1. セキュリティのアレ
  2. 第17回 もうパスワードの定期..
2013-10-28 53:35

第17回 もうパスワードの定期変更言うななんて言わないよ絶対!!スペシャル

Tweet 全国3人のリスナーの皆様、七夕ぶりです。 安心安定の不定期っぷり申し訳ございません。 今回は、nt[...]

The post 第17回 もうパスワードの定期変更言うななんて言わないよ絶対!!スペシャル first appeared on podcast - #セキュリティのアレ.

00:13
こんにちは。 こんばんは。
ご無沙汰ですね、これまた。
やっちゃいましたね。
やっちゃいましたね。なかなか続かない感じですけど、みなさん怒ってるんじゃないですかね。
で、しかもなんか。
前回言ったっていうね。
しかもね、今回何話しますか。じゃあパスワードめしましょうか。いや、それ前回喋ってますっていうね。
やった中なんで。
やった中ですけど。
みんな前回覚えてないと思うんで、今回は適当に。
パスワードの話って言ってもね、毎回してもいいぐらいなかなか事件が起きない。
事件が起きないというか、事件がなかなか止まらない状況なんで。
ということで今回はいつもと一緒の話を。
はい、一緒の話を。
いや、パスワード。
はい、パスワードですよ。
言ってみただけですけど。
何の振りでもなかったわけです。
土曜日、何日だ?20?
20、いや19ですね。
19。
19日にですね、マイクロソフト品川オフィスにですね、スプレッドさんの勉強会に出させていただきまして。
そうですね、パネルと講演で出ましたね。
辻さんは講演とパネルディスカッションに参加していて、私がパネルディスカッションのどうでもいい役をやらせていただいて。
いやいやいや、モデレーター、モデレーター。
パスワード管理ツールについてお話をさせていただきました。
あれは今回のが2回目なんですよね、勉強会自体の。
1回目は普通に講演形式と、あとは講演を聞いた後にみんなでディスカッションして、意見をまとめて出し合うみたいな形式でやったんですけど。
前回はパスワードのどういうふうに守ればいいのかっていう話だけじゃなくて、
実際どういうふうに攻撃をされるのか、パスワードに対する攻撃っていろんなパターンのやり方があるんですよね。
それを知ることで、じゃあどういうふうに防げばいいよねっていう話をさせていただいたのの流れで、
じゃあどうするっていう具体的な対策としては、パスワード管理ソフトを使ったほうがいいんじゃないのっていう流れで、
なかなか広まらないパスワード管理ソフトをちょっとでも広めていこうっていうコンセプトでやったのがこの間の第2回ですね。
私たぶん勉強会に初めて参加させていただいたんですよ。
あ、そうなんですか。
他のだと、もうちょっとドコン星のやつだとかっていうのがもうちょっとデカいやつじゃないですか。
勉強会を初めてだとすごい雰囲気が、ゆるひどかなと思ったらゆるくなかったですね。
03:07
すごい真面目でしたよね。
勉強会っていってもいろんな、僕もいろんな北海道から熊本ぐらいまでの間の勉強会いくつか行かせていただいてるんですけど、
意外とゆるい感じっていうのはあんまりないですね。あら、いい意味でですね。
例えばPHPだとかRubyなどの勉強会だともうちょっと年齢層が若くてっていう感じするんじゃないかと思うんですけど、
セキュリティの勉強会は年齢層から業種からバラバラですね。
そうですね。特にスプレッドはまだ2回目ではありますけど、前回も同じような感じでバラバラな感じでしたね。
割と地方自治体の方とかもいらっしゃって、すごい真剣だったんで。
結構遠方から来られてる方もいらっしゃいましたね。
他のセキュリティのご当地ご当地にあるような勉強会とかだと、結構ある程度メンバー固定化されてる部分とかがある。
ちょっと新しい人が入ってきたりみたいな。やっぱり学生が結構多いですね。
あんまりいなかったですよね。
今回は学生たぶんゼロじゃなかったんですかね。
本当にびっくりしました。そこでいろいろ喋らせていただいて、基本的にはパスワード管理ツールを使いましょうねっていうトレンドマイクロさんとシマンテックさんとカスペルスキーさんと、
アンドロイドソフトのレビューとしてアンドロイダーの方と、あとこの2人で。
どれがいいよというよりは、とにかくどれでも使ってみてねっていう立ち位置でお話しさせていただいて、結構皆さん深くお話しいただいてありがたい。
そうですね。結構あの後使ってくれたので、実際にデモとかデモもやりましたし、体験ゾーンみたいなのも作ってやったんで、
結構楽さを味わっていただけたらいいなっていうような。
そのセミナーというか勉強会の中でもシマンテックの方がおっしゃってたんですけどね。海外とかではどうですかみたいな話をしたじゃないですか。
海外でパスワードマネージャーってどうなの?使われてんの?みたいな。やっぱり日本って他の国がどうなのかとか気になったりする人多いんで。
その時に言ってた言葉がまさにそうやなって思ったことがあったんですけど、向こうだと別にパスワード管理をするのがセキュリティ対策としてっていうよりも便利ソフトの一つ、ユーティリティソフトの一つみたいな位置づけなんですって。
なるほどなっていうふうにすごい僕は思いましたね。僕もやっぱりパスワード最初はメモ帳で管理してたって僕から話もしましたけど、やっぱり限界なんですよね。
100何個とか僕管理してて、130ぐらい管理してるので、限界ってことで書き換えたりとかできないじゃないですか。漏洩がありましたって書き直して、まだ違うのに変えてとかって大変なんで。
ソフトに変えた口で、自分の仕事がセキュリティに関係するのでセキュリティとして考えてたんですけど、いざ使ってみるとセキュリティ以外の機能がすごい充実してるんですよね。
06:02
そうですよね。他のディスカッションでもパスワード管理ツールの俺の使い方みたいなことを喋らせていただいたんですけども、普段使ってる自分に関係する番号とかのメモを全部入れたりしますからね。
そうですね。何ていうのかな。便利なメモ帳、テキストで保存すると流石にロック外れてるときに誰かに触られるとっていうのがあるじゃないですか。
でもそれ以外のところで管理しておきたいけど、いちいち探すのには面倒くさいみたいなものを入れておくような秘密の手帳的な使い方とするのがメインじゃないけど、半分ぐらいそれぐらいで役立つのかなっていうふうに思いましたね。
今までパスワードの話はしたと思うんですけども、管理ツールの話ってあんまりしてないような気がするんですよ。
なんかしてるかもしれませんけど。なので、実は私個人的にはすごくロックイン要素が強いものなんで、いろいろ試してから使い始めてねっていうタイプなんですね。
なんかもう全部どっぷりいってしまうとね。
一回トレンドのツール使ったら他には移れないとかそういうのがあるんで。
そうですね、エクスポートとかっていう一回出力してっていう機能があるってそれ自体が穴になるかもみたいな感じに見られるらしいなんで移行しづらいですよね。
なんでとにかく例えば今トレンドのツール使ってたらトレンドの使ってみるだとか、シマティックの360だったら中に内蔵されてるんで360のそれも使ってみるだとか。
360ともう一個インターネットセキュリティってことですね。
それにも入ってるらしいですね。
なんでここ最近そういうツールが実は一緒にアップグレードで入ってきたりするんで、それ見てねっていうかなっていうお話をさせていただきましたと。
ここが活動の一つですよね。
宮田さんどういうのを記憶させてたりします?
パスポート番号とか。
エスタとかですかね。
あとはクレジットカード番号とか含めて、あとは細々としたシリアル番号とか会員番号とか有効期限が存在するようなものはちょこちょこっと入れてますね。
クレジットカードとか。
あとあれですよね。よくアンケートとかユーザーを登録したりとかするときあるじゃないですか。
あとは会員登録まではしないんだけど個人情報あれで入れてくださいねみたいな。
ホームって結構あってすごいめんどくさいですよね。
PQ読むためにいちいち入れるの嫌やからやっぱり読まへんみたいなときってあったりするじゃないですか。
ああいうのとかも自動で入れてくれるような機能を持ってるのもあるみたいですね。
ありますよね。アドレスとか一通り提携でボンと入れてくれるとかね。
そうですね。結構この機能とこの間の勉強会参加して思いましたけどもほとんどのPassword Managerにはついてるみたいですね。
そうなんですよね。Password Managerの優劣って今あんまないと思うんですよ。
09:05
そうですね。
それは適当にどれでもいいから触ってねーの根拠なんですけども。
はいはいはい。
なんか突出した機能の変化とかって多分なくて。
若干気になったのはSymantecの方がちょっと言ってたPassword Managerのデータを入れるようなところはセキュリティ的にチェックしてみたいな。
いわゆるアンチウイルスと連携してみたいなこともちょろっと言ってましたよね。
ソフトによってはっていう話になりますけど、クレジットカード情報とか入れてるとその情報が出ていかないかどうかをチェックしてくれるものがあるっていう話ですよね。
そういう連携はあるはあると思うんですけども、まだちょっと大きな差ではないかなっていう気はしてます。
そうですね。でも僕の使い方としてもやっぱり便利に使うっていう便利なメモ帳として使う。
テキストで保存すると結構検索とかも大変でしょ。
それをフォルダ分けとかするのも馬鹿らしくなってくるんで、僕はワンパスワードを使ってるんですけど、セキュアノートって言いながらも普通に開けば普通のメモ帳みたいなもんなんですけど、
ここに年に1回とかしか使えへんかもしれへんけどみたいな情報も結構入れてて、ここに入れてると1個のウィンドウで見れるじゃないですか。
いちいち検索して探したりとかしなくてもいいし、エバーノートとかに入れるのもちょっとなみたいなのがあって、
例えば公共料金とかのお客様番号ってあるじゃないですか。
なんか問い合わせたりするときにお客様番号って絶対聞かれるんですよね。
なのでその番号絶対覚えてないじゃないですか。
そういうのを忘れたら困るけどあんまり使えへんけどどっかに置いとくのも嫌やみたいなのは全部ここに掘り込むようにはしてますね。
私は最近はパスワードジェネレーターをやってもらうようになって、今ちょっとざっと見てるんですけど、
さくらのVPS使ってていろいろワードプレス周りとかMySQL周りとかいろいろアタック多かったじゃないですか。
あのタイミングでやっとパスワードジェネレーターで強度の高いパスワードにして覚えさせるようにしました。
パスワードジェネレーター使って管理ソフトワンパスワード使ってるんですよね。
同じくですね。
それを使ってどうですか?僕自身使うことで優越感的なのないですか?
俺はやってるぞ的な?
そうそう。僕も結構あるんですよね。
あとはパスワードマネージャー使うっていうことと、使うことの理由ってだいたい使い回しをしないための一番のツールかなっていうふうにパスワードに関しては思うんですけど、
12:01
その使い回しをしないっていうのは実際に不正ログインでAがやられた、Bがやられたっていうのをどんどん同じのを使ってたらやられるっていうふうなことも確かにあるんですけど、
時々やっぱり僕らでは気をつけようのない範疇ってあるじゃないですか。サーバーがやられてしまうとかね。
そういう時にある日突然パスワード変えてください、一年のためにみたいなメールが来た時でもやっぱり怖がらなくていいんですよね。
他のところで使ってるのをどうしようとかも思わなくていいし。
唯一ちょっとあるかなと思ったのはパスワードから逆引きしてほしいんですよね。
パスワードから消す?
パスワードをやっぱり共通化して使ってるサービスがいくつもあるんですよ。随分前に作ったパスワードとかね。
それを使い回しをしてしまっている。
使い回ししてるサービスどれっていうのを一覧したい。
それはパスワードマネージャーの中で。
かなりあるんですよね。
そういう機能ついてるパスワードマネージャーもあります。
それ正しいですね。
ちなみに三浦さん、ワンパスワードついてますよ。
ある?
もしかするとバージョンは新しいのが出たらどんどん上げたりするんで、どのバージョンからっていうのは言えないんですけど。
本当だ。ログインのサーチでパスワードストレングスが弱いやつを一覧するとかある?
セキュリティ監査っていうメールが、たぶんこれ4からかな。
ちょっとごめんなさい。話しかわかんないですけど。
ありました。
言えないんですけど、ちなみにたぶん僕と同じぐらいのバージョン使ってると思うんですよ。
新作でログインをサーチでパスワードが何?って検索すると一覧で出てきて、やばい数ありますね。
そうなんですよね。セキュリティ監査ってメニューがたぶんウィンドウの左ぐらいに出てると思うんですけど、ログインとかセキュアノードとかあるんで。
あるんですよね。脆弱なパスワードっていうのが、どういう基準かってたぶん使ってる文字の種類が少ないとか文字数が短いとかっていう。
僕も脆弱なパスワードが出るんですよ。銀行とかって4桁とかでしかないじゃないですか。
そういうのは引っかかっちゃうんですけど、それに重複するパスワードっていうのがあって、そこに複数サイトで使ってると出てきますね。
これは皆さん今すぐ導入したほうがいい。たぶん今皆さんブラウザに覚えさせてると思うんですよ。
コンプリートですね。
ワンパスワードは確かブラウザからはインポートできるんですよね。
できますね。
Chromeとかね。その結果、このセキュリティ監査とかそういう機能がたぶん他のツールにもあると思います。
15:00
これやばいわ。
そうでしょ。誰かが知っている限りだと、あとはラストパスのこの機能がちょっと前についたんですよ。
なるほどね。
あとは3年以上変えてないとかっていうのが出ますね。何年以上変えてないとかって。これは定期変更のことを向こうの国でも言われるんでしょうね。いろいろね。なんでこうやってやるんでしょうね。
うわーってなっちゃったな。
だから定期的な変更っていうのは結構2年半くらい前に僕が記事にしてるんですよね。
ダークナイトの方で。
で、結構ツイッターで見てたらすごい読んでいただいてて。
で、いいねとかツイートするとかもすごい多かったんですよ。やっとよく言ってくれた的なやつがあったんですけど、その現状って今2年半経った今変わってるかって言ったら変わらないじゃないですか。
でもね、この間の勉強会で言ったんですけど、今後も言い続けていこうと思ってるんですけど、定期的な変更を言うなっていうのはもうやめます。
はい、てんかでみんなもう一回噛み締めてくださいね。今の言葉を。
もう恋なんてしないなんて言わないよ。絶対みたいな。そんな感じですかね。
いやいや、そんな感じですかね。
一瞬わからなかったですね。定期的な変更っていうのは、確かに弊害を生む可能性はあるじゃないですか。
でもやっぱりそこばっかりクローズアップされるとまずいなっていうふうにちょっと思ってて、定期的な変更を例えばこの辺から消えるとしますよね。
だからってみんなが控え回しをやめるとも限らないし、弱いパスワードをつけないとも限らないじゃないですか。
やっぱり楽したいからっていうのもあると思うんで、だからそこを無視してですね、パスワード定期的な変更をすごく強く強いられようが、
すごい多くのサイト、例えばこの記事の続きを読みたければみたいなアカウントを作らないといけなかったとしても、
もうそいつらに対して対抗できる術を作るしかないやろっていうふうに思ったら、パスワードまで使いましょうっていうことは確かに変わらないんですけど、
定期的変更したければすればいいよっていうぐらい大きな気持ちでやっていこうかなっていうふうに思ってますね。
なるほどね。パスワード周りは何度も何度もやってますけども、何度も何度もやっても終わらない。
終わらない。
ずっと続けていかないといけない。
そうなんですよね。どうなんですかね。このポッドキャスト聞いてる人って多分3人しかいないと思うんですけど、使ってるんですかね。パスワードマネージャーとか。
1人ぐらいは使ってそうな感じしますよね。
18:01
結構使ってない人多いんじゃないかな。マックス3人なんでね。
誰かに見せてもらわないとその力がわからにくいんですよ。
やっぱりそうですね。そう思います僕も。
ログイン画面開くとボタン一発で出てくるんだよっていう話をしても、それブラウザでもできるじゃんみたいな感じになっちゃうんで。
こういうこともできるんだよって言うとやっとと思うんで、徐々に一つ手に広げていかなきゃいけないのかなっていう。
そのうちウイルス対策と同じで、当たり前だよねっていう世界になるとは思うので、それだけの機能を持ってるはずなんで、ちょっとやってほしいなというのと。
なので今日ちょっと一つ考えたんですよ僕。こういうふうな機能があるから便利だよ使ってねっていうふうなのも、多分大事だと思うんですけど。
でもじゃあどれから使っていけばいいのかなっていうところが迷うと思うんですよ。
人間迷うと結構どっちかに触れてしまう人が多くて、どれか使ってしまえっていうふうにいけばいいんですけど、
じゃあ俺いいわとか対岸の舵的なふうに見えてしまうのがあると思うんで。
僕たち二人、この間の勉強会でいろんなベンダーさんに出ていただいて、紹介をどれを買えとかっていうつもりは僕たちも持ってないわけですけども、
あの時に共通したのは僕と宮田さんはワンパスワードを使ってますっていうのがあったじゃないですか。
でね、あの時に会場にいらっしゃった方でね、今日僕辻用紙のワンパスワードはないんですかみたいなことを言ってた方がいらっしゃったみたいなんですよ。
言っていただければ僕ら手元にあったからお見せすることはできてはかなと思うんですけど、
僕たちが推してるものをみんなに使ってもらおうっていうふうなことを考えててですね。
かといって、じゃあ買えよっていうふうに、別に僕らワンパスワードの回し者でもなんでもないんですけど、
やっぱりちょっと一つ企画としてね、このポッドキャストを聞いてる方の中でですね、
そんなに辻と宮田が推すんならワンパスワードを使ってやろうじゃないかという方がいらっしゃればですね、
これが公開されてからワンパスワードのプレゼント希望的なことを言っていただいた1名様に僕からプレゼントしようかなと。
あとあれですよね、ワンパスワードのアジャイルなんとかって会社、ホリデープレゼントするんですよ。
そうしますね。
ホリデーシーズンになった時に友達に1ライセンスプレゼントできますみたいなのがあるんで、それが来たらプレゼントしましょう。
それいいですね。でも今回でも僕普通に店に来てやりますよ。
21:02
どうしましょうかね、どういう風に応募してもらえます?
そうですね。
普通にじゃあ、いつもの通り。
感想とともにリプライを2、3あたりに投げていただくと。
あとはシャーク辻リーフズっていつも一応公開するときにやってるんで、そのハッシュタグをつけてプレゼント希望的なつぶやきをしてもらうってことにしましょうか。
そうですね。それでいきましょうか。
それで、僕もそんなお金ないんです。1名になってしまうんですけど、その時に言っていただきたいのは、言っていただくとか応募する前に知っておいてほしいのは、
Apple、Mac OSを使ってるかWindowsかってことに言ってもらいたいなと思うのと、あとはこれもともとマップ向けのソフトだったじゃないですか、最初。
なので、AppleのOSを使ってるほうが有利というか日本語なんですよね。
そうですね。
で、Windows版のほうは基本英語。読んでて分からないような英語ではあまりないと思うんですけど、それを分かった上で応募していただければいいかなと。
募集期間についてはブログというか、辻リークスのページで告知する感じにしましょうかね。
素晴らしい。聞いてよかったっていうね。
ぜひ使った感想とか良かったっていうのを広めてもらいたいなっていうのも。
なるほど。これ本当使ってみないと分からないところが多いので、これはぜひ皆さん使ってこっちの世界に来ていただいたほうがいいな気がします。
そうですね。
いやー、こんなお得なPodcastないですね。
なかなかないですね。
はい、後半です。
実は最近ちょっと忙しくてですね、3ヶ月連続で海外行くっていうのが初めてだったんですよ。
なんかいろんなとこ行ってましたよね。
そうなんです。2つがお仕事だったんで、海外取材が本当はアットマーク愛知時代に1回行っただけだったんですけど、こんなに行くなんて思わなかったんですよね。
海外で取材先かなんかで写真を撮ってアップしてましたよね。
そのうち1つはITじゃないお仕事だったんですね。マレーシアだったんですけど、マレーシアはスマートフォン1つで海外に放り出されて生きていけるかに近い。
体験というか突撃系ですね。
突撃系なんですけどね。これはマコトっていうITメディアの記事として載ってます。
24:01
マコト、マレーシア、LCCで計算していただけますと引っかかると思います。
同時期にマレーシアに普通に行ったっていう記事も撮ってて、なんでこんなに差があるんだろうっていうね、すごい思いましたけども。
私のほうはLCCとスマートフォンでマレーシアを堪能できるかっていう記事です。
セキュリティ一切関係ないんですけども。
もう一個はね、セキュリティ関係あるというか、セキュリティで呼んでいただいて、すでにアットマン会議でニュース1本の記事出てるんですけども、これからマコトのほうでも出るんですが、
ビザカード、ビザインターナショナルに会員でいただきまして、ワシントンDCで開催されていたビザセキュリティサミットというのに参加してきました。
意外とクレジットカードの世界って、皆さん知ってるようで知らないんですよね。
ビザってどんな会社って言われたときに、広報の方が言ってたんですけども、クレジットカード大手って言われるのが嫌なんですって言ってました。
あ、そうなんですか。
クレジットカード大手という正確にそれを指すのは、多分日本ではセゾンだとか、楽天カードとかなんですよね。
あ、はいはいはい。
あ、じゃあブランドなんですねって言ったら、ブランドもちょっと違うと。
あ、そうなんですね。
いわゆるブラウンドなんですね。せめてUCとかJSIDとか、いわゆるブランドですと。
ブランドですね。
じゃあどういうふうに書くのがいいですかって言ったら、ペイメントネットワーク大手って言ってました。
あ、そういう仕組み自体を提供してる的な意味なんですね。
結局カードも発行はしてないし。
そうですね。
やってることはカード発行会社と加盟店の間を通信でつないで、この人のカード番号はこれで、金額はこれでっていうのを受けて、
その決済は大丈夫なのかっていうのを判断して、発行会社に渡すっていうネットワーク業なんですよね。
ほかとはちょっと違うというか。
イメージがちょっと違うと思うんですけども。
ビザの日本の使者、そんなに人数いないんですよ。
そうなんですか。たくさんいそうなイメージですよね。
その辺の管理をするみたいな感じになるんで、業務的にはほぼアメリカで全部やるんです。ネットワーク業務みたいなところは。
じゃあ一箇所に集中させて管理してるんですかね。
そこが面白いところなんですけど。
今回、普段だったらフリーライターとして実は海外に出張することもあるんですけれども、
だいたい例えばアットマークITから話が来るだとか、誠から話が来るだとか、編集部通すんですよ。
今回は実はビザから、一回誠で記事書いたんですけども、ビザから直接いらっしゃいませんかって言っていただいて。
27:00
すごいですね。
すごいありがたい話なんですけどね。
それで日本からは私一人だったんですけども、実は今回すごい面白かったのが、ビザのデータセンターに連れてってもらったんですよ。
中入ったんですか。
入りました。
すごい厳重なんじゃないですか。
すごかった。
具体的にどこって言えないんですけども。
言っちゃダメなんですね。
言っちゃダメ。
ちゃんと機密保持契約的なのを交わしてるわけですね。
さすが。
本当にどこにあるかは言えないんですけども、東海岸のどこかです。
それもサブなんですよ。
西海岸のどこかにメインがあるんですけども、サブはアメリカの東海岸と世界各地にあるんですね。
で、面白かったのが集中管理なんですよ。分散管理してないの。
あら。
あくまで行ったところはバックアップらしいんですよね。
そうなんや。
で、メインは一箇所で、そこがつぶれたときにどこにするみたいな話だったりするんですけど、
私が見たところも外からはデータセンターとも分からないし、ビザとも分からないんですよ。
普通のビルっぽい感じなんですか。
結構日本のデータセンターとかだと窓がないとか、
どでかいのに何の看板も出てないとか、窓がなかったら大体データセンターみたいな感じするんですけどね。
ハイウェイから見た感じでは別のビルがあるんですけども、そこは普通のビルなんですよ。
でもロゴも一切ないと。
じゃあ超秘密にされてるんですね。
データセンター自体はその裏手にあって平屋建てに見えるんですよ、外からも。
だけど地下3階まで掘ってあって。
外から見てもあんま気にならないんですかね。
全く分からない。
入管とかはどんな感じなんですか。
それが入り口一箇所しかなくて橋になってるんですよ。
橋?
森みたいな形でちょっと深く掘ってあって、そこに下に道路が走っていて、校内道路ですね。橋を通らないといけない。
一箇所で本当に入り口を。昔の日本の城みたいですね。
本当に城って感じでしたね。
そこから入ってくるものはそこしかおらんみたいに絞っちゃうわけですね。
そこを橋を渡るとやっとビザのロゴが出てきて、こういう建物があって分かるっていう。
詳しくは2週間以内には誠に記事を出しますので。
それを見ていたら続きはウェブで。
続きはウェブで。どこまで話していいかよく分かんないっていうね。
じゃあ一回書いて向こうにレビューしてもらう感じなんですね。
ちゃんと翻訳して向こうに投げるって言ってましたんで、どこまで書いていいのかよく分からないんですよ。
下手なこと書けないですね。
ただ私なりに攻撃処方は考えましたよ。
30:00
セキュリティをやってたんで。でもほぼ無理。
そうですか。それは物理的なことも含め。
でもね、いろんな意味で無理ですね。
例えば、私がジャーナリストの顔をしたスーパーハッカーだとしましょう。
それが一番簡単じゃないですか。
普通の方法じゃないんで。
その前提で話を聞いてたんですよ。
当たらないうちに自分が何か中入って悪いことができたらどうするんだろうと思ったんですけども。
先生パンチを食らいましたね。
最初はブリーフィングがあったんですけども、質問したときに、
ああなるほど、いい天国ついたねって。さすが君は元エンジニアだねって言われたんですよ。
あれ?って思ったんですよ。
言ってなかったんです、まだ自分の自己紹介とかそこまで。
全部、さすがの日本の広報の方がきっちりレジュメを送ってた。
じゃあそういう身元がはっきりしてどういう経歴かっていうのが分かんないとまずそこに行けないんだね。
だから日本の広報を騙して、かつ向こうを騙して、パスポート情報も騙してまでやらないと
そこにたどり着けない。
当然USBメモリをばらまくとか、ダメですよ。教育は当然ちゃんとしてるし。
内部で悪意ある人出てきたらどうするんですかって言ったら、大丈夫。
DLP使ってるって言ってた。
DLPちゃんと使ってる会社があるよね、金融系ならねって思ったんですけど。
そうですね、厳しいですからね、金融系特に。
ミッションインポッシブルとかじゃないとダメですね。
ともクルーズあたりに頑張っていただかないと。
そのレベルなんですね。
中で清掃してる人とかもいるんですよ、普通に。
はいはい、僕それ聞こうと思ってたんですよ。
いるんですけど、とももね、直営っぽいんですよね、そこも含めて。
直営っていうのは、そういう子会社を持ってるとか?
そんな感じですね。
グルーブに近いノリなんですね。
保守するべきものがすごいいっぱいあるんで、発電所とかね。
そこまで言ってましたよ、爆弾が起こってきても壊れないし、
ハリケーンで効率しても40日ぐらいは生きていけるって言ってました。
食べ物に関しても電気にしても、すごいなって。
データセンター結構ね、そういう自家発電システム持ってるとこ多いですけど、
33:00
爆弾まで考えた上で。
僕もいろんなデータセンター行きましたけど、爆弾来たらあかんデータセンターばっかりですね。
結局ね、攻撃者からすると破壊っていうのって最後の手じゃないですか。
そうですね。
誰にも知られないようにデータを抜くっていうところが最終目的なのに、
破壊したらいけないと思うんで、それ以外の手法は想定し得る限りないですね。
ビザで起きた事件っていうと、2011年ぐらいのドス攻撃ぐらいですかね、僕が知ってるんだと。
ビザのシステムじゃなくてビザのホームページですからね。
全然違うところに置いてるサーバーかもしれないですからね、それは。
そうなんですよね。システムの余裕もえらい余裕があるみたいで。
やっぱりシーズンごとに、ホリデーシーズンのブラックマンデーだっけな。
ブラックマンデーだと株が暴落しちゃいますね。
ホリデーシーズンのスタートで、その日からトイザらしとかがセールを始めるみたいな日があるんですよね。
そこでみんなクリスマスのプレゼントを買うっていう日があるんです。
この日が1年のピークらしいんですよ。
でもそれでも半分以上余裕があるって言ってました。
そうなんですね。
だからそこに対して外から攻撃をかけるっていうのもなんかちょっとね。
結局外からの攻撃はどうとかというよりも、ビザのデータセンターでチェックしてるのは不正利用なんですよね、やっぱりね。
例えば日本でカードを持ってる人が海外、普通的に移動できないような国から使われてるとか。
1人に焦点を当てると速報なんですけども、例えば他にはとある銀行の口座に悪用が集中してるとか、そういうマスな見方も同時にしてるみたいですね。
そうなんですね。
ネットワークオペレーションセンターを最初に見せてもらったんですけども、そこはもうよくあるセキュリティ系のネットワークオペレーションセンターそのものですね。
世界地図があって、CNNとかが常に流れて。
そうですね、世界の情勢が影響しますからね。
そういうところよりもあんま変わんないなっていう。
そうです。
知られました、ブラックフライデーであってました。
ブラックフライデーになってましたね。
感謝祭が11月の第4木曜日のその次の日から大体金曜日でクリスマスセールが始まるみたいですね。
なんですごい貴重な体験をさせていただきましたね。
ITが分かる人間からすると、割と普通なデータセンターに見える感じ。
一般の人から見ると、ここまで現状なんだみたいな。
当然写真とか撮れないんで、提供してもらった写真を掲載する予定なんですけども。
持ち込めないでしょ。
持ち込むとするとセンサーがバリバリ入ってるんで、すぐ分かる。
持ち込めるものって逆に何が持ち込めるんですか?
会社のPCはRFID管理をしてるらしいです。
36:05
持ち込めるPCはそれが入ってないとダメ。
持ち出すやつもそれを通して管理されてるんで勝手に持ち出せないんですね。
そうなんですよ。
展示会みたいな感じですね。
割と考えられる、最新で深く考えられたいろんなセンサーが全部あるって感じ。
すごいですね。それぐらいやらないといけないところだって言われると、それまでかもしれないですけど、ちゃんとやってるところはしてるんですね。
クレジットカード大手って言ったらいけないんですけども、クレジットカードでは日本では一番有名なぐらいじゃないですか、ビザって。
そこがそこまでやってくれないと他が浸透しないっていう感じがしますね。
一応グローバルのリスク管理マネージャー、偉い人、女性の方なんですけども、ちょっと聞いたらセキュリティのエンジニアが何人いるかって言ったら200人いるって言ってたんですよ。
200人?何してるんですかね。
トータルで4,000人ぐらいしかいないんですよ、全従業員が。200人って言ってたんで、セキュリティエンジニアって言ってるのが通じてるのかどうかわからないんですけども、とはいえセキュリティに関係するエンジニアが200人しっかりいるってことは嬉しい話ですよね。
そうですね、確かに。
それこそ日本の大企業だってセキュリティエンジニア何人いますかって言ったら。
一桁じゃないですかね。僕も知り合いがいる、名前聞けば皆さん知ってるような会社に勤めてる方とか何人か知ってるんですけど、たぶんそこで言われて200人っていうのは、そこの僕の知ってる会社だと体制はセキュリティのチームみたいなのがいるんですよね。
普段こういう、例えば自分たちが使ってるサーバーのアプリケーションとかいろいろあるじゃないですか。そういうものの脆弱性情報とかを常にウォッチしたりとか、あとは外からの侵入されたっぽいよみたいなアラートを受けたりとかしてハンドリングする人たちがいるんですね。
それで例えば脆弱性がありましたっていうソフトウェアが出ましたっていうのをキャッチするじゃないですか。それを本当にどれぐらい影響あるのみたいなのを分別して、早く直さないといけない、ちょっと余裕あってもいいかなとかっていうのに分けて運用のチームに投げるらしいんですよ。
深いセキュリティエンジニアですね。そうですね。それを運用チームに投げて回収してもらうっていうのをぐるぐる回してるみたいなんですね。多分それが200人ぐらいいるんじゃないですかね、向こうは。でもそれでも日本のセキュリティの専門会社とかじゃなくて、そういう運用を兼ねてやってるようなところとかだったら、5人、10人とかそういう世界なんじゃないかなっていう気はしますよね。
本当に世界のお金の取引のかなりの割合を担ってる会社だけあって、やっぱりその辺はすごかったですね。
39:11
確かにユーザー数すごく多いじゃないですか、ビザって。ユーザーを守らなければいけないっていう意識も当然すごく強いと思うんですね。お金に直結するし、カード止まっちゃったりとかしたら買い物できないしどうにもなったりするじゃないですか。っていうのも確かにそういう社会責任みたいなものをすごく強く持っておられると思うんですけども、それだけじゃなくて結局付箋に使われたりとか、銀行も同じなんですけど、自分たちが補填しないといけない場合があるね。
日本で起きる銀行系の事件ってほとんど銀行が補填してるはずなんで、まんま自分たちに跳ね返ってくるんですよね。
しかもアメリカだとクレジットカードだけじゃないんですよね。デリットカードとか、それこそキャッシングがメインだったりするんで、全部そこトータルなんですよね。
ビザフィッシング多いね。ビザとかPayPalのフィッシングサイト多いですよね。
面白かったでしょ。それこそビザを手をこまねいてるわけじゃなくて、日本でもICチップの決済増えてきたじゃないですか。
アメリカではビザはPayWaveっていうNFCを使った決済に合使用として、プラスチックカードを箱しなくても決済ができるっていう仕組みを持ってるんですよね。
そういうことをやってるんですけど、一番遅れてる国がアメリカらしいです。
そうなんですか。
それこそアフリカとか、今までそういうのがなかったところはプラスチックカードを抜けて一気にNFCとかIP移行してるんですね。
アメリカとかは今までみんなが使ってきてるカードが普及しすぎてるわゆえに新しいものに乗せ替えられないっていうか乗せ替えてくれないんですねみんなが。
それは弊害ですね。
でもいろんなことをやって、セキュリティコードなんかもそうなんですね。CVV2かな。
カードの裏に書いてあるんですね。
それも対策として20年近くいろんなことをやっていて、不正な決済の率、不正率っていうのは年々下がってきてるらしいんですよ。
取引料は倍増とかすごく増えてるのに、不正な率は下がってるっていうところはやっぱりペイメントカード業界、ペイメントネットワーク業界がすごく頑張った結果だっていう話をしてましたね。
すごい頑張ってるんですね。
自分たちに思いっきり跳ね返ってくるからやっぱりセキュリティ意識が低かったり、そもそもセキュリティ知りませんっていう人たちも頑張って自分たちが助けてあげないといけない立場ですからね。
42:01
ペイメントカード業界面白いのは、PCI-DSSとかあるじゃないですか。これはATMAC-ITの連載とかを読んでいただくといいんですけど、それに付随するいろんな組織、PCI-SSCとか、あのようなのをたどっていくと、VISAが独自にやったり、UCが独自にやったり、マスターが独自にやったりするものを共通でやってたりするんですよね。
業界的に一緒にやるのすごく面白いですね。
そうですね。面白いな、その話。
やっぱり一社でやるのは限界があるから、みんなでやろうっていうふうになって進めてるみたいで。
前ちょっと誠でも記事にしたんですけど、3Dセキュアっていう仕組みがあるんですよね。3Dセキュアって日本であんまり普及してないんですけども、あれもVISAが作った仕組みを他の会社にも展開したっていう。
最近あんまり3Dセキュアって言葉自体があんまり聞かないんですよね。
日本で普及しない理由は、誠の記事では濁してしまったんですけども、端的に言って楽天とAmazonが対応しないからなんですよ。
楽天対応してませんでしたっけ?
楽天ダメでしたね、確か。
そうですか。
楽天とAmazonが対応しない理由は、ワンクリックができないからですね。
決済のためにクリック数を減らすがために、その同じパスワードを入れさせたくないっていう。
海外では法整備が進んでいて、3Dセキュアを必修にしろっていうような国もあるんですよ。
多分そうしないとダメなんでしょうねって話がしました。
そうなんですね。でも今楽天のページ調べてみたんですけど、楽天安心支払いサービスっていうところには3Dセキュアっていうページがあるのかもしれないですね。
本人を確認するための仕組みですよね、これね。
聞いたら、加盟店はこれをやるから追加料金、手数料必要だったってことはないらしいんですよ。
加盟店の設備としては必要なんですけども、安全を考えたらこういうのを扱えるほうがいいんじゃないかなっていうふうに思いますね。
という感じで、意外と身近なクレジットカードのセキュリティに関してはすごくいろいろやってたりするので、
あんまり実は情報ないかもしれないですけども、いざとかやってることに関して気をつけてみてると、なんか面白いかなっていう気はします。
クレジットカードもそうですし、銀行も。その2つがフィッシング系とか狙われるのも多いんかなと思うんですけど、
45:00
銀行のフィッシングサイトが作られてるっぽいっていう情報を小指に挟んで、あんまり銀行のサイトって普段見ないじゃないですか。
わざわざ、例えば今日三井住友のサイト更新されたかななんて思わないじゃないですか。別にRSSで更新されてるわけでもないんでね。
その時に思ったのが、フィッシングについてとかこういう取り組みしてますとか、あとはワンタインパスワードっていうのがあってねみたいなとかね。
フィッシングの人はもうすぐかな、もう出たのかもしれないですけど、新しい電卓みたいな形したやつに変えることができるんですけど。
あれは拡張性を今後持たせてるみたいな感じで書いてあったんですけどね。そういうなんていうのをもっと広く告知しないと、
わざわざそういう情報が書かれてあっても、そこに見に行く人がまずいないっていうのはやっぱりちょっと良くないのかなと思って。
そういうことこそほどたくさん広めたりとか、各銀行の取り組みみたいなのをもっと広めたほうがいいのかなっていうふうに最近すごく思いましたね。
パスワード管理のところでもよく言うんですけども、特にお金に絡むパスワードだけは少なくともちょっと強度の高いものにしようだとか、使い回しはやめようだとかっていうね。
できるところからっていうところで、金融系は移しをしたほうがいいのかなという感じはするんですかね。
そうですね。一番進んでるっちゃ進んでるんですよね。そういうセキュリティに対する取り組みが、しかも無料で利用できるものも多いですし。
今回そういう意味で取材で、金融系の側のほうの話を聞いて、すごく頑張ってるんだなっていう印象を持ちましたので、ちょっとそのあたりも見てね。
教育とかもすごく頑張ってて、アトマー会議のニュースの記事にはしたんですけども、クレジットカードを含めセキュリティに関心を持ってもらうための発火損をビザ代でやったんですよ。
アメリカでですかね。
アメリカでね。テッククライフィーが主催しているものをパワードバイビザみたいな形でやったんですけども。
そこで1位になったのが、Facebookのプライバシー設定が正しいかどうかをスコアリングしてくれるiPhoneアプリ。
ああ、そういうのがあったんですね。面白いな。
それを1位とってました。24時間で作って、まだリリースされてないみたいなんですけども。そういうところもやってたりしたし。
具体的な教育はそれこそカード発行会社らしいんですよ。利用者の教育っていう意味では。
リスクマネージャーに、実は日本でこの前、空港の従業員が俳優のカード番号をTwitterで晒しちゃったんだよねって話したんですよ。
日本でね。買い物に来たやつですよね。
それはさすがにひどい話ではあるんだけど、もしそういうことが起きてもネットワークでちゃんと止めるようにできますって言ってましたね。
48:04
はいはい。
ああ、そういう事故系の話とか、事故を防ぐための話とかよくあるじゃないですか。
例えば、フィッシングとか銀行とかカードとかに限らずね。
日本だとよく出てくるのが長期休暇の前にみたいな。
セキュリティを啓発、もしくは注意喚起する側も考えていかなきゃいけないなって思ったことがあったんですけど。
フィッシングサイトがこんなのが出てますみたいなのがあるじゃないですか。
怪しいサイトは開かない。怪しいメールは開かないっていうのがあるじゃないですか。
あれ怪しいかどうか分からないから問題だっていうのは常々僕も言ってきているんですけど。
あれね、多分開いた後とか、もしくはIDパスワードを入力した後、どういう風にしたらいいかって書かれてないんですよね。
なるほどね。
そういうものをやられてしまうっていうのは当たり前というか、リスクをゼロにするのは無理じゃないですか。
はいはいはい。
なのでそこから先に、僕たちユーザーの立場の時もあるわけでしょうね。
その時にどういう風にすればいいのか、どこに連絡をすればいいのかっていうのも今後充実させていく必要があるなと思いました。
なるほどね。
やってしまったらそれどうするのってなると思うんですよね、ユーザーって。
例えばそのサイトたまたま見つけたらここに連絡しましょうとかもあるし。
はいはいはい。
窓口いっぱいあるんですけどね。
確かにね。
フィッシングサイト見つけたらIPに連絡するのがいいのか、多分受け付けてくれると思いますし。
あとはフィッシング対策協議会みたいなのもあるじゃないですか。
あとはお金が絡むところの警察もあるんですよね。
なるほどね。
多分それぞれ旅行連携してないんで、それぞれでやっちゃってる部分があると思うんですよ。
またあるじゃないですか、やっぱりそういうので。
そうですね。
だからそこって考えたほうがいいなと。
重要だよね。一般の人はそれまでは無理だろうな。
そうなんですよね。だからやっぱり僕たちは普段から仕事でそういうサイトをよく見るじゃないですか、いろんなサイトをね。
でもいざ事故に遭ってしまう人っていうのはそういうサイトを普段見てない人なんですよ。
そうですよね。
そういう人たちにリーチするにはどうしていったらいいのかなって、草の根活動しかないのかなっていう気はするんですけど。
今誠の方で連載を続けています。毎回ネタに困ってるんですけども。
はいはい。
編集部の意向ですごい初心者向け、これを聞かないような人なんですけどもね。
に当てなければいけないということで、実はすごく毎回悩んでいるんですよね。
そういうところにかけるぐらいの簡単な報告方法とかがね。
そうですね。とりあえずここに連絡しましょうみたいな。
51:01
例えばよく郵便受けとかに入っている水のトラブルに困ったらここみたいなマグネットを入れたりとかするじゃないですか。
はいはいはい。
あんな感じでトラブル電話帳みたいなのとか、問い合わせ窓口一覧みたいなのがあるといいのかなっていう気はしますね。
なるほど。
僕も一般の人たちっていう、一般って言い方するとあれかもしれないですけど、あまり詳しくないとか、人たちにはどういう風にリーチすればいいんだろうっていうのを常々やっぱり最近考えてて。
今ちょうど、はいはい。
募集しましょう。
募集。
これ聞いていて、実は俺はそうだと。
一般の人で聞いているんだけど、お前らが言ってることあまりよくわからんと。
3人のうち1人がね。
はいはいはい。
聞いていただければ、ちょっとそこをね、何とかしていきましょう。
そのテーマについてクローズアップしていくとか。
正確に言うと、誠のコラムのネタ遅れなんですけども。
あら、言っちゃった。
そのあたりは、実は2人とも気にするとこなんで、雑談の中でもいいんだったらそういうのを話したいなと思います。
そうですね。
本当にやっぱり影響を受ける人が多くなってきた。
サイバー犯罪というか。
僕たちが情報発信するだけではもう限界が来てると思ってて。
それをどんどん一つ手に伝わっていくように。
極端なことで言えば、僕たちの話を聞いた人のおばあちゃんが聞くぐらいとかね。
そこまでやっていきたいけど、僕たちはそのおばあちゃんに会えないんで。
だから僕たちって専門家寄りの人間になってしまうから、どうしてもね、全部ちゃんと伝えようとすると余計話が難しくなるみたいな。
これをお聞きの皆さんだけが頼りです。
頼りです。
ぜひ反応を。
そうですね。自分なんかがと思わずに何でもいいんで。
言っていただければ頑張れる。僕らも勉強になりますからね。
ネタになる。
そうじゃなくて。
自分だけかみたいなね。
という感じで。
感じで。
そろそろ。
いい時間ですね。
いいですか。
次回は2ヶ月後3ヶ月かもしれませんけども。
2014年にまたお会いしましょう。
それでは良いお年を。
53:35

Comments

Scroll