音声公開のトラブル
先週のあの公開処理やらかしたわ。 なかったっけ?ああ、でもたまにやるやつでしょ。
音声ファイルがついてなかったやつ。 そうそうそう。
ホットキャスト公開したでー、言うて。 これ、ほら、もう200何十回やってるけどさ。
245かな、今日が。 多分ね、過去2、3回やってるところ。
そうなんですよ。 当日公開、いつもだいたい何もなかったら月曜日の20時に公開っていうのが定例的な感じになってますけど。
ちょうど仕事してまして。 8時から11時まで仕事で出ててですね。
終わってご飯食べようと思って、食べるときに気づいて、ネギスさんから連絡が来たのに気づいてね。
でもご飯食べながら、パソコン開いて、音声ファイルの公開処理やってみたいな感じで。
バタバタしてたら、3時間ぐらい音声ファイルないみたいな。
たまにやるねんな、あれな。
それさ、俺だいたいいつも公開後にさ、公開この時間ってわかってるから、一応チェックして大丈夫かなみたいなのは確認とかするんだけど、
リスナーとかで気づいた人いたのかな。
いや、すぐに確認してみたんですけど、上がってないっすよみたいなコメントはまだ来てなかったですね。
あんまりだから、たぶん次の日になったらあれってなる人いると思うんだけど。
たぶん当日は、ほら、僕体取られてたから、公開しましたよポストしてないっていうのもあるんかな。
俺も実はそれ気づいて、ファイルないぞって思ったんで、ポストしなかったんだよね。
それがなかったら、たぶんスポティファイとかの更新通知が来たりとかするタイミングとかかな、もしかしたら。
あれ音声されなかったら通知いけへんのかな、どうなんやろ。
そうだね、通知来ないかもしれないね。
だからたぶん、公開まだされてない雰囲気やったかもしれないですね。
スパムメッセージの反響
とはいえ気をつけなあかんなと思ってね。
だからいつも更新するのにも順序があるんですよね、自分の中でのなんとなくの。
分かるよ。
なんかたぶんキー取られてて、音声ファイルは一番初めに上げるんですよ、いつも。
それをたぶんスキップしてたんやと思うんですよ、なんかで。
あるよね、慣れてるけど手順がスポカしちゃうみたいなね。
そう、やっぱアクションスキップって怖いなって思いましたね。
そんな感じで、今日はお便りが結構来てまして。
ありがたいですね。
結構前回紹介したような話とかの反応もありつつ。
僕前回紹介した、突然のスパム失礼しますから始まるXのDMの話したじゃないですか。
あれ良かったよね。
それを私も受け取りましたと。
やっぱりスパムでいろんなところに投げてるんだね。
届いてるみたい。結構流行ってるみたいで、この方の周りの人にもちらほら来てるみたいです。
ただね、この方はSNSのメッセージではなくてメールで来ててっていう感じだったみたいですね。
でも文面的に似たような感じってことなんだ。
そうそうそうそう。
突然のスパム。
突然じゃないスパムがあるなら教えてほしいですよね。
今からスパム送りますって言ってからもう一回来るみたいな。
スパムはいつも突然に来るよね。
結構日常の会話でも、急な何々とかよく言うけど、だいたいそれ全部急やろうとかね。
こないだ急に電話かかってきてさーとかさー。電話はそりゃそうやろうっていつも思うんですけどね。
確かに前兆とかないもんな。
そろそろ電話来そうとかそんなんないもんあんまり。
ニュータイプじゃあるまいしね。
そう、そんなであるとか。
あと偽強迫のメールでセクストーションの話をしましたけれども、
それと同じような内容で、フロムとトゥーが一緒で、ペガサスへの言及もあるっていうので、
でも写真はなかったっぽいんですよねスクショ見たら。
便乗犯なのかな、そういう住所持ってへんけど、このやり口で一体いけんのかみたいなので。
金額も少なめ、ちょっと少なめで1750ドルっていう微妙なところをついてるのが来てましたみたいなことも来てましたね。
あとセクストーション絡みで、ユーザーからこの方が同様のメールが届いたと相談を受けることもありますけれども、
やっぱり心配でたまらず相談しているのかもしれないというふうに思いました。
自分はね、こんなの嘘やとわかってるけどってことだと思うんですよね。
セキュリティ担当としてはいつものやつと思いがちですが、早く対応して安心させたいなというふうに思いました。
それに対してね、ネギスさんの反応に関して言及されてまして、
手口の卑劣さを受けてどう対策すればいいかに関するネギスさんのコメントが、いつもより感情がこもっているような印象を受けました。
マジか。ちょっと待って、ポッドキャストから感情まで読み取られちゃうわけ?すげーなー。
この方のネギスさんに対する印象だと思うんですけど、
穏やかに淡々とコメントされる印象なので、ネギスさんにも熱い一面があるのだなと、私も胸が熱くなりましたという。
いいですね。
プレゼンテーションの工夫
胸熱ポッドキャストですよ。
どう思われてんだろうな。
そうそう。そんな感じで。
声の抑揚とか聞いてるとわかるじゃないですか。今ちょっとデツ入ってるなとか。
確かに確かに。
無意識のうちにちょっと力入ったのかもね。
多分そうだね。僕も聞いててちょっとおって思いましたもん。
ほんとかよ。
使う言葉の感じなんですよね。
まあまあそうかもね。
卑劣な、こういう卑劣なとかっていうね。やり口がとか。
行き通る感情がそのままに出たのかもしれませんね。
よかったですね。これ多分3分の1以上伝わったんじゃないですかね。
そうね。もうええわそれ。
あとは話す時の早口になっちゃうっていう。
クセみたいな話ね。
セミナーなどで伝えたいことがあるとき早口になったりするというお話がありましたけれども、
私もそれでよく悩むことがありますが、
どうしても伝えたいことがあるが時間枠に入りきらないときなど皆さんどうされてますかという質問です。
皆さんってのは我々がってこと?
我々だったりもしかしたらこれ聞いてる方こうしてますってあればお便りでもいただいてもいいかなと思うんですけど、
まず我々がどうしてるかですかね。
いろんな場面あると思うんだけど、
例えばセミナーとかで喋ったりとか、
そういうような時はできるだけそもそも内容を絞ったりとか、
資料のページもちょっと欲張って多くしがちなところをあえて削っておくとかして、
ついつい調子に乗っていっぱい喋ってもちゃんと時間に収まるような感じに割と余裕を持って作ることが僕は多くて、
逆にもし万が一当日時間が余裕ありそうだなと思ったらちょっと余計に喋るとかっていう感じで調整すると、
早口で喋らなくてもちゃんと時間内に収まるので、
それぐらいかなやるとしたら。
そうですね。
僕は早口になるっていうのはいつもずっと言われてるっていうことと前にも触れたかもしれないですけど、
それは学生のプレゼン大会みたいな頃からずっとそれを言われ続けてて、
未だにたまに言われるんで、
ある時早口だということ自体は諦めました。
なるほど。なかなか直せないもんね。
どっちかというと早口やけれども聞き取りやすい話し方っていうふうにある日から気をつけるようになったら、
早口だけど全部聞き取れて何を言ってるかわかるみたいなふうに言ってもらえる感想が出てくるようになりましたけどね。
あとは時間見ながら喋るっていうのも大事かな。
早口だけど聞き取れるっていうのは内容を工夫してるってこと?
それとも間を取るとかそういうこと?
間とかあとは声の出し方とか通りやすいように。
もともと通りやすい声でありがたいなと思ってはいるんですけど。
なるほど。スピード以外のところでなんとかできる部分を。
そう。あとは資料かな。
だからいろいろあるもんね、工夫できるところってね。
そうですね。
だから早口っていうのも別に早口だから必ずしも悪いとは限らないと思うんですよね、これだけだけでもね。
なのでその自分が直しにくいところを頑張るより他伸ばしてみるっていう。
他気をつけてみるとかっていうのもいいんじゃないかなと思います。
あとは余談をできるだけ我慢するっていうのもあるけど。
時間がこれヤバそうやなと思ったら余談は飛ばして、さっきネギスさんがおっしゃったみたいに最後の方の終わりにのぐらいの時に時間が思ったより残ったなと思ったらちょっとさっきね触れられなかったんですけどねって入れてみるとか。
その辺はある程度バカ図を踏むとさ、経験とともに多少はできるようになるかなっていうのはあるよね。
そうそう。でもやっぱり毎回毎回ここをこうした方が良かったかなって思わへんような回はないと思うんで。
それはね。
ちょっとずつ良くしていけばいいんじゃないかなと思いますけどね。
そうね。でもそういう自分がこういうところが良い悪いって気づいてるだけでもすごいと思うけどね。
そうそうそうだと思いますよ。
カンノさんはでもあんまり早口な印象はあんまないんですよね僕。
そうかもね。
あーそうか。私は結構時間、時間というか時計見て喋ってる感じが多いかなと思うので。
足らなくなったら割と資料に書いてあること忠実に喋っていて、余裕があったら行間であるとか、補足余談とかっていうところをちょっと追加で喋るっていう感じの調整を割としてるかなっていうのはありますね。
まあやっぱりそれぞれなんか気をつけ方っていうのは多分あるんでしょうね。
そうですね。
次の便りなんですけども、美容院で散髪していたらたまたま個人情報保護の話になりました。
全く対策をしていないらしいので法律の義務などをいろいろ説明すると、そもそも内から流出したかどうかもわからなくない?と言われて、世間一般の感覚はこれかと感じました。お三方なら何と説明しますか?
えー。
難しいな。めっちゃ難しいなこれな。
漏れてもわかんなくないか。
まあ内からかどうかみたいなことですね。
なるほどね。
まあこれはなんか話のスタートラインが多分ブレてるかなっていう感じがしてて、そもそもあなたのところから漏れたってわかったらどうするんですかって聞かないといけないかなと思いますね。
そうだね。
あとはこういう感じだったら、こういうふうな人って、これが正しいとか間違ってるとかは別にしてね、たびたび遭遇することあるじゃないですか。こういう毛色の発言って。
うちは関係ないとか、やられても別に大したもの盗まれへんとかまあいろいろあると思うんですけど、基本的に直接こういう発言をされている方のこれからの行動を僕はもう変えようとあんまりしない時もありますね。
まあそうですかってすまして心の中でえらい目をおたらえねんって。
いやいやいやいや、まあでもなかなか実感しにくいかもしれないよね。
でも変えられへんのちゃうかな、そのなんか企業ですら痛い目にあったところからセキュアになっていくみたいな傾向もやっぱり過去から見てきていることを考えると。
そうね、まあでも美容院だろうが個人商店的なところだろうがなんだろうがさ、でも仮にその顧客情報、特に美容院とかだと顧客情報はまあまあ持ってると思うんだけど、
持ってます持ってます。
漏れたら客離れちゃうと思うんだけどな、結構だからそういう意味では商売に直結する話だと思うけどな。
確かに。
キラクリの方法音頭していい話じゃないと思うんだけど、だからそれが伝わってないってことだよな。
そうですね。
例としたらなんなんかな、美容院業界にそういうプラットフォームがあるのか知らんけど、まあbooking.comみたいな話してみるとか、例えば。
個人情報論やったらちょっと経路が違いますけどね、ITパソコンの話ですけどね。
美容院とかだったらあれかな、ホットペッパービューティーとかそういうやつかな。
ああそうですねそうですね、たぶんたぶん、確かにそうやわ。
まあそういうプラットフォームから漏れたらどうしますかっていう話かもしれないけど、まあでも自前でもっていうところもあるだろうからね。
そういうシステムの管理どうしますかとかね。
そうですね、ちょっとほとぼり覚めてから間接的な話をしてみてもいいんじゃないかな。
どういうの?
こんなことになったとこあったんですよね、この間みたいな。
そうだね、直接と同業じゃなくても似たような例を出すっていうのは一番わかりやすいかもしれないけどね。
変えようとするんじゃなくて、変えようかなと思う気にさせるような感じにするとかっていうのが一つかもしれないですね。
確かに。
いやでも面白いね、そういうところで何で個人情報保護の話になったのかが俺は気になるけど。
そうですよね、これはどうなんですかね、この方、この行かれてる方が、この投稿者の方が、その仕事こういうの知ってるとかっていうのは知ってるからとかなのかな。
まあそうかもしれないね、なんか自然とそういう話題になったのかもしれないね。
そうそうそう、それなら別にまあ普通かな、僕もなんか急に言われますもん、なんか、
能動的サイバー防御ってどうなんですか?とか気がつかれますよ。
急に?
それ、そういうところで話す話しちゃうやんね。
そうなんすよ、しかも質問もまあまあざっくりやな、みたいな。
どうなんですか?とか、まあいいんじゃないですか?とかしか言いようもないじゃん。
確かに、気軽に話せる内容ちゃうやん。
でもまあ気を使って、関心が普段はなくても、なんかまあ僕に接客する時にはまあそういう話題を考えてくれてはんねーなっていうありがたさはありますけどね。
そうね、はい。
次はブラウザのパスワード保存の話ですけれども、ブラウザのパスワード保存機能はいろいろと危険ではあるのは同意で、そういう話が出てて嬉しかったんですけども、パスワードマネージャーの存在を知らないユーザーにとっては使った方が安全になるのでしょうか?
そうね、程度の問題なんだよな、結局だから。
そうそうそうそう。
まあ自分が思いないようにして使い回しを減らすっていう意味には効果はあるかもしれへんけど、その接種されるっていうのには耐性はなくなりますっていうことになるからね。
まあなんかそういうね、あの弱いパスワードをつけちゃう、覚えやすい弱いパスワードをつけちゃったり使い回しちゃったりっていうのに比べたらかなりマシ。
そうですね。
ただ一網打尽にされるリスクがあるっていうね。
なんでまあ紙に書くのがいいんじゃないですかね。
そうね、それもだから結局さ、紙書くもそうだし、ブラウザに保存するとか頭で覚える、パスワードマネージャーを使う、なんでも全部そうなんだけど、各手段それぞれにどういう脅威を想定した場合にどういうメリットデメリットがあるかっていうのはそれぞれ違うから、
それをね、その本当はだからちゃんと比較して検討してこれがいいってやるのがいいんだけど、今ねその質問にあったみたいに、そういうより良い手段を知らなかったらしょうがないでしょって話になっちゃうんだよね。
あとはまあこれ話す相手にもよって変わるかなっていうのはあって。
そうだね。
例えばなんかそのこっちの知ってることを全部伝えたら多分混乱するんですよ。最終的にはほんでどないしたらね、めんどくさいなもうええわって言われたらそれはそれでね、ダメなんで。
そうね、ちゃんと使ってもらえる方法をね、伝えないと。それは難しいよね。
そうですね、だから何かしらの最後の自分なりにはこうした方がいいんじゃないってその人にあったことのサジェストもできる準備が大事かな。
なかなか大変ですね。
大変大変、でもこんな質問って100万回されてるからさ、この人にはこれみたいなっていうのを用意しておくみたいな感じではありますかね。
マルウェア検知の経験
ありがとうございます。最後のお便りなんですが長めの体験談を送ってくださってるお便りがDMできまして。
はい、ちょっと長いんですよ読みますけれども、私はある教育機関で教員をしているのですが受講者が使用中のノートPCにおいてマルウェアが検知されましたっていう通知が出たんですって。
ということが他の教員から聞いて聞いて自分のところに来たと。
これが初めての経験だったそうなんですけども、とりあえずPCのネットワーク接続をWi-Fiも含めてオフにして拡散を防ぐようにしつつコアルーターにつながるLANケーブルの抜線をしました。
そのまま調査するだけじゃなくて授業自体は継続してもらったそうです。
後日フルスキャンをしたらマルウェアが出ていないということで確認してからネットワークの復旧をしました。
確かあれの中でWi-Fi接続もオフにすることを忘れない方がいいっていう話があった記憶があって、常室不在の環境でもある程度自分自身が反射的に対応できたと感じております。
またマルウェア検知の画面を見た受講者が放置せずに教員に報告し手に負えないと判断した教員が他の人に報告したという報告の連鎖が迅速な対応につながったと思いました。
おそらくアレリスナーのほとんどはセキュリティ業界や常室の方が聞いてらっしゃるのかと思いますが、私のように全く関係ない人が好奇心のみで聞いても役立つポッドキャストだと伝えてお便りを送りました。
天気予報的には台風通過で気候がガラッと秋に変わるそうですが、体調管理をお気を付けてお元気にお過ごしください。長文すれいたしました。というお便りです。
そういう方も聞いてくださってるんだね。嬉しいね。
そうそうそう。好奇心が湧いたところがありがたいなぁと思いつつね。
そうだね。そういう方はどっからたどり着くんだろうなぁ。
確かにそうですね。入り口ですよね。
お便りは嬉しいけど、内容は疑問が湧いたんだけど、リアルタイムに検知してピピッとマルウェアを見つけましたみたいな表示はあったけど、誤検知だったってこと?
そういうふうに判断されたということしかここから読み取れないですかね。
後日スキャンをしたらなかったって言ってるんだよね。
若干ちょっと怪しい感じもしなくはない。
ちょっと気になりますよね。何やったんかっていうところね。
何もなくて反応するっていうことはないから、なぜそれが表示されたのかっていうのが、もし仮にそれがいわゆる詐欺的なブラウザとかでアクセスしてて、
あなたのPCはウイルスに感染してますって偽の画面が出てくる系のやつ、そういうのだったらスルーでいいんだけど、
そうじゃなくて本当にアンチウイルスのソフトが反応したんだとしたら、フルスキャンして出なかったっていうのは逆に変なので、
隔離されてたのかなとか、何に反応したのかっていうのは本当はちゃんと調べたほうがいいと思うけどね。
あとその上司室がいないとか専門の人がいないのであれば、ちょっと難しいけど、誰か専門に分かる人にちょっと相談した方が安心だよなっていうか、
ちょっと聞いてて大丈夫かなっていう心配になったんだけど。
ちょっとこれはどういうことで安全と判断されたのか。上司室の方がもしかしたら判断されたのかもしれないですけどね。
上司室いないって言ってなかった?
ああ、そっかそっかそっか。確かに確かに。
だから教員の方が判断したということだと思うんだけど、ちょっと気になるかな、そこはね。
確かに確かに。
なんでそういうのが表示されたのかっていうのは調べたほうがいいような気はする。
そうですね。追加でちょっと確認をいただいたほうがいいかも。
でもそういう時に普通の会社とかあったらね、上司室に電話して、電話かなんかわからないけど連絡してよろしくやってもらうとかってできるけど、
なかなかそういう専門的に相談できる人が周りにいないとやっぱり大変だよね。
いや、そうだと思いますよ。
だってほら、ポッドキャストで言ってることが参考になりましたって言ってくれるぐらいだからさ。
ああ、そうですよね。
嬉しいけど、だからそういう現場がたくさんあるっていうのがちょっと心配だよね、やっぱね。
なんかそういうアドバイザー的な人とかいないのかな?難しいんだろうかね。
急に聞けるってなってくると、その時のチケットでとかっていうのもあんまなさそうな気しません?
ガッツリそういうアドバイザーみたいな契約みたいなのをするとなると、何も起きずに買ったら払ってもらうみたいになるだろうし。
あとはあれか、そういうとこだとどういう契約なのかわかんないけど、パソコンなりインフラ関係を納入している業者とかに相談とかになっちゃうのかな?
あと保守契約の範疇がどうかですよね。
何かしらそういう契約はあると思うんで。
でもそういうところは専門的な知識があるかどうかっていうのは微妙だからな。
でもこれって結構あるあるなんかもなぁと思いますね。
そうだね。だから僕らあんまりそういうのを普段意識してないっていうかさ、もっと恵まれた環境を想定して多分話をしちゃってるから、
よくないよね。だからそういうこともあるんだなっていうのはね、結構そういうのが一般的かもしれないと思わないといけないよね。
確かに。学校関係がやっぱ被害に、特に海外ですけど被害にあってこんなことになってますみたいなニュースとか記事とか見るとやっぱりそういう人がいないみたいなのが、だから狙われても対処できない。
狙われやすくなりがちみたいなことを見たりしますから、こういうのがよくあるのかもしれないですね。日本でもね。
いやでもお便りありがとうございます。
はいありがとうございます。ということで今日読み上げて取り上げた方はセキュリティのあれのステッカー印刷コード送っておきます。
ソフトウェアの脆弱性
じゃあ今日もセキュリティのお話をしていこうかなと思うんですが、今日はトップバッターはカンゴさん行きましょう。
はい今日はでは私トップバッターで行かせていただきたいんですが、
今日はですね、アメリカのCISAの長官、ジェン・イースタリー長官という方がいらっしゃるんですけども、
9月18日にアメリカ国内のカンファレンスの中でキーノートで登壇をされておられて、
そこで発言というかお話されていた内容がですね、結構衝撃というか強烈な感じでお話をされていたのかなというところで、
その内容をご紹介という感じでお話をさせていただければと思うんですけども、
どんなことを話していたかというとですね、
単純にソフトウェアの品質というか脆弱性についてっていうところを主にお話されていたようで、
ご発言というかお話されていた内容を取り上げられていた記事があるんですけども、
タイトルがですね、その記事のタイトルも結構衝撃なんですけども、
The Registerというメディアが出している記事ですけども、
安全でないソフトウェアのメーカーこそが真のサイバーの悪党だというような結構…
てきめしいね。
えー?という感じでちょっとドキドキするような感じの表現で書かれているんですけども、
趣旨としては脆弱性についてしっかり取り組むべきだっていうところが、
長官が話された内容の主なところというのはあるんですけども、
その脆弱性っていうのが結果的に攻撃であったりサイバー犯罪であったりというところに
悪用されている現状を踏まえれば、やはりバグがある、
実質安全でない状態のソフトウェアコードというものを出荷しているソフトウェアベンダーメーカーこそが、
いわゆるサイバー犯罪においては真の悪者であるという形でお話をされていて、
攻められるべきはやはりそういった部分というところにフォーカスが当たるべきで、
現状今だとパッチ適用とかっていうところが十分にできていない、迅速に対応ができなかった、
そういった被害に実施されている方っていうのが組織であったりというところが、
例えば何でやってなかったんだ、しっかりアップデートすべきだったろうという形で攻められる、
そういった論調が結構あるんですけども、根本的にはそもそも何でそういう緊急パッチ、
緊急対応っていうのが必要となっている現状があるのかっていう、
そういったところについてしっかり通っていくべきではないかと。
あとその表現としてもソフトウェアの脆弱性、ソフトウェアバレナビリティっていう形で言うのではなくて、
これはもう言い方としては製品の欠陥という形で、
しっかり改めて考えるべきと呼ぶべきではないかっていう形のお話もされていてですね。
結構脆弱性に対しては厳しい考えをお持ちなのかなと。
実質サイバーセキュリティの業界規模とかを踏まえると、
こういった脆弱性の対応とかっていうのが業界内で行われているわけですけども、
規模的に見ると数兆億ドル規模程度と。
一方で非常に後半にサイバー犯罪の問題というところに目を向けると、
これはもう数兆ドル規模になっているという趣旨の主張はされておられて、
非常にこの辺のアンバランス感であるとか、
あとは脆弱性っていうのがいわゆるサイバーセキュリティの問題みたいな形で捉えるのではなくて、
サイバーセキュリティの現状
やはり品質に関わる問題という形で捉えるべきであって、
もっと言えば必要なのはその素晴らしい、完全に守ってくれるような、
そういったセキュリティ製品ではなくてですね、
より安全な製品ではないかというところをお話をされておられたというところで、
表現は今回キーノートでマンニャンと主催のM-WISEっていう名前のカンファレンスで、
キーノートで東大祭と話されていたというところがあるので、
なかなか強烈な表現を使っていたのではないかなと個人的には勝手に思ってるんですけども、
言われていることは個人的にはおおむね賛同というか、
わからなくもないというのが現状をやはり見ていくとね、
脆弱性がもう本当にうなぎ登りじゃないんですけども、
件数が爆増状態にある中で対応に追われている側はどうやったらいいんだっていうような、
頭で抱えている人が多い現状なんかを踏まえると、
やっぱりこの辺っていうのはしっかり対応を考えていかなきゃいけないよねっていうのは、
こういう言い方になるのもちょっとわからなくはないなっていうのは思いました。
で、あとちょっと話が少し変わるんですけども、
この登壇の中で加えてっていう形で、
犯罪実際に行っている組織についても言及があってですね、
派手なというか、かっこいいというか、
そういった故障で美化するような動きっていうのはやめるべきではないかっていうのもお願い的に話しておられて、
かっこいい名前のスレッドアクターみたいなのあるんじゃないですか。
ちょっとあえてどれとは言わないんですけども。
人によるかな。
なんていうかね。
主観によるよねそれはね。
デッドアイジャッカルとかですかね。
各々それぞれだと思いますけども。
いろいろありますよね。
この辺のキャンペーン名とかもそうなのかなとは思いつつ、
すごい凝ってるというか。
ちょっとセンスが匂ってくるとかありますよね。
あるなとは思っていて、
そうではなくて、もっと雑に、
これも日本語直訳で言うと、
痩せっぽちの厄介者とか、
邪悪なフェレットとかはどうかみたいな形の、
多分そういうニュアンスで言ってるんだろうなと思うんですけど。
長官はそんな感じの提案をしておられてですね。
ある意味その称賛じゃないんですけども、
攻撃者を称えるようにも取られかねないような、
そういった形での言い方っていうのも考えるべきみたいなことをおそらく言いたかったんだろうなと思うので。
そうですね。
マルウェアベンダーとかは昔から、
攻撃者の主張みたいなものは取り入れないように、
自分たちで呼んでる名前を使わないとかで聞いたことありますけど、
名前はついてることに意味がある場合もあるからなっていうね。
何ちゃら数字とかってすると、
覚えられる時もあるけど、
何かわからんかったら意味がないっていうのもあってね。
確かにそうなんですよね。
何かしら連想できないと、
それ何やったっけって名前つけてる意味もなくなってくるかなっていうのがあるから、
気持ちはわかりますけどね。
昔暴走族っていうのは陳相談って呼べみたいな時、昔ありませんでした?
そうそうそうそう。
格好悪そうな名前みたいな。
なるほどね。
でもどうなの?
サイバー犯罪者は変な名前つけられても別に意味介してない気もするけどな。
そうね。
それでどこにどれくらい効果があるんだろうねって。
これどんなトーンで喋らはったかわからへんけど、
ちょっと笑いながら喋ったんでしょうかなって気もしなくも。
名前の部分はね。
言う気もしない。
こんなダッサイ名前つけたったらええねみたいな感じの言い方やったかもしれへんしね、
僕みたいな。
僕が言うとするならこんな感じで言うと思うんで。
でもソフトウェアの方の部分の話は難しいな。
わざときつめに言ったのかなっていう気はしなくはないけど。
そうですね。
多分だけど全然根拠のあるデータを元に売ってるわけじゃないんだけどさ、
以前に比べてはるかにコードの品質は良くなっているはずで、
バグとか脆弱性につながるようなのも、
セキュアコーディングとかがだいぶもう何十年も前からそういう話があちこちで言われててさ、
開発の最初の段階からセキュアに作っていくんだよと。
今なんかそれがもっともっと進んでてさ、
開発やりながらどんどんどんどんコードチェックしてグルグルグルグル良くしていくみたいなね、
そういうサイクルがどんどんどんどん回っていって、
だから昔に比べたらそういう意味ではすごく、
僕の感覚では品質はめちゃくちゃ良くなっていると思うわけ。
だから一方で、以前よりもはるかに複雑にかつ、
こういうソフトウェアとかの製品が使われる場面がもう極端に増えてるから、
ちょっとやそっと品質が上がったぐらいじゃカバーできないぐらい数がめちゃくちゃ多くなっちゃってて、
あと加えて、多分以前はごく一握りの技術の高い専門的な人だけが作っていたプログラムというものが、
ものすごく層が広がってさ、いろんな人が使えるようになって、
しかも今だったらそれこそ生成AIとかもあるし、
大して知識がない人もコードかけちゃうわけよね、簡単にね。
そんなのを使ったら贅沢性があるのがボコボコ出てくるから、
例えばそういう感じで、全体的に見たら品質とかコーディングの方法論とかね、
そういうものが良くなってる、ツールも良くなってる、めちゃくちゃ良くなってるんだけども、
それだけではカバーできないような環境とか使い方、あと人とかが増えちゃってるのが、
難しくなってる要因じゃないかなと思うんだけどね。
まだ必ずしも全然メーカーがダメなわけじゃないしさ、
だって贅沢性の報告する精度とかさ、パッチの公開スピードとか、
もう明らかに10年前、20年前って書いてあるから、
格段に良くなってることはもう明らかで。
確かにそうですね。
それでも全然現状良くなってないじゃんっていうのはおっしゃる通りなんだけど、
なかなかその辺のバランスが、多分そういう発展のスピードに追いついてないっていう感じ。
どっちも頑張って上がってるんだけど、品質も上がってる、
いろんな技術も増えてるんだけど、あまりにも発展スピードが速すぎて、IT業界は。
多分それで品質が追いついてないっていう感じはするけどね。
立証もしにくいことですけど、昔の規模感、製品の数とか、
あとはずっと関わって開発してきてる人たちの熟練度とかっていう、
まま時間が経ったんだったらもっと良かったかもしれないですけど。
今そういう時代じゃないからね。
全体のパイが増えてるから良くなってる部分もあるけど、
そうじゃない部分がしょうがなく増えてきてしまっているっていう現状が、
あるからこういうふうにきつめに言った反応かもしれないですね。
だと思う。数の問題な気はする。
そうですね。前にねぎすさんがマンディアンのレポート、
脆弱性の悪用の速度みたいなのを喋ってありましたけど、
あれもね、ゼロデイの6割以上は1週間以内に修正が出てるとかっていうのもありますもんね。
だから悪用のスピードも速くなってるけど、
修正も以前に比べたら格段に良くなってるから、
と思うんだよね。まともなベンダーであれば。
たぶんこのCI制の長官はそういう現状はもちろん僕ら以上にわかっていて、
わかっていてでもその現状を打破しないといけないっていう危機感っていうか、
そういうとこがあるから言って、言うと簡単あかんっていう立場もあるんでしょうね。
葉っぱ掛けてるっていうかね。
結局はそういう品質の向上を生むという側面があると。
もう一つは忘れちゃいけないのは、
結局はそれを悪用する攻撃側と僕ら守る防御側の勝ち負けの問題でもあるんだよね。
仮に品質があんまり上がってなくても、
攻撃者が攻撃してくるよりも前に防御側がそれに対応したり、
防げていれば勝てるわけじゃない。
だけど現状その勝負に勝ててないので、
今回の長官の発言はそもそもそういう勝負をしてること自体がおかしいっていうことを言ってるわけだけど、
だからどっちとびわけだね。どっちかでもいいんだけど、
今それが負け戦になってるのはそもそもそういうのを作ってるお前らが悪いっていうのは、
一面では正しいんだけど。
だからそういう両方の側面があるなっていうかね。
今はそれができないから、何とか負け戦にならないようにするっていう手立てを一生懸命やってるけど、
そもそも論で言えば違うでしょっていうのはおっしゃる通りでございます。
開発をされているソフトウェアの種類もいっぱいあって、
働いている環境とかもいろいろな方がいらっしゃると思うんですよね。
そんな言うでもこんだけの給料でそこまで頑張ってやってられるかっていう反応される方もいらっしゃるんじゃないかなと思ってて、
こういう言葉が意図せず分断を生むみたいになってほしくないなって思いましたけどね。
正しく意図が伝わればいいけどね。
ありがとうございます。
じゃあ次はねぎっさんいきましょうか。
Googleパスワードマネージャーの新機能
今日はですねコレンタシリーズという感じなんですけども、
僕はいつもしゃべっているパスキーの話なんだけど、
Google のパスワードマネージャーでパスキーの同期ができるようになりましたっていう
Google の発表があったのでこれを紹介したいんだけど、
正確に言うとこれまでもアンドロイド版の Chrome を使っている人はGoogle パスワードマネージャーでパスキーの同期ができたんで、
例えば複数のアンドロイドのデバイスを使っている人とかは使えてたんだけど、
ただこれアンドロイド版だけだったんだね実はね。
なので Windows とか Mac とか Linux を使っている人はその機能は使えてなかったんですと。
それが今回ちょっと使えるようになりましたよっていうね、
それはいいニュースじゃないかと思ったんだけど、
じゃあこれまではどうなってたかっていうと実は OS ごとにバラバラになってて、
例えば僕みたいに Mac がメインで使っているっていう人が、
Mac 版の Chrome を使ってパスキーを生成しますってやるとどうなったかっていうと、
Mac の場合にはまずデフォルトで iCloud キーチェーンに保存しますかって出てくるよね。
それがデフォルトなわけ。
で普通の人だったらまあ多分そのまま iCloud キーチェーンにパスキーを保存しますと。
この場合 iOS とか Apple の製品を使っていれば同期はできますよっていう。
ただまあ Windows とかそれ以外のプラットフォームは関係ないよってことになっちゃうよね。
もし仮に iCloud キーチェーンに保存しませんってやるとどうなるか、キャンセルってやるとどうなるかっていうと、
じゃあ Chrome のプロファイルに保存しますかって出てくるわけ。
でそうすると Google の Chrome のプロファイルに保存できるんだけどパスキーがね。
ただこれは同期できないわけ。
あくまでもそのデバイスの中の Chrome のプロファイルに保存されるだけで。
入るだけってことですねそこだけに。
持ち出せないの外に。
でこれは僕前に使ってみて罠にハマったことが一回あるんだけど。
あれこれどこに保存されるんだろうと思ったらなんか変なところに入っちゃって。
ダメじゃんみたいになったの。
これは非常にこう使い勝手が悪いわけね。
で Windows 版も同じで Windows 版の前は当然 iCloud とかないから
Windows 版で Chrome で保存しようと思うとやっぱり同じように Chrome のプロファイルに保存しますかってなって。
それはやっぱりその Windows の端末から外に持ち出せないわけ。
なんでこれまでは Android 以外の人たちは Chrome 使ってパスキー確かに保存できるんだけど
それぞれ端末ごとにバラバラっていう状況になっちゃってたわけ。
さすがにこれは使いにくいよねって思ってたんだけど。
僕は Mac ユーザーだからあんまりその関係ないなと思ってた。
iCloud 使えてるからいいやと思ってたんだけど。
でもそう思ってない人も結構いただろうし。
あと Linux 版の Chrome ではそもそも保存ができなかったんで。
非常に使い勝手が悪かったのね。
でそれが今回 Windows、Mac、Linux で対応して
Android 版と同じように Chrome でその自分の Google のアカウントでログインをして
Googleパスワードマネージャーの便利さ
パスキー保存しますってやると
その Google のアカウントの Google パスワードマネージャーに
ちゃんとパスキーが保存されて
で別のデバイスでも同じように Chrome に同じ Google アカウントでログインすれば
ちゃんとパスキーが同期できますと。
これから Google の仕組みを使って同期できるってことね。
という風になりましたということで。
これは非常に便利になりました。
ただし今回サポートしたのは Windows と Mac と Linux だけで
一応今開発中らしいけど
iOS と Chrome OS はまだこれかららしい。
一応それまでサポートすればほぼ今普及している
だいたい全部の OS で使えるようになるという感じなので
これはいいなという感じですね。
加えて一応パスキーってパスワード側に使われるのもあるけど
非常にセキュアに管理しないといけないので
同期するにあたって一応 Google その辺をなんか考えたらしくて
Google のパスワードマネージャーにパスキーを保存すると
別のデバイスでそれを同期しようとした時には
実はその Google のアカウントのパスワードとかとは別に
このパスキー用の Google パスワードマネージャーピンという
6桁の数字がデフォートで設定されるんだけど
これをそのリカバリー用の6桁のピン番号をユーザーに設定させて
それを新しいデバイスで入力しないと復元できませんと。
じゃあ攻撃者が同期を図ろうとするとそのピンを知らないと
自分のデバイスには取れないと。
そう、だからパスキーの同期に関しては
Google のアカウントの認証を突破しただけではダメですよという。
これは結構安全でいいかなという気がしました。
パスワードマネージャーの複雑さ
という感じで使いやすくなったかなと思うんだけど
ただね、じゃあちょっと1回試しに使ってみようと思ったんだけど
いろいろ使ってみると知ってる人はそんなに戸惑わないと思うんだけど
なんか難しいなと思うところがいろいろあって
例えば1例を挙げると僕はMacでChromeも使っていて
加えてワンパスワードっていうパスワードマネージャーを使ってるわけ
パスワードマネージャーの、ここでは例としてワンパスワード
別に他のでもいいんだけど
他のパスワードマネージャーの拡張機能を使ってると
まずそっちが使われるのね。
なので今僕のデフォルトの状態で
Chromeでパスキーを生成すると
まずワンパスワードに保存しますかって出てくるわけ
それでもいいですよねと
だけど僕はワンパスワードじゃなくてこっちに使いたいとキャンセルすると
じゃあiCloudに使いますかって出てくるわけ
それでもいいんだけど
それも違うなってやるとキャンセルすると
じゃあChromeのプロファイル使いますかって出てくるわけ
今言ったGoogleのパスワードマネージャーは出てこないわけね
空気読まへんな全然
そういう感じなわけ。これはしょうがなくて
パスワードマネージャーは複数使うとコンフリクトしちゃうから
ワンパスワードの拡張を入れるとそもそもGoogleパスワードマネージャーは無効になるんだよね
まずここがちょっと分かりにくいかもしれない
じゃあワンパスワード一旦無効にしましょう
パスワードマネージャーはGoogleパスワードマネージャーを使ってますという場合にはどういう挙動になるかというと
僕みたいなMacの使う場合には
それともやっぱりデフォルトレバーはiCloudキーチェーンに保存しますかってまず出てくるのね
で、いやいやGoogleが使いたいですってキャンセルすると
ようやく2番目にじゃあGoogleパスワードマネージャー使いますか
iCloud使いますかそれともChromeのプロファイル使いますか
選択肢が出てくるわけ
ここでGoogleパスワードマネージャーを使いますってやってようやく使えるようになるわけ
ちょっとなんか道のりが長いですね
だからね今言ったようなどこに何を保存してどう使うかっていう仕組みがしっかり分かってる人は
これを使うって明示的に自分で選べる選択の幅が広がるのでいいなと思うんだけども
それが分かんない人はさまず最初に出てきたものを多分使っちゃったりとかするじゃない
そうすると多分ね今のは僕のMac版の話なんだけど
Windows版とかLinux版だったらそれぞれ状況が違うんで
結局そのデフォルトで何が使えるかとか
どこに保存したかっていうのをちゃんと自分に意識してないと
結局バラバラになっちゃう可能性があるんだよね
なんで今日さGoogleパスワードマネージャーでいろんなプラットフォームで使えるようになったとは言ったけど
強い意思を持って全部俺はGoogle使うんだってやらないと
うっかり変なところに保存する可能性あるんだよね
その辺が仕方ない仕組みとして仕方ないし
選択肢がいろいろあるのは素晴らしいことなんだけども
今例えば言っただけでも
iCloudに保存する
サードパーティーのワンパスワードみたいなパスワードマネージャーで保存する
あとはブラウザについているGoogleのパスワードマネージャーで保存するっていう選択肢が3つあるわけで
自分が一番使いやすい環境を使っている環境に応じたものを使えるっていうのは良いことだと思うんだけど
初心者にはちょっとハードル高いかもなっていうね
なんか気がしてもうちょっとシンプルにできないのかなっていうのが
こういうのを使うたびに思うんだけど
パスキーって本来はパスワードに代わってすごくシンプルにセキュアにログインできますっていう仕組みのはずだけど
なんか使う面でちょっとハードルがやっぱりなんかこういうのを見るにつけ
普通の人には難しくないかいこれはっていう
感覚が拭えないというか
これはでもあれなんですかね
パスワードマネージャーとかブラウザ保存とか何でもいいんですけど
何かの代わりにこれに変えようかなとかっていう人ではなくて
新規の人だとはまりにくいのかな
だから新規の人でも使い方によるんだよね
例えば僕みたいに
例えばAppleの信者でAppleのデバイスしか使ってませんっていう人は
多分iCloudキーチェーンに保存するのが一番シンプルなんだよ
それが一番デフォルトで表示されるし
だけど例えば複数のプラットフォームを使ってたりとかすると
表示が異なる場合とかがあったりするんで
じゃあこれからじゃあパスキー使い始めますってなった時に
まず最初にどこに作るかっていうのから
もしかしたらその後の使い方が影響を受けちゃう可能性があったり
これは他のところでも前にポッドキャストにも言ったけど
自分はどれでどういう使い方が合ってるかっていうのは
使い始める前に考えとかないと
むしろ管理が煩雑になっちゃう可能性があって
だって下手したらさっき言ったみたいに
デバイス固有の持ち出せないところに保存しちゃったり
iCloudで保存しちゃったり
他のGoogleのパスワードマネージャーで保存しちゃったり
だからバラバラになるじゃない
確かにどこに何があるのかも分からないと逆に良くなくなるっていうね
ユーザーの認識とセキュリティ
それもどうかなっていう気がするんだよね
セキュアだけど使い勝手は良くなってるのかどうか
ちょっと分かんなくなってきて
やりながらこれはほんまにええんかみたいな
僕らはわざとそういうのをいろいろ検証したりとかして
変な使い方とかする
そういう人はほっといていいんだけど
ごく普通のユーザーがこれちゃんと使い殺せるのかなっていうのは
ちょっと心配だなっていうか
もしそういうの使っててここは使いにくいですとかっていうのがあったら
ぜひ感想を教えてほしいなと思います
でも聞いてる限りやっぱりちょっとまだ道半ば感あるなっていう気はする
そうだよねちょっと難しい
これ以上はどうにもならない気はするんだけどね
そういういろんな方法があるからこその悩みというかね
あとこれChromeの話だったけど
ブラウザー違うやつ使ってる人とかだとまた多分もっと複雑に
Firefoxとかもありますからね
サファイザーのFirefoxいろいろ使ってるとかって言ったらまたややこしい
確かにな
一番ベストプラクティスっていうかさ
何をお勧めればいいのかがよくわかんなくなっちゃってきて
一番OSごとバラでもヒューでもバラバラの使ってる人いっぱいいるもんな
そうなんだよね
どういう使い方でもこれが合いますよっていうのが
結局一つの正解っていうのがなさそうだなっていう
確かに確かに
なんですよね
選択肢が多いが故の悩みという
そうなんですよね
でもパスキーはぜひたくさんのフィル使ってほしいんで
もうちょっと上手く普及する工夫があるといいなっていう気がするんだけど
ハマらずね
説明の仕方も工夫がいるなって思ったね
さっきの同期するにはピンが最初にあらかじめ決めた6桁でしたっけ
を入力しないといけないっていうのもあって
かなり安全のところには気を使われてるなと思いましたけど
ふっとやっぱり思い出すのがリツールの前紹介いただいたリツールの例ですね
そうね復元されちゃうやつね攻撃者に
音声真似して電話かけてこられて
ちょっと6桁の番号とかって言われて聞き出されたら
これはね防ぎようないというかテクノロジーで防ぐもんじゃないっていうのがあるかもしれないですけど
そういうのにはがあるっていうのは一応こういうのが安全だって思い込まずに
違う経路でやられるっていうのは頭のどっかに置いとかなあかんなと
そうだね
それと共通するのはさあれはパスキーじゃなくて
ワンタインパスワードのシークレットが復元されちゃったって話だけども
まあでも本質的に言ってることは同じことを言ってて
その認証に必要な重要な情報がどこで保存されてるかどこにバックアップされてるかとかっていうことを
その使ってる人が意識せずに
今日の話もそうだけども
あちこちにバラバラにあってちゃんと管理できてないっていう状態は避けるべきなんだよね
そういうのは多分攻撃者に狙われちゃうから
使ってるものツールあと保存場所でそれがどう保護されてるかっていうのを
本当はちゃんと意識して使ってほしいよね
確かにそうですね
なかなかちょっとサッといけるもんが出てきますね
気にしながら見ていってこれだっていうのを探していきたいなと思いました
ありがとうございます
じゃあ最後僕ですけれども
今日僕のお話は企業組織が犯す脆弱性管理の間違いトップ5プラスアルファーという記事がありましてですね
脆弱性管理はみんな悩みのたらだもんね
これはニュースサイトというか記事の天才をするようなサイトで
セキュリティブールバールって読むのかなこれで見つけた記事なんですが
もともとはストローブセキュリティという方が書いた記事で
いろんなセキュリティ製品扱っているベンダーなんですけれども
そこで脆弱性管理していく上でこういうところにはまりますって
こういうことをちゃんと意識できてますかみたいなことを5つ挙げてくれてるんですけれども
順番に言っていくと優先順位の欠如が1つ目
2つ目が資産の棚卸しの見落とし
3つ目が設定構成に関する問題を無視してしまう
4つ目が他のセキュリティツールとの統合の失敗
5つ目が継続的なモニタリングの軽視っていう風なものを挙げてくれてるんですけれども
1つ目の優先順位の欠如で脆弱性って言ったらもう
これ聞いてる方はピンとくるかと思うんですけど
全ての脆弱性の重要性を同じように扱ってしまってるとか
あとは深刻度っていうのも何を軸にした深刻度かによると思うんですよね
いわゆるCVSSの危険度中みたいなところだけを見てるのか
攻撃高度があるなしなのかとか言っても変わってくるけど
そういうことをきちんと見極めましょうという風なことを言ってるんですよね
この優先順位を誤るとどうなるかというと大体2つあって
脆弱性管理の重要性
1つは本当に今しなくてもいけない対策対処をしてしまうのに労力
いわゆる浪費してしまうということですね
もう1つは逆にこっちの方が良くないんですけど
本当はすぐにやらないといけない
例えば悪用がすでに認められている攻撃高度があるみたいな脆弱性の緊急性を誤って
対処を漏らしてしまうという風なところですよね
ここはもう言うまでもないかもしれないですけど
悪用が認められているとか攻撃高度のPOCのリリースが高知なのかみたいなところで
CISAのKEVとか
あとは僕が結構よく見ているのは
inthewild.ioという脆弱性の攻撃が悪用が確認されているというので
エクスプロイトが出ているというのをフィードで公開してくれているやつがあって
それをよく見てたりはしますね
これの軸に5年以上前とかと比べるとこういう情報がたくさん出てきているので
こういったものを軸にしてというのを考えて
漏れとか無駄とかを減らしていくというのが必要なんじゃないか
というのが一つ目のものでした
設定と構成の慎重さ
二つ目がちょっとこれ1番と2番逆ちゃうかなと思ったんですけど上げ方が
二つ目はCISAの棚下ろしの見落としってやつですね
これは自分たちがどんなものを使っているのかとか
ハードソフトネットワーク機器なんでもそうですけども
そういったものを把握していない
変化していくものを終えていないので
最新に保てていないという風なことができていないケースに挙げられているんですけど
資産の管理ができていなかったら何を使っているか分かれへんから
このやばい脆弱性ありますって言われたところで
それが自分たちに影響があるのかどうかが分からないという風なものにつながってくるんで
たぶん順番的にはこっちが先かなとは思うんですけどね
これは何するかというと資産管理だと思うんですけど
資産の可視化とか自動化ツールがもしあるなら
そういったものを使いつつ定期的に更新していくと
あとはこれ結構システムというか機械的にやるっていうところでは
見落としがちかもしれへんなと思うことが1個挙げられてて
資産がどういうものかってことと
そもそもどこにあるやつなのかとか
あと所有者これ主管部門とかって言い換えればいいのかな
とか構成とかっていうのをきちんと残しておきましょうねってことが挙げられてましたね
なんか問題ある分かったけどこれどこの管理なんやったっけっていうので
時間がかかってしまうっていうのをこれで避けた方がいいんじゃないかっていうのは
確かにこれ見落としがちかもっていう風に思いましたね
これは2つ目ですね
3つ目設定構成に関する問題を無視っていうのがあって
これは脆弱性とかっていうところに焦点を当てすぎてしまうがあまりに
足元救われる系で例えば情報の公開範囲を誤ってしまうとか
あとは本来不要な機能をオンにしてるとか
この不要な機能も最初からデフォルトで不要かもしれへんっていう風なものが
オンになってるケースの代表格って僕が思うのはテレメトリの送信とかですね
前このポッドキャストでもどなたかが紹介してて
その機能がオンになってるとみたいなやつありましたよね
あったね前提条件になってるやつね
だからこういう風なものもオンになってたらやられてしまう
それそもそもいるんやっけ協力したい気持ちはあんねんけどさ
みたいなことも足元救われる系の一つなのかなっていう風には思いましたね
確かにね結構事例でもアクセス制御の設定不備例とかさ
そうそうそうそうなんかあるよね脆弱性の対応ももちろんだけど
そもそもきちんと制御されてたら脆弱性の対処まで猶予があったのにみたいなね
そういう事例とかたまに見かけるもんね
セキュリティ診断とか僕もペネトレとかやってましたけど
その時のレポートの最初の本の読み物とかに結構書くんですけどねこれもね
あーそうなんだ
脆弱性っていうのは何から生まれますみたいな図で表すのを僕入れてたんですけど
そういうソフトウェアの欠陥っていうのと
あとは設定由来のもの
あと運用管理不備みたいな
これ人の部分なんでこのセキュリティ診断ペネトレでその範疇は脆弱性
要はソフトウェアの欠陥と設定由来のものによって
引き起こされる脆弱性を対象としてますみたいな図を書いてたんですよ
なので日本柱だと思うんで
とはいえ設定の方は見落とされがちというか
そうなっていることをそもそも知らんみたいなものって
診断とかしてると見つかったりしましたよね
そうだよね
これに関してはそもそものデフォルトの設定も含めて
構成の監査とかレビューとか本当にこれでいいのかみたいなものをしつつ
これが妥当性のあるもんです
これがうちの設定のあるべき姿なんですっていうものを決めれば
あとは変更管理をどう楽にしていくかかなっていう風なとこですね
その妥当性っていうのはベースラインを定めておいてみたいなので
サービスインする前にはそれと合ってるかっていう確認を
しておくといいんじゃないかなとは思いましたね
あとこれはよくこのポッドキャスターでもたびたびちょいちょい出てくる
ポート先でネギさんおっしゃってましたけど
設定変更したポートが空きっぱなしになってたとかね
セキュリティツールの統合とモニタリング
そういうミス多いもんね
それで10日間以内に入られてきたとかもありましたもんね
なのでこういうベースラインと変更の確認をしておきましょう
4つ目が他のセキュリティツールとの統合の失敗っていうのは
これはいろんなセキュリティ製品があって脆弱性のスキャンとかだけじゃなくて
その結果をCMだとか教員インテリジェンスだとか
そういったものと照らし合わせたほうが効率的であるし
相関的なものも見れる
逆にやらないと見落としてしまいますよ
この辺からちょっとお金の匂いがしてくる感じの
それでもなかなかできないですよね
そう思うでしょ
うちの製品がねってきそうな感じはするなっていう
いよいよやなっていう感じが
ちょっとしてきたなというふうに思う
これはお金かけられるんであれば
統合機能をきちんと
親和性とかもあったりするんで
これとこれの連携ができますみたいなものを
導入陣に互換性を考慮するっていうのは
やっぱ大事かなっていうのが一点
とはいえなかなかお金かけられへん場合もあるな
これは記事に書いてたわけじゃないんですけど
そういった場合は時間と労力でカバーしていくしかない
っていうケースもあると思うので
そういう時には何か起きた時のための
必要なログの種類の洗い出しとか
フォーマットの統一とか
整理保存について考えるくらいは
しておいてもいいのかなっていう気はしました
最後は継続的なモニタリングの啓始
っていうふうなところがあって
これ脆弱性の定期的な監視とかを
続けてやってないと
単発のスキャンに頼ったりすると
時間が空いてしまったら
どんどん脆弱性がまた出てくるので
良くないよねっていう
ぐるぐる回しましょうねっていう
ちょっとASM寄りな感じの話なのかな
っていうふうには思いましたね
脆弱性はそもそもインシデントの発生に
穴があるってことが分かんないと
どれでやられたのかも分かれへんとか
っていうことにも繋がってくるかなと
基本的には定期的な頻度がね
短いければ短いほどいいんですけど
とはいえね
いっぱい出しても対処できひん
っていうのもあるので
その辺の差事加減は自分たちで
見ていく必要はあるのかな
というふうには思うんですけど
この定期的なスキャンっていうふうにやると
自分が昔やってたっていうのもあって
PCI DSSの要件11っていう
スキャンとかペネトレのことを
言ってるやつがあるんですけど
あれは外部のネットワーク経由に
絞って言うと年1回のペネトレと
市販機に1回の脆弱性スキャンをしなさい
っていうふうに定められてるんですけど
今考えたら現状を踏まえると
このスパンじゃちょっと
飽きすぎかなっていう感じも
ふっと思いましたね
いやちょっとそれはもうだめでしょ
多分ね
多分最低限とも言えなくなってきてるな
っていうふうな気はしますね
アメリカのBODの2301は
7日間の資産の可視化と
14日間っていうふうにね
定めてるんで
これがねどの組織にもできるかどうか
っていうのはちょっと
考えものかなと思うんですけども
そうだね
さっきついさんも言ってたけどさ
脆弱性の悪用のスパンが
短くなってるみたいな話したじゃない
そういうのも考えると
7日14日とかっていう
BODのやつですら
間に合わないかもしれないし
そうですね場合によったら
隙間に入ってくるかもしれないですね攻撃が
この辺はその
脅威の今の現状に
合う仕組みとか
コンティニュアスって言ってるのが
本当にこれで十分かどうか
っていうのはその時々で
変わってこないといけないからね
そうですね
バランスは難しいけど
短くしすぎればしすぎるほど
もちろん運用負荷もかかるから
100%やられることを
ゼロにすることを
あまり目標にしないほうがいいのかな
より良くのほうがいい見方かな
と思ってはいますけどね
そうね
っていう5つのものを挙げてくださっていて
プラスアルファで追加っていうところでコメントされてたんですけど
一言で言うと
脆弱性スキャンは脆弱性管理ではない
っていう当たり前のことを
挙げられてたんですけど
結構その物の売り方
とかキャッチフレーズみたいなところで
脆弱性スキャナーやのに
これ脆弱性管理製品みたいな感じで
時代の流れとともに
製品変わってないけどもう看板変わるみたいな
あるじゃないですか結構
なんていうの僕が昔
それこそ新卒から
5年目以内みたいなころよく思いましたけど
あれこの製品この間は
ISMSって言ってたのに
今日はPマーク言うてんなとか
何年後に言ったら日本版ソックス号
対応次PCIみたいな
あれ製品種やのにみたいなね
いう風に思ったこともあるんですけど
そういったことはもちろんどんなものにも
対応できるっていうのはあるけど
接続可能性もあるなっていうのは改めて
思いましたというところで
ございますね
あと僕自身がこれを通して思ったのは
スキャンに関して言うとやっぱり
脆弱性スキャンってネットワーク経由だけじゃなくて
やっぱり認証スキャンだとか
エージェントを使ったローカルの
特にローカルの脆弱性なんて
後回しにされてるけどまあまあ
悪用されてるじゃないですか入られた後に
そういったところの範囲とかも
ちょっと見直すっていうきっかけになったら
いいなという風にも思いますし
あとは守られたネットワーク
っていうか内部とか
閉域経由みたいなところも
外部と同程度という優先度までには
いかなくても
ちょっとほんまに大丈夫かなっていう風な
考えをこれからちょっと巡らしていく
必要があるというか視野に
入れていって自分たちがどういう
ネットワーク経路の組み合わせで
どのスパンで見ていくかっていうのを
きちんと見直さないといけないんじゃないかな
っていう風なのをこれを読んで
改めて思いましたというお話でございます
この手の記事はだいたいそうなんだけどさ
今挙げてくれた
5つはどれも大事なんだけど
大事なんだけど
リソースが
潤沢で
何でもかんでもできるところでない
ところは
まだ結局どこから
やればいいのかなって
なるので
全部大事だのは分かるけど
いっちゃん大事なの
どれみたいな
いっちゃん大事って言われたら
ダンプ松本のキャリア
何って言いますお二人
そこがちょっと分かりにくくないかな
っていう気も
ちょっとするけどね
いっちゃん大事ってのも
全部同じとは限らないんだよね
全部のケースで
同じとは限らないので
こういうビジネスをやっている
こういう環境で使っているであれば
こっからやった方がいいとかっていうのが
本来はあるはずなんだよね
だってそういうリスクって
それぞれ別々だからさ
ただ僕も
分かってて言ったんだけど
あえて単純化した方が
伝わるかなっていう気もするし
そうすると今言ったみたいに
ケースによって違うっていうのが
分かんなくなっちゃうんで
今回みたいな大事なことは
これだけあるんですよ
その中でちゃんと考えましょうねっていう方が
良心的なのかな
っていう気もするしね
どうなんだろうな
これ読むのかなっていうか
出す側はね
やっぱり網羅的に言いたい
でも受け取る側は
どこからやっていいか分からなくなるっていうね
あるんで
極端なこと言えば受け取る側はさ
自分たちに個別の
アドバイスが欲しいわけなんだよね
これ落とし込んでね
自分たちというかね
自分たちはどうしたらいいのっていうのをさ
それは自分たちで考えろよ
って話なんだけど
それが分かんないから聞いてんだよっていう
そういう悩みじゃない?
大体のところは分かんないけどさ
だから高い金払ってコンサルトが頼むわけじゃない?
分かんないから相談乗ってくれみたいなさ
話なわけだけど
そういう
お金なりリソースなり頼める相談相手が
いない人たちはどうすればいいの?
っていう
のがやっぱりね
難しいのかな
っていう
僕は変わらずまず
スキャンできる人材を一人用意してください
って
一旦は言い続けようかなとは思ってて
ぶれがなくていいね
ポート空いてさえなかったら
大丈夫やったのにっていうのは
推しすぎるんですよ
諦めきれへんっていうかね
確かに残念だよね
ちょっと工夫して
やっとけば防げたのにみたいなのは
確かにあるよね
本来空いてても大丈夫なようにするべきだと思いますよ
でもそれも
できひんからってなったら
できる限り入り口で落とせるものを
落とせる努力をまずしてほしいっていうのが
ありますね
それは僕も同意ですよね
さっきほら仲間を大事にとかって
言ったけどさ
外ばっかり目向けないでって言ったけども
それはあくまで外からの脅威に対して
攻撃に対する対処が
ちゃんとできてるところだから言えることで
そうそう
それすらできてない
ポートのチェックとか外部から
やってるかすら分かってないのにさ
内部の対応とか言ってる場合ちゃうでしょ
ってなるから
本当にそうなんです本末転倒ですからね
ドラマ『極悪女王』の内容
そういう現状を見据えて
ちゃんとコツコツやってほしいとは思うけどね
じゃあちょっといつもの
セリフを言わせていただいていいですかね
どうぞどうぞ
侵入前提前提言い過ぎ
侵入前提にはちゃんと外部からの対策ができてる
という侵入前提には
前提があるんです
ご静聴ありがとうございました
確かに
我々の反省も込めてね
そうですね
ちょっと言い過ぎたかなみたいなね
みんなでよくしていきましょうということでございます
はいありがとうございました
はいということで
今日もセキュリティのお話を3つしてきたので
最後におすすめのあれを紹介するんですが
今日はもうどうしてもですね
あるサブスクに入ってないと
見れないものを紹介します
はい何でしょう
ネットフリックス限定になってしまうんですけれども
9月の19日に公開された
極悪女王という
ドラマですね
前5話の回によって
時間が60何分だったり
80何分だったりするんですけど
よくありがちな
のやつで極悪女王というやつなんですけど
これ何?
分かりました?
ダンプ松本のやつじゃない?
ニュースで見たそれ
いわゆるダンプ松本物語です
そうだよね
見た見た
結構
3年4年あるかぐらい前から
オーディションやったりしてて
僕もこれ知ってたんですよ
オーディションの後
役が決まったりしたニュースを
昔ちょっと前に見てて
あれ昔見てたやつと思って
そうなんだ
たまたまyoutube開いたら
公開イベントみたいなのを
こう楽園ホールかどっかでやってて
確かに俺それのイベントのニュース記事が
結構いっぱい出てた
目に入ったんだよね
こんなのあるんだと思って
それを見ようと思って一気見しまして
どうだった?
めちゃくちゃおもろくて
ダンプ松本さん役が
ユリアンレトリーバーさんで
クラッシュギャルズっていう
一世を風靡した女子プロレスのコンビ
懐かしいね
長谷千草さん役が
唐田恵梨香さんで
伊沢深さん役が
私が昔人生で
最初に最後と言ってもいいぐらいの
ファンクラブに入ってしまった
郷力綾根さんです
昔そういえばポッドキャストでも
郷力ちゃんの話したことあるよね
確かに
未だに記者発表みたいなやつ見て
綺麗だったなと思いながら
見てたんですけど
話自体は
ダンプ松本さんがレスラーに憧れて
っていう子供の頃の話から
始まって
最初の駆け出しの頃で
しごかれてる頃から
なかなかデビューできずに
あることをきっかけに
ヒールになると
ダンプ松本さん
今のダンプ松本さんを知ってるときからすると
めちゃめちゃ物腰柔らかくて
むしろ優しい方なんですよね
僕がよく見てると
相席食堂とかで
いろんな地方とかに行って
誰かとご飯相席するみたいな番組でも
物腰柔らかいんですよ
そういう人多いんですよね
レスラーの人とかってね
その人がヒール
極悪女王っていう
ダンプ松本さんの当時のあだ名でもあったんでね
それでヒールになって
一世を風靡して
引退までっていうところの
話でしたね
結構懐かしい
俳優さんとかも出てて
聞いてる人の世代にもよるかもしれない
たぶんネギさんは刺さると思いますけど
ダンプ松本さんが出てましたね
懐かしいね
ダンプ松本さんのお母さん役で
出てましてね
この人すごいんですよね
95年に
一旦引退してるんですよ
パタッと見なくなったもんね
23年ぶりかなんかに
久しぶりに子育て持ち着いたってことで
2018年ぐらいに復帰してるで
それでもやっぱりね
女優さんってすごいなって思いましたね
あとは
他に言うと
僕も今回初めて知ったんですけど
マリーマリーっていう漫才コンビの
エビちゃんっていう女性が
ダンプ松本と一番初めに
組んでチームを作る
クレーンさんっていう人の役
クレーン優っていう人の役を
やってるんですけど
役者さんかと思うぐらいの演技で
良かったですね
そんなちょいちょいしかないですね
セリフもそんなないんですけど
ダンプ松本に近しい人間なんで
良い役は良い役なんですけど
めちゃくちゃ上手かったなと思って
結構だから笑いあり
涙ありみたいな感じの
良かったですね
ついさんはねっからの
プロレス好きだからさ
刺さると思うんだけど
僕もプロレスはそんなに興味あるわけではないけど
とはいえ当時の
ダンプ松本さんの
人気っていうか逆に
アンチも多かったかもしれないけど
めちゃくちゃ多かったですね
すごい話題になってたじゃない当時はさ
リアルタイムで知ってる世代は
刺さるかもしれないけどさ
今の若い人とか全然当時を
知らない人が見ても楽しめるのかな
そこなんですよね
どっちかっていうとプロレスが
どうかっていう
プロレスの技とか知らなくても全然関係ない
のでどっちかというと人間ドラマ
みたいな
ダンプ松本
物語なんですけど結構
ダンプ松本か長谷千草かみたいな感じ
同期なんでこの2人
結構意識し合ってた
2人なんですよ仲良かったらしいんですよね最初ね
入ってからすぐとかはよく一緒に
行動しててでも長谷さんの方が先に
めちゃめちゃ売れちゃってっていうスター
なっちゃったっていうのがあるんで
軍蔵劇っぽい感じはするかな
なるほどねそうかそういう意味では
背景とか当時の状況を知らなくても
純粋に楽しめるのかな
そうですね昭和っていう
時代は結構いろんなめちゃくちゃなことしてた
時代なんやなっていうことぐらい
その辺は全然大丈夫
ただちょっと暴力表現はもちろんあるんで
まあね
狂気攻撃で血流すとかもやっぱある
その辺ちょっと苦手な方は厳しいかもしんないですけど
物語としてはすごく
そういう時代を駆け抜けた
人がいるっていう風な目で見れば
結構プロレスとしては
それ言っちゃっていいんですかみたいなことを
裏側の話をしてて
プロレスラーとしては関わってる
長谷さんがプロレスの指導とかに関わってるらしいんですけど
そういう
なんかほんまに
プロレス好きしか使えへんような
因語
そういうものがあるのかないのか
みたいのもあるじゃないですか
プロレスって
そういうことも平気に言うんですよ
じゃあそういう
知ってる人から見ても
それはいいね
僕意外とごちゃん見るの好きで
ごちゃんの人の反応みたいな
ごちゃんで書かれてる反応見るの結構好きで
見たんですけど
賛否両論は当たり前なんですけど
プロレス知らん
あんまり知らんとか当時のこと
あんまり知らんけど楽しめたって意見が
結構散見されました
それはきっとじゃあ
いい出来団だろうね
一つデメリットというか
あんまり良くなかった点っていうのは
スピード感はちょっともうちょっと上げてもよかった
ぐらいかな
ダンプ松本になるまでがちょっと長いかな
ただその分他の先で見たら
群像劇というか
見かけてるというメリットもあるかな
とは思いましたね
めっちゃ早口で
オタクの悪いとこ出てるわ
分かる分かる
気持ちが乗るよねこういうのね
2人いつも僕が調子よく
喋りだしたらちょっと笑うよないつも
そうねそうね
もしサブスク
入られてる方いたら
予告編とか記者会見とか
っていうのもちょっと見れたりするんで
よかった興味あったらちょろっと見ていただいてもいいんじゃないかな
作品の評価と視聴者の反応
と思います
はいそんな感じですまた
次回のお楽しみですバイバイ
バイバイ
