1. セキュリティのアレ
  2. 第179回 続きはどこかのセミナ..
2023-05-15 59:00

第179回 続きはどこかのセミナーで!スペシャル

Tweet【関連記事】 ・公文書(電子データ)の消失事故について(第2報) – 新潟県ホームページ[...]

The post 第179回 続きはどこかのセミナーで!スペシャル first appeared on podcast - #セキュリティのアレ.

Summary

アメリカのドラゴス社は、新入社員の個人メールアカウントが侵入されたが、攻撃者はセンシティブな情報にアクセスできず、クラウドストライクのインシデントレスポンスを契約して対応した。被害は最小限に抑えられ、被害者は攻撃者の要求に応じず公表した。また、リークマはストラップの紛失について考察し、NISTの論文「ユーザーズアーノットスチューピッド」ではセキュリティ専門家がユーザーとのパートナーシップを構築することの重要性が強調された。最後にはお菓子の紹介もあった。

00:00
こんなに雑談好きな奴が、雑談何しようかなって考えてる感じヤバいですよね。
もうなんか天気の話をすんのか、何すんのかとかね。パッと思い浮かんだのが、スポーツ史上最高のルールって、プロレスの反則カウント、ファイブカウントちゃうんかとか、そんな話してるかなとかね。
誰が嬉しいの、その話は。 ルールってすごいなーってたまに思うんですよね。
確かにね。 なんかプロレスのファイブカウントの反則ルールって知ってます?
例えば反則してたら、1、2、3、4、5までにやめれば反則にならないんですよ。 あーなるほどなるほど。
例えばさ、ちょっと俺プロレス見ないから知らないけどさ、 例えば狂気使った攻撃とかしたら、4秒以内に狂気離したらオッケーなわけ?
という時もある。 あまりにひどいと一発でアウトみたいなのもあるんですけど、
例えば一番わかりやすいのは、関節技とか締め技とかあるじゃないですか、苦しい技。
それをもう無理ってなってタップアウトして負けるわけなんですけど、ロープを握ったら外さないといけないんですよ。
それを外さなかったら1、2ってやられるんですけど、5までに外せば別に反則にならないっていう、すごくない?このルール。
なんかさ、俺の偏見かもしれないけどさ、 プロレスのカウントってなんかあれC的じゃない?
だから1、2で止め寄る時もあるんですよ、たまに。外してへんのに。 数え方が違ったりさ、なんか。
ブラフみたいなカウントとかたまにあるんですけど。 だからね、あんまり知られてないんですけど、グーパンチってダメなんですよ。
え?あ、そうなの?ああ、そうなんだ。 グーで殴るのはダメなんですよ。グローブつけてたら別にいいんですけど。
平手はOKだよね? 平手とか、張り手とか、小手とかはOKですよ。
グーはダメなんだ。 拳じゃなくて、拳の横の部分とかはいいですよ。
へー、知らなかった。 だからグーパンチなんて5秒間も続くパンチないからさ、あれも実質反則じゃないみたいなことになるんですよ。
確かにね。 そんなのあるのね。 そうそうそう。だからルールっていうのはやっぱりね、きちんと知った上でね、やらんとあかんな、ああいう話ですよ。
どういうこと? え、なんか今ちょっと記憶めいたことを言ったけど。
今ね、ちょっとね。 そうそうそう。 到着点でしたね。 なんかね、それっぽいこと言った。なんかね、物事に勝つにはまずルールを知ることだ、みたいな。
名言っぽいことみたいなこと言いそうになったんですけど。 こんな時もありますよね、ほんとに。 まああるね。
なんか今週ほんま特に何もなかったんですよね。 まあいいじゃないですか。平和な証拠じゃないですか。
忙しかったってことですか、逆に。 そうですね。資料を作ったりもしてたし、
打ち合わせの準備の資料じゃないですけど、案出しみたいなのを先にやってたりとかみたいな。
いろんなメモをいっぱい作ってた週でしたね、今週はね。 まあ充実してたといいじゃないですか。
結構充実してたかもしれないですね。 あとゲームしてたぐらいですかね。 ゲームか、なるほど。
そうそう、そんなこんなんでね。 始まってますよ、もうこれは。 始まってますね。始まってるということにしましょう。
で、どうしますか。お便りいきますか。 いきますか。行きましょう。こういう時は行った方がいいよ、さっさと。
ずるずる行くよりね。 公文書が消えた事件あったじゃないですか。
それに対するお便りをいただいておりまして、 公文書はベタ打ち起案文よりファイルの方が肝と、消えたファイルの方が肝だということですね。
施行文、司行文ですね。疑似録、経緯書、バックデータなど意思決定過程の90%は電子化されていると言って過言ではないので、毎日普及できないとなると職員総出でアップロードし直す事態になるかもしれないみたいな。
なるほどね。あれそういえば看護さんさ、 連休明けに何か出るかもって言って何か出てたよね。
ありがとうございます。はい出たんですよ。5月9日に新潟県でしたっけね。 あと事業者の方から出てましたね。
10万件ぐらい消えちゃいましたって話でしたけど、結果的に復旧できたのは2万5千件ぐらいで、残り7万8千件ぐらいはなんとか控え、控えって書いてあったんですけど、
ちょっとよくわかんないんですけど、なんかその控えから頑張って再登録しますみたいな。 まさに今お便りにあったようなことが実際に起こってしまったというか。
やられているんですかね。はい。いやでも思ったよりも復旧困難なやつが多かったんだね。 なんかちょっと。そうですね。
こうなっちゃうとそのまあその結果論だけど、そのやっぱりね、前回の取り上げてた運用のルールとかバックアップの持ち方とかなんかいろいろ適切だったのかみたいな話はまた出てくるかもね、なんかね。
そうですね、確かに。結果戻らなかったとなったらまあ、それが全てになっちゃうからね。なかなか厳しい結果だよね、これはね。
そうですね、なんか戻らへんかったりとかすると、バックアップ取るのも取るっていうことはやっぱりちゃんと覚悟がいりますよね、このデータ化するっていうことも意外と。
そうね。まあないしはその今回その控えっていうのがよくわかんないけど、まあいざとなったら手作業で何とか元に戻せるっていうのがあるからなのかもしれないけど、わかんないけどね。
まあその辺のその影響判断がどうなっているのかわかんないけど、 まあそうか確かにね、はい。
最終的にやっぱり神いるやんけってなるかもしれないですよね。 なりかねないですよね。だからデータ化するんやったらバックアップ。でもバックアップもね、3年で合意してたってことじゃないですか、今回。
3日ですね。 3日3日3日。3年ってめっちゃいいやんな、それ。3年で戻らへんかったら余計ヤバいやんって思って。
3日3日、ごめんなさい3日ですね。3日っていうので合意できてたってわけやから、それをね広げるためには予算もまたいるわけでしょ、たぶん。
それってできるんか、結局神ちゃうんかみたいになるのもちょっとなんか変な話だしなっていう気もしますよね。
確かに。まあ公文書はまた公文書でちょっとルールがあると思うけどさ、まあ普通はほら、なんか文書とか電子化したらその
紙の方はもう処分しちゃうっていうか、そうしないと電子化する意味ないじゃない?
そうですね。 いつまでも紙残ってそっちの処理が残ってたらあんまり意味がないと思うんだけど、こういうことが起きちゃうと
なんかねそれも難しいっていうか。 完全にデータだけに振ってしまうのも怖いんかみたいな話になりますよね。
なんかね、消えたらどうだいすんねんとか言われたらさ。 結局そっちに消えたことの方が金かかるみたいなね。
紙だけの方が良かったんちゃうの?みたいな話になりかねないですね。 難しいよね、こういうのはね。
この件は結構皆さん関心があるのか、触りやすいのかして、もう一個のお便りもですね、それ関係で。
今回、拡張紙の大文字小文字問題の回収があって、それでミスったという経緯だったじゃないですか。
僕も、看護さんが紹介してくださった時に、僕もコメントしたんですけど、Excelのマクロの仕様に合わせてシステムの方を回収するって
そっちの方が重ないみたいなこと言ったじゃないですか、僕。 マクロの方を合わせたらええやんっていう風に言ったことに関して、もしかしたらっていう
ご意見で、Excelマクロは作った人がもういなくてメンテできなかったとかありそうみたいな。 あーありそうだねー。確かにあるあるっちゃあるあるかなっていう気はする。
確かにね、そうですね。 それはもういじられへんから、触れる方はシステムでしたみたいなものなのかもしれんなみたいな、まあ本当とかわかんないですけどね。
まあでもあり得るなっていう感じの話ではあるかもしれないですけどね。
というお便りをいただいておりました。 ちなみにこの件、さっき控えから頑張って復旧するって話でしたけど、最終的に影響がどういう風に出るかっていうのは
来月6月に取りまとめを行うという話だったので、何かしらはまた続報というか第三報的な形で出るかなとは思いますので、
またもし続報が出たら取り上げたいなと思ってます。 お願いします。
お便り以上ですね。ということでお便り、感想とか、自分はこう思うぞみたいなことがあれば、
ハッシュタグセキュリティのあれをつけてツイートいただければ、セキュリティのあれのステッカーの印刷コードを差し上げますのでよろしくお願いします。
はい、ということで今日もセキュリティのお話をしていこうかと思うんですが、今週はネギスさんからお願いします。
ドラゴス社のインシデント
はい、じゃあトップバッターに行かせていただきますけども。 今週はですね、ちょっと変わった事例を紹介したいなと思うんですけど、
アメリカのドラゴス社という会社のインシデントの事例なんだけども、ドラゴス社って制御系のシステムとかのセキュリティを専門にやっている、
その分野では有名な会社なんだけど、ここが5月の8日今月ですね、8日に侵入事件があって、
攻撃者から脅迫を受けましたという話を、5月の10日に会社のブログで公開しているので、その内容はどんな事件だったかというのをちょっと紹介したいんですけど、
そもそもこれね、侵入のきっかけが面白くて、 実はそのこの会社に新しく入社する予定の営業社員がいたらしいんだけど、
この社員が入社する前から持っていた個人メールのアカウントが、攻撃者にもともと乗っ取られてたようだとどうも。
入社を決める前からってことかな?
おそらくね、その辺の順序関係細かく書いてないけど、文脈から判断するにおそらくだけど、まず個人のメールアカウントがもともと乗っ取られていて、
その人がたまたまこの会社に入社をすることになったという、どうもそういう順序関係っぽいんだよね。
で、その侵害されているメールアカウントに対して、新しく入社するからということで、
入社のための案内とか研修とか、そういうのやっぱり入社に当たってはいろいろするじゃない?
そういう情報がその個人のメールアカウントに送られましたと。
攻撃者はそれを盗み見てというか、フォワードしてみたか何かわかんないけど、
その個人メールアカウントを当てに来たドラゴスの内部の情報を見て、その本人になりすましをして、システムにアクセスをしてきたということなんだよね。
それに当初気づかなかったということで、侵入されたんだけど、ただね、その入社前の侵入、これから入るっていう社員の人のアカウントなので、
実は入ったら見るであろう営業社員向けのシェアポイントのサーバーの資料とか、
あと契約管理のシステムとか、当たり障りのないシステムにはアクセスされたっぽいんだけど、
それ以外のもっとよりセンシティブな情報が入っているようなシステムへのアクセスは全部ことごとくアクセス権限がなかったので、
攻撃者はアクセスを試みたんだけど、全部失敗しましたということが書いてあって、
他にも、この攻撃者はどうもランサムウェアの観戦を試みのアクターだったらしいんだけど、
いわゆる典型的な横展開をしてとか、権限掌握をしてとか、最終的にランサムウェアをばら撒くみたいなことをしたかったみたいなんだけど、
そういう動きがことごとく失敗しましたと、一応書いてありました。
ドラゴスさんはその記事を読むと、クラウドストライクのインシデントレスポンスのいわゆるリテーナーの契約ってやつを年間とかで包括して契約して頼むやつ、
日本でもそういう契約を提供している会社はいっぱいあるけど、それを契約したらしくて、そのインシデントレスポンスを依頼して対応してもらったというのと、
攻撃と封じ込め
あと何かその、どこって書いてなかったけど、サートパーティーのMDRのサービス、いわゆるエンドポイントのセキュリティ製品をマネージドするそういうサービスだよね。
それをあらかじめ契約していて、そのサートパーティーのMDRサービスも活用しましたって書いてあって、
だから外部の専門家の力も結構借りて、ドラゴス自身がセキュリティの専門の会社ではあるけども、
そういうインシデントレスポンスにあたっては第三者の力も借りて、攻撃の封じ込みに成功しましたよっていうことを言っていると。
で、結果、その新入社員、入ってくる予定の社員のアカウントなりすまされて、ちょっと侵入はされたんだけど攻撃は封じ込みだし、大きな被害は起きていないしということで、
攻撃者側は失敗を悟ったのか、半日後ぐらいにこのドラゴスちゃんのエグゼクティブというか、Cクラスの社員の人とか役員の人とかに脅迫のメッセージを送ってきたらしくて、
攻撃には失敗したけど、一応アカウント侵害はしたわけだし、情報も一部持っていったわけなんで、
公開されたくないだろって言って、金をよこせって48時間以内に返事を起こさないと公開するぞみたいな、そういう脅しを仕掛けてきましたと。
で、記事にはその中メッセージの様子も一部公開されてるんだけど、結局、ドラゴスはそれに屈するわけにはいかないので、要求には応じないで支払いもせず、
これ5月8日に侵入されて、5月10日に公開しているので、その2日以内にブログで公開しちゃったんだよね、自分でね。
そこにも書いてあるんだけど、支払いには応じなかったんで、今後その盗まれたデータが公開される可能性はあって、それはちょっと残念だけど仕方ないですというようなことが書いてあって、
今後そういう、これから入ってくる社員向けのプロセスだとか、そういうのも見直して、こういう事件が今後起きないようにしますみたいなことがまとめで書いてあるんだけど、
ちょっとまあね、その侵入経路が他とは違ってて面白いなっていうのもあるんだけど、気になったというか、なかなかやるなと思ったのが、
一つは、ちゃんと権限管理がきちんとされていて、侵入はされたけど、致命的なことは結局全て防げたっていうのは、これは素晴らしいかなと。
そうですね。
体制があるってことですよね。
そう、単独でやったわけじゃなくて、外部の力も借りているとはいえ、これはちゃんとしっかりできてかなというのと、
これは見習えるとこかなっていうのと、もう一つは、さっきもちょっと言ったけど、ダメージコントロールが上手かったんじゃないかなというか、
これさ、もし仮に攻撃者側がよくあるリークサイドとかに載せてしまってさ、
そのセキュリティ会社も侵入されてこんな情報を取ってやったぜみたいなことが公開されてしまって、
それを見て慌てて、大したことはありませんみたいな引き消しをするのと、自ら公開するのとでは全然印象が違うと思うのね。
そうですよね、確かに。
なので、防げはしなかったけど致命的なのは防いでるし、こうやってすぐに2回以内で公開してるっていう動きもまあまあ機敏ではあるし、
攻撃者にデータを公開される前にやったというのは、これはダメージを少なくするっていう意味では上手くいっているんじゃないかなと、
この後の結果を見ないとわかんないけど、その辺りは対応が上手かったんじゃないかなと僕には思えたので、
この辺は見習うべきところではないかなとちょっと思ったんだけど、どう思った?
岩ネギさんがおっしゃってたところの部分で言うと、僕も実践した経験があって、
ちょっとこういうやられて脅迫されてっていうのとは違うんですけど、事故が起きてそれの内容をできる限り早く出す、多く出すみたいなことをしておけば、対応のコストが減るんですよね結構。
後々その後手に回ってやるよりもってことね。
聞かれるだろうってことを先にリリースの中に含めておくみたいなことをしておくと、リリース見てくださいとか、これ以上のこと聞き出されへんかもなってメディアの方が思うと、あんまり問い合わせが来なくなるんですよ。
なるほどなるほど。
なので先手を打つっていうのは、僕がインシデントレスポンス自社だったり自社以外のもしたことがありますけど、
そういう時には出せるもんだせるだけ早めに出すっていう風なものは一つアドバイスとしてするようにしていることが一つですね。
まあ確かにその状況によってもしかしたら変わるかもしれないというか、出せないものもあったりとかね。
場合によったらあるかもしれないけども、そうでない時にはできるだけそういう風に先手を打ってっていうのは一つの戦略としては正しいかもね。
ただ出せるものって言ったって全部出せばいいってものでもないでしょうから、出すことによるリスクとかをちゃんと出しても大丈夫なもんだっていうようなことをちゃんと理解しておく必要がありますけどね。
そうだね。その辺りの判断をきちんとやらないといけないよね。
そうそうそうそう。なんでこれは確かにリークサイトに乗ってとかっていうよりももう全部自分たちでコントロールするっていう風な意味では、
さっきにやったのはすごくいいなって思って聞いてました。
うーん、そうね。かんこさんはどう思った?
私もこのドラゴスが対応した内容自体は素晴らしいと思いつつ、これ以前のクラウドフレアでしたっけ?
結構セキュリティベンダーですと、実際に被害に遭ってこう対応しましたっていう点末が効果されますけど、これ同じことやるのは結構、やっぱりその辺にしっかり準備というか、
ツールとかサービスを入れてる以外にもそのオペレーション部分のところも含めて準備しとかないと、こういった動き方ってやっぱりできないよなーとかっていうのは。
確かに。自分たちに置き換えた場合にってことね。
そうですね。これ5月8日に起きて、翌日ぐらいに対応して、翌々日にこの内容を公表してるわけですよね。
そうなの。俺もそれすごいなと思う。
これはね、なかなか一石で真似はできないなとは思いますね。
会社の規模とか業種、業態とか、いろいろ差はあると思うんで、必ずしも同じ動きができるかっていうのはあると思うんだけどね。
それに対して確かに事前の準備が相当必要だろうね、これはね。
そうですね。ただ内容自体はこういうことが起きたんだなっていうのは読んでてわかりますし、
あと各々の組織で点検するべきポイントっていう、推奨策っていう形で記載はされていたりという形で整理はされてますけど、
実際に事例見ながら自分の企業、組織にとって学ぶべきところがないかっていうのはしっかり到着できるような内容になってるんで、
そこはやっぱり非常に素晴らしいところだなとはやっぱり思いますね、この公表された内容については。
記事結構ね、簡潔にまとめられてるけど、要点がしっかり出てる、書いてあるなって感じがするよね。
そうですね。今回たまたま、たまたまって言うとあれですけども、しっかり準備されてたので被害がそんなに深刻な中でね、
ラテラルムームでやられまくってるとかそういう感じではなさそうなので、シンプルなインシデントって言うとあれですけども、
比較的小さめな形で被害は閉じたので、こういった形で対応はできたのかなとは思いつつ。
被害がこの程度じゃなかったら進まなく進まなかったもんね、こんな風にはね。
これただちょっとタイムラインを見させていただいて、これもしその脅発メールが飛んでこなかったら、これどうですかね、ドラゴスもすぐ気づけたんですかね。
これさ、書いてないけどその脅迫メールが来ない間も多分インシデントレスポンス対応してたんだと思うんだよね、きっと。
脅迫メールと対応
あーなるほどなるほど。
あと細かいこと書いてないんだけど。
そうですね、ちょっとそこがわからなかったですね、確かに。
脅迫メールが来なかったら対応が少し変わったかもね、この短期間で公表するっていうことはしなかったかもしれないね、もしかしたらね。
そっかそっか、なるほどなるほど。
脅迫メールが来て48時間に対応しろって言われたから、多分それに合わせて2日以内にやったんじゃないか。
私48時間以内って聞いてて、48時間以内にやってきた人に連絡ではなくて公表するっていう。
そうそう、そこら辺の判断がなかなか的確だったんじゃないかな。
確かにそうですね。
だからそうね、脅迫メールがもし来なかったらどうだろうね、公表したかどうかはちょっとよくわかんないけど、
でもそんなに変わらなかったかもしれないね動きはね、わかんないけどね。
まあだから攻撃者も苦し紛れって感じはするよね、なんとなくね。
せっかくやから取れるもん取らな損やからみたいな感じで食いついてきた感はありますよね。
そうだよね、あとターゲットがセキュリティの会社っていうのもあるし、
こんな公表されたら恥ずかしいやろみたいなのも多分あるだろうしね。
そこら辺を狙ってきたんだろうとは思うけども、あんまりねそれは構想さなかったというか、逆効果だったかもしれないね、わかんないけど。
なんか今さっきカゴさんが言ってた準備ちゃんとできててっていう、
あと外部との連携とかもできててみたいな話ありましたけど、
きちんと準備できてたから早く出せたっていうだけじゃなくて、
ダメージコントロールと公表
きちんとそういう対策とか検知するような仕組みを用意してたから、
被害が少なかったからこのスピード感でいけたんじゃないかなっていう気はするんですよ。
そうだね、そこはさっきの話じゃないけどリンクしてるだろうね。
被害が少なかったからできたっていうことは結構大きいよね。
例えば何か情報を持っていかれたとか、結構な量の持っていかれたっぽいとか、
しかもそれがどれぐらい持っていかれたのかまだようわからへんってなってくると、
なかなか出せない二の足を踏んでしまう時ってあると思うので、
なんか悩ましいとこですよね。きちんと対策してればそういう被害も起きにくくなって、
ダメージコントロールもできるからスピード感出せるけど、
何もなかったらこのスピード感では無理やしなっていうところもあって、
なんか悩ましいかなってちょっと思いましたね。
ちょっと前のラストパスの件とか、他にもたびたびあるんだけどさ、
スピード感はそんなに悪くはないんだけども、後からさらに影響範囲が拡大しちゃうっていうか、
そうですよね。そこはちょっとね、怖いところですね。
事件の影響が見えてなかったと、そういうふうに印象付けられちゃうっていうのはむしろマイナスな場合もあるからね。
今回はおそらくちゃんと封じ込められていて、これ以上の影響はないだろうっていう判断ができたから、
影響は大したことないからって言って素早く対応してるけど、
逆にその辺の見極めができてなかったら、影響範囲がどこまで広がってるかわからない状況では、
多分公開もできないだろうし。
できないですね。
そういう情報を盗まれた系ので結構避難された、対応があんまり良くなくて避難されてた会社があったんですけど最近。
そこは情報を持ってかれたのにもかかわらず、
例えばリークがされるまでなんでうんともすんとも言えへんねみたいな避難のされ方されてた会社が海外の会社であったんですよ。
でもよくよく考えて、それはわからなくもないですが、それって言うに言われへんかったみたいなところもある可能性があって、
特にランサムのリークの場合とかだと、自分たちで持ってかれたものが何かわかれへんかったら、
リリースの紛失が珍しい
リークマって何を出されてるか見るまで何が漏れたか言えないから発表できないっていうジレンマがあるんですよね。
それも聞いて悩ましいなと思いました。
やっぱり被害が大きければ大きいほど言えない。
言えないというか、なかなか確定できないから出せないっていうのもあるなっていうのは。
しんどいポイントだなって思いましたね。
でもなんかちょっと新しい感じしました。この話。
いろいろいろんな教訓があるなっていう。
いろんなバンキング系のマルウェアとかって、ボーナス時期の前とかにばらまかれて仕込みがあるとかって話を聞いたりするんですけど、
こういうのを考えると就職活動時期とかに、人が動きやすい時期に攻撃が増えるみたいなことを、この手の攻撃をあったりするのかなと思いましたね。
確かにね。今回のおそらくだけど、さっき推測で言ったけど、たまたまこの会社だっただけで、
もともとここを狙ってきたわけじゃないと思う。ランサムウェアだからっていうのもあるけど。
だと思うんだけど、場合によったら、あらかじめ侵害しているメールアカウントをたくさん持っていて、ずっとそれを潜んでいて、
標的な会社に就職しようとした人を狙ってみたいなこともできなくはないもんね。
BECみたいな感じで、やりとりをずっと見ていて、途中から攻撃に転じてくるみたいなパターンがありそうですよね。
そういう侵入程度があるっていうことも知っておかないといけないんだなっていうね。
値段も上がりそうですよね。ここに就職したやつのメールアカウント売りますみたいなもんね。成長するみたいなね。
やばいですよ。この話だけで1時間いってしまいそうなんで、そろそろ切りますか。
いや、結構面白かったですよね。続きはどっかのセミナーで喋りますかね。
はい、ありがとうございます。じゃあ次はカンゴさんいきましょうかね。
今日はですね、ちょっと一風変わったって言うとあれですけど、なかなか目にしたことがないとあるものの紛失の公表されたリリース見かけまして、
ちょっとそれを取り上げたいんですけども、公表されておられたのはチューブ電力パワーグリッドという会社でして、
5月の8日に当社首掛けストラップの紛失についてっていう名前でプレスリリースを打たれていまして、
珍しいね。
珍しいんですよ。社員証なくしましたとかは、たまに目にすることはありますけど、
携帯電話とかね。
そうですね。カバンとかパソコンとかね、そういう紛失系結構ありますけど、
ストラップの紛失か。
ストラップなくしましたっていうのは、
なかなか見ないっていうか、社内のグループウェアで出てくるような内容かもしれないですね。
確かにね。中でだったらね、確かにそこの手はあるかもしれないですけど、
外向けにこの手のリリース出してるのは非常に珍しいなと思ってですね。
やっぱりこのリリース見られた方の反応なんか見ても、
なんでこんなの出すの?ぐらいな感じの反応をされてる方もおられて、
私も最初やっぱりそういうリリースのタイトルだけ見たらそういう印象は持ったんですけど、
よくよく考えてみると、実際のリリース文中にも書かれてはいるんですけど、
電力会社ではあるので、詐欺とかに電力会社が語られて事件になるというものが当然起こり得るというところがあり、
実際のお願いっていう形で、従業員になりすました詐欺にご注意くださいとか、
あとは実際に従業員がご自宅に訪問される際は社員証、従業員証を携帯しているので確認してくださいとか、
そういった形で案内されていてですね。
なるほど。直接顧客を訪問するからか。
なるほどね。何台電力の方から来ました?みたいなそういうやつか。
そうですそうです。実際リリースの中でもこのストラップと同じものをなくしましたという形で写真も掲載されていてですね。
なるほどと、改めて気づきじゃないんですけども、やっぱりこれちょっといろいろご意見あると思うんですけども、
改めて思ったのは会社とか組織とかあるいは状況とかによって、
物であるとかっていうののリスクとか脅威の具合っていうのはやっぱり全然変わるなっていうのは、
改めて思ったところでは、今回のこのリリース見て、まだちょっと見つかってないそうなんです。
見つかってないっていう、公表地点では見つかってないってことであるんですけども、それはちょっと見て感じたところではありました。
あれだよね、これは少し特殊な業態の例かもしれないけど、
普通の会社でも会社にいて外部の人かどうかを見分けるのに社員だったらストラップをかけてますからみたいな。
そうですね。
見分けるとかっていうのはよくやられている管理策として。
結構ありますよね。
見かけるよね、そういうのって非常に多くやられている。
ただその場合でも仮に入隊官のセキュリティがしっかりしてるところだったら、
電力会社のリリース管理の厳密さ
まずそもそも中に入れないからっていうところで一旦セキュリティが確保されていて、
仮に不審者が中に入ったとしてもストラップですぐに分かるようにっていう、
2段3段構えっていう感じにおそらくはなってると思うんで、
普通の会社だったら多分ストラップなくしたぐらいではプレスリリストが出さないと思うんだけど、
こういう重要インフラとか公共系というか、
例えば電力だけでなくて訪問する系のNHKとかもそうかなわからないけど、
そういうようなやつっていうのは普通の会社とは取り扱いが違ってて当然だろうね。
これなくすことによって自分たちのオフィスとかそういう自分たちにリスクがあるのか、
他の外の人にそういう迷惑をかける可能性があるのかによって異なるってことでしょうね。
だいぶそれで違うよねやっぱね。
普通の会社だったらストラップ使ってその社員になりすまして果たして何ができるかって考えると、
そんなにお客さんとかには悪影響はないっていう判断が妥当だと思えるけど、
電力会社は違うのかなるほどね。
確かにね。うちの会社のストラップだったとしても別にうちの会社のストラップをお客さん先につけていくことなんかないもんな。
そうだよね。あるとしたら風評被害系っていうの?
嫌がらせ系っていうか。
例えば悪いことをしたときに社長みたいなのつけてそこから叩かれるみたいな感じで。
なんかお宅の社員がこんな迷惑なことをしてたんだけどみたいな。そういうのもあるかもしれないけどさ。
なんか昔聞いた話でありますが、席譲ったか譲らへんかったかみたいなことで、たまたまストラップの書いてる社名が見えてそこに連絡きたっていうのがあった。聞いたことあるよね。
例えばそれをわざと嫌がらせでやるみたいなのはもしかしたらあるかもしれないけど、影響はそんなに大してないじゃない。
でも場合によっては今だったらSNSとかいろいろあるから、ストラップした社員らしき人がバズっちゃったりしたらひけ死に薬金になるみたいなそういうケースはないとは言い切れない。
確かに悪意持って悪いことしてる風なんやけど、顔とか映ってなくてストラップだけが映り込んでるようなものをアップロードして、特定犯が出てみたいな。
炎上させちゃうみたいなさ。あり得なくはないよね。
でもちょっと可能性としては低いかな。わかんないけど。
ただこの別紙にくっついてる銅型の写真ってあげてるじゃないですか。PDFで画像。これ見たらコピー作れんちゃいます。
これなんでわざわざ挙げ張ったんかなっていう。
どうなんですかね。こういうストラップだけつけてきて社員証なくしちゃいましたみたいな人が来たら気をつけてねみたいな。そういうことなんですかね。
難しいですよね。社員証を必ず携帯してるって言っても、その社員証のせいとする社員証がわからなかったら偽物かどうかも判断つかへんからちょっと難しいなって思うのは思ったんですよね。
出すこと自体は社会的責任がある会社って大変やなっていう偉いなって思ったんですけど、このストラップの写真はなんで付け張ったんかっていうのはちょっと気になります。
そうだね。でも逆に普通の会社と違ってこういう会社はストラップ一つ取っても結構厳密に管理してるってことなのかな。
管理されてるってことですよね。わざわざ言わないですもんね。なくしたとかね。
ちょっと今聞いてたと思ったけど、例えば個数とか誰が持っているとかっていうのを。
厳密に管理してるのかもしれないですね。
ひょっとしたらすごいちゃんと管理してるのかもしれないね。
そうかそうか。複製可能っぽいとはいえ、自分たちではいくついくつ管理してるからっていうことか。
そういうのはあるのかもね。
確かに確かに。僕の発想みたいにそんなゆるい管理じゃないかもしれないですね。こういうところはね。
普通の会社だったらストラップくれってホイホイあげるようなものではないと思うんだけど、とはいえそこまで厳密じゃないと思うんだよね。
ストラップの意義と可能性
確かに確かに。
そういうレベルとはちょっと違うのかもしれないな。
そうかそうか。
そういうのは最初聞いた時はなんでこんなんでって僕も確かに思ったけど、ちょっと見方変わるね。こういう話聞くとね。
そうですよね。
いや面白いね。こういうのは。
確かにそうですね。これでももう逆にみたいなパターンで責めるってどうかなって思ったんですけど。
どういうこと?
そもそも社員、社掌っていうかそのマーク、会社のロゴとか名前とかを入ってるストラップ辞めるっていうのも一つなんちゃうかなと思ったんですけどね。
辞めてどうするの?
辞めたら別に落としても例えば真っ青なストラップとか真緑のストラップだけあったら別にこれ出さなくても済むんじゃないかなと思って。社員証があればって思ったんですよね。
ストラップ自体がいらないんじゃないかっていう意味?
社員証だけでいいんじゃないのってことね。
僕そうですね。今まで見た例だと色のストラップだけでその会社の人の中に働いてるの属性を見分けるっていうのも結構見かけたことあるんですよ。
なるほどなるほど。
社名とかがいっさ入ってなくて、社員証はぶら下がってるんですよもちろん。でも色だけで判断するっていう風なのもありかなと思いましたね。
確かにそれも一つの選択肢としてあるかもね。
そうそうそうそう。
いやなんか首掛けストラップでこんなに話が盛り上がるとは。
いや面白いね。
いや結構なんか新たになりましたね。自分たちの認識がね。
そうですね。
いやなんか独自のネタを相変わらず拾ってきていただいて。
なかなか鋭いよね視点がね。ここに見つけてくる視点が。
そうですね。なんかスルーしちゃいそう。
いやそうだよね。
パッと見てもえーみたいな。大変やなーみたいな。
そうですか。なんか僕タイトルでめちゃめちゃ身引きませんよ。
いやタイトルは結構。
なんでってなるじゃん。
ここで話そうまでにね。
いや面白かったね。
興味深い事例でした。
これもじゃあどっかのセミナーで扱うか。
いいですか。
新しいですよね首掛けのストラップでセキュリティのセミナーで喋ってたりとか。
そうですね。
ありがとうございます。
はい。
はい。
はい。
はい。
はい。
はい。
ありがとうございます。
はい。
じゃあ最後は僕からなんですけれども。
お願いします。
今日僕が紹介するのはですね、あるNIST、米国国立標準技術研究所か、NISTってありますけれども、そこの方がですね、ジュリー・ヘイニーさんって方が書いた論文みたいなやつがあるんですけど、それをちょっと紹介しようかなと思ってまして。
タイトルがですね、ユーザーズアーノットスチューピッドっていうやつで、ユーザーはアホやナインやでっていう感じの。
それ正しいですか?
正しいでしょ。正しくないよね。
ニュアンスが合ってんのかなっていう。
若干不安になったんですけど。
ニュアンスまでちょっと分かんないですけど、僕が読んだらこうなるっていう。
なるほど。
サブタイトルみたいなもので、サイバーセキュリティの6つの落とし穴を覆すっていう風なタイトルが付けられているやつなんですけれども、これどういうことかどういうことが書いてあるのかというとですね、サイバーセキュリティの専門家は知識とかそういうセキュリティをちゃんとしないといけないっていう風なモチベーションを持っているけれども、
多くの方はやっぱりセキュリティの問題を解決するためのテクノロジーに多く依存したような仕事をしているので、人的要素っていうのを十分に考慮できてない場合があるんじゃないかっていう風なお話から出ててですね。
そういったことでユーザーをバカにしちゃいけないよみたいなことがタイトルの通りのことが6つの話に分けて書かれてあるんですね。
この文章の中にですね、引用でネギスさん昔21年か20年のとき取り上げてたかなベライゾンが出しているデータブリーチインベスティゲーションレポートってあるじゃないですか。
あれの2021年のやつの中で起きた侵害の82%は人的要素が関与しているとかっていうものを引用してたりとか。
あとこれフィズマって呼べばいいんですかね。フィズマでいいのかな。
のレポートがありますけど、そこでは米国政府のサイバーインシデントっていう風に言われるところの53%がやっぱり人のポリシー違反とかメール開いちゃったとかでそういう人的なものに起因しているものがあるんだよってことを忘れちゃいかんみたいなことを引用しつつ始まる文章なんですけれども。
さっき言ったその専門家が陥りがちな6つの落とし穴っていうのが一つずつ過剰化的に紹介するとユーザーが無知であると思い込んでいるとかですね。
あと対象その説明する対象とか対策を取ってもらうエンドユーザーっていうですね対象に合わせたコミュニケーションができていない。
で、そういったセキュリティを導入したことによるそのシステムの使い勝手の悪さが原因で意図しないような脅威、内部脅威を生み出してしまう。
4つ目がセキュリティが過剰である。やりすぎ、きつすぎる、厳しすぎるってやつですね。
実地にあってないっていう意味での過剰ってことですね。
5つ目がユーザーにちゃんとルールを守ってもらう、従わせるために懲罰的な手段ですね、とかレガティブなメッセージを与えてしまうとか。
6つ目最後がユーザー中心の効果測定方法を考慮していないっていう6つ挙げられていまして。
どれも耳が痛いというかさ、やってしまいがちだなーって感じるようなところばっかりだね。
セキュリティの仕事を進めていると、こういうことをちゃんと意識しないといけないと思いつつも、時間が経てば経つほどこれを忘れてしまいがちなものが挙げられているかなっていう。
ついついやってしまいがちだよね。
この6つですね、全部僕読んで全部説明したのかと思ってるんですけども、説明すんなっていう空気がすごくひしひしと2人から伝わってくるんで。
いやいやそんなことはないけど、それだけで1時間くらいかかりそうだなと思って。
別のセミナーでやると。
これこそ違うセミナーでやれと。
これこそ別でやってくれって感じだ。
前の2つのこれを言い続けたのはこれのフリやったんじゃないかみたいな感じになっちゃいましたけど。
そういうことか。
この中で僕がちょっと気になったやつをピックアップして、時間の許す限りの感じでしょうかなと思ったんですけど。
1つ目はやっぱり一番最初に上がってるっていうのも意図的な部分があるのかなと思ったんですが、
やっぱり一番ユーザーが無知であると思い込むっていうのはこれはもう結構よくあるあるなんじゃないかなっていう。
ユーザーを無知だと思い込む
無知であるとか無知であると思い込んでるが故にちょっと軽んじたり、ちょっと下に見てしまったりする部分があるんじゃないかみたいなことですよね。
ここはですね、書いてある内容はユーザーは原文を読んでいったところの収まってる内容なんでそのままの言葉で書きますけど、
ユーザーは無力とか無能とかですね、またはルールに従う存在というふうに認識している。
ルールに従ったら当たり前みたいなちょっと強めの言い方をするとそういう感じですかね。
とはいえ人はどうしてもミス、違反ではなくて過失みたいなものもあると思うんですけど間違いっていうのは起こすものだけれども、
ユーザーを軽んじた行動、言動とか対応するとユーザーと専門家、もしくはユーザーと上質部門って言い換えてもいいのかな。
セキュリティを扱っている部門でもいいと思うんですけど、その間に我々とあの人たちみたいな感じに分断したみたいな考え方というか、
そういう不健全な関係をもたらしてしまうんですよと。
その結果ユーザーはそのセキュリティの話をするような人たちから圧倒されてシステムを無理やり使わされるような形になって、
いわゆるセキュリティ疲れみたいなものに悩まされるんですってことが書かれてありましたね。
多くのそういう専門的な知識を持っている人からすると、
専門家は非現実的な期待をユーザーにしすぎてるんじゃないですかということなんですよね。
普通に考えてみれば、そういうルールに従う立場にあるような人たちっていうのはセキュリティは主な業務ではないので、
なかなか非現実的な対応してしまうことっていうのはあるんですが、なかなか自分たちでは意識できていない、
期待しすぎてしまってるんじゃないかということが書かれてありました。
それを一つずつこんな内容ですということと、それを覆すにはこうみたいなことが書かれてあるんですけど、
ここで言うユーザーが無知であると思い込むというような落とし穴の覆し方としては、
責任をなすりつけ合うが、俺たちはルールを作った守らない奴が悪いとか、
あいつらがわけのわからないことを言ってくるとかいうふうなユーザーと対応してもらう側というようなところで、
責任のなすりつけ合うするんではなくて、一人一人がちゃんとセキュリティを対策していくような力をつけてもらうために、
専門家側からすると、ユーザーに対してはパートナーとして捉えて、
ユーザーが苦しんでいる、対応するのが大変とかですね、ここめんどくさいんですよとかっていうふうなところの
根本的な原因を特定することによって、そういう人間関係を構築して共感できるような、
それだったらその対策しないといけないねとか、逆にそこ大変なんですねっていうふうに共感することで、
人間関係を構築していくっていうふうなことが大事なんじゃないかと。
それはさっき言ったみたいに、私たちとあの人たちみたいなふうにならないようにすることで、
何かあったときに、あの人たちは頼れるんだというふうにセキュリティの専門の立場の方ならが
思ってもらえるような結果を招かないといけないんじゃないかと。
なのでそういうことにすることによって、何かあったら言ってきてくれるっていうふうなサイクルが生まれると、
ユーザーのニーズとか視点とか課題っていうことが、さらに今よりも理解しやすくなって
いいサイクルを作れるんじゃないですか、みたいなことが書かれてありましたね。
なるほど。なんかそれさ、聞いててすげー思い出したのが、前に、
自分たちじゃないんだけど、別の会社のサービスとかアプリケーションの開発をメインにやっている会社で、
開発時のセキュリティの確保っていうのが非常に課題になっていたと。
それをどうやって克服したかっていう話を聞いたときに、今まさに杉谷さんが言ったことと全く同じことをおっしゃっていて、
以前まではセキュリティを推進するというか、やる立場の人たちと、開発部門とかユーザー部門の人たちが敵対関係っぽくなっちゃってたんだけど、
それを改善するために、セキュリティ部門の人たちは開発部署の人たちのところに現場に入ったと、一人ずつ各部門にね。
僕たちはあなたたちの仕事を邪魔してに来てるわけじゃなくて、皆さんが適切にセキュリティを確保できるように助けるためにいるんですよ。
パートナーなんですよってことをまさに言ったような感じで、チームの中に入り込んだんだって。
その担当者の人が各開発のチームの現場に入っていって、開発の人たちもセキュリティ専門じゃないから、知識としてはいろいろ知りたいわけよね。こういう時どうしたらいいのかわからないから。
共感とパートナーシップの構築
そういう時にすぐそばに引き受ける人がいて、それがすごくうまく回ったって言ってて。
やっぱりそういうチーム作りとか体制作りっていうのが大事なんだなっていうのは、まさにそういう事例として聞いたことがあってさ、昔。
今聞いてた話そのまんまだなと思って。
そうなんだ。この話の中にもその言った話がうっすら出てくるんですけど、自分たちにセキュリティをやってもらうことがメリットになるっていう。
例えば開発だったら早めなところにセキュリティの機構を入れておけば、後々めんどくさくならなくて済むじゃないですか。結果的に楽やったみたいなことになるんで、そういうことも知ってもらいましょうみたいな。
手戻りが防げるもんね。
そうそう、モチベーションとかやる意味をちゃんと理解してもらうっていうのが大事なんだってことは、この中にも書かれてありましたね。
そうなんだよね。どうしても開発に限らないけど、セキュリティっていうと邪魔されるっていうか、自分たちの仕事を阻害されるっていうイメージがまだまだ強いから、そうじゃないんだよっていうことを示す、そういう体制作りっていうか、雰囲気作りっていうのもあるのかな、わかんないけど。
それが大事だなってのはまさにここで言ってることそのものだよね。
そうですね。セキュリティのルールとか製品とかサービスを入れてこういうふうなものを守ってもらいますっていうふうなものっていうのは、正しいじゃないですか。正しいことじゃないですか。できるできない別にしてね。
正しいから、やっぱりその正しいものを振りかざすときって、ちょっと攻撃的になってしまう場合っていうのもあると思うんですよね。これが正しいんだから守れよみたいなものがあって、間違ってないからなんですよ、事実として。
やるのが当たり前ってなんか思っちゃうっていうかね。
その事実として間違ってないっていうこと、間違ってると間違ってないっていうことと、現場でできるできないっていうのは全然違う話だと思うんですよね。合う合わないもあるんで。
そこはちょっとね、あまり攻撃的にならない人もいると思いますけど、それが本当に正しいのかって自分でも自問自答するべきだと思うんですよね。このユーザーに合ってるのかどうかみたいな。
うまくできてる会社はこういうところをちゃんと考えてるんだろうね。
お互いたぶん理解できてるし、最終的には同じ方向を向いてるはずなんですよね、目的は。事業継続だとかそういう意味で言うとね。
セキュリティの担当者と開発部門の連携
もう一個だけちょっと紹介していいですか。
3番目投げられた使い勝手の悪さが原因で意図せず内部脅威を生み出してしまうという風なものが、これも結構耳が痛い系だなっていう。
これはとにかくセキュリティ基本的に不便になりやすいっていう風なものも中にはあってですね、やること増えるとかっていう意識もあると思うんですけど、
最終的にこういったものはあれあれ何何せえこれこれせえとか今日からこれこれせえみたいなものっていうのは忙しいユーザーにとったら基本的に一瞬パッて聞いたら負担にしか感じられないと。
負担に感じたりすると忙しい時だったらミスを起こしてしまったりする可能性が高くなってきたりとか、中にはそれを回避しようとするような人も出てくると思うんですよね。
例えばどんなものかというと、分かりやすいはずっと僕らも言ってきてますけど複雑なパスワードポリシーを仕入れることによって、弱いパスワードとか使い回し、付箋に貼り付けるみたいなことが起きたりするわけですよね。
ここで挙げられてた他のところで技術情報誌って書かれてあったんですけど、その読者投稿を読んだ困難がありましたみたいなのが書かれてあって非常にあーって思ったんですけど、
5分間操作しなかったら自動的に画面ロックされるっていうシステムを使わされてる人がいて。
それ意外に普通にあるよね、会社のルールってさ。
結構あると思いますよ、5分間別として。
それで作業をしながら何か操作をせずに文章を見てるだけで5分でロックされる。打ち合わせ中にも5分でロックされるみたいなものが煩わしくてですね、自動でマウス操作をするプログラムを作って。
それでそれだけでやってたらまだまあいいんですけど、これこうやったら回避できんねんで言って同僚にも伝えて実施させたみたいな。
どんどん広がっていっても意味なくなってくるみたいなね。
ありがちだよね、それね。
これがたぶん1時間とか30分でもしかしたらこういうことしなかったかもしれないですけども、結果こういうことで作った人が同僚にも伝えてやってロック延々とされへんみたいなシステムが出来上がるみたいな。
面白いな、それ。
結構あるんですよ、そういうロックされるのを防ごうみたいなものをやり方を上げてるサイトとかも結構あるんですよ。
また自分で何とかしてるならともかくそれをさらに外部のソフトウェアを使ってやろうとしてそれがマルウェア入りだったみたいになったりするともう目も当てられないというか。
確かに。本来やらなくてもいいことをやろうとしてってなっちゃうもんね。
そうですよね。
結構ありますよね。リモートで働くのが主になってきてからよく海外のサイトでよく見かけたんですけど、例えばTeamsとかで自分が利益にならないようにする方法とか。
そんなのあんの?
ずっとオンラインにするためにはプレゼンテーション資料をTeams経由で開いてればプレゼン中みたいなんで利益にならんとか。
そういういろんなティップスがあるんですよ、海外のやつ見てたら。
なんだそれ。
どんどんどんどんその内部脅威を生み出してしまうみたいなことが上げられていて、これほんまあるあるだと思うんですよね。
あるあるでしょうね。
これをこの落とし穴を強制的にこうじゃーってルールをやらせるんではなくて、この落とし穴を覆すにはみたいなところには簡単なものでいいのでパイロットテストみたいなものを実施してユーザーを観察して結果を改善に生かす。
これはヒアリングとかも含めですよね。
ユーザーによって、人によってはなかなか実施できないような項目を上げてやらせるっていうのではなくて、具体的でかつ達成可能なものを上げていく。
そういうガイダンスを提供していくっていうふうなものだとか。
あとはユーザーの負担っていうようなものをユーザーに全部やらせる、いわゆるちょっと悪い意味での運用でカバーみたいなものをさせるんじゃなくて、
例えば不正なメールの判断とかですね、そういったものは技術的にシステム側で軽減するってことも検討したほうがいいんじゃないかみたいなことが書かれてありましたね。
なかなかのね、あるあるは定期的に読み直したほうがいいかもしれないですね。
忘れちゃうからこういう心がないから僕たちが詳しいがゆえにね。
そうだよね。なんかついつい頭ではわかってても、ついついそう考えてしまいがちっていう、なんかそうバイアスかかっちゃうっていうかさ、なんかそういうのはあるかもな、やっぱどうしてもね。
そうそう、だから何回も読み返すために、今言った話を全部1から6まで書いてるんで、これ時々見直そうかなって思ってね。
かくんのように壁につけておくみたいな。
いやほんまにね、セキュリティの仕事に関わってる人はもう本当にこれ100万回ぐらい読んだほうがいいかもしれないな。
今日は全部紹介できなかったんでですね、原文とか、あとはアットマークITの方でこの記事を紹介しているものもあったので、さまった内容で1から6まで書いて、でも原文読んだほうがいいと思います、僕は。
ユーザーへの負担の軽減
より理解がかかるということで。
詳しく書いてあったり、さっきの5分間のマウスの例えとかも原文にしか載ってないんで、こういうものはちゃんと読んだほうがいいかなと思うので、ぜひ読んでいただきたいなと思います、ということでございます。
はい、ありがとうございます。
はい、ということで今回も3つのセキュリティのお話をしてきました。最後におすすめのあれなんですけれども、今日はお菓子紹介しようかなと思って。
はい、お菓子。
岩塚製菓っていうお菓子メーカーっていうんですかね。新潟の会社なんですけれども、そこのザ・ひとつまみっていうお菓子があってですね。
名前が面白いね。
ほんとですか。ザ・ひとつまみっていう。名前だけでは何かよくわからないんですけれども、米を使ったお菓子なんですけれども、おかきですね。いわゆるおかきとかそういう類のやつなんですけど。
味が3種類ありまして、枝豆と海老カレーですね。あとは海老とカレーね。あと海老黒胡椒っていう3種類あるんですけど、僕は海老黒胡椒がめちゃめちゃ美味しかった。全部食べたんですけど、めちゃくちゃ美味しくて。
なんで食べたって話なんですけど、お土産でいただいたんですよね。新潟のお土産でいただきまして、一つずつ食べてすぐに。食べた瞬間もネットで注文して、次の日には到着するっていう。
それも今週の話なんですけど、木曜に食べて金曜に届いたみたいな。本当に海老黒胡椒が一口でめちゃめちゃ美味しくて。新潟やからなんですかね、わかんないですけど、亀田製菓メソッドなのか知りませんが、おかきと、例えば塩枝豆のおかきとピーナッツが入ってるんですよ。
柿ピーメソッドみたいな感じですかね。なんでめちゃめちゃ美味しかったんで、ちょっと小腹空いた時にちょうどいいというか、味もしっかりしてるんで。あとお酒にも、お酒の人にはお酒にも合うかな。
これ今ちょうど検索してパッケージ見つけたんだけどさ、ビールと一緒に写ってるから、そういう意図もあるんだろうね。
確かに。
そうなんですよ。全部のやつにビールの絵が入ってるんですよね。
そういうおつまみ的なのでいいですよみたいな。
そうそうそうそう。
おつまみと一つまみをかけてるんですかね。
どういうこと?あ、そういうこと?
全然かけない。あ、いやわかんないですよ。今適当に思いつきで言ってしまいました。
そうなんかな。
ちょっと隣にあのバンザイ山椒があったんで、ちょっともうその流れなのか。
ああ、そういうあるある。僕もね、そのトップページにアクセスするときに一番初めに目に入ったんですよ。バンザイ山椒。
バンザイ山椒。
バンザイ山椒ね。これ次コウタロウかなって思うね。なんかいいですね。バンザイ山椒の山椒がかける調味料のスパイシーな山椒になってるっていう。
いいですよね。このなんか昭和っぽいのり。
でもあれだね、これ新潟の会社なんだよね。
そうですそうです。
だとやっぱりお米のお菓子とかって美味しそうな感じはするよ。なんとなくね。
そう。
お米が美味しそうだもんね。やっぱね。
そうなんですよね。なんかこういう、ここの会社の製法?その米を使った製造技術って言えばいいですかね。
そういうのは世界中で使われてるらしいですね。
そうなの?
そうそう。中国各地にこういう工場があったりとか、上海に拠点を置いてるお菓子作ってるところと技術提携してたりとかしてるんで。
へー。
そう。なんかその海外展開っていうところを見るとすごいいろんなところでこの技術を使ったものが作られてるみたいですよ。なんかすごいですよ。
すごいな。
スペイン、ナイジェリア、タイ、ブルネイもいっぱいあるんですけど思ってる以上に世界で使われてるんやなっていうのもあって。
へーすごいね。
そうそう。めちゃめちゃ美味しかったですね。結構僕お菓子にはうるさいですけど。
はい。存じ上げております。
もうパッて食べた瞬間うわっていうオリオンビアナッツ以来の衝撃でしたね。
なるほど。
あれもすぐ注文しましたんで。
なんかそういう時のチェンさんの動きがすごい機敏だよね。
機敏機敏。
めちゃめちゃ早いですよね。
反射神経がすげーなー。
そうそう。これは岩塚製菓のネットショップでも売ってますし一部アマゾンでも取り扱いがあるので買いやすい経路で買えばいいんじゃないかなと思いますね。
はい。
はい。ということでございます。
ありがとうございます。
ということでまた来週のお楽しみでございます。バイバイ。
バイバーイ。
59:00

Comments

Scroll