな感じかなと思った。
気になるね。
でも勉強になります。
とてもいいなと思って。
真似していくぞー。
ハーフホワイト?
ブラックリスト気に入らないしな、やりきれないしどうせ。
でもなんか、ちょっとどこまでやるかみたいなのは会社によって考え方様々出てくる部分かな。
ここはそこまでやりたいっていう。
ギッタブ上に何があるかとかも結構むずいよね。
なんかデカかったりすると、もうやるしかないってパターンもあるかもな。
うちとかったら、具体的には言えないですけど、ギッタブ上の試合、ギッターバクション侵害された時に何が起きるかみたいなところでまずいものがいくつかあるんだけど、
まずいものを侵害されても大丈夫なように仕組みを変えるとか、CICDやってるものを場所を移すとか、まだできる規模感というか、引き返せる規模感というか。
リポジトリの数が10倍になってエンジニアの数が2倍3倍になった時に同じ修正をエイヤーでやれるかって言われると結構きつい。
もしくはめちゃくちゃ時間かかるようなと思うと、とりあえず塞ぐまま塞いで、塞いじゃえばアクションズレでいろいろやってもいいよっていう整理もできるかもしれないし。
どこまでやるかみたいな部分はそこをちゃんと考えてっていう部分はあるのかな。
サプライチェーン攻撃への対応
でもやれるに越したことない系ではあるんだよな。
むずいね。
アクションズ侵害されて大丈夫ですってケースするとなんかあんまない気もするしな。
正直ね。
ありがとうございます。
じゃあ次。
ディフェンダーボットの様子見期間後、サプライチェーン攻撃から身を守るパッケージ構成成立を考える。
ある種のよくある話というか、公開直後だと変なものが入ってる可能性があるから一定期間置くことで、依存先が侵害されてた時に。
気づける可能性を上げられるよっていう話なんだけど、どうでした?
まあ、やりましょう系だなって。
やりましょう系なんだけど、結構さ、一定期間ってどんだけ待てばいいのって俺の中でずっと謎で。
まあ、決めの問題はね、例えば直近1年ぐらいの実績だと、僕が把握してるそれなりに騒ぎになってるものだと、TGアクションズとか2日1日、2日経たずぐらいかな、には本家が取り下げられてて、
NPM系とかも、今回のここで記事に取り上げられたやつは2時間ぐらいだったし、NXもたぶんそんななんだよね。
1日とかじゃないはず、1日も生きてないはずだから、そう思うとまあ、決めで、いってしまうとうちはなんかこれ、リノベートだとミニマムリリセージっていうところも決めて同じことができるんだけど、
うちはたぶん全部3日でとりあえず様子を見ていて、なんか正解わかんねえなって感じかな。3日、1週間ぐらいでもいいんじゃないとか思うけど。
そう、なんか1週間ぐらいでいいんじゃないっていうのは結構感覚的には一致してるな。
1週間、1週間経って誰も気づかなかったらたぶん2週間経っても気づかない。
なんかそんな気はするよね。
3日はさ、休暇とかの間に合いでワンチャンあるよなって思ってて。クリスマスとかさ。
そうね、ただその、下がるかどうかだよね。一番怖いのってオートマージュのパターンだと思って。
この記事ちょっとちゃんと読んでないな。プルリコを立てるのを遅らせるのかオートマージュを遅らせるのかどっちかちょっとわかってないけど、
リノベートの場合とかだとプルリコを立てるタイミングとオートマージュ両方に対してこれが効いてくるってなった時に、
じゃあオートマージュのことを考えると、3日で休暇で3日間たまたま気づかずにオートマージュされましたが怖いかもね、確かに。
1週間とかだったら、元が止まればパッケージマネージャーによるのかな。
でもNPMとかGitHub Actionsは、仮に回しされても参照元がちゃんと消されてるから動かないはずで。
そういう参照元、Goとかはそれ言うと怖いのかな。でもGoも消せるもんね、Gitコミット消しちゃえば。
消しちゃえば、キャッシュとかが変な残り方してない。
ミラーサーバーとかもこれとかあんのかな。
多分そんな感じだった気がするが。
この記事の話はプルリクエストが遅らせる、ディレイされる。
プルリクエスト、いやでもプルリクエスト、プルリクレビューで気づけるのかなむしろ。
遅らせたところで気づけたのかな。
だって3文のコードはみんな読まないでしょ。僕は読まない。
だから何読むかというと、リリースノートを読む。
ニュースをキャッチできてなくて取り下げも誰もしてなかったらマージしちゃう気がするから。
だからこそ遅らせようよっていう話だと思うから。
別にそれ自体いいと思うけど。何日遅らせるのがいいのかな。
7日で。
早くないと困るパターンほぼないと思うんだよね。
7日でいいんじゃないかな。分かんないけど。
7日潜伏されたらもう無理かな。
あとセキュリティアップデートが入ってるパターンに混ぜ込まれるとか結構最悪なパターンかもね。
確かにね、セキュリティを即座に当てるようになってるとかあるからね。
確かにね。この記事でもそうだね。Dependabotはセキュリティアップデートは遅延させないようになってるんだ。
いやー、むずいよな。セキュリティアップデート、これ系のアップデートで本当にすぐ入れないとまずいアップデートあんま今のところ見たことないんだよな。
アップデートあったらすぐ入れたいは結構あるけどな。
バグがあってとかはあるよね。
バグとかはパッと思いつくNext.jsの認可バイパスぐらいしか思いつかないな。
あれとか多分1秒でも早く入れた方が良かった系なんだけど。
それで言うとあれかな、GitHubのActions OIDCデバッカーがレイテストのリリースがぶっ壊れた状態で2ヶ月以上放置されてる。
そうなんだ。珍しいこともあるもんだね。
1週も経ってるんだけど直らない。
あんま使われてないからかな。本当はレイテストリリースブレイクス。
切る。直してあげるか。
レプリリック経ってるはずなんだよ多分。
経ってるね。そうかそうか。こういうのは確かにね。
まあでも難しいね。いや、1週間で。
組織の自力と当たり前の水準
リプレイ.fmのオススメは1週間で。
会社のやつも3日から1週間に伸ばそう。
まあやってもいいよね。
やってもいいと思う。
じゃあ次行きますか。
行きますか。当たり前レベルのコニファさんの。久々かな取り上げの。そんなこともないかも。
2回ぶりか1回ぶりぐらいだよね多分。
そうかもね。
何ですか。
当たり前レベルを上げていきましょうっていう話なんだけど。
組織の自力がそこに依存するよっていう。
依存するっていうか現れるよっていうことをコニファさんは書いていて。
当たり前のレベルがどういう水準かっていうのが組織の自力。
ん?逆か。
組織の自力が当たり前のレベルがどういう水準かっていうのに現れるよっていうのを書いてて。
読み上げちゃう感じになるけど。
例えばこのレイヤーのテストコードは当然書くとか。
フルリクエストのディスクリプションはレビュアーや将来の自分たちのために全員書くとか。
あるいはみんなが今期のチーム目標を言えるとか。
期日までに全員が終えてるとか。
そういう当たり前レベルがどれくらいの位置にあるかっていうのが第一だよっていうことを言ってる。
組織上げるっていうのがなかなか難しいよねっていうのを難しいながらもどういうふうにやっていくのがいいのかっていうのをコニファさんの考えを書いてくれてる感じ。
4つに5つか。大きく分けて4つに分けてトップオフトップを知るっていうのと目線を合わせるっていうのと
いっぱいある役が必要だよってことと、振り返る、やり続けるっていうところを書いてるんです。
すごく大雑把になるけど。
あとは最後の締めとしてはゆえはやすし。
で、駆直にやるしかねえみたいな。
私それが心のオナシップって表現をしてて。ちょっと印象深いなって。
だから結構なんか大事だなーってちょっと思ってたんだけど。
トップオフトップを知るはなるほどなーって思ったなー。これながら大事だよなー。
いいのなかなか買わずになってしまったよいきなりって。
なんか僕新卒の頃これが抜け落ちてた自覚があるんだよな。
まあそれで悪かったかと言われると難しいけど。
1、4のサイクルを回した時にトップオフトップを知らないと多分頭打ちになっちゃう気がするんだよね。
また車輪の再発明をしてしまうとか、もっといい方法を遠回りしてしまうみたいなのがある気がするから。
結構1はトップオフトップを知るってめっちゃ大事だなーって気がする。
2、3、4はもうやるしかないけれどなーと思うけど。
これなんか結構一応セキュリティのことを話すpodcastなのでセキュリティのことについて話すんだけど
トップオフトップを知るってなんか領域によりけりかなと思うんだけどことセキュリティにおいてはさ、分かんなくない?
分かんないね。
どこまでやってるのか結構分からんところあるじゃん。
そうね、なんかクローズドっていうかあんまめっちゃガンガン発信してるところが
セキュリティの重要性
こういう取り組みやってますとかこういうこと始めましたとかをさ、その発信してるところはあるけど
肝心なところはあんまり触れないというか、そのさっきのGithubアクションズのサードパーティーのアクションは全部レビュー制にしてますよみたいな話とかも
レビューってじゃあ何を指してるの?どこまで見てるの?とかまではさ、言及してないわけじゃん、実際には。
ああいうのが、それが言い悪いって話じゃなくて、現実問題そこをぼかしがちっていうのはなんかしょうがないよなと思うし
あえてそこを紹介する必要がないと思ってるのか、意図的にせよ意図的じゃないにせよ、そこはあんまり出てこないっていうのは特性としてあるよなと思っていて。
あとなんかその、トップオブトップの別に他の領域がそうじゃないと言ったわけじゃないけど、なんかその一本線じゃないというか
例えばうち社員60人の2Bビジネスのスタートアップにとってのトップオブトップ、なんかもっと知っておくべき場所と
2000人で2Cの企業は知っておくべきトップオブトップって全然もうベクトルが違うというか
なんかそれをなんだろうな、いいリファレンスを選ぶ神秘感という表現というよりかは何なんだろうな、なんか
そう、なんか選定みたいなのがすごい大事な気がするんだよね。なんかうちが、例えばうち弊社がなんだろうな
5000人のエンプラがやってることをこれがトップオブトップだって言って、その延長上にそこを据えるっていうのは必ずしも絶対正解ではないというか
そこの難しさは結構感じるな。
企業の特性と課題
技術方面はな、技術方面というか、技術方面、先手も技術なんだけど
バックエンドとかウェブフロント、僕が知ってるところで言うとバックエンド、ウェブフロントというのとかまだなんかそんなに発散しないイメージがあるんだけど
なんかそうなんだよね、なんかそれはねめっちゃわかるというか、なんかそうなんだろうなと思うから
あと目線だな、目線も、セキュリティで言うと目線も結構難しい気がするな、なんか
この記事だと、多分開発文明の話をしてるからDXクライテリアで定量化するみたいな話をしてるけど
じゃあセキュリティで似たようなみんなが知ってる良いものって何があるかって言うと結構こうガパッと思いつかないかな
なんかある、無限に振れ幕ありそうなんだけど、カスタマイズセントみたいな
ちなみになんかさらっと言っちゃったけどDXクライテリア見たことないな、これセキュリティの話とか入ってんのか
あーなんかいろいろあるね、ノーションでまとめられてる、即結合、見つけらんないな
あーえっとね、あーこれか、はいはい、あー見つけた
セキュリティの話も書いてあるわ
セキュリティシフトレフト、Metrixの計測、CACDに自動セキュリティチェックが入る
セキュアコーディングについて、教育管理からの研修を実施してるか
専任チームはレビューをしてるか、パッチ的をやってるか
まあまあまあまあ、まあ確かに、これを、これはなんか使えるかもしれない
脆弱性診断してますか
アンチパターン
いやー、そうね
面白いね、これ
これ知らなかった
セキュリティ
これに書いてあることは結構、あんまりやらない理由がない
いい案前に見えるな
もうちゃんと詳しく書いてある
いやー
まあそうね、どっかのラインでコスパというかトレードオフィスというか
そこら辺の、攻めのセキュリティとかもあります
攻めのセキュリティ
コーポレート領域の話だ
ゼロトラスト
なるほどね
まあ知ってたセキュリティだからまあいい
うん
なんか
ちょっと今セキュリティのところしか見てないから
これでちゃんと
わかるのかな
いやなんかさ、この
いやーなんかこれ系はさ
言い悪い話じゃなくて
寄りどころがない企業とか寄りどころ探してるチーム企業に対して
ある種のCTO協会っていう
優秀なソフトエンジニアをバックグラウンドに持つCTOの
協会が作った
実効性と
まあなんだろう
実効性のある良い基準ですよっていうものがあるっていうところに価値がある
うん
気がしてて
なるほどね
そうなるとその
なんだろうな
ノットフォーミーになる可能性は
多分自分たちで決めてる企業ほどある気がするよね
スタート地点ここでなんかここからどうやっていくか
なんか結構一瞬ちょっともやっと思ったのが
システム1-6のソースコード自体のセキュリティレベルを高く設定しており
開発支援系SaaSの利用を禁止しているっていう話と
あとそのもう一個のやつかな
あとは違うな
その二つ下か
システム1-8のシステムのソースコードの閲覧を
管理ソフトエンジニアのみに限定しているみたいな
このソースコードの取扱みたいなところに対して
でもこれって何かそれができない理由背景みたいなのが
セキュリティ上何かで存在する可能性があるよなと思いながら
セキュリティのほうも見に行ったら
結局でも漏えいしてはならない情報が
ソースコードにハードコードされてるっていうのが
またアンチパターンとして上がってたりしたので
だからここセットでちゃんと考えてるんだなみたいな
なるほどね
だからちょっともやもやは聞いたんだけど
なるほどね
絵はよくできてるね
結構よくできてる気がしてきた
なんかこれ日本CQ協会に全員が関わってるのかな
何だろうね
ワーキンググループがあるみたいだね
あーヒロキさん
具体名出てるね
これか
はいはいはい
1,2,3,4
まあ13,14人くらいですかね
へーいいですね
面白いね
面白いねって思ってたけど
でもちょっと戻って
セキュリティでこういうのがないよねっていうのは
そうだね
いやないわけじゃない
ないわけじゃなくて
何だっけ
やべー出てこない
サムだ
OWASPのサムとかがあるから
OWASPサムとかは多分DX作られてる
しっかりものなのに
構成とかがかなり
組織がどうなってるかとか
そういうところまで踏み込んだと思うので
確かにね
サム触りたいな
触りしたい
開発者の目線まで落とせるのかって感じが
僕の例だな
OWASPサム
OWASPサムでも何でもいいんだけど
この4つのサイクルを
引っ張るってなった時にさ
この記事中のデプロイ頻度みたいなのって
多分めっちゃ分かりやすいというか
開発してるメンバーだったらみんな分かるから
じゃあデプロイ頻度は今こんぐらいで
このレベルにしようよみたいな
でこれでこういういいことがあってみたいな
で例えば引っ張るみたいな
フックとしてやりやすいなと思うけど
セキュリティ領域で何かをするときに
そうだな
でもそれで言うと別に普通に
開発に落とし込むっていうよりは
もっと広いものの見方をしないといけなくて
会社としてどうなの
プロダクト開発組織としてどうなの
みたいな話をしないといけない
それもセットで考えないと
なんて言ったらいいんだろうな
永遠に綱引きが終わんない問題が
多分出てくると思うんですよ
なんか別にセキュリティの当たり前レベルって
あんま具体的なアクションっていうよりは
ものの考え方とか
そこに考慮をしてるかどうかみたいな
そういう話が多いんじゃないかなと思っていて
結構それがむずいなっていう気はして
相対的に例えばテストを書いてない組織が
テストを書くのは当たり前ですから
結構進みやすいというか
定量化もできるし
自動化みたいな力を借りて
リターンも分かりやすいと思うんだよね
開発者目線
まあわかんないもしかしたら
なんて言ったらいいんだろうな
なんかフィードバックサイクルの話だと思っていて
テストを書かないで困りましたっていうのと
セキュリティ事故を起こして困りましたっていうのは
多分フィードバックサイクルの長さが全然違うと思うんだよね
なんて言ったらいいんだろう
よほどの組織でない限りは
多分どちらかというとセキュリティの方が
フィードバックサイクルが長くなりがち
そうあってほしくはないんだけれども
痛い目にあって初めて
本当に痛い目にあって初めて気づく大事大切さみたいなのが
ある領域なのかなとは思うんだよね
そうだね
それ故にやっぱりこの2番の目線を合わせるみたいな部分とか
その3番に引っ張るみたいな部分は
相対的には難しいんだろうなって結構思う
できないと言ったわけじゃなくて
まあでも結構そこは難しいな
なんか経験として語れるものってやっぱり
様々あると思うし
他者事例がどうなってますかっていうのも結構事例としてはあるわけ
そういうのも出しつつ
なんかできるだけその難しいね
なんか難しい
結構ニワトリ玉子問題のような
なんかそのいろいろ乗り越えてきた人を呼んで
たまたまそういう人が組織にいるとかだったら
使える手はあるかなと思うんだけど
何にもないですってところで
じゃあそれ実際どれくらいの確率で起こるのっていう話をしたときに
難しい
結構ソフトスキルの割合が大きいというか
多分どういう話なのか全然聞いてる人からすると想像がつかないと思うんだけど
なんかさっきのフィナテキストのブログの話で言うと
3月のTGアクションの盛り上がったやつ
サプライチェーンのサプライチェーン攻撃の盛り上がってるから
直後にアクションを起こしてましたよみたいな話をいくつか書いて
違うなそれも書いてたとして
それも書いてたしそれの前からやってたやつもあったと思うんだけど
結構あれって大きかったと思っていて
何の話かというと
10Xの業務委託で僕が多分言ったと思うんだけれども
これは万が一刺さると普通に下手すると会社が一年レベルのことが起こり得ますよねって話したと思うんだけど
そういう感覚というか難しいね
そういう勘どころみたいなのをどうやって組織に浸透させるか
分かったような話だと思うんで
ことセキュリティーの当たり前レベルっていうところで言うと
そうだね
難しい
またその割とハイレイヤーの抽象化された目的
課題意識みたいなのが伝わる
みんな理解してくれる気がするんだけど
アズソフトエンジニアの僕がなんかよく葛藤するのは
言うてくそめんどくさいなみたいなことをやっぱ
フィードバックサイクルの問題
やんなきゃいけないよなみたいな気持ちがあって
ギターバクションズとかで言うとアクションニートで
よくわからないエラーが出て
エラーコードでググってわざわざエンバイラメント渡してとか
そこのなんか不条理さみたいなところが
なんか僕がもう身に染み付いてるから結構はいはいって感じでやるけど
まあ結構そのなんだろうな
そのフィードバックサイクルの問題もあると思うし
なんかそれをまたそのフィードバックが来ないことの方が多いじゃん
それやったことでこんないいことがあったよっていうのって
ある種あんまり証明されづらいっていうか
何もないことが証明になるんだけど
実感を得づらい部分があって
なんかそこはなんか不合理さを感じつつ
だからこそ面白い気もするけどね
いやなんか
まあちょっとなんかオチが何もないんだけど
そういうのを考えると
フィナテキストのやり方とかは素晴らしいなっていう
あれも別に面倒くささをゼロになってるわけじゃないけど
でも行くところまでやって
多分あそこには書かれてないこの
内製化と技術的課題
何だろうな
当たり前レベルを上げるみたいなトリックも多分やってる
やってると思うね
と思うんだよね
じゃないとやっぱその回せない仕組みだと思うし
当たり前レベルの上がった姿って何っていうのを見せていくの
トップオブトップを知るみたいなところを楽しむ
なかなか難しい領域でもある
そうね
いやこれって普通に当たり前だからっていうのを
なかなか表現しにくい
明言しにくいようなところはある
なんかそうね
でもなんか割とシンプルに
開発者として想像がつきやすいところに落とし込む
っていうこと自体は結構そんな難しくないよね
どうなんだろうな
いやコマゴマあると思うんだよな
例えばセキュリティテストで何か見つかったら
手戻りが発生しますよみたいな
そういうのは割とシンプルじゃないかな
比較的短いフィードバックサイクルだよね
そういうのは割とあるよね
ひなテキストのあれもそういうサイクルを結構回してるのかもね
全リポジトリで回るCIがあって
そこでいろいろ出して
要はリクエストごとにフィードバックが返ってくるから
そういう感じで短いフィードバックサイクルで
セキュリティ観点をねじ込んでいくみたいなことができてるかな
もしくはすると
確かに確かに
コマゴマ回せるものを短くできるものを短くしつつみたいな感じ
そのフィードバックに対して何をするっていうところが
多分真の当たり前レベルを上げていくパートというか
個別具体の脆弱性を何とかするっていうよりは
もうちょっと根っこの部分で何とかできないとみたいな話をすると
上げていこう当たり前レベル
上げていきましょう
オクタの利用事例
いやー大事っすね
よし
ありがとうございます
じゃあ次
いやーパワフルっすね
奥田から内製IDの印象を極めていこう
第1回
第2回があるのがすごいな
楽しみだな
まだ出てない
まだ出てない
はい
なんかタイトル通りなんだけど
奥田やめて内製しますよ
話を高らかに宣言して
これ多分もう内製したんじゃないかな
記事の
しかもこれ的には
結構ね読んだんですけど
言い回し的には内製したように見受けられる
っていうのも
たぶん移行
内製するって意思決定したよって話と
内製したものに移行するときに
同時並行で運用して
ちょっとずつ内製の方に移行していきましたみたいな
確かにね
最後の最後の
次はどうやって実現したのかっていう部分を紹介するよって書いてるから
そうだね
したんだね
そうだね
いやー
やったっていう
これすごいよ
これ無理無理無理無理
いやーでもDNAさんぐらいで書いたなー
なんかもう絶対ブログに書けないけど
わけわからんぐらい金もかかってるし
だろうなと思うと
なんかコストリターンに見合うっていうのはあったりするんだろうなってちょっと思いつつ
とはいえやれんのすごいよね
これはそうだね
あと400以上アプリケーション連携してるっていうの見てへーってちょっと
でもDNAですら400
そうね
でもオクタにつなげられるものだけで400だから
もうちょろっとあるのかもしれないけど
でも規模的には極力そこに全部寄せておかないと死ぬっていう
確かにね
いやー
すごいね
すごい
結構話としてでもオクタが狙われるよね今度は
例えばそういう話を書いてくれてて
あーそうなんだ
そのどれだっけ
いやそんな直接的には書いてないんだけど
ペンダロックに入る
あーそうそう
必要件
どこだっけなちょっとごめん分かんなくなっちゃった
全然違う話だったかもしれない
だいぶ会社書いてるのであれなんだけど
ベンダーに依存して調査をしないといけないから大変だよね
ブラックボックスじゃない
オクタの知見しかたまらないみたいな話書いた気がする
IDP自体の知見が全部でしょ
セキュリティにおける
セキュリティにおける指導権の
いやーでもこれ言えるのって
自身のセキュリティチームに自信ないと言えないよね
オクタより強いもの作れるのかっていう話だからね
そうそうそうそうすごいよな
まあなんか絶対に書けないし答えてくれないと思うけど
これを裏付ける何かあったりしたのかな
分かんないけど
どうなんだろうね
結構
いやーなんか話したいな
お腹振り切れたあれだよね
ちょっと腹の底を聞いてみたい系だな
まあねこれ以上のことはないのかもしれないけど
そうだね
あとなんだっけ
MCPのダイナミッククライアントレジストレーション
あの辺とオクタって連携し得るのかな
あの辺とIDPの連携するようなあり得るような
オクタのブログ
オクタかオーストリアルかブログは買わせたけど
なんかその辺の話書いてた気がする
気がするとかそういう記事がだいぶ前にあった気がするが
何が言いたいかというとその辺の追従とかも考えると
なんか要は新しく別のものが立っているみたいなところも
多分あり得たんじゃないかな
そのオクタ以外に何かみたいな
でそれがオクタに繋ぎにいくみたいな
別に社内でIDPを内製で持っておいて
そこがオーストリアルのところをしゃべればいいじゃん
確かにね
それをきちんと膨らませるみたいな
なんかAI系のシフトの流れとか考えると
DNAではあり得そうだな
確かにね
あとなんか普通に忘れてたけど
いやオクタ使ったことないからあれだけど
組織の構造とか動きをIDPに反映させるみたいな部分は
結構わかりやすく便利なロックインというか
オクタの仕様学校だからできないところもありそうだ
DNAは結構特殊な会社じゃないですか
特殊って言ってるのは
今どうかわかんないけど
司令の中の人とかが聞いてる感じは
いろんな事業
そもそも事業数がめちゃくちゃ多いし
例えば社内で議事ベンチャーじゃないけど
まるっと予算つけて新規事業パンってやって
なんかやってくださいって言って
たぶんすごい3,4人くらいのちっちゃいチームに
ガッツリDNA社内なんだけど議事ベンチャーみたいなの運営させるみたいなやつだったりとか
それの上手くいくものがあれば潰れるものがあり
上手くいったものは子会社かしみたいな感じで
結構変化が激しそうだなっていうのを思うと
それを権限管理に落としてIDPに反映させてみたいな部分をやり切るみたいな部分で
辛い部分というか
内政してたらもうDNAの組織の仕組みに特化しちゃえるじゃんみたいなのはあったりするのか
なんかそういう話聞きたいな
あとなんか多分だけど他にもいろいろ内政してるんじゃないかな
そういうものとの組み合わせみたいな部分で
その世は僕たちで管理するのか
内政するべきものがあるのかみたいな
これは他で内政してるものに持たせるべき
そういう境界線みたいなのが難しいものがあったのかもしれんけど
でもその辺は書いてないから書いてあるもの自体をそのまま読み取るんだとすると
パワーオートメイトのセキュリティリスク
別にそういうのは関係なくっていう話だから
まああれなんだけど
DNAさんのブログ読もう
そういう話いろいろ
でもなんか普通に
これSLAやれてんのかな
まあやるんじゃないその要件のとこにも入ってたから
なんかあれかな選定候補の中にSLAでもう弾いたものもある
それはもう自分たちで見て
49がうんうんっていう話があったと思うんだけど
いや99.99%以上
オクタって多分
公式の交渉のSLAは99.99だと思うけど
そうだよね
そうだよねと思うんだけど
なんか実質的にもっとあるよね多分
もっとあるっていうのは
要は全然落ちないじゃん
オクタ使ったことないから
あるけどその可用性を語れるほどは使ったことない
99って
まあ確か2019年と90も
記事中でもそのなんていうか
SSO部分でのサービスダウンが一切なく10年以上にあたり安定稼働維持していましたって書いてるんだよね
すげえな
なんかこのレベルのそのSLAをやるって結構難しい気がするんだけど
まあでも記事中にはそのオクタと同じレベルを求めたいっていうかは
要件としては99.99%以上っていうのがあるから
まあそこを目指すんじゃない
多分ねその過剰に求めて
オクタの話で言うと
ある種その高すぎる可用性が価格にも転化されてるわけじゃん
まあね
そこはなんか
必ずしもオクタと同じレベルを求めたいわけじゃないかな
まあね
と思うか
まあだから同等を目指すっていう話じゃない
あとは
いやわかんないな
わかんないけど
日本
ああでもグローバルか
まあ243の候補課さん聞きたい
まあでもそこも
いやまあ続編に行きたいですね
なんか2回で終わりなのかな
なんか5回くらいやってちょっと生々しい話もちょっと聞きたいなって思う
3回
3部構成って書いてあるから3回まで
ああ本当
ちょっと期待したい
話せば話すほど気になるところが結構多い
けどな個人的には
はい
意味がある
気になりつつも次行きますか
お願いします
トレンドマイクロのブログで
パワーオートメイトによる複雑さと可視性のギャップという記事ですね
まあなんかさらっと紹介でいいかなと思ってるんですけど
パワーオートメイトって知ってました?
僕は知らなかったんですけど
知らなかったです
僕もね記事読んで知ったんですけど
そのマイクロソフトファミリーで
ザピアですね
いわゆるザピアがあるんですよ
自動化オートメーションを組んで
ワークフローを組んでみたいなやつがあって
それが便利だし業務自動化に使われてるんだけど
攻撃者目線は便利なツールとして狙われてるよっていう話ですね
ワークフローの話は結成したことない気がするんですけど
ワークフロー系って結構うまく上手に使わないと
セキュリティリスクをはらみがちだよねっていう話があって
ワークフロー自体に紐づく権限を
ワークフローを使える人に対して渡すっていうところで
意図せぬ権限消化があったりとか
またこの記事で触れられてるのは
結構攻撃者目線便利に使えちゃうよって話があって
例えば映像化でデータを徐々に
映像化というかデータを徐々に
静かに盗むみたいなときにこのPower Automateで
マイクロソフト制御に多分いろいろつなげられるんで
具体的な例はないんだけど
例えば定期的にオフィスの
ワード?ワードデータを抜くとか
多分そういうことができるっていうところに
結構価値を見出されてるし
アンダーグラウンドの市場みたいなところで
MSの認証なり
いろいろ売買されてるわけじゃないですか
このテナントの認証情報がみたいなところに
そのカタログの中の項目として
Power Automateが使えるか使えないかっていうのが
普通に結構宣伝文句として示されてるって話があって
なので結構攻撃者目線でも関心の高い情報になっているし
割と悪用され売るよっていう話を紹介してる感じですね
まあPower Automateじゃなかったなと思って
っていうのと
属人化のリスク
ワークフロー人類に早くないですかって気持ちですごい
なんていうか
改めて思ったというか
この記事の話でめっちゃ新しい
その視点を得たとかでは正直ないんですけど
結構こういう目線で見ちゃうと
しんどいなーっていうのがあったって感じですね
これこそトップオブトップを知りたいんだよな僕は
ちゃんとやってる会社でワークフロー
ワークフロー世間に使いこなせてますって会社がいたら
普通に話を聞いてみたい
リファイとかNATNとか流行ってるらしいけど
あの辺とかも
どこなんだろうな
アスラックワーク
アスラックワークはどうなのか
興味深いです
おもろいな
何がおもろい?
サマリンに書いてくれてる
攻撃者のマーケットです
あー
そうね
これは
そうだね
実際どうなんだろうね
その
こういう人生で使われてたよみたいな話には触れてくれてないから
攻撃者が活発に活用しきれてるのかどうかちょっと
断言にしきれないけど
まあでも
MSとセットっていうのが結構他のワークフローとは違うね
そうだね
なんかオンオフにできるような機能なのかな
いやーなんかこういうの
これ実際にやられますって話も書いてくれてる
サラッと読んだ感じは書いてない
まあでもそういうのがあるってことはやられ使われてるんだろうね
気づかれずにとかもあってもおかしくないか
あーでもぼちぼちな値段ですね
月一人2300円くらい
結構高いな
あー
おもしろいボットに対しての料金体系もあるね
おもしろいな
へー
これなんか潔くて個人的に好き
このボットとか多分狙い目だよね
特権つけていろいろ自動化しようみたいな
はいサラッと紹介でした
はい次は
C2PAの導入
Googleのセキュリティブログで
How Pixel and Android are bringing a new level of trust to your images with C2PA content credentials
っていう記事ですね
これちょっと時間なくてめっちゃ勉強できてないんですけど
この記事のタイトルにあるC2PAコンテンツクリデンシャルっていう
企画なのかな仕組みみたいなのがあって
Pixel Androidスマートフォン
Googleが出したAndroidスマートフォンの
Pixel 10がこれをサポートしてるって話です
これなんかサポート
何をしたくてサポートしたかっていう部分が結構興味深いなと思って
紹介したいなと思ったんですけど
まず課題感としては
生成AI大時代になった時に
いろんな画像が世ででもあるけど
その画像がAI由来のものかどうかっていうのを
判定したいですよっていう話があって
偽物本物うんでもあるし
それを何かに使うってなった時に
これは本物の写真ですよって思って使ってたものが
実は生成AIに使われたものなのかとか
そもそもそれが何の生成AIが作ったものなのかとか
本当に使っていいものなのかみたいなところで
そういうのを正しく検証したいという課題というか
やりたいことがあって
AIにこれはAIですって判定させるとか
そういう話し方とかももちろんあるんだけど
このC to PA
これ作れるでしょっていうのを使うと
この画像はこのAIがこのタイミングで作ったものですよ
っていうものとか
この画像はこの端末でこの写真が
この端末で撮られた写真ですっていう
署名みたいなものを付けられる仕組みがあって
それを使って検証することで
どういうところから来た何の画像なのかっていうのを
正しく検証できますよねっていうのが
このC to PA
Pixel10が今回サポートしたという感じですね
ちょっと細かい仕組みはあんまり置いてないんですけど
例えば誰が撮ったかとかいつ撮ったかみたいな
プライバシー情報みたいなのは
もちろん加味されて設計されているという感じで
話らしいです
生成AI時代の課題
大変だなっていう
実際自分がどうなの?
どこでめっちゃ嬉しいかはあんまりだけど
要はこれAIで作ったやつですよとか
実際にカメラで撮られたものですよみたいなのが
いろんなところで露出してくるようになって
ただそれだけでしょ
そのベースとしてこういうのがあって
うーん
ああ 公正メディア
またあれか
そうだね EU権とかは明記してないみたいな
確かっていうね
だからそれを正しくできないと
もう法的リスクになっちゃうって話もあるのか
もはや
確かにね大変だね
ああそうだからなんか
AIと非AIを区別するとかじゃなくて
何の出元なのかっていうのを
キャプチャー見ると面白いんだけど
撮られた画像が2枚あって1つは撮られた写真ですよ
Googleの端末
Googleが保証してる撮られた写真ですよっていうのと
もう1つは加工済みの写真で
撮った写真をAIで編集したやつですよっていう
照明が見れるみたいなやつ
そうだね
AI、AIじゃねえっていうかは
このレベルまで来歴を証明するみたいな
Googleフォートはすでにコンテンツ認証情報
僕ピクセルっていうんじゃないから
多分わかんないんだよな
あとなんかこれレベルがあるみたいなので
レベル2は今Androidしか無理だけど
レベル1とかあったらもしかしたら今もすでに
かもしれないですね
いやーこれはなんか
カメラメーカーとかはどうしてくんだろう
どうしてくんだろうね
どうしてくんだろうね
通信C2PAの実装というか
アーキテクチャーをちょっと理解していなくて
それしらいである
でも何らかその証明書の保存領域みたいな
必要なはずで
ファームアップデートとか対応できないと思う
なるほど
保証レベル2
そうだね
ハードウェアレベルで実現してるって話
だからこの先そういうのが出てくるんだろうなとは思うんだけど
で多分そのハードウェアレベルでこのカメラで撮りました
それを例えばAdobeのフォトショップで編集しましたとか
多分同じような感じで出てくるわけでしょうね
そうだね
その印象局とも
そうだねハードウェアレベルの証明書
別にオフラインでもいけるよっていうのは書いてあるから
カメラでもいわゆるスマホじゃないカメラでも別に大丈夫で
原理上はいけるがここまでやれるところが
あとやるそうだな
同じ
まあでも潮流次第だね
そっかEUのレベル2話はしなかったな
もうやらざるを得ない状況になったら
こういうのに乗っかっていくしかない
なんかあるタイミングで古いカメラとかが一斉に使えなくなったりするの
うーん
なんかその
写真の利用用途次第なんじゃない
まあね
趣味の範疇はいいけど
なんか仕事で使うとか
広告の素材として使うのはもう無理になるとかあるかもね
あるかもね
はい
面白いこと
えーじゃあ
お願いしたい
あなたがいないと困るのは
その程度しか俗人化していないから
なんかちょっと全然
普通にXで流れてきたの
持ってきただけなので
なんかセキュリティとか全く関係ないんだけど
うーん
なんだっけな
若干あの
記憶が薄れてるんだけど
まあ
筆者の人がえっと
ふと僕がいなくなったら
このズームはどうなってしまうのか
思ったことがあって
でなんかそれを会社の偉い人に相談したら
相談して俗人化の話題になったときに
意外な言葉として
その仕事がその人以外誰もできないのは
その仕事がその程度しか
俗人化していないから
言われたよっていう
話から始まる記事なんですが
はい
なんか
これをきっかけに俗人化について考えて
それを書いて
でたぶん別にその偉い人の
あの
偉い人がこう言ってたよ
っていう話じゃなくて
それをきっかけに自分でこう考えました
っていう話で
結構僕は
この人とは違う
その程度しか俗人化していない
っていうのに対して
僕は結構
ちょっとどういう風に思ったのか
結構思ったんだけど
結構違う印象を受けたんだけど
それとはいい意味で
全然違う
意外な展開になったので
文章として結構好きだったから
うん
なるほどですね
この人の考えでいうと
その
その程度しか俗人化していないの
真理がどこにあるのか
っていうのを
解釈として
グッドにしか価値が依存していない状態を
指して書いていて
うん
その人の存在自体がボトルネックについて
組織に対して永続的な価値を
残しているわけじゃない
っていう風に解釈している
うん
で
その程度しか俗人化していない
その先の俗人化っていうのが
何なのかっていうと
えっと
その人にしか作れないような
独自の仕組みツール
考え方みたいなのを作って
それが組織に残る
なので死にそうな人がいなくなっても
その人が残したものは
残り続ける
そういうのをもってその真の
この人の考え
の話です
いい話だなっていう
感じ
うん
いいね
僕はなんか
思いながら読んじゃった
どういうことだろうと
その程度しか俗人化してないと
最初どう思ったんだけどな
ここだけ読んで
その程度しか
真意は分かんないよね
真意は分かんない
うーん
標準化ね
俗人化って言葉は個人的に
しっくりこないんだよな
標準化できたんであればそれはもう俗人化というか
うーん
俗人化ってなんだよすごい
そこでめっちゃ集中できなくて
笑
全然ね
正直読んだけど集中できなくて
うーん
そうね
標準化まあそうか
真の俗人誰がやってもより高い
そうね
でも面白い言語家だよな
うーん
まあなんかそのレベルで動ける人が
その人しかいないっていうのは
その人がいなければある種の
ある種の成長が止まるみたいなのが
起こり得るって意味では
俗人化なのかなとは思うけど
うーんなるほどね
まあ正直その俗人化を脱することは
実はさっき
今日読んだコニファーさんの記事の
サイクルを回すことなんで
自分にとっての当たり前が
みんなにとっての当たり前じゃない
相対的に見るなら自分の当たり前の方が
上っていう状態の時に
引き上げていこうよっていうのが
そういうところの真の俗人化の
仕組みの創造みたいな
かもしれないね
うーん
その人がいなくなっても仕組みは
俗人化の影響
いやー日本語って感じだな
まあ俺も言われて結構
モニモニをし始めたな
いやどうしてもねなんかその
いやなんか日本語だなって思うわ
その経験してるコンテキストによって
見え方違う気がしてて
僕が経験してきた
自分がこんな生ぬるいものではなかった気がするから
うん
っていうか
そうどうしてもね
いやあの
時効というか別に言っちゃダメじゃないと思うんで
すごいこれ読みながら新卒の頃に
あの
もはや名前忘れた
Gitの前のバージョン管理システム
あったじゃないですか
サブバージョン
サブバージョン
でもGitの前とか言ったら怒られるよ
あそうなの
サブバージョン自体さ
それはさ多分
怒られない大丈夫
えじゃあ
サブバージョン自体は全然まだ生きてるでしょ
まあ生きてはいる
生きてるしなんか結構その
Gitとは違うモデルだから
根強く残ってるっていうか
いやー
あの
リプレイ.fmついに炎上かもしれない
じゃあじゃあ訂正します
サブバージョン
そうねサブバージョンから
当時の組織はGit多分使った
開発にしたいっていうのでGitに移行する
ってプロジェクトがあったんだけど
ゴリッゴリに一人の人がやってて
マジでその人いなくなったら
もう本当におしまい
もうプロジェクトピッタシ止まるだろうな
再現性のある仕事
っていう状態に
まあ多分ちょっと戦略的にそういう状態に
してた部分もあったり
その人しかできないって部分もあったっちゃったんだけど
それをすごい思い出したというか
そういう話はちょっと
この話には頼みづらいというかさ
プロジェクト単位の話だから
プロセスっていうよりかは
すごいそれを脳内に
ちらつきながら
いろんな俗人化のパターンあるよな
なんかそういうのごちゃごちゃ考え
ちゃってたって感じ
話しながら気づいたけど
あーそうだそうだ思い出したわ
この偉い人の
言ってたことを
僕がこの言い方をするときに
何を思うかっていうのを
なんか考えると
なんか僕の一発目の
その一目見たときの解釈は
なんかむしろ真逆で
この人の解釈が真逆で
あの
要はある種買いが利くレベルの仕事
別に無くなっても困らんレベルの仕事
だからなんか
その仕事がその人以外
誰もできないなその仕事が
その程度しか俗人化していない
詰まるところ
別に最悪
その一言丸ごと無くなっても
困るレベルだからじゃないの
っていうなんか
そういうその意図なのかな
って最初思ったの
あーでもなんか個人的には
その解釈ちょっとしっくりくる
しっくりくるかも
そうそうそうそう
誰も危機感持ってないから
なるべくしてない
そうそうそうそうまさにそれ
ありそう全然ありそう
俗人化だと思ってるものは俗人化じゃないよ
っていう意味では確かに
真の俗人化みたいな話
納得感はある
最初に思ったのはそれだ
なるほどね
日本語面白い案件だな
俗人化って
ビキペディアとか無いんだ
なんか
英語はあんの?
英語圏に無いの
俗人化
俗人化
パーソナライゼーション
インディビジュアライゼーションちょっと違う
ちょっと違うな
AIによる
でもwikipediaあったわ
ある事象や組織において業務が
特定の個人に依存しないとっている状態で
主にビジネスシーン
ビジネス用語だよね
結構場面とコンテキストによって
あれだよな
解釈があり得る系ではある
面白いね
俗人化についてこんなに考えた事なかったな
そうだね
俗人化って言えば俗人化だよな
wikipedia面白いな
刺さる人には刺されそうで
リンク貼っておこう
意外痛くない人もいるかもしれない
確かにな
仕組み化できたんだったら
それはもう俗人化してないじゃん
そんな気はするんだよね
いなくなっても
一方で
その人にしか生み出せない
想像的な価値によって
俗人化かなとは思う
ある種
要は
さっきの
サブバージョンからgitへのイメージ
サブバージョンからgitへの移行
みたいな部分
別にある種誰かやってもいいわけじゃん
そうだね
たまたまその人に
依存してるだけっていうのを
俗人化って呼ぶなって
確かに
でもさぁ
言葉遊びになっちゃうけどさ
究極ほとんどのものは
俗人化なんじゃないか
誰でもできるかもしれないけど
スピードに差があるんだったら
価値の差があるわけで
それはその人の価値だよね
みたいな部分を考えると
同じ仕事をできるできない
っていう話もあるけど
できるとした時に
差が出るか出ないかみたいな部分も
俗人化な気はするから
プロジェクトの未来
俗人化
俗人化させる価値のない仕事と
俗人化させる価値のない仕事と
俗人化させる価値のある仕事
みたいな分け方ができる
気がするな
本当に誰がやっても
コースが変わんないし
マジで誰でもいいみたいなやつは
多分
どうにかしよう
その話をしだすと
さっきの当たり前レベルを上げていこう
って話になる気がする
そんなことは実際には
不可能だとしても
みんなが同じクオリティで
同じことができるようにする
っていうのはある種の当たり前レベルを
上げていくっていう中に
入ってくるような気がするし
だけどそれってある意味
難しいな
どこまで予想を呼ぶかわからないけれども
ある種の再現性のある範疇
ここで言う真の俗人化って
再現性のない
再現性のない
人間が再現性のある
仕事をしてる
マジでめちゃくちゃやけど
真の俗人化ってめちゃくちゃハードル高いよな
再現性のない
価値を自分が作るっていうのはさ
ある種
目指すべきところであり
世の実態として
起きてることで
それを再現性のある仕組みに落とす
その再現性のある仕組みに落とす
仕事自体が
俗人的な仕事やな
って言ってちょっと
ループし始めちゃった
自分で言うのも書いたんだけど
自分で言うのもなんだけど
割とそういう仕事もしてきたな
って思っていて
なんだろうな
難しいね
でもなんか
ヤギ足という孤児に当てはまると急に今
腑に落ちたわ
急に実態が降りてきた
自分の中に
一方で
考え方の浸透みたいなのがめっちゃ難しいな
って思っていて
要はなんて言ったらいいんだろう
作ったものが陳腐化しないみたいな部分
そこなんだよな
作ったものが陳腐化しないっていうのが
割と大事な要素だと思っていて
それを陳腐化しない状態を
維持し続けるためには
やっぱり
裏にある考え方
背景みたいなのを
理解している人がいるはずで
必要なはずで
難しいけど当たり前レベルなのか
スキルレベルなのか
わかんないけど
陳腐化しないみたいな部分に寄与できるのは
去る立場としては限界はある気がするな
それはそうだね
だから去ってはいけないって意味で
ある種族進化だよね
っていうのは確かにとは思う
また去った時に
陳腐化しないような
残される地位もきちんと作っておくのは
組織の責任じゃない
っていう気がする
まじ言うがやすい
それができないから族人化なんじゃないの
っていう話なのかなと
自分の中ではちょっと解釈程度
納得したわ
族人化
夢に出そう
こんなに族人化
面白いな
ちょっと面白かった
自分にとってはさっきの
R視界の利くっていうことだから
っていう解釈が一発目だったから
意外な方向に
話が進んだんで
おもろい
ありがとうございます
面白かった
最後
これは読めてないので
みんな読んだほうがいいよっていう
ただそれだけなんだけど
クライアントヘローの仕組み
これあれだな
記事としてはちょっと古いんだな
9月2日なんだよね
そうなんだ
記事読みました
さらっとしか読んでないわ
読んだ?
でもめっちゃ
超ざっくり言うと
TLSの
TLS通信において
において
サーバーハローか
クライアントハローからのサーバーハローの部分を
が暗号化されてない部分なんだけど
そこを見ることでどこと通信してるか
っていう部分が
頭頂でバレちゃうよっていうのが課題としてあって
それを解くために
どうするかって話で
結構おもしろいのは
主題にある
えっと
ちょっと
エングリベテッドクライアントハローっていう仕様に
行き着くまでに
そもそも
これじゃできないの?こうじゃダメなんだっけ?みたいな
この人自身も思ってたし
その仕様を策定する過程でも
全く同じルートを辿ってるから
その順序で話していきます
っていうのが結構
印象深いとかおもしろい
勉強になる部分だなって思いましたね
話としては
一番最初なんだっけな
えっと
クライ
クライアントハロー
サーバーハローか
最初はサーバーハローを暗号化してればいいんじゃないの?
違うか SNIか
SNI
SNIだけを暗号スクレッシュバレー
すればいいんじゃないの?みたいなことを思ったけど
それだと実はこういう部分に穴があって
じゃあこれはどうかみたいな部分で
ここは穴があって じゃあこうしたらいいじゃん
って感じですね
こんぐらいふわっとしか説明できない
めっちゃ消化はできてないというか
噛み砕けたんですけど
なんか
結構記事としては重めかなとは
思うんだけど
なんか読んだほうがいい
TLSなぁ
TLS本
読み切れてないなぁ
いやそうなんだよ
なんかその
TLSの中身って
意外とちゃんと把握できてないな
若干あって
なんかちょっと何の
本のタイトル忘れてたんですけど
TLS1.3
1.3の
なんか結構がっつり
重めの章
実装の難しさ
あぁ徹底解剖TLS1.3か
途中まで読んだ
これもう手動かさんともう頭に入らんなって思って
途中で止まってんだよ
自分で実装したい
これ難しい
やる?
やるかぁ
人と一緒じゃないとやんない系だから
そういう意味では結構大懸命
やるかぁ
PHP
いや
でもそうねなんか下手に
触れないといけない言語よりは
2人とも触れる言語かな
PHPから同じですか
Goでもいいよ
Goが無難なんちゃう
結構ね
この辺のなんか右往曲折みたいな
説明とかって割と大事だな
なんでこうなってるのか
ちゃんと把握しとかないと
なぜそれが大事なのかも
あんまり説明できない
そうだね
いやぁ
さらっと眺めることしかない
ありがとうございます
いつか頑張って実装します
いやぁ
実装はね
でもいいかなと
本当はなんか
あれするのがいいんだよね
パケットキャプチャーして
実際にやりとりを見る
っていうのが多分よくって本当はね
はいはいはい
確かにね
それは確かに
やるとしたらそっちじゃないかな
なるほどですね
教えてください今度は
別にワイヤーシャークポチっとする
終わりだから
みんなすぐそういう
やるだけ
絶対そんな
ワイヤーシャークを開いて止まっちゃう人っているんですよ
知らんけど
今ならちょっと人があるし
確かになぁ
読書のお供に
当時あんままだ
いやぁ
今日は10記事
やりました
族人化の会
久々のふとぴ会でしたね
いやぁよかったっす
みなさんも族人化について
そうだね
今日は族人化の会だったなぁ
はい
じゃあ
今日はこんな感じでだんだん涼しくなってきたんで
記事も増えてきましたね
いやぁ今日も暑かったよ
でも嘘だよ
嘘
あの
この暑さを乗り越えたら涼しくなるっていうのを
なんかニュースで聞いて
いやぁ
この夏5回目ぐらいじゃんと思って
もうやってらんねーっすよまじで
まじで普通に
今日もめっちゃ日焼けして痛いし
いやぁ日焼け止めと日傘で頑張ろう
頑張ります
はいじゃあそんな感じで
みなさん次回もお楽しみにしててください
おやすみなさい
おやすみなさい
