1. セキュリティのアレ
  2. 第184回 これでやっとスタート..
2023-07-03 1:02:26

第184回 これでやっとスタートラインなんだの精神で!スペシャル!

Tweet【関連記事】 ・サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会 – NISC ・[...]

The post 第184回 これでやっとスタートラインなんだの精神で!スペシャル! first appeared on podcast - #セキュリティのアレ.

サマリー

今週のポッドキャストでは、セキュリティについて話されたアワードと、試し読みをおススメのマンガ『彗星の魔女』に関するお便りが紹介されました。アメリカ政府機関がネットワーク管理インターフェースのリスク軽減に関する指令を発表しており、インターネットに公開されている管理画面を適切に保護するよう促しています。CISAが発行した指令に基づき、アメリカの連邦政府機関に対してスキャンと分析が行われ、1万3000以上のホストが見つかりました。ネットワークアプライアンスやリモートプロトコルの公開が確認され、セキュリティに対する意識の必要性が明らかになりました。イギリスのBBCは中国製のハイクビジョンとダーファの監視カメラに脆弱性があることを報じ、ハイクビジョンもその報道に反応しています。IPVMもその反応に対してコメントしています。プロトンパスはランダムな匿名のメールアドレスを作成することができるだけでなく、パスワードの管理も統合されています。また、プロトンパスはプロトンのアカウントでなくても利用することができ、使い勝手やセキュリティにおいて高い評価を受けています。最後に、醤油ラーメンの美味しさに関するエピソードもありました。

自己対応アワードの話
辻 伸弘
聴きたい曲も聴けない。こんな世の中じゃん。
スポーティファイ!ってね。
辻 伸弘
言うてね、もうみなさんごきげんよう。始まりました。セキュリティのアレですよ。
いやー。
根岸 征史
どんな入り方だよ、それ。
ねー、ありますよ。こういうこともありますよね。言うて。
根岸 征史
ありますよね。なんか先週言った話だね、それね。なんか。
辻 伸弘
そうそうそうそう。あのー、今僕が歌ったような感じのやつが、2つもお便り来てるっていうね。
根岸 征史
マジでかい。先週だったっけ?ポイズンだっけ?
ポイズンじゃなくて、スポーティファイ!みたいな感じ。言ってましたけども。
またそれ引っ張んの?それ。今週も引っ張んの?それ。
辻 伸弘
違うんですよ。あのー、エヴァフリー聞こうと思ったらポイズンやったっていう話あったでしょ。謎が解けたんですよ。
根岸 征史
あ、マジで?
辻 伸弘
はい。
根岸 征史
アンサー?アンサーが?
辻 伸弘
そう、これあのー、おそらくこうだろうということで、あのー、ミスナーの方がお便りで来てまして。
へー。
これね、リリースされた年が一緒なんですって。
根岸 征史
あ、そうなんだ。
辻 伸弘
1998年。
へー。じゃあ同じ年だから。
そうそう。
へー。
辻 伸弘
だから年も一緒やし。
根岸 征史
こんなんもお前好きやろか。
辻 伸弘
そうそう。聞いてる人も多分、なんかいろいろ聞いてるうちにここにみたいなとか。
あとリストとかにあるんじゃないですか?98年のヒット曲みたいな。
根岸 征史
まあ、わかんないけど同じ年代の曲はなんか一緒に聴く、なんかね、相関が高そうっていうか。
辻 伸弘
そうそう。
根岸 征史
おそらくだけどね。まあ、アーティスト目線でさ、同じアーティストの曲だけ聴くっていう人もいるだろうけど、なんか同じ年代の曲が好きみたいなのもあるだろうしな。
辻 伸弘
そうそうそう。何十年代、何十年代のロックとかそういうなんかリストとかもあったりするじゃないですか。
根岸 征史
あるある。ジャパニーズポップの何年代とかもあるしさ。
辻 伸弘
そうそうそうそう。あのー、カラオケとかと一緒でしょ。何年代のヒット曲とかいうので、曲見つけたりできるじゃないですか。
根岸 征史
同い年なんだ。知らなかったなあ。
辻 伸弘
そうらしいです。だから。
根岸 征史
さすがだねー、あれぜ。
辻 伸弘
いや、すごいですよね。
根岸 征史
すごいよね。
辻 伸弘
調べて知ったのか、反射的にわかったのかね、どうなんですかね。
根岸 征史
えー、ピンときたんのね。そうなんだ。
辻 伸弘
うーん、そうそうそう。
根岸 征史
よかったね、謎が解決して。
辻 伸弘
いや、解決してよかったですよ。
根岸 征史
はいはいはい。
辻 伸弘
本当に。まあ、このお便りをもらうまで謎だったってことも忘れてたとこもあったんですけれども。
根岸 征史
ははははは。どうでもよかったんかい。
辻 伸弘
いや、どうでもよくはないですよ。はい、なんですけど。まあ、いやでもスッキリしましたよ。
根岸 征史
あー、確かにね。
辻 伸弘
確かに、と思ってね。
はい。ということで、今週はどうでしたか?
根岸 征史
どうでしたか?
辻 伸弘
お二人は。
根岸 征史
どう?どう?
辻 伸弘
3人で、3人でというか、まあ5人でですけども、3人も出てたやつあったでしょ?
根岸 征史
あー、セミナー、セミナーじゃないや。
うん。
アワード、アワード。
辻 伸弘
ほら、自己対応アワードやったじゃない。
お疲れ様でした。
根岸 征史
そうだ、もう忘れてたわ。
お疲れ様でした。
今週か、あれ。
辻 伸弘
そうですよ。
根岸 征史
お疲れ様でした。
辻 伸弘
どうでしたか?
piyokango
はい。
辻 伸弘
今年の自己対応アワード、第8回です。
根岸 征史
ね、なんかもう気がつけば8回目なんてすごいね。
piyokango
そうですね。
根岸 征史
そうですよね。なんか一番初めのね、第1回の時の最後の締めの私の言葉が、最低でも10年は続けたいって言ってたね。
辻 伸弘
言ってたけど、いや見えてきたな。
piyokango
見えてきましたね。
根岸 征史
行きそうだよね。
piyokango
あと2回ですからね、本当に。
辻 伸弘
そうそうそうそう。
根岸 征史
でもさ、俺あの、いやまあ10年続くかどうかはちょっとわかんないなと思ってたけど。
辻 伸弘
はいはい。
根岸 征史
ただその、ここまでも8年きても、なんかまだその始めた当初思ってたような、そのなんだろう、自己対応に対する見方っていうのはまだそんなに変わってないよね。
piyokango
変わってないですね。変わってないですね。
根岸 征史
いやだから10年経ったらなんかちょっとそういう手応えがあったと思ったけど、まだちょっと手応え感じられない感じだよね。
辻 伸弘
そうですね。まあでも、たまたまなのか何なのかちょっとわからないですけど、ちょっとね、あの国の方もそういうね情報共有、公表みたいなことを言い始めたっていうのはちょっとなんかあるんじゃないですか?
根岸 征史
あ、そうね。あのアワードのねパネルディスカッションでも取り上げたけど、そういうガイダンス出てますよーっていうのをねちょっと紹介したら、なんかまあなんか知らなかったみたいな反応もあったし。
辻 伸弘
あ、ありましたありました。
根岸 征史
なんかね、まあそういうのを国が率先してというか、そういう指針を出そうとしてるっていうのはまあ良い傾向だよね。
辻 伸弘
そうですね。なんかこう2014年ぐらいにLINEの乗っ取りが流行ったじゃないですか。
piyokango
ああ、あれ2014年か。
懐かしい、そんな前か。
辻 伸弘
そう、その時に何を今さらそんなことをって一瞬思ったけど、でもこれでやっと取り上げられて、だからパスワードに関してはある意味これがスタートラインかななんて思った感じが今回もちょっとしてまして。
根岸 征史
ああ、なるほど。こっからだと。
辻 伸弘
そうそうそうそう。まあなんかそれよりも先に何か続けてたりとかしてたことに無駄はないのかなっていう気はしますけどね。
じゃああれか、こっからまた10年先を見据えてやるのか。
そうですね、最低でもまあ第18回まで。
根岸 征史
いや、霧が悪いな18回まで。
piyokango
ちょっと半端感がだいぶありますけど。
辻 伸弘
気持ち悪いですか?まあ確かにそうですね、二の定数でもないですしね。
根岸 征史
霧が悪い、うん。
辻 伸弘
確かにね。まあそれもね、世代を繋いでいってもいいじゃないですか。
根岸 征史
ああ、なるほど、確かに。
辻 伸弘
違う人にバトンタッチとかも。僕らもね、いつまでも生きてるわけじゃないですからね。
piyokango
確かにね。そんなことをついに喋るような年齢になってきた。
根岸 征史
年齢って言えばさ、鶴井さん今日誕生日じゃない?
辻 伸弘
そうなんですよ。
根岸 征史
おめでとうございます。
piyokango
おめでとうございます。
なんか年を重ねてますね。
狙ったかのような。
あ、それを吹いて欲しかった。
根岸 征史
違うわ。
辻 伸弘
違ったの?
違いますよ、違いますよ。
いや、もう44ですね。
根岸 征史
16の時にバッチリ誕生日って初めてかな?
辻 伸弘
初めてじゃないですか?
根岸 征史
かもしれないね、たぶんね。
明日誕生日なんすよとかで収録前に話したりとか。
何年もやってるからね、どっかではぶつかるだろうけど。
piyokango
そうですね。
根岸 征史
なんか初めてな気がするね。
たぶん、当日っていうのは初めてじゃないですか?
そっか。
辻 伸弘
どうですか?誕生日の夜にフォトキャスト収録してる気分は。
ちょうどええなっていう感じ。
piyokango
聞き方が。
辻 伸弘
いや、そんな、だってゆーたかってあれですやんか。
クリスマスイブにおっさん4人で喋ってたりとかするじゃないですか。
根岸 征史
俺らもうそれこそか、生き甲斐だからさ。
辻 伸弘
ですよね、生き甲斐。
これぐらいでちょうどええなに。
根岸 征史
そうそうそうそう。
最高の過ごし方じゃんね。
piyokango
そうですよね。
贅沢な。
確かに。
辻 伸弘
ほんまですよ。
根岸 征史
いやいやいや。
新サービスの紹介
辻 伸弘
あ、そう、告知が1個あるんですよ。
根岸 征史
何ですか?
piyokango
え、何だろう?
辻 伸弘
あのー、リッスンっていうサービス。
根岸 征史
あ、はいはい、あれでしょ?
リッスン。
ハテナの近藤さんが立ち上げたサービス。
辻 伸弘
リッスン.スタイルっていうドメインのやつで、
ポッドキャストを登録すると、
今流行りの文字起こしをAIがしてくれるみたいな。
根岸 征史
なんかオープンAIのAPI使ってやってくれるやつ。
辻 伸弘
ちょっと目次とかみたいなのも作ってくれて、
根岸 征史
ね。
辻 伸弘
出るんで、それにちょっとセキュリティのあれも登録してみましたということで。
根岸 征史
あれさ、前回終わった後試しにやってくれてみたけど、すごいね。
辻 伸弘
いや、そうですよ。
根岸 征史
いや、驚きの精度だね。
これまでもさ、AI使ったそういう文字起こしって別にそんなに珍しくないんで、
他にもやってたけど、
この精度で出るんだね。びっくりしちゃった、ちょっと。
辻 伸弘
いや、僕もびっくりしましたね。
でも喋った人を登録することができて。
根岸 征史
ね、ちゃんとさ、3人。まあちょっと多少ずれてるところもなくはないけど、
辻 伸弘
そうそうそうそう。
根岸 征史
そうそう。2人で喋ってる場合には多分区別しやすいんだけど、
3人の場合とか、合いの手みたいな感じでちょっと入ると、
多分ね、分けづらいんだと思うんだけど。
辻 伸弘
そうですね。
根岸 征史
いやでもね、そんなのちょっと気にならないぐらいっていうか、
若干そこだけ目つぶればもうほぼ正確に聞き取ってるよね、あれ。
辻 伸弘
結構ね、ちょっとずれてるのも、これはこれでおもろいんですよ。
根岸 征史
確かにちょっと影響あるよな。
うん。
辻 伸弘
絶対看護さん言うてへんやろな、みたいなのが看護さんになってたりとか。
piyokango
言うてるんですよ。
根岸 征史
確かに確かに。ちょっとだけね。
でもそれ以外のところはさ、
まあ割とほら、僕らの、まあそこまでめちゃくちゃ専門的でもないけど、
かといって、一般的な内容を喋ってるわけでもないのに、
かなりそういう専門用語も含めて、かなり正確に聞き取ってご尽くされてて、
ちゃんと普通に読めるしさ、
辻 伸弘
読んでて内容ちゃんと理解できるし、サマリーまで作ってくれて。
根岸 征史
いや、そうですよね。
未来来たね、ちょっと。
辻 伸弘
本当に。
なんか僕でも回って見てて、何が一番すごいなって思ったのは、
根岸 征史
僕がポイズンなの、デンデデデもちゃんと。
辻 伸弘
あ、そうそうそうそう。
辻 伸弘
デドンとデ、なんか数も大トンなみたいなね。
根岸 征史
ちゃんと起こされてたよね。
俺も思った、ポイズン言うてねーみたいな。
ポイズン言うてねーって書いてましてね。
いや、マジで。
あれ、でもこれさ、結構いいよね。
自分たちでも、どこで何喋ったかって覚えてないけどさ、
いちいち全部聞き直すのはめんどくさいけど、
これだったらさ、ざっと調べられるし、いいよね。
辻 伸弘
今までやったら、Googleとかで、このURLで、
この文字列みたいな、小ノートを検索するみたいな感じでやってたんですよね。
これがあったら結構いいな。
根岸 征史
内容まではわかんないからね。
辻 伸弘
そうそう、タイトル出てこないとわかんないんでね。
あれあれみたいな感じで検索できるから、これいいなと思ってね。
いいですね。
ぜひリスナーの方もこれを聞いていただきたいなと思いました。
根岸 征史
小ノートにリンク貼っておきますんで。
辻 伸弘
はい、ということでございまして。
根岸 征史
お便りが来ております。
辻 伸弘
はい、お願いします。
かんごさんと同じかな。
『彗星の魔女』のプロローグ
辻 伸弘
彗星の魔女をご覧になられている方が結構いらっしゃるようで。
人気だったね。
piyokango
います、います。
辻 伸弘
アドバイスみたいなことでですね。
シーズン1の第1話の前に、ぜひゼロ話というのがあるので、そちらを見てから視聴開始することをお勧めします。
piyokango
ゼロ話なんてあるの?
プロローグっていうのがあるんですよ。イントロではないかな。
辻 伸弘
プロローグって書いてましたね。
piyokango
本ちゃんのストーリーに入っていく、少し前の話っていうのを。
根岸 征史
あー、番外編的なやつか。
piyokango
番外編なのかな。本編につながる内容ではあるんですけど。
ちゃんと本編を全部見切らないと内容がわからないような感じの、なんでこんな内容なのかなっていうのが、たぶん後から徐々に徐々にわかっていくようなものが、プロローグの中で、かなり散りばめられていて。
根岸 征史
面白い作りだね。そんな感じになってんだ。
piyokango
確かにそういうのはあんまりガンダムでやってるの見たことないかもしれないですね。
辻 伸弘
別立てにしてね、実はシャアはこうでしたみたいな話とかはあったりしますけどね。
根岸 征史
まあ確かに確かに。
それはなんかね、サイドストーリー的なやつっていうか。
辻 伸弘
珍しいですね。
ぜひご覧になられようかなと思った方は、ゼロアから見ていただくのがいいんじゃないかということでございました。
はい、ということですね。
ネットワーク管理インターフェースのリスク軽減
辻 伸弘
これ、頼りを読むと、セキュリティのあれのステッカーの印刷コードを差し上げるってことしてるじゃないですか。
根岸 征史
あれそういえば、まだコンプリートは出てないの?
辻 伸弘
出てないです。
リーチが2人かな。
根岸 征史
だから最後の1個が出ないんだね。
辻 伸弘
そうそうそう。
でね、そのステッカーに関してなんですけども、ステッカーがシールですね。
辻 伸弘
いただいたあれシールをノートパソコンに貼りましたが、ノリが弱く脆弱です。
辻 伸弘
1週間持たずに剥がれてしまいましたという。
根岸 征史
それはあれ?印刷コードじゃなくて、辻さんが作ったやつをもらった人ってことかな?
いやいや、多分違うと思います。
辻 伸弘
そうじゃなくて、印刷コードの方?
根岸 征史
はい、印刷コードの方だと思います。
てことは、コンビニの印刷するシールのあれが弱いってこと?
辻 伸弘
そっちがちょっと弱めなんですね。
リスナーの方、もしかしたら良い工夫してる人がいたりするのかなと思ったんで、
引用リツイートって形でみると、みなさんどうでしょうか?みたいなことを聞いてみたら、人によるみたいで。
根岸 征史
へー、まあそっか。
辻 伸弘
剥がれやすいって言ってた人もいましたし、ノートパソコンですけど、取れないですねって言う人もいるんで。
根岸 征史
俺、コンビニで印刷ってやったことないんでわからないんだけどさ、あれってどこでやってもみんな同じものなの?
辻 伸弘
確かにですね。
多分一緒なんじゃないですかね。
根岸 征史
なんかほら、ひょっとしてコンビニとかのチェーンによって多少使われてるシートが違うとかさ。
辻 伸弘
もしかしたら、あんまり使われてないところとかだと劣化してたりするのかな?
根岸 征史
あー、なるほど。そんなに数出るものでもないもんな、多分な。
そうそうそう。
まあ、確かにそういう当たり外れはあるのかもしれないね。
辻 伸弘
そうですね。
剥がれにくいって方もいらっしゃれば、私は剥がれやすかったんで、みたいな感じで。
上から透明の加工をしたりとか。
あー、はいはい。
辻 伸弘
こういう綺麗なカットするようにやってますとかっていうノウハウがいっぱい出てきましたよね。
piyokango
へー、そうか。そういう工夫ってあるんだね。
いろいろやってるんですね。
辻 伸弘
なんかそのカットするやつめっちゃいいですね。
でもコスパ、このためだけに買うのはなぁと思いながら買いましたみたいな人もいらっしゃいましたね。
辻 伸弘
買ってるんかい。
根岸 征史
買うんかえーって思ったんですけどね。
辻 伸弘
そうそうそう。そんなことがある。
品質まではちょっとこれ、僕が配ってるやつならまあいいんですけど。
ちょっとコンビニのやつは個体差があるかもしれないなということで。
なるほどね。
2枚ぐらい印刷した方がいいのか、ちょっと大変のかちょっとわかんないんですけど。
はい、ということでございます。
根岸 征史
まあ2枚印刷っていうか、それこそコンプリート目指して何度も何度ももらえばいいんじゃないですか、コードの。
辻 伸弘
なるほど。
ぜひぜひお便りいただければなと思います。
辻 伸弘
そうですね。
辻 伸弘
これ読んだ方はもう1個差し上げるんでチャレンジしていただければ。
はい、ということでですね。
最後のお便りなんですけれども。
支援士合格しました。
根岸 征史
おめでとうございます。
辻 伸弘
おめでとうございます。
2年ほど前に情報系の部署に移動になって困っていた時、在宅のお供にと上司のお勧めで聞き始めました。
上司からの?
そうそう。
辻 伸弘
初めは日本語に聞こえませんでしたが。
根岸 征史
どういうこと?
辻 伸弘
ここだけ読むと僕らが滑舌悪いかみたいなことになってしまいますね。
piyokango
ついさん関西弁ですしね。
辻 伸弘
いやいや、怒られんぞ。そんなこと言ってたら。
すみません。
聞き続けていると面白くて、さかのぼって全部聞いてしまいました。
いつもありがとうございます。これからも楽しみにしています。ということで。
どうしてもお便りが書きたくて、アカウントを作りました。
辻 伸弘
このツイートのためだけのアカウントを。
根岸 征史
マジで?
辻 伸弘
お便り専用のアカウントを作って。
根岸 征史
本当に合格おめでとうございます。
辻 伸弘
おめでとうございます。
根岸 征史
セキュリティの話に興味を持つきっかけになってくれてたら嬉しいね。
そうですね。
それが目的でっていうよりも、どちらかというと僕ら3人で毎週毎週終わって、セキュリティの話を喋るのが純粋に楽しいから続けているのもあるけど。
そうですね。
でもとはいっても誰も聞いてなかったらやっぱり寂しいわけじゃん。
寂しい。
それでこうやって実際試験にまで受かりました。直接その試験に受かる役に立ったかどうかわからないけど。
でも聞き続けてくれてるっていうのが嬉しいよね。
本当そうです。
見えますね。こっちもね。
piyokango
これでますますね、試験対策のポッドキャスト。
辻 伸弘
受かるポッドキャスト。
根岸 征史
言えるんじゃないかな。
どうする?そのうちCNCのさ、試験対策本の本の帯にポッドキャストがおすすめとか書かれたりして。
辻 伸弘
いいですね。帯コメントですか。
辻 伸弘
帯そうそう。
根岸 征史
確かに帯コメントって書いたことないわ。
やりたい。
辻 伸弘
数々のCNC合格者がみんな推薦するポッドキャストみたいな。
ポッドキャストって書いて、ほんで僕ら3人とも誰もCNC持ってへんみたいな。
根岸 征史
持ってないんかい。
辻 伸弘
いいかもしれないですね。
本当に改めておめでとうございます。
piyokango
おめでとうございます。素晴らしい。
辻 伸弘
ということで今日もセキュリティのお話をそろそろしていこうかなと思ってるんですけれども。
根岸 征史
今日はじゃあ僕からいきますね。
辻 伸弘
前回僕ムービットの話をしたじゃないですか。
根岸 征史
クロップのやつね。
辻 伸弘
クロップランサムのやつをした時に、
ねぎしさんがその時にああいうインターネットに露出している機器とか管理画面とかそういった話のところの流れで、
根岸 征史
CISAが出しているBODの2302っていうのもあるよねっていう風におっしゃってて。
辻 伸弘
直接的な関係があるわけじゃないけど、話題として似てるかなと思ってさらっと紹介したね。
その時によくよく考えたらこのポッドキャストで2301も2302も2301?
辻 伸弘
2201か。
辻 伸弘
っていうのを紹介しているのに、それ紹介してへんかったなみたいな話になったじゃないですか。
なので今日はBODの2302の話をしようかなと思って。
根岸 征史
確かにこれ結構大事な話だよね。
辻 伸弘
知っておいた方がいいというか。
これ自体はちょっと前に出てた6月の13日ですね。
アメリカの現地時間6月13日に出てたので3週間くらい前ですかね。
に出てたやつなんですけれども、インターネットに露出した管理インターフェースのリスク軽減についてという指令が出ていましてですね。
このBODって多分聞いたことない方、ポッドキャストこれ実は初めて聞きましたっていう人もいるかもしれないんで言いますと、
バインディングオペレーショナルディレクティブって言って、アメリカの政府機関ですね。
に対して強制力を持つ指令というふうなもので、いついつまでにこういうことをちゃんとやりなさいみたいなものが強制力のある指令の中の一つで、
この2302というふうに裁判されているものが出てきていてですね。
先ほど言ったみたいなインターネットから見えてしまうような管理インターフェースをちゃんとしましょうというふうな指令が出たというようなことなんですけれども、
最近計算書とかも言ってますけども、ネットワークデバイスとかIoT機器とか増えてきて、
インターネットにつながっているようなこういうデバイスが多くなってきて、関連をしにくくなってきていると。
なので設定ミスとか、そもそもソフトウェアが古いとかということで、
苦用されるケースが前回のムービットの話もそうですけれども、増えてきていますよねというふうなことが背景としてあるんですね。
この指令の範囲、スコープなんですけれども、これはネットワーク管理インターフェース。
これはいわゆる管理画面というウェブインターフェースみたいな画面があるような、
グラウドで見るようなものだけではなくて、管理するインターフェースすべてというふうなことを言っているんですね。
なのでウェブインターフェースではなく、例えばテルネットとかそんなものもあったりするかと思うんですけども、
そういうものを指しているというふうなところですね。
いわゆるネットワークを通じて管理をするようなところというふうに考えていただければいいのかなというところです。
対象となる機器っていうのはこれもいろいろあるんですけども、ルーター、スイッチ、ファイアウォール、VPNとかいろんなものがあってですね、
このプロトコルのところが結構いろいろ幅広く挙げられているんですけど、先ほど言ったみたいに管理画面、いわゆるHTTPとかHTTPSがほとんどで、
80番もあったりとか80とかボート番号変えているというようなものもありますけども、
HTTP、HTTPSに加えて、FTPとか、あとSNMP、テルネットとかTFTPとか、
珍しいとか、最近見なくなったなというふうなものだと、R系のサービスですね。Rログインとか、RSHとかありましたよね。
そういったものとか、あとX11とかですね。診断とかでスキャンしているとたまに出てくるやつかなみたいなものがあったりします。
根岸 征史
内部のネットワークで開いているっていうことはあっても、外に露出するってことは滅多にないだろうね。
辻 伸弘
管理画面っていうのもあれば、直接管理はできないけど、これは開いておくべきじゃないんじゃないのっていうプロトコルも含まれているかなっていう感じを受けましたね。
このBODの適用外としては、クラウドサービスプロバイダーとかですね、そういったものは含みませんというふうに、あくまで自分のところで管理しているやつっていうイメージになりますね。
対象機器と範囲外
辻 伸弘
こういったもので問題が見つかった場合ですね、このCISAが通知したりとかするわけですけども、そういった発見された場合には14日以内に、
辻 伸弘
以下の2つの措置の少なくとも1つを講じなさいというふうな強制力を持った指令を出しております。
1つは、これはよくあるもんですけども、内部ネットワークからのみにアクセス制限をしましょうってことですね。
インターネットに出すなよっていう。できれば、これ外から見えないですけども、隔離された管理用ネットワーク、管理用セグメントとか言ったりするケースもありますけども、
そういったそのためだけのセグメントからアクセスするようにするのが推奨というふうに書いてましたね。
これ乗っ取られて横展開された時にそこから行かれるっていうケースもあるっていうのを想定して、
メールとかを受け取ったりしないような隔離されたセグメントが推奨というふうな意味だと思います。
あとはインターフェース自体の別のポリシーを使ってインターフェースへのアクセス制御。
これはインターフェースのパスワードとかIDとかネットワーク制御だけじゃなくて、
ドキュメントではゼロトラストっていうふうなことが書いてありましたけども、
そういった別のアクセス制御を実施することの方を推奨しますというふうな、
この2つのうちの少なくとも1つはやりましょうっていうことですね。
1つ目の方が比較的やりやすいかなというふうに思ったら、
多分それを加味して少なくとも1つというふうに挙げてるんだと思います。
で、これはCISAがこれに対してどういうアクションをしますっていうのは、
あれあれこれやれというだけじゃなくて、
CISAはこういうことをしますみたいなものがいくつか挙げられてたんですけれども、
辻 伸弘
これはCISAがというところを、
例えば自分たちが管理している、
辻 伸弘
例えば子会社とか海外支店とかいうふうな読み換えにすればいいのかなと思うんですけども、
辻 伸弘
例えばこういうCISAは、
辻 伸弘
連邦政府機関に報告のインターフェースと標準的な改善計画のテンプレートを提供しますみたいな、
これは例えば自分たちの子会社とかにテンプレートを作ってやっておけば、
管理しやすいかなというふうに思いますし、
こういったアクションが進みやすい1つの理由になるのかなというふうに思いました。
辻 伸弘
で、あとはCISAはこのCISAのウェブサイトを通じてこの指令の更新をしていきつつ、
アメリカ連邦政府機関のスキャンと分析
辻 伸弘
また要請に応じて個別の面談を通じてガイダンスを提供していきますというようなものもあるので、
これは親会社だとか何だとかというようなところで取りまとめしているところが、
このCISAがやっているというアクションをまとめてやるというのも参考の1つになるのかなというふうに思いました。
で、最近ですね、このCISAが出してた2302の内容を受けて、
商談みたいなといったら怒られるかもしれないですが、センシスというのがありますけれども、
いろいろ検索するとどんなポートでどんなサービスが動いててみたいなのをまとめている検索エンジンと言えばいいんですかね、
そういったものがありますけれども、そこがこのBODの2302の発行を受けて、
このスコープに定義されているアメリカの連邦政府機関と、
その株組織に対するスキャンと分析をしてみましたみたいなものがですね、出ていました。
合計ですね、1万3000以上のホストを発見することができたというふうなことでですね。
根岸 征史
なんか多いね、数が。そんなに数が多いんだろうけど。
辻 伸弘
うん、ホスト数は1万3000以上って書いてましたね。
piyokango
そんな数ですね。そんなのあるんだ。
根岸 征史
連邦政府機関もめちゃくちゃでっかい役所とかあるからな、そういうのも全部含めてそれなりに数あるんだろうね。
辻 伸弘
先日の解説はブログ記事みたいなもので、そんなにガッツリレポートみたいな感じではなかったんですけれども、
その結果としてどんなものかというと、この1万3000以上見つかったホストの中からですね、
辻 伸弘
ネットワークアプライアンスと言われる、ネットワーク機器ですかね、そういったものを公開している
辻 伸弘
ホストのWebインターフェース、HTTP、HTTPSのものが250近く発見されたと。
あとSSH、テルネットとかのリモートプロトコルっていうのも見つかったとかですね。
あとFTP、SMB、ネットバイオス、SNMPみたいなものも公開、ちょこちょこされてたみたいなことが書かれてあって。
結構これはって思ったやつはですね、
Ciscoとかのネットワーク機器そのものを管理するようなマネージャー系のものあるじゃないですか。
アダプティブセキュリティデバイスマネージャーかなっていう名前のやつがありますけど、
そういったものも見つかったっていうのがあって、結構クリティカルなというか、
それ1個で他にも影響を及んでまうでっていうふうなものもあったというようなことが書かれていてですね。
で、その中でもこんなんもあんのかっていうふうに僕は思ったやつは、
あの脆弱性スキャナーのNexusってあるじゃないですか。
あれのスキャン用のサーバーっていうふうなものも見つかったということで。
なのでもしこれで中身見れたらどんな脆弱性があって、どんなホストがあって、
攻撃する前からもいろんなものがわかってしまうみたいなこともあって、
辻 伸弘
こういうのも外に開けてるのを、いろんなねそういう政府機関って、
辻 伸弘
いろいろその予算があるないとかっていうのはあるにしても、
これが外から見えてるってやっぱまだまだあるんやなっていうふうな印象を受けました。
根岸 征史
これさ、今回のセンシスのスキャン対象が仮にというか、全部が全部スコープないだとしたら、
これその機関的猶予はあるけど、基本的にはこれだからゼロになってなきゃおかしいってことだよね。
piyokango
そういうことですね。
根岸 征史
そういうことだよね。だからね。
で、ちょっとさっきの2つどっちか選択してどっちでもいいけど、実装してねっていうやつ、
若干わかりにくいんだけどさ、なんか実装ガイダンスの方とか見ると、
VPN経由でのアクセスは一応許可されてるんだよね。
辻 伸弘
そうですね。
根岸 征史
なので、アクセス制御されていて、広くインターネットで公開されていないようなVPNで組織の中につないで、
そこからネットワーク管理インターフェースにアクセスするのは、これは一応許可されてるんだよね。
だから、何でもかんでもゼロトラストにやらなきゃいけないというわけではなくて、
一応既存のアーキテクチャのままでも実現は可能なんだけど、
だけど、インターネットで広く公開は基本的には全部NGって言ってるんで、
こういう検索エッジでそもそも引っかかっちゃダメなんだよね、全くね。
piyokango
そういうことですね。
根岸 征史
いやでもこれはさ、思ったよりも多かったっていうのもあるけど、ハードル意外と高いなこれな。
本当にゼロになるのかなこれ。
piyokango
ね、本当に。
辻 伸弘
ゼロになってはまた出てきてっていうのもあるんで、
なかなかずっとゼロっていうのは難しいかもしれないですけど、
発見されたホストの公開情報
辻 伸弘
維持し続けるのって結構大変やなっていう気がします。
維持し続ける前にまずそもそも今の状況からゼロになるのかっていうのが疑問だなあ。
根岸 征史
なんと中にはさ、このヤバいってやつとかは多分すぐ消えると思うけど、
株の組織の方とか、ここまで自分たちのスコープないかって、
自分たち自身も分かってないような危機とかが中には結構あるんじゃないかっていう気がするんだけど、
そういうのまで徹底してできるのかなっていうのをさ。
辻 伸弘
確かにね、この危機って誰がいつ何のために設置したやつやっけっていうのは出てきそうですよね。
根岸 征史
かといって引っこ抜くわけでもいかないっていうか、
辻 伸弘
何が起きるかわかんないですからね。
根岸 征史
誰がどう管理するかわかんなかったら下手なことできないじゃん。
それこそ可用性に影響しちゃうとかね。
どっちが大事かわかんないけど、だからこれ意外と難しいような気がするんだけどね。
辻 伸弘
そうですね。だから知らん間にメンテナンス用でしたみたいなんで、
それでブロックしちゃったらメンテナンスできひんでなりますしね。
piyokango
その辺は今回の指令では記載っていうのはないんですかね。
その可用性を損なうケースにおいても、やっぱりこの指令の内容に基づいてしっかりアクセスコントロールしてね。
辻 伸弘
14日以内なんでしょうね。
根岸 征史
だからこっちが優先されるんだろうな。
辻 伸弘
管理してもらってたってわかってもね、
辻 伸弘
管理してくれてるところがなかなかないかもしれないですけど、
辻 伸弘
IPアドレス固定じゃないですか。どうすんだろうなと思いますけどね。
ありえなくはないですよね。
根岸 征史
そのVPNか何かわかんないけど、複雑とも何かしらきちんと
辻 伸弘
ワンクッション。
根岸 征史
誰からでもアクセスできないような仕組みにしないとダメってことだよね。
辻 伸弘
なかなかちょっと大変ですよね。
辻 伸弘
VPN機器あるとも限らんしな。
根岸 征史
そうなんだよね。ちょっとハードル高いよね。
内緒はこれを機にCISAの意図としては、
セキュリティに対する認識の必要性
根岸 征史
一気に連邦政府機関をゼロトラストのアーキテクチャに
やっとアクセル踏んで移行しちゃえっていうことなのかも。
piyokango
意図もあるのかもしれないですね。
確かに。後ろ盾にはなりますよね。こういうことがあるのでっていう。
根岸 征史
葉っぱ掛けてるのかもしれないね。
辻 伸弘
確かに確かにね。
というのがメインで。
猶予としてフィルタリングでなんとかっていうのもやっていいよっていう風にしてる。
ちょっとずつずらしていく感じなのかもしれないですね。
根岸 征史
あくまでも本命は2番目の方でみたいなね。
辻 伸弘
それはあるかもしれないですね。
piyokango
これ日本でやったらどうなるんでしょうね。
辻 伸弘
同じような感じの。
piyokango
同じようなのかな。もっとひどいかもしれないなって
ちょっとゾッとしてはいるんですけど。
根岸 征史
でもさ、これ、具体的な内容とかまではよくわかんないけど、
いろいろ政府間の協定とか覚書とか。
いろいろ協力関係だ。日米も当然そういう協力関係にあって。
ざっくり言えば同じぐらいのセキュリティレベルが求められるわけじゃん。
piyokango
本当にそうだと思いますよ。
根岸 征史
じゃないと、それこそ話ずれちゃうけどさ。
情報共有的なのを国同士でね。
例えば情報機関とか法執行機関とかで
共通のオペレーションをするから情報共有するとかってなった場合に
インフラが脆弱ですってなったらさ。
辻 伸弘
もうそれでアウトじゃん、まず。
そんな怖くて情報を渡されへんわってなりますもんね。
根岸 征史
そうなっちゃうよ。そういう口実になっちゃうっていうかね。
そうならないためにも、やっぱり一般の民間はともかくとして
少なくとも政府官公庁系というか重要なインフラとかさ
そういうところになってる部分は
少なくともこれぐらいの、同じぐらいのレベルはやっぱり達成してないと
まずいんじゃないかなと思うけどどうだろうね。
ちょっと心ごとないね、その辺はね。
辻 伸弘
この辺はちょっとね、日本の国内の政府機関関連組織みたいなところに
どうしていくのかみたいなのは特に何も外からは見えないですもんね。
根岸 征史
でもこれあれだよね。2本目やったらいいんじゃない?スキャンしてさ。
見つかったらもう全部通知みたいな。
一旦把握することぐらいはした方がいいかもしれないですよね。
できなくはないよね。どれとは言わないけどそういう仕組みあるじゃん。
辻 伸弘
別に言うてもいいと思いますけど。ありますよね。
根岸 征史
そういう仕組みいろいろあるじゃん。
そういうのを活かせたらいいんじゃないかね。
そう思ったけどどうだろうな。
でもやっぱりこいつは法的な強制力のある、ちゃんとさ、法整備があって
ちゃんとした省庁による体制っていうかね。
ただやれって言うだけではなくて、今回のやつもさ、ちゃんとCISがSA側がちゃんとやることがあって
それをリードする体制とかがあるから、今後どうなるかわからないけど
ハードルは高いとは思うけど、それなりにきちんと手順を経てやってるなという感じはするよね。
辻 伸弘
自分たちも、やれやれって言うだけじゃなくて、自分たちはこういうことをしますって書いてあるのもちょっといいな、この文章が。
piyokango
そうですよね。一緒に汗をかこうっていう感じのものですからね。
根岸 征史
それは見習うべきだよね。
辻 伸弘
これを見ながらちょっと僕は反省しました。
piyokango
なに?どうされました?
辻 伸弘
こんなん公開してへんの?ちゃうの?って思ってるようなものもボコボコあったみたいなのを見てね
今まで僕が接してきたお客さんとかっていうのは、診断を受けてるお客さんとかそういう人たちを見てきてるケースが多かったっていうのがあったので
全体で見た時の当たり前と、僕が見てきて視野が狭くなってた当たり前っていうのの乖離がすごい意識持ててなかったなっていう思い込みがあかんなっていうのはね、これセンシスのやつ見て思いましたね。
根岸 征史
確かにね。
piyokango
なるほど。
根岸 征史
割と僕らそういう普段専門的な仕事をしてて、周りもそういう人たちが多いからさ、ちょっとついついそれが当たり前と思っちゃいがちだよね。
そうですよね。
辻 伸弘
なるほど。
それとね、後はこのインターネット、公衆インターネットと呼べるんですかね、外からもどこからでも繋がりますみたいな、公開されているものを今回このBODの230には対象としているんですけど、
次のステップとしてっていうふうに考えた時に、最近やっぱりグループ企業とかパートナー企業とかからっていうその繋がりを利用したいわゆるサプライチェーン攻撃みたいなふうに言われるものもあるじゃないですか。
はいはい。
あれって許可されているIPアドレスからやられるわけですよね。
なのでこの公衆インターネットっていうこともあるけど、閉じてるから安心っていうふうに思わない度にもそのIP、許可されているIPアドレスもしくは許可されているIPにもしたIPアドレス、同じルールを適用しているIPアドレスからのこういうチェックっていうのも必要なんじゃないかなっていうふうに思いましたね。
次のステップとして。
根岸 征史
あくまでも優先順位が高いってだけだもんね、インターネットからはね。
辻 伸弘
そういうことですね。意外とこれが穴になるケースもあるので見落としにならないようにしないといけないなというふうに思いましたということです。
根岸 征史
はい、ありがとうございます。
辻 伸弘
はい、以上です。ありがとうございます。
じゃあ次はKanoさんに行きましょうかね。
piyokango
はい、私はですね、今日はイギリスのBBC、ご存知だと思うんですけども、
BBCがパノラマって、私あんまり詳しく知らないんですけど、たぶんNHKで言うとNSBとかになるんですかね。
たぶんそういった取材報道をBBCでもやっておられて。
中国製監視カメラの脆弱性報道
piyokango
最近、中国製の監視カメラっていうのがどうかっていうところに取材された記事が出ていまして、
今日はちょっとそれを取り上げたいなと思ってるんですけども、内容的には中国製のその監視カメラ、
具体的に言うとハイクビジョンとダーファっていう会社なのかな、
その2社の市販でおそらく出回っているだろう監視カメラをBBCと、
あと調査協力としてはアメリカのIPVMっていう会社ですかね。
そちらが実際に協力をして、中身、外部からハッキングなどができないかっていうのはそういった検証をしてみましたみたいな、
そういった感じの構成で報道が構成されてまして、
当然テレビ的な演出というか、冒頭こんな感じで監視カメラから外部の人間が情報を取れるんだみたいな、
そんな感じで、で、実はそのカメラはこれだみたいな。
辻 伸弘
テレビっぽいですね。
piyokango
はい、まさにテレビなんですけど、テレビっぽい演出もありながら、
ポイントポイントとして気になるところとしては、先ほどの2社のカメラにおいて、
特にハイクビジョンのカメラにおいては、調査に協力したIPVM曰く、
2017年当時のクリティカルな脆弱性が残ったままになっていて、
それを使うことが可能な状態になっていたと。
で、同じような状況のカメラがオンライン上で、
これちょっと数が若干ブレードがあるんですけど、
少なくともBBCの記事の中では10万台以上あるんではないかみたいな。
ずいぶん多いな。
結構数多く出されてはいて、
で、それ結構まずい状況なんじゃないかっていうふうに、
私も単純にこの記事だけ読むとそういうふうには思っていて、
一応BBCもハイクビジョンとかに見解というか取材をしてはいて、
2017年当時の問題に関しては、もちろんハイクビジョン側も、
その当時すでに認識してファームウェアのアップデートは公開済みですと。
なので、よく言われるような意図的なセキュリティホールというかバックドアというか、
そういったものではないんですよみたいな、
そんな感じのニュアンスがBBCの記事の中では取り上げられていたんですけども、
先ほどIPVM訳、多くのカメラがネットワーク上に脆弱性が残ったまま公開されているということを受けて、
非常に問題だみたいな、そんなトーンで、
BBCのパノラマの記事の取材報道自体は構成されていたということだったので、
これだけ見ると結構インパクト強いですし、
特にイギリスは結構中国製の監視カメラ、ハイクビジョンを含めて結構使っていると。
プライバシー保護団体の調査なんかでも、議会とか警察とかが、
ハイクビジョンがDAFAのカメラを使用しているんだ、みたいな、
そんなのを情報公開請求から調べたり、なんていうのもしてはいてですね。
根岸 征史
なんかさ、それ去年あれだよね、確か禁止したよね。
piyokango
そうですね。
根岸 征史
政府機関向けには中国製のカメラは設置しちゃいかん、みたいなオフレが出たよな。
piyokango
出てはいるんですけど、実態としてはまだ残って、すぐは多分変えられないってことなんですかね。
根岸 征史
多分数が相当多いんだろうな。
piyokango
これがちょっと日本でどうなのかとか、その辺ちょっと私情報持ってないんですけど、
結構イギリスでは使ってるんだなっていうのがあってですね。
なのでこの記事というか、その取材というか、
このBBCの出した内容って結構インパクトはあったんですけども、
ハイクビジョン側もこのBBC、あるいはIPVMが出した調査報道の内容に対しては、
かなりざっと読んだ感じではちょっと怒ってるんじゃないかな、みたいなトーンの書簡というかプレスリリースは出していて、
多分今私の話を聞いていても思ったと思うんですけど、
具体的な、例えば2017年のどんな脆弱性だったのかとか、
あるいは本当に外部から、さっきついさんの話じゃないんですけども、
インターネットにのざらしになってるような状態のカメラだったのか、
あるいはその企業のネットワークのしかるべきところに設置されたものに対しても同じようにのぞき見とか、
あるいはネットワークをその端末を通じて侵入ができるような状態になってるのかとか、
その辺が具体的な情報っていうのが出てなくてですね、書かれてなくて、
結局これ問題としては指摘はされているんだけども、
その辺をちょっと検証するための情報がかなり少ないというところがあって、
当然ハイクビジョン側もそこについてはかなりどうなんだというトーンでリリースは出していてですね。
またその出されていたハイクビジョン側のリリースに対してIPVMがまた反応するブログというか記事を出しているという感じで、
なんかあんまり綺麗な状態にはなってないんですけども、
気になる点としてはIPVMが本当に言っていることが事実として正しいのであれば、
やっぱりこの手のIoTデバイスっていうちょっと括りだと主語が大きいのかもしれないんですけども、
監視カメラ、特に監視カメラとかに関してのものについてはファームウェアのアップデート、
仮にしっかりしたもの、修正されたものっていうのがハイクビジョン側からその当時出ていたのだとしても、
それを適用するっていうのがやっぱり結構ハードル高いのかなっていうのは、
それはちょっとバックドアがどうかとかいろいろちょっとうがった見方いろいろできると思うんですけども、
それはちょっと置いておいて、純粋にIPVMの書断で調べたみたいですけども、
更新がされないまま残ったままのものが多くあるっていうのはやっぱり結構問題かなというところがあるので、
ちょっとそこはこの中国がどうかとかっていう話とは少し切り離す形で、
しっかり議論というか検証というか対応っていう部分をしっかり考えていかないといけないのかなっていうのは、
それはちょっとこのBBCの報道からは、私自身の。
脆弱IoT機器の問題
辻 伸弘
そうですね。ファームが上がってる上がってないとかっていうのは、
別にハイクビジョンだ、ダーハとかっていう話じゃないですね。
運用の話ですもん。何使ってても一緒ですもんね。
なんかぼやけてる感じしますよね、ちょっとね話がね。
記事の狙い側だから、そっちの方向に寄せてあるような気は若干するよね。
根岸 征史
ちょっと話が逸れるかもしれないけど、今ついさんが言ったみたいに、
特に中国製に限らずこういった脆弱なIoT機器、アップデートがされてないやつの問題っていうのはもう数年前からずっと言われていて、
だからこそその脆弱性とかを使って、悪用して、乗っ取ってとかっていうのがなくならないわけで、
それに対するその注意喚起というか、なんかそういう意図はあるのかもしれないけど、
全て中国製のカメラだけに絞ってどうこうっていう意図が、裏の意図が。
辻 伸弘
そういうのが見え隠れするかもしれませんね。
根岸 征史
なんかちょっと感じなくはないかなというか。
piyokango
確かに確かに。なんかこれ例えば欧米とかの他のベンダーから出てるのはしっかりパッチが当たってるんだけども、
根岸 征史
そういう比較がね。
piyokango
情報がまたね、あればまたいろいろ考えはできるんですけども。
根岸 征史
具体的にそういう情報とかがあればまたちょっと話は違うけども、なんかちょっとふわっとしてるしね。
piyokango
そうなんですよね。
根岸 征史
日本の状況を考えたらさ、中国製よりもよっぽど韓国製の方がやばいぜ。
piyokango
確かに確かに。
DVRとかが。
根岸 征史
韓国製のOEM製品なんて酷いよみんな。
piyokango
本当に。
根岸 征史
贅沢性だらけだよ本当に。
一応そういうのも含めて、はいはいって思いながら、でもその確かに事実としてそういうところはあるのはあると思うんで、
それはちょっと何とかしてないかなーって思うけどね。
イギリスももしかしたら政府機関向けに去年禁止したっていうのもあるし、
piyokango
なるほどそうですね。
根岸 征史
そういうあまりセキュアでない機器が当たり前のように使われている状況に対する機器間の現れが政府だけでなくこういうね、
BBCなんかのメディアを通じてやってるのかもしれないけどね。
国民向けのキャンペーンなのかもしれないなわかんないけど。
ちょっとその辺の温度感がちょっとわかんないけどさ。
辻 伸弘
ファームウェアの話するにあったらね、
脆弱性発見からファームウェアの提供までのリリースの期間がここはどうでここはどうみたいな話がもっとあればいいんでしょうけどね。
根岸 征史
例えばね、とかまあなんかさっき言ったみたいにその国とかベンダーによってそのアップデートのその何期間がさちょっとあまりにも長すぎるとかわかんないけど。
piyokango
明らかなね、なんかその辺の偏りとかがあればまた。
根岸 征史
まあなんかそういうのがあればねちょっとおかしいなとかあるけど。
普段この辺結構調べてる感覚としてはどこもそんなに変わってない。
piyokango
ねぎさんやっぱりこの辺よく見られてますからね。
根岸 征史
むしろ韓国じゃねみたいな。
大体同じぐらいに横並びにしててちょっとひどいのが目立つところがあるみたいな感じですね大体ね。
まあそんな感じだけどねわかんないけど。
なるほどいやちょっとでも面白いねこういう記事ちょっとでもおっとそこが目を引いたわけでなるほどね。
piyokango
なんか混ぜるな危険じゃないんですけども。
なんかやっぱりねちょっとそういう感じでうまくうまくというか組み立て方次第によってはこういう見せ方ができるなっていうのは一つのサンプルになるなっていうのは私の中では。
辻 伸弘
ちょっと詳しくないとこれってそうかって思えず読んでしまうかもねっていう感じがしますよね。
piyokango
全然ねあのその辺詳しくない方がこれだけ見たら中国やばいぞのバックドア仕掛けたカメラめっちゃばらまいてるぞみたいなそんな風に見える風に純粋にそういう風には見えるような構成になってるんじゃないかなとは思うので。
辻 伸弘
ある意味よくできた組み立てやなと思いました。
piyokango
はい。
辻 伸弘
はいありがとうございます。
はい。
はいということで最後はねぎさんですねお願いします。
piyokango
はいお願いします。
プロトンパスのリリース
根岸 征史
今日も京都でまたちょっとパスワード関連の話を取り上げる。
証拠にもなく取り上げるんですけども。
piyokango
パスワードはい。
いいですね。
なんかありましたっけ。
根岸 征史
はいえっとですねスイスにあるプロトンっていう会社。
これはプロトンメールとかプロトンVPLとかね。
あのポッドキャストでも何回か取り上げたと思うんだけど。
非常にプライバシー重視したそういうセキュアなサービスを提供している会社があるんですけど。
ここが今週プロトンパスっていうパスワードマネージャーをリリースしたんですよ。
お。
辻 伸弘
へえ。
根岸 征史
でパスワードマネージャー好きとしてはちょっと見逃せないので。
ちょっと試しに使ってみたんで。
辻 伸弘
ちょっとどんなところが特徴としてユニークなところがあるかとかっていうのを少し紹介したいなと思ったんですけど。
根岸 征史
これ今週一般向けにリリースされたんだけど2ヶ月くらい前にベータ版が公開されていて。
今週広く誰でも使えるようになりましたと。
ということでよくあるパスワードマネージャーはだいたい他のとそんなに変わらないんだけど。
ワンパスワードとかビットワーデンとかね。
piyokango
はい。
根岸 征史
機能的にはそんなに大きな差はなくて。
あとブラウザの拡張機能とかモバイルのiOSとかAndroid版のアプリとしてリリースされていますということなんだけど。
特に他との大きな違いを一つあげるとすると。
今回のプロトンパスにはハイドマイEメールっていうエイリアンスのアドレスを管理する仕組みが備わってて。
辻 伸弘
ハイドマイEメール。
根岸 征史
これ何かというと実はこれはその単体の機能としてだけ見ればこれまでにも結構あるんだけど。
例えばiCloudのハイドマイEメールっていう同じような名前の機能があったり。
あとここでも紹介したかなDuckDuckGoのEメールプロテクションっていう機能があって。
これではどれもちょっと細かい違いはあるけど、どれも大体ランダムな匿名のメールアドレスを自動的に作成してくれて。
そこに来たユーザー宛てのメールを安全にユーザー本来の例えばGメールとか別のメールアドレスに転送してくれるっていう。
そういうサービス。いずれも同じようなサービスなんだけど。
何がこれ嬉しいかっていうと。
例えばあるサイトでアカウントを登録するときにこれを使ってランダムな匿名のメールアドレスを作ってそれで登録しますと。
プロトンパスの基本機能
根岸 征史
そうするとそのサービスの必要なメールはちゃんと転送されて届くんだけど。
だから普段は別に何にも困らないんだけど。
万が一そのサイトから情報漏洩が起きてアカウントの情報が漏洩しましたってなった場合に。
パスワードは変えればいいんだけどメールアドレスって漏れちゃったらそこにスパムとか飛んできて困るじゃん。
変えられない。これは問題だよねっていうことで。
それに対応したのがこのランダムな匿名のメールアドレスを作るっていう機能で。
これがあれば仮に漏洩してもそのメールアドレス捨てちゃえばいいんで。
そのサービスに登録したらメールは別のに変えれば済む話なんで。
全然困らないと。
一応そういうリスクを減らしましょうっていう。
それが一番の目的で作られているサービスっていうのがこれまでにもいくつかあったのね。
辻 伸弘
僕も今言ったサービスは使っているんだけどさ。
根岸 征史
なんだけど今回のプロトンパスはその機能をパスワードマネージャーに統合したっていう部分が新しいのかなっていうか。
他のやつにはなかったんじゃないかなと思うのね。
だから利用シーンとしてどうなるかっていうとこのプロトンパスを使っている人は
例えば新しくTwitterとかどっかにアカウントをこれから登録しますってなった場合に
そうするとその新規にTwitter.ホリャララホリャララアットマークパスメール.comだったかな
そのプロトンパス専用の匿名のメールアドレスっていうのを自動的に生成してくれて
それで登録をしますと。
パスワードももちろんパスワードマネージャーだから強固なものを自動的に作って登録しますと。
それをパスワードマネージャーに保管しますと。
その匿名のメールアドレス宛てに飛んでくるメールは自動的にそのユーザーが指定したメール
これはユーザーが個別にアカウントごとにフォワード先を変えられるので
そのあたりは結構柔軟に設定できるんだけどちゃんと転送されてくるから
使う分には何も困りませんねと。
で万が一さっき言ったみたいにもしそのアカウント情報が漏洩したら
そのプロトンパス上でその転送をやめるっていうか無効にすれば転送されなくなるので
自分がもともとずっと使っているメールアドレスには何の影響もなく過ごせるという部分がちょっと新しいというか
パスワードマネージャーにそれくっつけると確かに便利だなぁとちょっと思って
これはねこの部分だけでも使いたいって思う人は
もしかしたら今僕が紹介したようなワイクラウドとかDuckDuckGoの似たようなサービス使ったことないよっていう人は
このプロトンパスのその機能を目当てに使ってみるっていうのもありかなというふうにちょっと思いました。
piyokango
そうですね。
メールサービスやっているところならではの強みですよね。
根岸 征史
確かに。
そういう使い方としては結構ありかなというふうに思いました。
あとはそんなに大きくまだまだリリースしたばっかりなので
細かいところで慣れてないところがあったりとかっていうのはあるとしても
おおよそパスワードマネージャーの競合するような製品が持っているような機能は大体持っているので
普段使いとしてメインのパスワードマネージャーとしてこれから探しているという人は選択肢に入るのかなというのと
あとアカウントの利用の制限というか
これは一応プロトンのサービスなのでプロトンのアカウントで使うんだけど
一応プロトンのフリーのアカウントでも使えることができて
登録するパスワードの数とか
プロトンパスの利用範囲
根岸 征史
あと使用するデバイス
例えばモバイルの端末何台とか
ブラウザーのデスクトップ何台とかっていう数にも制限が一切ないので
piyokango
へー太っ腹
根岸 征史
基本的なのはフリーで無制限で使えます
例えばそういう意味ではワンパスワードみたいな有償でしか使えないというと差別化しているというか
ビットワーデンとか無償で使えるからそっちに近いのかなどっちかというと
ただし有償でなければ使えない機能というのも一応あって
それがさっき言った一つの目玉のHIDE MY EMAILってやつは
これは実は無償だと個数が10個までだったかな
数に制限があって
辻 伸弘
メールの数が
根岸 征史
特命のアドレスとして生成できる数に上限が決まっていて
それは有償でなければ使えませんよってなってるとか
あとワンパスワードとかにもあるけど
いわゆる2ファクターオーセンティケーションの
ワンタイムパスワードのシークレットコードを登録する機能っていうのがあるんだけど
これも一応数が上限が決まってるんで
この辺をフルに使いたいってなったら
プロトンの有償のアカウントを使ってくださいねと
そういう感じになってるんだけど
そこまでいらないと別にパスワードマネージャーとしての
基本機能だけでいいわっていう人は
そうやったら別にフリーでずっと使うこともできるので
そういう意味で選択肢が増えたっていうのは
いいんじゃないかなというのと
もともとプロトンメールとかVPLとか
そういったセキュアなサービスで定評あるところでもあるので
セキュリティ名も一応こういうセキュリティで保護してます
っていう説明も出てるんだけど
まあまあしっかり考えられてるなという感じがしたので
あとはコードもオープンソースで公開されてて
第3者の観察も受けてるらしいんで
そういう意味でも比較的安全性は高いのではないかと思われるので
有力な選択肢としてあげてもいいんじゃないかなと思いました
辻 伸弘
結構太っ腹ですね本当に
根岸 征史
そうですね
やっぱり機能制限とかがあまりにも厳しすぎると
ちょっと使う気なくしちゃうし
piyokango
そうなんですよね
辻 伸弘
確かにね
3つしか無理ですとか言われたら
piyokango
そうそうそうそう本当に
辻 伸弘
これあれなんですか
辻 伸弘
ネギさん実際に使ってみて
ワンパスワードを使ってるから比較もしやすいと思うんですけど
ワンパスワードでIDとかパスワード
辻 伸弘
認証に関わるようなもの以外のテンプレートとかもあるじゃないですか
辻 伸弘
例えばクレジットカードとか
あとは安全に保管しておくためのメモとかね
辻 伸弘
そういうIDパスワード以外の
辻 伸弘
こういうテンプレートとか機能保存するための
箱というか枠みたいなものっていうのはあるんですか
根岸 征史
その辺がちょっとまだ弱いんだけど
一応今の段階では
ログインのパスワード情報と
さっき言ったエイリアンスのメールアドレスの情報の他に
あとはノート機能っていうのがあって
一応何でもテキストで書ける機能はあるんだけど
さっき言ったクレジットカードを安全に保管して
自動的にそのカード情報を入れるところでは
自動的に入力するみたいな機能っていうのは
今後追加するらしくて
その辺はまだこれからもちもち機能追加していくという状態みたい
なので現段階では
最も基本的な機能だけがあるという
辻 伸弘
まずミニマムでスタートしようみたいな
根岸 征史
そういう状態ですね
あとそうだなちょっと細かく書いてなかったけど
例えばワンパスワードとか他のやつにもあるかな
辻 伸弘
パスワードが漏えいした場合にそれをチェックする的な機能とか
根岸 征史
あとワンパスワードなんだっけ
他にもいくつかサイトごとのパスワードの強度チェックとか
使い回しとか
使い回しチェックしてアラートが出てきてとか
そういうような付加機能的っていうの
そういうものがかなり豊富で充実してるけども
そういうのは一切なくて非常にシンプルな作りなんで
辻 伸弘
IDパスワードとメールの強みを生かしてるところをまずやりました
根岸 征史
まずは基本機能でリリースしましたっていう風に見えるんで
これから多分機能拡充していくんじゃないかな
辻 伸弘
じゃあ基本的なところって言うとあれはできるんですか
辻 伸弘
パスワード生成
根岸 征史
もちろんできますよ
辻 伸弘
それはできるんですね
辻 伸弘
この何文字でとか記号ありでなしでとかっていうので
別に作ってくれるっていうのもまずできると
根岸 征史
できます
辻 伸弘
じゃあ最低限使うには何の問題もなさそう
根岸 征史
全然普段使いできるようなレベルにはなってる
piyokango
日本語は残念ながら対応してない
根岸 征史
まだないですね
それはちょっとさすがに多言語対応はこの段階では無理だな
辻 伸弘
そうですよね
無料の段階でこの段階では無理ですよね
プロトンパスのセキュリティ
辻 伸弘
ミニマムだとね
辻 伸弘
でもパスワードマネージャー英語っていうハードルをちょっと超えて
辻 伸弘
使ったことない人が使ってみるっていうのは一ついいのかもしれないですね
根岸 征史
確かに子供の壁的なものはあるけど
使い方としては非常にシンプルでそんなに迷うような場面はない
僕がちょっと他ので使えないというからっていうのもあるかもしれないんだけども
ちょっとそこらへんの感覚は違うんで分からないけど
でも使い勝手とかUI的な作りとかは
むしろシンプルで分かりやすいというかね
なので悪くないかなという感じ
その豊富な機能が欲しい人にはちょっと物足りないかもしれない
そんな感じですね
辻 伸弘
メールのやつ結構賢いなと思いましたね
根岸 征史
なんかちょっとそういう
なるほどなって機能としてはあったけど別々に使ってたなと思って
piyokango
確かに
根岸 征史
一個になってたら
だからIDの管理とパスワードの管理を両方できますよっていうのを結構売りにしてるっていう感じで
辻 伸弘
しかも変えられるっていうね
根岸 征史
やってるんでそれは確かにいいかもねって思った
ぜひ使ってみてください
ワンパスワードが侵害を受けたらこれに乗り換えようかなっていう
でもね
いつ何時にそういうことが起きるとも限らないし
一応ね
大体のサービスとか製品っていうのはチェックしておくとか
一応常識じゃないですかこういうのはね
辻 伸弘
そうですねそういうのあるに越したことないですからね
根岸 征史
いざった時には切り替えられますよっていうね
piyokango
そうですねいろんな選択肢を持つって大事ですからね
辻 伸弘
ありがとうございます
はいということで今日も3つのセキュリティのお話をしてきたんで
最後に
すすめのあれなんですけども
今日僕が紹介するのは食べ物でいきます
piyokango
なんでしょうか
辻 伸弘
島田屋という食品メーカーが
島田屋
piyokango
島田屋
辻 伸弘
カタカナの島田屋という食品メーカーが出しているですね
根岸 征史
なんか有名な商品あったっけ
辻 伸弘
島田屋といえばこれみたいなってことですか
根岸 征史
なんかあんまりピンとこないんだけどなんかあったかな
辻 伸弘
結構麺系が多いんですよね
piyokango
流水麺ってここか
辻 伸弘
流水麺はCMで流れてたりもするやつかな
なるほど
そこの出してるですね
辻 伸弘
ハルキアっていうラーメン屋さんが監修してる
辻 伸弘
ラーメン中華そば
これは東京の小木窪にあるお店なんです
小木窪とあと吉祥寺にもあるのかな
根岸 征史
なんかあるね
辻 伸弘
結構老舗のラーメン屋さんらしいんですけれども
そこが監修してるというやつなんですね
自分のとこに近づけてるのかどうかちょっとわかんないんですけども
監修しているということで
僕このハルキアっていうラーメン屋さんは行ったことないんですよ
でこれの島田屋のやつを食べたんですけど
根岸 征史
ラーメンの好みとしては基本的に豚骨が好きなんですよ
辻 伸弘
選択肢って豚骨
辻 伸弘
ジャンルでいうと豚骨と醤油味噌塩天一っていうジャンルがあるじゃないですか
ラーメンって
piyokango
最後おかしい
辻 伸弘
ほんまですか
そういうジャンルが大きく分けて5つぐらいあるのかな
なんて僕は思ってはいるんですけれども
辻 伸弘
これは醤油ラーメンなんで僕は豚骨が好きなんですけど
選択肢があったら醤油ってなかなか選ばないんですよ僕
たまたまスーパー行った時に
ちょっと今週来週パタパタしそうやからさっと食べられるようなもんこうとこうと思って
たまたま目に留まって買ったんです
食べたら僕生麺で湯がいてみたいな感じで食べるやつなんですけど
今まで食べた醤油ラーメンの中で一番おいしかったですね
辻 伸弘
醤油ラーメンしかないお店とかも
辻 伸弘
ラーメン博物館とかあるじゃないですか新横浜に
醤油ラーメンのおいしさ
辻 伸弘
ああいうとこに行ったら醤油ラーメンしかないっていうところもあるけど
辻 伸弘
せっかくあるとこ行ってるんでいろんなもの食べようかなと思って食べたりしてきた中でも
辻 伸弘
おいしかったんですめちゃめちゃ醤油ラーメン
これを食べて逆に店行きたいなと思うぐらい
根岸 征史
よっぽどだね
俺ハルキアって行ったことあったかな
辻 伸弘
有名店ですよねこれ僕名前は聞いたことありますもん
根岸 征史
有名有名だし俺昔そこら辺が生活圏だったからさ
そうなんですね
大木久保吉祥寺あたりが
行ったことある気がするんだよな
なんかあれだねいわゆるオーソドックスな中華そばって感じの
辻 伸弘
そうですね麺もちょっとすごくスープに絡みやすいちょうどいい太さの麺で
根岸 征史
なんかでも全然思い出せないから行ったことあるとしても相当昔だなこれな
辻 伸弘
かなりうまくてまた買おうって
醤油ラーメンでまた食べたいと思うことあんまないんですよ
なんか結構醤油ラーメンって結構差別化しにくくないですか
根岸 征史
そうかもしれない分かんない
辻 伸弘
味が結構あれで
根岸 征史
ラーメン屋さんに行ったら怒られるかもしれないけど
辻 伸弘
怒られるのかな
僕が分からへんだけかもしれない
根岸 征史
分かんない
辻 伸弘
でも僕が分かれへんかったらダメですけどね
食べるとか分かれへんかったらあかんやろっていうのもあるんですけれども
ほんとよくおいしかったですね
ぜひスーパーで見かけたら
根岸 征史
普通のスーパーとかで売ってんの
辻 伸弘
売ってると思いますよ
根岸 征史
そうなんだ
辻 伸弘
本当に食品売り場の麺コーナーみたいな
今やったらほら冷やし中華始めましたみたいなコーナーあるじゃないですか
辻 伸弘
ああいうとこで並んでますわ
辻 伸弘
2食分で1パックで2食分のやつなんですけど
ちょっと感動したんでこれは紹介せなあかんなと思ってね
ついこの間食べたばっかりでまた感動さめやらぬままという感じですけど
根岸 征史
なるほど
辻 伸弘
ぜひ食べていただければなと思います
根岸 征史
ありがとうございます
辻 伸弘
ということでまた来週のお楽しみでございます
辻 伸弘
バイバイ
piyokango
バイバイ
01:02:26

コメント

スクロール