00:00
私…あ、お二人既に忘れてらっしゃるかもしれないんですけど。 私、昔、植物を育ててたことあったのってご記憶ありますか?
いやいや、もう覚えてますよ。 覚えてますか。 キュウリ?キュウリ?
もうね、セキュリティのアレといえばキュウリみたいなね。 そんなこともないけどな。
それほら、悲しい過去があるからさ、触れていいのか触れていけないのかわからなくて。
本当に傷がね、やっぱり。
セキュリティのアレのこのポッドキャストを更新する作業を僕がやってるじゃないですか。
その時にサムネイルがいっぺんにバーって出てくるんですよ、過去のやつも。
はいはいはい。
なんでそこにキュウリのやつとか出てくるんで、僕は毎週思い出してますから。
ありがとうございます。
で、それを何?
実はその話に今触れたということはですよ、続編がありまして。
すげえ。
キュウリではないんですけど。
別のやつ?
実は去年はこっそりピーマン育ててたんですね。
こっそり?
言うまでもないかなと思ってピーマン育てて無事収穫まで行ったんですね、実は。
そうなんや。
収穫した後、めんどくさがりで育ったピーマンの収穫が終わったそれをそのまま放置してたんですよ。
実というか全部取った後の、いわゆる残りかす的な感じのね。
はいはいはい。
で、私そのまま枯れるのかなと思って、枯れたタイミングでまた掃除なりすればいいかなと思ってたんですけど、
冬を越えてですね、その冬の間もなんか葉っぱがなかなか落ちなくて、少し仰づいてる感じ?
まあ当然元気はないんですけど、少し仰づいてる感じで、すぐに分かれないもんだなーとか思って。
で、春になったらですね、なんか根っこのあたりからまた新しい苗っていうのかな?なんだろう。
葉っぱが生えてきて、こんな生命力ある?みたいな。
で、またこれもしかしてピーマン再び来るのかな?とかちょっとワクワクしてたんですけど、
今になって見てみると、明らかにピーマンの葉っぱと違う葉っぱが…
別の?
別の何かが生えてきてですね、葉っぱはすごいでかくて、何が育つんだろうなっていうのがちょっと今正直分かってない状態なんですけど。
ただ今現在進行形なんですか?
全くオンゴイングな状態でございまして。
何か分からないものが生えてきたという話。
そうなんですよ。葉っぱだけやたらでかくてですね。
怪奇現象じゃん。
いやー、ただ見た感じ明らかにピーマンの草が生えていた根っこのあたりから生えてるんですよ。
えー、なにそれー。
もしかしたら…
別のどこか飛んできた種が発芽したとかそういうのではなくて。
03:04
そうですね。
根っこは全く同じところなんですか?分岐して生えてきたみたいな。
そうです。
じゃあピーマン以外は普通は考えにくいってことですね。
だと思うんですよね。ただピーマンでもやるのか分からないんですけども、たまに苗とか継ぎ木して別の植物と合わせで植えるみたいなのもあったりするので、
もしかしたら別の植物がそこで急に覚醒して元気になってきたのか、もしくは別のピーマンなのかよく分からないですけども。
新種?新種かもしれないですね。
写真とかね、後ほどお送りしたいと思うんですけど。
面白い。
これ何になるかな。なんか変なのだったら嫌だなとか思いながらも。
でもなんか本当にパッと見た目ピーマンともなんとも見分けのつかないよく分からないものがもし生えてきたというか実がなったりとかしたら、
なんか探偵ナイトスクープとか呼んでみたらいいな。
調査してください。わけの分からないものが生えてきたんですけれどもみたいな。
確かに。
調べてくれるかもしれないですよ。
そうですね。ちょっとあの写真を例えばこの後セキュリティのアレのサイトに載せてもらってアレ勢の方からそれ雑草ですとか普通に指摘されるかもしれないですけども。
いいですね。写真は今撮れる状態にあるんですよね。
ありますあります。
じゃあ一応くださいよそれ。サムネイルにしましょう。
承知しました。
確かに。ちょっとみんなのアレ勢の英知を継承したら謎が解けるかもしれない。
面白そうで。
そうですよね。でも何とも判断つかなかったら確かに雑草になっちゃうかもしれないですね。
うん。なんですよね。楽しみだねその謎。
いいじゃないですか。キュウリよりも盛り上がってきてるというか。
確かに。
すごいですね。あの普通映画ってヒットしたやつとかドラマとかもそうですけどそれの続編が作られるんですけどね。ポシャったやつの続編が出てきたみたいな。
ワンよりツーの方がすごく面白い。
確かに確かに。
いいですね。
楽しみが増えましたよ。
後で写真をお送りします。
お願いします。
そんなもんなんで。
じゃあお便りが来ておりますので読んでいこうかなと。
お願いします。
思いますけれども137回を拝聴しましたと。
KEVの話題と過去のSボムの話題の時も聞いてて思ってたことがあって攻撃者にとっても良い情報源になってしまうんじゃないかというふうに思っていたそうです。
KEVならリストにない攻撃手法の方が成功率が高められる。
これ油断してるからって意味なのかな。
Sボムなら脆弱性の見つかったモジュールを使っているサービスを簡単に相当できてしまうといった具合にこういう情報で外部に公開するのではなく政府機関や社内などにある程度公開法を決めた方が効果的なんじゃないかなと思いながらしろと考えながら思っておりましたというふうなお便りをいただいております。
06:04
鋭い指摘なんだよねそれはね。
鋭い指摘なんだけど、これはセキュリティにはもうつきものというか、
過去何十年とその課題と向き合ってきた歴史がありましたですね。
結局その隠すことによるセキュリティが公開することによる攻撃者をリスルよりももっと良くないっていうのがまあ長年の結局この業界の結論なんだよね。
そうですね。
なので、確かにその指摘は正しいんだけども、一方でそういうリストを公開しないと攻撃者側だけが密かにそういうことを悪用するという可能性が出てしまって、一般の人たちはそういう知識を何ら知らないでただやられるがままみたいになっちゃう可能性があるんだよね。
で、もう一方で今回のKEVみたいな、一見そこも攻撃者が見てそこに乗ってないやつでやったら攻撃側にもメリットあるじゃんみたいな、確かにその通りなんだけど、そういうデメリットを考慮してもでも公開してみんなでセキュリティを高めた方がメリットの方が大きいっていう、まあそういうバランスの判断なんだよねこれはね。
なので、これって脆弱性の情報公開とも全く同じで、攻撃手法を何で公開するのかっていう話とも全く同じで、一見すると攻撃側を理するようなことをしているように見えるんだけど、でもそうやってその隠さずに広く公開することで全体のセキュリティを高めましょう、その方がむしろ攻撃者側は攻めるのが難しくなりますよっていう、まあそういう理屈なんだよね。
なので、一応これは過去積み上げてきた実績がそれが正しいということを裏付けているのもあるし、非常に鋭い指摘ですね。全然素人考えでも何でもなくて、それはもう本当にああでもないこうでもないってこれまでずっと議論してきた話なんで、本当は一番の理想を言えば攻撃者以外の人たちだけで全部情報を共有できるようなそういう仕組みがあればそれが一番いいんだけど、
残念ながらね、そういう理想的な世界っていうのはこの世にないので、攻撃者も知るか、僕らも知らないか、どっちかしかないんだよね、どっちかしかない。
片方だけに知らせるってことはなかなか難しい。
そうなんですよ、どっちを選ぶかといったらより良い度はどっちかっていう判断をするしかなくて、どっちもデメリットメリットあるんだよね、両方ともね。
いやーなんかそれは非常に鋭い指摘ですね。
あとは攻撃をしてくる側っていうのはこのリストに掲載されるまでもなく知ってるだろうっていうふうなものも多くなったってのがあるかもしれないですよね。
これ書いたところでも知ってる攻撃者は自分たちでも探してるやろうから、それを放置するよりも知らない人たちに守る方に使ってもらうために知らせた方がよりいいんじゃないかっていうふうなこともあるんじゃないかなと思いますね。
09:04
そうだね、それも結構大きなポイントだよね。
まあ確かにそれに反論する意見としては、いやいやそうじゃなくても今まで知らんかった攻撃者もおるやろうからそれぞれにするんじゃないのって言われた。それは確かにそうなんですけどね。
まあいずれもね、こういうのはどんなものでもトレードオフがあるんで仕方ない面はあるね、そういうのね。だから一面では正しいんだよね。確かにこういうのを見て攻撃者側がいろいろ戦術を変えてくるっていうのはあるかもしれないね。
これがいいっていうわけではなく、いろいろ攻め合いをしながらやってきた結果、今があるかなっていうね。
これが絶対的に正しいっていうふうに思い込むんではなくて、こういう側面があるんじゃないか、不利な面があるんじゃないかっていう考えるっていうその今のお便りの姿勢はすごい大事なんだよね、セキュリティではね。それはぜひぜひ続けてほしいですね。
確かに確かにそうですね。時代が変わったりとかしていくとね、またこれは扱い方が変わってくる可能性もあるんで定期的に考え直すっていうことはもちろん大事なことかもしれないですね。
次ですね。次はセキュリティの関連のお話を聞いててふと思いついたことをお便りいただきました。
自組織におけるセキュリティ関連の担当者によくあるあるあるネタなんか取り上げても面白いんじゃないかと。
例えば自分が遭遇した上司から言われた迷う方の名言ですね。名言シリーズとかセキュリティあるあるっていう風なものもいいんじゃないっていう風な提案をいただいておりまして、
例えばっていうので2つ挙げていただいてるんですけども標的型メール訓練何回もやってんのになんで開封率ゼロにならへんねんって言われるとか。
あとインシデントに関する説明を上司にしていたらちょっと日本語で話してくれやって言われたみたいな。
現場あるあるなのかなこの辺っていうのは。
面白いね。それこそまさにお便りのネタとして欲しいね。
そうそうそう僕もそう思ったんですよ。だからお便りにこういうの皆さんの経験でもいいですし、もちろん人から聞いた話でもいいし、想像でもいいんですけど、こういうあるある。
それお便りの定番ネタにしようよ。
そうですよね。いいですよね。今週のあるあるの中でおもろかったやつみたいな紹介すればいいわけですかね。
1つじゃないかもしれないですね。2つ3つあるかもしれないし、もしかしたら全部それかもしれないですもんねお便り。
最近お便りたくさんいただいてるけど、だいたいその週に公開した最新のエピソードに関して反応してくれるっていうのが一番多いじゃない。
そうですね。だいたいは。だけど別にそれ関係なく、こういうことが普段、普段というかこの間こんな話聞いたんですとかさ、こういうあるあるどう思いますかとか。
そういう定番ネタみたいなのも募集したいね。
それは僕ら3人だけよりも、むしろリスナーの方がたくさんそういうのに触れてると思うんで、ぜひ教えてください。
ハッシュタグ分かるようにした方がいいかな。このお便り聞いてくれてる方はなんかおすすめのあれみたいな感じで、あるあるのあれとかでも、語呂が悪いからじゃあ見るあれ、聞くあれみたいな感じであるあれとかね。
12:11
だんだんこれ意味分かんないなって思うよな。あるあれっていうのはないあれもあんのかみたいな。
むしろわかりにくくないから普通にセキュリティのあれでいいかなと私も。
なんか読めばわかるし。
確かにね。見分けはつくか。
書いてある内容を見ればさ、最近聞いたあるあるなんですけどって書いてもらえれば。
そうですね。
書かなくてもだいたいわかるじゃん。
内容を見ればね。
でもなんか今のお便りのあるあるはなんか考えさせられるよね。実際現場でそういうことあるんだろうな。
で多分なんか説明に困ったりもするんでしょうね。いきなりね、日本語で話しても日本語で話してくれとかで、どこを直せばいいんやろうとかって多分なると思うんですよね。
ね。あとさっきのほらね、なんでゼロにならへんねんみたいなやつもさ、どう説明すれば伝わるんだろうみたいなね。
あーそうですね。私もなんかその前後のストーリーみたいなのが興味ありますね。
なんでこれを言ってしまうのかとか言ってしまった後にどう対応して落ち着いたのかとかなんかその辺は。
そうだね。
どう納得していただけたのかみたいなところね。
多分言ってる人はさ、別に勘違いとかで言ってるわけじゃなくて、ゼロになるのが正しいだろうと多分思って言ってんだろうからね。
そもそもだからちょっとやっている目的がもしかしたら間違っている可能性があるっていうかね。
そうですね。
いやー確かに面白い。それはどうやって解決したんだろうね。
ゼロにすることが目的だと思っているんだったらそうですもんね。
もしかしたら本当にゼロにしたのかもしれないので。
そう確かに。
気合で。
でもそれも危なくない?無理やりゼロにしてるとなんかさ。
本当そうなんですよ。本当にそうで。
それむしろ危ない危険だよねむしろね。
本当に本当に。
だって報告してない可能性もあるからね。
確かに。
ゼロにしないとまずいからって言ってもみ消してる可能性があって。
そういう方向に考えが傾いてもおかしくないですからね。
むしろだからそれはゼロになってたらなんでゼロなんだおかしくないかっていう方がむしろアプローチとしては正しくて。
ゼロになることなんかあんの?みたいになりますよね。
確かに。
絶対誰か開いてんだろってゼロってちょっとおかしいだろっていう方が本当新しいアプローチなんだよね。
確かに。
あれじゃないですか。ゼロになってたってあれじゃないですかね。
ゴールデンウィーク中に送ってゴールデンウィーク中に集計したんじゃないですかね。
開いてへんねやんけっていう確かに開封率ゼロやなみたいな。
そんな訓練ある?
ゼロにせえって言われ続けたらそんなことしかねないじゃないですか。
確かに確かになんか小細工しがちだよねそういう時で。
危険ですよね。
本当僕らメールの開封率の話好きですよね。
好きだね。
これだけで1時間ぐらい喋れるっていう。
お便りね別に実体験だけでなくても聞いた話とかねそういうのでも構わないので。
ぜひお寄せください。ありがとうございます。
15:01
お願いします。
3つ目、最後のお便りなんですけども。
前回ねぎしさんがパスワードネタをやっていただいたじゃないですか。
小ネタ3連発。
パスワードの小ネタばっかりを3連発やっていただいたんですけども。
それに対してなんですが、パスワードネタがあったので自分のことを書きますみたいな感じで。
来月ボランティアでシニアの方向けにセキュリティの話をされるそうなんですよ。
素晴らしいね。
パスワード管理については13回、セキュリティのあれの13回なんですけど。
YouTubeのやつですね。
動画のあれ。
紹介していた紙管理の話。ペーパーの紙ですね。
辻さんが言ってたやつだ。
たぶんそうだと思うんですけど、その話を参考にさせていただきますというお便りをいただいてました。
嬉しい、なんかそういうの。
ボランティアでそういう活動をされているっていうのも素晴らしいけど、
そこですごく身近なネタとしてパスワードって取り上げているんだと思うけど、
僕らの動画のやつを参考にしてくれるっていうのも嬉しいしね。
嬉しいですよね。
僕もシニア向けのやつでパスワードの話をしたことあるんですよ。昔。
セミナー形式でね。
いろんな地方でそういうのをやるっていうやつの一箇所を僕が担当させていただいた経験があるんですけど、
全員関西のおばちゃんなんですよ。聞いてる人がほとんどが。
集まり自体をおばちゃんが温度とってやってるやつで、
普段はiPadとかそういう新しいデバイスを活用して演奏会とかをしましょうみたいなことをしてる人たちなんですよ。
地域のやってるそういうコミュニティとかあるよね。
そこに教えに行ったんですよね。僕がパスワードのことを。
いろいろやってグループで議論したりとかもやるんですけど、
結局僕が説明したときにおばちゃんらに言われたのは、
僕のことも兄ちゃんって言われるんですけど、
兄ちゃんそうは言うけど、無理やはバラバラにやったりとかって言われて。
そこで紙の話をしたら、それだったら私らでもできそうって言ってたので、
確かにいいんじゃないかなと思いますね。紙でっていうふうに言えば。
いくらいい対策でもできそうもないのを言ってもね、
結局絵に描いた餅になっちゃって何の効果もないから、
やっぱり実際にそういう高齢者に限らず、
いろんな人たちがちゃんと正しく使える、実際に使える対策でないと意味ないよね。
そうですね。
そういう意味では紙に描くっていうのは一工夫する必要はあるかもしれないけど、
そうですね。
それはありだよね。
相手に合わせてあげるっていうのは大事ですよね。
相手の側に寄り添った対策っていうのはやっぱり、
専門家としては求められるのかなっていうのは、
そういう話を聞くたびに思うよね。
18:00
そうですね。それよりもより良いものがあるけど、
できるところってなったら、
利便性を削ったりとかいろいろ考えながら提案するのも、
セキュリティの仕事なんだなって思いますね。
いいね、素晴らしいね。
そういうお便りいただけるのも嬉しいですね。
ぜひどういう反応だったかとかあれば、
また教えていただければ嬉しいですということでございます。
お便りは以上なんですけども、
今日もセキュリティの話をしていこうかと思うんですが、
じゃあねぎすさん行きましょうかね。
じゃあ今週はトップバッターに行かせていただきますけども、
今ちょうどパスワードの話出ましたけど、
実は先週に引き続きで、
自分の中でパスワード付いてまして、
パスワードづくっていう言葉はこの世界にはあるんですね。
言葉はあったんですね。
パスワードづく。
ない?そういうこと。あるでしょ。
勢いづくみたいな感じの。
ちょっと今自分の中でパスワード付いてるんだよ。
ブーム、ブーム、マイブームですね。
ちょっとしたミニブーム。
いいですね。そんなブームあるんですね。
今週もそれで先週に引き続き、
パスワードのネタを取り上げようと思うんですけど、
今週取り上げたいのはですね、
パスワードポリシーの話なんだけど、
ある論文がちょっと面白かったんで、
その内容を軽く紹介しようかなと思うんですけど、
ちょっと論文のタイトルはですね、どうなるかというと、
Password Policies of Most Top Websites Fail to Follow Best Practices
ちょっと発音よろしくないけども、
予約すると、ポピュラーなウェブサイトで
パスワードポリシーがどうなってるかというのを
調べてみましたっていうことで、
ちなみに今ご紹介した論文は
SUPSという、アメリカの毎年夏に開かれている
ユーズニクスのカンファレンスの一つで、
Symposium on Usable Privacy and Security
その頭文字を訳してSUPSって言うんだけど、
これね、プライバシーとセキュリティは第一なんだけど、
ユーザブルっていうキーワードが結構大事で、
ちゃんと実際に使える、利便性とかね、
使いやすさっていうのを無視したのはダメで、
ちゃんと考えたプライバシー、セキュリティっていうのを
どう実現すればいいかっていう、そういう研究テーマで
研究者が論文を発表する、そういうシンポジウムなんだよね。
なんで今回の論文も、そこに今年の夏にやられるやつです。
そこで再録された論文が今週公開されてて、
ちょっと面白いなと思ったんだけども、
何を調べたかというと、今ちょっとタイトルでも出てきたけども、
最もポピュラーなウェブサイト120個。
これはね、いわゆるよくあるアレクサとか
そういった複数のランキングを組み合わせて
作られたランキングっていうのが、こういう結構
21:00
研究で使われるランキングっていうのがあって、
そこのトップ120を調べてみましたということなんだけど、
その調べたパスワードポリシーっていうのが何かっていうと、
パスワードポリシーってさ、このポッドキャストでも
たびたび取り上げているネタではあるんだけど、
過去10年以上前からくらいかな、
いろいろ研究が積み上げられていて、
これまで良かったと思われてたものが実は
あんまり良くなかったとかっていうことは結構、
その研究でね、分かってきていて、
いまいまこういうふうにやるのがいいよっていう、
そういうベストプラクティスってあるじゃないですか。
ありますね。
その中で代表的なものを今回、
セキュリティとユーザビリティを合わせてちゃんと考えて、
3つ取り上げて、その3つについて、
実際にそのトップのサイトがちゃんとそれを守ってるかどうかっていうのを
調べてみましたという、そういう感じなのね。
じゃあその3つのポリシーって何かっていうと、
それを順番に紹介すると、
1つ目が弱いパスワードを登録しようとしたら、
ブロックするかどうか。
弱いパスワード、はいはい。
弱いってのは何かっていうと、ここでは2つ挙げてて、
1つは攻撃者が簡単に推測できる。
例えば、1、2、3、4、5、6とかね。
誰でも簡単に推測できるよねっていうやつ。
これはそもそも登録できちゃダメでしょっていう、これが1つね。
で、もう1個は過去に漏洩しているパスワード。
これもよく危ないっていう、そういうリストがもう公開されてるから、
そうですね。
攻撃者簡単にそういうリストを使ってくるんで、
そういう過去に漏洩したパスワードリストっていうのも
ブロックしてくれるといいよねっていうことは、
一応ベストプラクティスとして言われてますということで、
この両方の観点で弱いパスワードをちゃんと
ウェブサイトのパスワード登録の時に弾いてくれるかどうかと。
これが1個目のポリシーの観点。
それから2つ目が、パスワードメーターが正しく表示されるかどうか。
パスワードメーター、あ、強さみたいなやつですか。
そうそうそう。
よくね、登録の時にパスワードを一文字ずつ入れていくと、
赤からオレンジになって、最終的に緑になって、
グッドとかって表示されると、そういうバーが出てくるやつあるじゃない。
あれを正しく実装すると、
強いパスワードをユーザーが実は付けてくれるっていうことが
過去のいろいろ研究で分かっていて、
ああいうのちゃんと付けるといいよって言われてるのね。
で、なんでそれがちゃんと正しく付けてるか、
ないしはメーターがなくても短いパスワードを拒否するようになってるか、
最低8文字以上とかって設定するかどうかっていう、
そういう観点でポリシーが正しく実装されてるかどうかっていうのを調べてみましたと。
これが2個目の観点ね。
3つ目の観点が、いわゆる複雑さの要件って言われてるやつで、
大文字、小文字、数字、記号とかさ、
どれか1個ずつ入れなさいとかよくある。
文字集を。
そうそう、文字の種類をいろいろ組み合わせないと、
パスワードとして受け付けないっていうの。
これは実は一昔前は、
良いことだとされてたんだけども、
24:01
これも過去10何年かの研究で、
実はこういう難しいルールを課すと、
ユーザーは簡単に生息できちゃう、
弱いパスワードを付けちゃうと、
例えばパスワードって先頭が大文字で、
パスワードのOが0でとかさ、
あれもあるあるですよね。
誰でも簡単に思いつくような、
そういうので要件さえ満たせばいいような、
そういうことをやりがちってことが実は研究でわかっていて、
これはだからこういうルールは課さない方がいいっていうのが、
今のベストプラクティスなんだよね。
なのでこういう複雑さの要件っていうのを、
登録時に要求しないことっていうのが、
ここでのポイント。
今挙げた弱いパスワードを弾くか、
パスワードメーターがあるか、複雑さを要求しないか、
この3つの観点で、
トップ100日のサイトを調べてみました。
さて結果はどうだったかというと、
ここまでの話はだいたい想像はつくと思うんだけども、
とにかくお粗末な結果でしたというのが一言で言えば。
満たしてなかったということですね。
そういうことですね。
全部の今の要件を満たしていたものっていうのは、
本当に少なくて全部で15個。
120中15?
1割ぐらいしかなかったと。
なのでそれ以外は、
どれか今の3つの要件どれか満たしてないか、
どれも満たしてないかっていう感じなんだよね。
例えばちょっと今の要件1個ずつ見ていくと、
例えば1個目の弱いパスワードを弾くっていうやつ、
流石にポピュラーなところはどこもやってるでしょって思うけど、
実は半分以上、
71個のサイトは全然そういうチェックをしていませんでした。
だから12345678みたいな簡単なやつとかも登録できちゃうと。
これ一応研究論文なんで、
ちゃんとその辺は考えてて、
そういう簡単なものだけじゃなくて、
もっと大きなデータセットの一層の中からうまくサンプリングして、
20個試してみて、
それが全部弾かれるかどうかっていうテストをしてるんだけども、
そのうちの一部でも通っちゃうとかね、
そういう完全に全部シャットアウトしてるってやつがほとんどなかったというのが分かっていて、
これが1個目ね。
あと2個目のパスワードメーターも、
意外と実は実装されてなくて、
120個のうちパスワードメーターがそもそもついてるやつが23個しかないと。
だから2割ぐらいだよね。
しかもその23個ついてるうちの10個は正しく実装されてないと。
正しくってのはどういうことかっていうと、
要するにこのパスワードメーターっていうのは、
さっきの攻撃者が容易に推測できないような強いパスワードをつけましょうっていう目的でつけられるべきなんだけど、
中には複雑さの要件を満たせば良いっていうメーターが出てきちゃうとか、
それは正しい実装とは言えないですよ。
不適切な実装ですねということでここではダメだって言ってて、
27:00
そういうのが結構あると。
そう考えると、
ちゃんとベストプラクティスって言われてるようなパスワードメーターの実装の仕方をしているのは、
120個中だから13個しかなかったっていうことなんだよね。
非常に少ないと。
それから最後3つ目の複雑さの要件、
これだけは想像できたんだけど、
かなりのサイトが未だにそういう要件を課していて、
日本のサイトでもよく見かけるよね。
大文字が入ってませんとか、数字が入ってませんとかってエラーになっちゃうとかね。
結局その大文字小文字とか数字とか記号とか、
どれか一個でもそういうのを要求するようなルールを持っているものっていうのが、
全体の中のかなりを占めていて、
120個のうち54個のサイトで何かしらそういうルールを課していると。
半分弱だよね。
逆に言うとその残り半分ぐらいは何もそういうルールを課していないので、
そういう要件なしでもパスワードがちゃんと作られるということになっていて、
ちょっとここはね、昔はいいとされてたところが、
ここ10何年ぐらいで変わってしまった部分でもあるんで、
難しい点はあるとは言いながら、
まあでもここ数年さすがにもう新しい常識定着してきたでしょって思うけど、
意外とそのトップ120のサイトでも半分ぐらいは正しくやってないと。
これだからどんだけ長くても数字が入ってなかったり記号が入ってなかったら弾かれるってことですもんね。
そう。例えば30文字ぐらいのランダムな英文字だけでも相当強いんで、
加速しやすさっていう点で言えば全然強いんだけど、
その要件を満たしてないからダメとかって弾いちゃうサイトがかなりあるってことだね。
結構これ僕も遭遇しますよ、日本で。
よくあるよね、難しい。
通らへんかったと思って理由見たらパスワードのところが赤文字で何々を含めてくださいとかね。
あとね、よろしくないのはその3番目の複雑さの要件を何かしら要求しているサイトのほとんど、
54のうちの30いくつぐらいのサイトは、さっき言った1番目に挙げた容易に推測できるパスワードとか、
本来は良くないっていうものも要件さえ満たしていれば通しちゃうっていうものがものすごい多いと。
一見良いようなルール、要件を課しているように見えるんだけど、
その実は弱いパスワードを通しちゃうような、
漏れがあるというかね、形だけ取り繕っているような。
伴ってない系ですね。
これはちょっと良くないのかなっていうか、
そういうの要求しとけばちゃんとやっているように一見見えるじゃん。
やってる風みたいな。
やってる風セキュリティってやつね。
そういうのはちょっと良くないのかなっていうか、
それが多く見られましたって言ってるのはちょっとこれはどうかなっていうか、
30:03
仮に複雑な要件とかを間違って求めているとしても、
弱いものをちゃんと弾くっていう1番目とかね、
やっていればまあまあって思うけど、
逆にそれができてないっていうのは形だけを求めている感じかなっていう風に見えるんで。
ちょっとそれはどうなのかなっていう感じ。
あとさっき言った2番目のメーターも正しく実装してないものが半分くらいある。
23個のうちの10個は正しくやってないっていうのも、
それも形だけちょっとさ、やってる風に見せてるっていう。
ぱっと見ぽくは見えるものの。
ぱっと見、ちゃんとやってるじゃんって見えるっていうのは、
むしろ良くない、何もしていないのにむしろ良くないかもしれないっていうかね。
ちょっとまあそういう結果が、
他にもちょっと細かく見るといろいろ書いてあるんだけども、
ざっくり言うとそういうような結果で、
そうしてお粗末でしたと。
逆にね、さっき全部ちゃんとやってた15個っていうやつは素晴らしいんだけど、
例えばどんなとこがあるかっていうとGoogleね。
Yahooとか。
例えばGoogleなんかはパスワード最低8文字だし、
複雑さの要件は何も要求してこないし、
簡単に推測できるパスワード、それから過去に漏えいしたパスワード、
サンプルとして用意した20個ずつ、全部で40個テストしてるんだけど、
いずれも全部拒否しましたと。
パスワードメーターもちゃんとパスワードが推測できるかどうかっていう観点で、
メーターを表示してくれていて、正しく実装されていましたということで、
ここは満点だよね、そういう意味では。
こういうものはだからもう全体の1割ぐらいしかないっていうちょっとね、
がっかりっていうか。
だから大手のね、例えばFacebookだとかTwitterだとかInstagramだとか、
そういうの全部、名前聞いたことあるようなサイトはほぼ全部入ってるんだけど、
どれもこれも全部落題なんだよね。
若干ね、その3つとも全部要求や要件を満たしてるかっていうのは、
厳しく見えるかもしれないけど、
まあでもね、この令和の時代だったらこれぐらいやっといてほしいよねって
期待してる内容が意外とその大手のサイトでも、
まだ実はやられていないっていうのが実態でしたっていうのが、
まあちょっとね、分かってはいたけど、薄々気づいてはいたけど、
やっぱりそうなのかっていう結果が出てましたね。
常識としては定着してないのかもしれないですね。
そうなの、そうなの。
その辺もね、論文ではちょっと後半その辺も考察してて、
アカデミアではっていうか、例えば今挙げたようなプラスティスって、
NISTのガイドラインにもちゃんと書かれてるし、
専門家であればもはや常識なんだけども、
そういう専門家とか研究者にとっては常識なことが、
実はその一般常識ではない可能性があるっていうか、
そこのギャップがあるんだとしたら、
それは課題だよねっていうことを言ってるんだよね。
まあ確かになっていうか、
33:00
こんだけ大手のサイトでもやられてないっていうことはやっぱりね、
ちゃんと浸透してないんだよね。
これは多分、今回は英語圏の調査なんだけど、
おそらくこれ日本でもあんまり状況は多分変わらないと。
日本版の調査とかちょっと気になりますよね。
日本の研究者でこういうのやってる人いるのかな?
わかんないけど、日本にもそういう研究してる人、
研究者の人いるんで、ちょっと僕知らないだけかもしれないけども、
似たような結果だと思います。
ちなみにその調査って今回が初めてだったんですか?
一応今回が初めてだね。
この要件でやったのは、
なんでこれ2021年の去年の10月から12月と年末にやってるんだけど、
過去と比べてどうだったかっていうことは比較とかはしてない。
なるほど。
似たような研究、先行研究はいっぱいあるんだけど、
今挙げたような3つの視点で調べてみましたっていうのは、
多分今回が初めてだね。
すいません、間違ってたらごめんなさい。
こういうのがあるよっていうのがもしかしたらあるかもしれないけど、
全く同じっていうものはないと思う。
じゃあ今後数が改善していくといいですね、この辺は。
そうだね、継続して調べていくと。
データとか全部公開されてるんで、
興味ある人は生データとかも調べられるんだけど、
もうちょっとそうかみたいな、ちょっとがっかりというか、
しょうがないのかなっていうか。
あともう一個僕思ったのが、
確かにお粗末なんだけど、
一方で結構パスワードの問題ってさ、
これまで僕らも取り上げてるけど、
例えば弱いパスワードをつけるなとか、
つけるユーザーが良くないとか、
あるいは使い回しが良くない、
使い回すユーザーの側が良くないっていうか、
使い回さないために例えばパスワードマネージャーを使うなり、
さっき言った紙に書くなり、
いろいろユーザー側が工夫しましょうみたいな、
ユーザー側に視点を置いた話っていうのはよく出てくるんだけど、
それは確かに一面としては正しいんだけど、
でもユーザーが強いパスワードっていうか、
良いパスワードをつけられるように、
実はサービス側はあまりそれをアシストしてないっていうか、
そういう現状があるのが良くないんではないかっていうかね。
極端なことを言えばさ、
今挙げたような主要なサイトが全部今言ったベストプラクティスに乗っ取っていれば、
弱いパスワードをつけようと思ってもつけられないわけじゃん。
通らないですからね。
使い回しはなくせないかもしれないけど、
少なくとも弱いパスワードは弾かれちゃうわけなんで、
だけど今現状そうなってないから、
利用者の側に言ったところでさ、
つけられるからつけちゃうよねっていう。
だからこれは両面からやらないとダメなのかなというか、
利用者にいろいろね、
さっきのボランティアの活動とかそういう地道なっていうか、
草のり的なね、
みんなにちゃんと伝えていこう、
正しい知識を伝えていこうっていうのももちろん大事なんだけど、
さっきの専門家は知ってるけど一般には知られてないっていうのは、
36:01
それ専門家に問題あるんじゃないのって話とか、
あるいはサービスを提供する側、
ウェブサイト側、実装がちゃんとしてないっていうのは、
それはお前らが悪いんじゃないのみたいな話とか、
やっぱみんながちゃんとやらないと、
これダメだなっていうかね。
なんかそれを思って、
先週パスキーとかさ、
ちょっと良い未来がありそうみたいな話をしたけど、
あれも結局技術としてはいいものができつつあるけど、
ウェブサイト側がそれ実装しなかったら普及しないし、
ユーザーが使ってくれなかったら普及しないから、
やっぱそういうね、
プラットフォーマーだけじゃなくて、
それをサービスとして提供する側、
使う側、
3社が協力してっていうかね、
みんながそれを正しく使うようにってやっていかないと、
結局またパスワードの二の間になりかねないなっていうのを、
改めてちょっと今回見てて思って、
正しい知識とか良い技術だけがあってもやっぱダメだなっていうね。
そうですね。
改めてそういう課題をつけつけられた感じがしましたね。
そうですね。
そのねぎしさんが紹介されてたパスキーとかも、
今おっしゃった通りだと思うんですけど、
それよりももうちょっとハードルが高いから広がらなかったというか、
いうのもあるのかもしれないですけど、
二要素認証を一つ取ってみてもね、
すごく有名で利用者が多いだろうサイトでも、
二要素を導入してないサイトもありますしね。
いまだにパスワードだけ依存しないようにってこれだけ言われても、
使えないところはまだまだ使えないで多いもんね。
結局それをね採用してそれを必須なんていうのにしてしまうと、
ユーザー離れがっていうことを考えると、
なかなか踏み切れないっていうのがあるんでしょうね。
あとその今ので思い出したけど、
今回のやつも一応その考察で、
パスワードのポリシーの実装がちょっとお粗末な理由の一つとしては、
もしかしたらパスワードに依存しない多要素認証を提供してるから、
それで良しとしているところがあるんじゃないかと。
それで抜けてしまってももう一個ハードルがあるからっていうことですかね。
だからあんまりパスワードの方に重きを置いてないっていう事業者もいるんじゃないかっていうことは、
一応書かれてたんだけど、
確かにそれあるかもしれないけど、
でも今言ったみたいにユーザー側が使わなければ、
強制しなければ使わなければ結局ダメなわけだし、
多要素を提供してるからパスワードを適当にでもいいじゃんっていうのは、
ちょっとそれ理屈としておかしいよなとも思うんで、
それを逃げ工場にしてやらなくてもいいっていう話じゃないかなって。
ないですね。
もうちょっと促すようなことをした方がいいですよね。
理想を言えばパスワードのポリシーも正しく実装しつつ、
そこだけに依存しない多要素とかも提供してくれるっていう世の中が広まりつつ、
なるべく早い、近い将来にパスワードレスに早く移行できればなっていうね。
39:00
これまで何となく目にしてたけど気にしてなかったことで紹介されて考えたんですけど、
強度メーターっていいですね、あれね。
よくよく考えたらいいなっていう気持ちになって、
あれって心理ハードルにもなると思うんですよね。
弱い、これあかんのかなとかね。
グッドとかグッドよりも上があったりするとかあるじゃないですか。
あるある。
それがあると安心できるっていうのもあるから、
そういうのもいいなって思ったんですけど、
出てくる文言がもうちょっと遊び心あってもいいのになって、前から思ってて。
グッドでも通るじゃないですか、たぶん。
グッドだったらグッドでは、そこからさらに伸ばさないと、
ベリーグッドになるっていうのがわからないんでしょう。
だからもう一声とかね。
確かに確かに。
もう一声とかあと何文字とかって書いてくれると、
もっと頑張れそうな気がして、いいんじゃないかなと思いましたね。
それはねすごく大事っていうか、その辺もね実は先行研究いろいろあって、
ちょっと僕はあんま詳しくないんだけども、
どういうメーターの表示をすれば、
同じメーターでも表示の仕方を変えることによって、
どのようにユーザーの行動が変わるかっていうのを研究した研究とかね。
あるんですね。面白い。
そういうのとか、あとさっき言ったその、
なんちゃってメーターっていうのも結構多くて、
メーター上はダメってなってるのに、
そのまま受け付けちゃうやつとか。
ダメというふうに言うだけってことなんですね。
そう、言うだけみたいなやつとかね。
そういうのも結構見つかるんだって。
なので実はだからちゃんと正しくそういうのを表示すれば、
さっきついさん言ったみたいに、やっぱ人間だからね、
付けるのは人間なんで機械じゃないんで、
中にはパスワードマネージャーとかは機械的に付ける場合もあるかもしれないんだけど、
人間が少なくとも付ける場合には、
やっぱりそういうメーターに表示されるっていうのは結構心理的に大きくて、
それがあるとなしではだいぶその行動に変化があるってことは、
これはもう明らかにわかってんのね。
だけど逆に今言ったみたいに、間違ってさ、
本当は弱いのに安全ですとかで出ちゃうと、
それ良くないじゃん。
安全じゃないのに安心しちゃうパターン。
それはだからね、むしろない方が良いぐらいな感じになっちゃうんで、
逆効果になることもあるってことかな。
簡単にそこに見えてね、正しく実装するって難しいなっていうか。
奥深いですね、やっぱね、こういうのね。
このメーターもね、例えばなんだろうな、
今ちょっと簡単に推測しやすさとかっていうのをメーターで表示とかって言ったけども、
そんな簡単ではなくて、
例えば前に紹介したことあったっけ、
オープンソースで公開している
GXCVBNっていうライブラリーがあって、
これも結構ポピュラーなライブラリーで、
これを使うと、いわゆるアタッカー、攻撃者が
パスワードをどのくらい推測しやすいかっていうのを
42:00
攻撃者目線でスコアリングしてくれるっていうライブラリーがあって、
結構ね、多くのパスワードメーターとかでこれ使われてるんだけど、
こういうのを使うと、自分でね、
どういう場合が推測しやすいかって考えるのは結構難しいと思うんだけど、
正しくそういうメーターを実装しようと思ったら、
そういう良いものっていうのは既に世の中にあるんで、
そういうものを使うとかしないとね、
間違って実装しちゃうと。
そうですよね、抜け漏れが起きそうですしね、
基準も曖昧になるからね。
そうそう、なんちゃってになっちゃうんで、
やってみせてるだけのセキュリティは良くないなっていうかね、
やっぱりこれ難しいよね、
じゃあまだまだあれですね、
パスワードつける側の僕らの方の自衛も、
自衛する大事さの啓発もまだまだ必要な状況ってことですね。
そうだね、まだまだ
ウェブサイト側にも頑張ってもらいつつ、
僕らもまだまだ頑張らないとなっていう。
分かりました、ありがとうございます。
じゃあ次、僕いきます。
今回僕紹介するのは、
ビジネスソリューションズ株式会社というところが出していた、
メールの誤送信の実態調査というレポートを
読んだというお話なんですけれども、
読んだというか、
RSSとかでチェックしてたら目に
このタイトルが引っかかったんで、
読んでみたんですけれども、
僕が見たタイトルっていうのが、
20代は8%しか上司に報告しない、
誤送信と対応の実態調査を発表という、
PRタイムズというところのプレスリリースとかを
取り上げるサイトがあるんですけれども、
RSSで引っかかったんで興味を持って読みましたというやつです。
え、なんかちょっとタイトルはさ、
キャッチーな内容にするだろうけど、
それにしても8%しか報告しない?
そうなんですよ。 少なすぎない?
少ないですね、本当ですか?
いや、本当だよ。
そんな少ないの?
ちょっと衝撃なんだけど。
このレポート自体はどんなレポートかというと、
2021年の12月に、
従業員数が300人以上の企業の経営者、
会社員300人に対象にアンケートをした
結果になっています。
これ誤送信に関する
実態調査のレポートなので、
誤送信の経験がありますか?ないですか?
みたいなことからまず聞いていっている内容になっています。
さっき言ったNが300人は対象に聞いて、
誤送信の経験がありますか?
というふうに答えた人は、
そのうち何パーセントぐらいだと思います?
結構いるんじゃない?分かんないけど。
誤送信、どうだろうな。ざっくり半分ぐらいとか?
全然分かんない。
経験ありは57.3パーセント。
45:01
なしは逆ですよね。
42.7パーセント。
ただし、誤送信の経験がありますか?
という誤送信の定義が書かれてありまして、
誤送信というのは
いかのいずれかだと書いてあります。
誤送信というのは、
誤って送信した。
相手を間違えた。内容を間違えた。
誤送信のメールを受け取った。
これに含まれているんですよ。
なるほど。自分がやってないけどってことか。
誤送信とは違う感覚のものが
含まれているなって僕は思ったんですけど。
送信した側も受信した側も
両方含まれているわけね。
それに加えて、自社内でメールの誤送信が起きた。
他人のを見た。
それも含まれているんだ。
隣の席のやつがやらかしたとかでもいいんですよ。
そしたらもっと多くてもおかしくないな。
そうなんですよね。
誤送信でパッと思い浮かぶイメージっていうのは
自分が送ったことだと思い込んでたんですよ。
読む前はね。
ここからそれを踏まえた上で
いろんな経験した誤送信の種類は何ですかとか
聞いていってたりするんですけども
経験した誤送信の種類は
先ほどの57.3%なので
300人中172ですね。
172人の人が回答するアンケートなんですけど
これ複数回答でどんな誤送信にしましたか
っていうものなんですけども
一番多いのが当て先の入力ミスですね。
添付ファイルの誤り
これも誤送信に入るのかと思ったんですけど
添付ファイルの添付し忘れ
それは普通に
なるほどね。
僕らが気にするような誤送信っていうのは
関係ない人のアドレスが含まれているとか
送り方間違えてるなってこととか
あと当て先を間違える
情報漏洩に繋がるようなことを誤送信ってよく言ってると思うんですけど
そうだよね。あとBCCがCCで送っちゃうとかね
よくある
そういうのも含まれてた
こういう観点で誤送信ってのは確かにあるのか
本来送ろうと思ってたのから違ってたら
全部誤送信的な扱いだな
自分が意図してないことが起きてたら
いいんだけいいんだけこうぜったい
本来自分の意図したものと違うものがあったっていうことは
事故に繋がる可能性があるってことだから
添付ファイルつけ忘れがあるなら逆に
48:01
間違ったものをつける可能性もあるわけで
そういうふうに解釈するってことは
できたくはないね
そうですね
なんかこう大丈夫結果的にはそんな 個人情報漏洩とか
そういう謝罪までしないといけない ようなレベルではなかったけども
まあこれもヒアリーハットの一つ かなって考えれば
ご送信って言ってももうご送信 なんだろうなと思いますよね
実害かどうかは別にしてね
そうだねですね
はい
で後はいろんな集計があったんですけど 役職とご送信の関係性だとか
企業規模とご送信の関係性とか っていうのがあったんですけども
これは両方ともやっぱり人がする ことなので特に役職とか企業規模
に関係なく起きてて特にその企業 規模に相関はないというふうな
結果になっていました
でその後ですねご送信をした時 あなたはどのような対応をしました
かっていうアンケートがあったん ですけどこれはご送信先に謝罪の
メールを送るっていうのが一番 多かったです83.1パーですねこれ
の複数回答なんですけどでその 後がご送信先に電話をするっていう
のがあってあと送信内容を削除 するこれでも送信内容てまあこれ
自分が送ったやつなので削除して も物によったら向こうに送った
ファイルを消せるとかいうソリューション もあったりするんですけど自分
と消してもあんまりかなっていう のがあったりしますね
なんかそれ証拠隠滅じゃない
あそういうことね自分たちの組織 の人にバレないようにするため
みたいな
そういうふうに思っちゃう
そういう意味なのかな
わかんないけどだって受け取った 側に連絡してさ間違いメールなので
消してくださいって言うってのは よくあるけど送ったのを消すって
いうのは明らかにそれは証拠隠滅 じゃない
確かにね確かにあそうか向こう に言ってすいませんって言っと
いて思えないようにしておいて 自分とか消すみたいな
まないしはその向こうには言わずに だって気が付いてなければ別に
何も言われないからって自分の とこだけ消してなかったことで
しちゃえみたいなさそうすれば 報告も多分しないだろうしそういう
人がいてもおかしくないよね
確かに確かにで先ほどタイトル にも入ってたやつが上司に報告
するが22.9%なんですね全体ので その内訳のやつが20代が8.3%で先
ほどの記事タイトルに行くわけ ですよ
それは何年齢が若い方が低くなる の
そうですね20代が8.3%30代が33.3% 40代が21.7%50代が24.2%
でも平均しても2割って少ないな そうなんですよね
そういうそんなもんなんだまあ でもあれかちょっとそれはだから
あれかさっきのその誤送信の定義 によるのか
そうですねさっきの全部の誤送信 を
だよね
っていう意味ですよね
そのうちのその例えば事故とか 情報漏洩に該当するようなもの
に限ればもしかしたら100%なのか もしれないしな
51:02
そうですね誤送信をした時にの 前に例えば個人情報とかに関係
するようなものの誤送信をした 時にってつければぐいっと上がる
かもしれないですよね
もしかしたらね
でこの回答なんですけどその誤送信 をした時にあなたはどのような
対応をしたかってさっきちょっと 話題になった送信内容削除する
ってなったじゃないですか
はい
この送信内容削除するという質問 があるってことはこれは送信した
人にしか聞いてないって僕は思 ったんですよ
だろうね
なので先ほどの誤送信のやつに 受け取ったっていうのが含まれた
じゃないですか
うん
それを排除できるやつなんじゃない かなと思ってnを確認したらこれ
83になってたんですよ172っていう のが誤送信を経験した人の人数
だったんですけど83にここなって たので計算すると83っていうのは
全体で見たら27パー0.27666なんで 約28パーセントぐらいってとこ
なんですよね
うん
ってことは先ほどの内訳をここで 見ていくと誤送信を経験したことが
あるっていうふうなものは57.3パー だったんですけどこのうちの送信
をしてしまった人誤送信を自分 が送っちゃったっていう人は83
人で27.6パーが多分送ったことが ある人なんじゃないかなっていう
数字が見えてきたと
逆にそれ以外の誤送信を受け取った とかっていうのは先ほどの57.3パー
セントのうちの29.7パー89人がここで 言われている自分が送信した以外
の人たちで誤送信を経験してる 人っていうふうなものが見えた
なというふうなとこですね
なので誤送信このグラフで言ったら 27.6パーが誤送信を経験して自分
が送っているっていうふうに言 っても正しいのかなと思いました
これ読んでてですねいろいろそういう 話がお二人ともできて取り上げて
よかったなと思ったんですけども タイトルとかPRの文章とかだけ
を見てそうかってなるのはやっぱ やばいなと思いましたね誤送信
の言葉の定義だとかっていうのが あるのでレポート僕らもよく読み
ますけどレポートってレポートを ダウンロードする前にレポート
の概要みたいなのが書いてるページ があったりするじゃないですか
そこだけ見ると結構見落として しまうようなことが出てくるん
じゃないかなっていうふうに思 ったんでちゃんと読んだほうが
いいなっていうのを改めて思いました あとはやっぱりメール誤送信自
体っていうのはメールの訓練で 開くのをゼロパーと同じような
感じで誤送信っていうのはなかなか 無くせないもんなんだなっていう
ふうなものを持ってとはいえ無くせない から放り投げてしまうっていう
努力をやめてしまうっていうような ものはそれはそれで良くない
のかなと思うんですよめっちゃ 気を付けるっていうのは無駄じゃ
なくて無駄じゃないけどそれだけに 頼っちゃいけないだけっていう
ふうに僕は思っているので精神論 とか気合みたいなものって時には
大事なんやけどなかったらあかん けどそれだけに頼るのはダメみたいな
ところは忘れないでいようかな と思いましたね人は絶対無理みたいな
54:03
ふうに行くのも良くないなという ふうに思いましたというところ
でございます あとさ前にこれみんな大好きメール
くれの話でもちょっとそういう 話したけどさ今回のレポート
ではなぜ報告してなかったのか みたいなところはなんか掘り下げ
られてないんだよねそこ知りたい よね例えばさっきの話でヒヤリ
ハットのものも含まれてるじゃん いわゆるセキュリティ事故的な
ものも多分含まれてるだろうけど 誤送信は誤送信さっきの定義に
照らし合わせたら誤送信だけど 特に何も害はなかったっていう
ものも含まれているとすると 会社によってはさそういうヒヤリ
ハットをどこまで報告するかっていう のはちょっと分かれると思うの
ねどんな細かいものでもいいから とにかく報告せよっていう文化
の会社もあれば事故になったもの だけを報告しろっていうものも
あるかもしれないからそこらへん は多分組織によってだいぶ差が
出ると思うんだけど仮にそうだとした ところで本当は報告すべき事案
だったにも関わらず報告してない っていうのが一定数含まれてる
ような気がするんで そうですね
だとすると隠したかったからなのか あるいは大したことないと自分
で判断しちゃったからなのか分からない けどむしろ報告の割合をもっと
上げるにはとかっていう視点で なぜ報告しなかったんですかっていう
ところをもうちょっと突っ込んで みたらちょっと面白いのかな
って思ったりね そうですねどういうことになって
しまうかレポートの最後の方には ご送信を起こした後どんな結果
になりましたかっていうのはあったん ですよね
例えば一番多かったのはもちろん 上司からの報告と注意っていうやつ
が一番多いんですけどそれが46.8% でそれとそれがちょっと少ない
42.4%が特に何もないっていうの があったんですよねそれ以外は
会社からの注意とか懲戒処分っていう のが9.4%ありましたね
その辺はやらかした内容によるん だろうな
だからその辺のなんか自分が受ける 罰とかにも関係してくるのかもし
れんですね報告するしないっていう のは
あとは隠そうとしたけどバレた みたいなエピソードとかも興味
ありますけどね こうやってバレたみたいなやっぱり
バレるからちゃんと報告しよう みたいな空気になればいいのにな
と思ったりしますけどね
あとやっぱりその今のそのさ懲戒 処分とか注意とかを聞くとやっぱり
まあそれは多分おそらくそのご 送信をした側を対象としたもの
とおそらく思うんだけどやっぱり そうなっちゃうのかなっていう
かまあ確かにその不注意もある と思うねその人によってはそういう
のも多分全然やらない人もいれば まあちょっと言い方はあれだけど
不注意の人は多分何回もそういう のしちゃうっていうかさ
あのそういうとこあるじゃんまあ とはいえそれ別にそういうとこ
悪いわけじゃないと思うんだよね その不注意っていうのはさ誰でも
57:03
起こり得るわけじゃんそれこそ そうですね
だとするとなんかねやっぱりそれ やっちゃった人を攻めておしまい
っていうのがもし多くのなんかその 結論っていうかどうなったかっていう
のがそういうところで落ち着い ちゃうんだとするとなんかそれは
もやもやするねちょっとねそう じゃないんじゃないっていうか
なんか根本的に解決になってない 気がしますよね
そうそうそうなんでそうなっちゃ ったのかというのをねなんか
掘り下げて対策しましたとかそうですね なんかそうはならないのかなっていうか
なんかでもそれはまあ今回のねレポート ではそこまではないかもしれないけど
なんか一見へーで終わっちゃうけど 実はその中身としては結構根深い
問題が隠れているような なんか気がしなくもないね
確かにわかりますわかります やらかしてやろう攻めておしまい
注意しておしまいみたいなさ まあよくよくありますよねよくある
感じ
なんかちょっと全然ノーマークでした けどそういうのもこうやって掘り下げ
られて話聞いてみるとちょっと面白い ねそうなんか自分で読んでなんかこう
自分で消化してしまうよりもこういう場 で何か話して議論した方が議論すると
面白いんだかなと思って紹介した 多分リスナーの人もねへーと思って
いろいろあの感想というか反応あると思うし いやー面白いですねはいありがとうございます
はーいということで今日はそろそろ じゃあのセキュリティのあれじゃないや
また間違えた おすすめのあれですはい今日紹介するのはですね
おそらくも皆さん食べたことあるし社は 知ってるんじゃないかなっていうようなもの
なんですけれども はい
アルフォート
好きなやつめちゃめちゃあるあります あるあるめちゃめちゃ好きなんですけど
あのお二人はアルフォートはどういうのを 食べたことがありますかあの箱に入っ
てるやつですか大に入ってるやつがあんの ごめん全然そんな詳しくないはいはい箱
以外だったんだろうパーティーパック的な やつってことですか
あそういうのもあるのありますねあそうそう 皆さんあの箱で食べるやつのことアルフォート
って呼んでるとが多いんですけどあれアルフォート ミニなんですよね
えっそうなのミニじゃない奴がある そうあれミニなんですよあれがデフォルト
サイズじゃないのみんなそう思ってるみたい なんですけどアレにマジかーしアルフォート
アルフォートミニチョコレートあそうなんだ えっちょっと待ってミニじゃないスタンダード
のやつはもっとでかいのあの袋に入ってる やつですはいその先多分その看護さんが
言ったそのパーティーパックみたいに言った やつのことだと思うんですけどなんだ
もちろんでその袋入りねつもあのコンビニで 売ってるやつもあればなんかもうちょっと
人回り大きいやつもあるんですよ a 750g かなんかすごいなんか大容量なやつが
1:00:00
あってもそれさあちょっとちなみに ミニってやつとそのミニじゃない奴っていう
のは うん
あのそのパッケージの大きさじゃなくて ものです1個のアルフォートの1個の大きさ
あそれが違うんだ a それ知らなかったわー
今あのちょっと検索していただければわかる と思うんですけども ipad と ipad mini
みたいな感じになっているわかりやすいの わかりやすいちょっとこの3人の中では
わかりやすい一番わかりやすいは一番 わかりやすかったそれ
ミニが標準だと思ってた俺ねそうなん ですよねだから一番やっぱりよく見かけると
思うコンビニでその袋のやつが置いてる 店ももちろんいっぱいあるんですけどやっ
ぱ目につきやすいのあの箱なんですよね 明日からに一番ところがそれ以外見たこと
なかった あんまですかうん箱の箱し箱しかないと
思ってた でそのまあサイズがねも人回り以上た
まちっちゃいと思うんですけど a あのこれが実は出たのが2003年なんです
よねミニはあ 比較的新しい割と最近それが結構昔から
あるように思うでしょこれえマジでそんな 新しいのもともとのその
あの ipad サイズの方の ipad サイズ ってどういうことだよな
なんで ipad で例えな大きい方のね 元々の方のスタンダードな方のあるフォート
は1994年ああそうかそうなんですけどそう そうなんだ10年くらい当たってからミニが
出たんだそうそうみんながよく知っている あるフォートまあ実はミニチョコレートだった
ってやつは2003年からでちょうど来年で 20周年を迎えるんですよ
a じゃあ結構新しいだ ですね
昔からの定番というイメージだった確かに 確かにそうなんですよ
結構ねあるフォートマーのチョコレートの タイプもありますけれども他のない
ストロベリーとかもあったりねホワイトとか あと後藤内アルフォートとかもあったり
するんですよそうなのそんなのあるんだ えっそうそうありません例えば北海道だっ
たらチーズケーキ風味とかね a そこで社会悩む音があると関西やったら
あの宇治抹茶とか a それは全く知らなかった
そうそうそうなんかね北海道北陸関西九州 沖縄のやつがあの後藤内アルフォートで
なんかディズニーとコラボしているパッケージ で売られてるんですよね
おっしゃれじゃん本当だ本当だ可愛らしい ねパッケージがあの子の芋芋のやつ美味し
そうだな確かにそうですね今のやつ美味し そうですねね
知らんかったそうなんかねいろいろよく 食べるのアルフォート
そうあのよくってかすごく好きなんで 常に家にはあるんですけども
あのアルフォートその袋の方でスタンダード なサイズの方のやつあり1個ねだいたいね
50何 55キロカロリーぐらいあるんでそんなに
結構あるなぁそんなに食べれないそんな食べ れないんですいっぱい食べたら得ないこと
1:03:00
があるね確かになんかでもこういう時ついつい 口に運んじゃうからやばいよ止まらない
感じで止まらなくなるんですよ本当に本当 本当にスケットとチョコレートなんていう
こんな組み合わせ やばいやばいだいたいこうあの家で
ボクシング30分ぐらい行ったカロリーが 300キロカロリーぐらいなのでアルフォート
5枚ちょっと食べたら終わりなんですよ そう考えたらねそんなそんなバカバカ食べ
られへんなーっていうことですよね 確かになんでは自分の好きなねアルフォート
が20周年をそろそろ迎えるんだって いうことをちょっと最近知ったので
でまぁこのサイズ系のことは知らない 人が意外と多いから紹介してみようかなと
思いましたいやー全然知りませんでした いてなかったですねねちょっと衝撃
ミニだったとはいそう おすすめのアレっていう感じではなかったかもしれ
ないですけど トリビアっぽかったかもしれないですけど
トリビアっぽかったねまぁでもおすすめで あることには変わりないんでも本当美味しい
ですからね 美味しいですよね
よかったらまた何かそういうのあったなぁ なんと思ったらちょっとコンビニで見ていただいて
あほんまにミニって書いてるやんっていう ふうに思っていただいてもいいんじゃない
かなというふうに思いましたということです はいありがとうございますはいということで今週は
そろそろ時間なんで以上ですかねはいでは また来週の楽しみですバイバイバイバーイ
