1. セキュリティのアレ
  2. 第175回 そんなマジメで大丈夫..
2023-04-10 1:06:57

第175回 そんなマジメで大丈夫か?スペシャル

Tweet【関連記事】 ・Not just an infostealer: Gopuram backdoor [...]

The post 第175回 そんなマジメで大丈夫か?スペシャル first appeared on podcast - #セキュリティのアレ.

00:00
新しいことにチャレンジするっていうのって、やっぱり大事だなって思うし、 年取れば取るほど、なかなかそういう機会にも恵まれなくなるじゃないですか。
やっぱり、探せばいくらでも新しいものっていうか、やったことないことって、やったことないことの方が多いと思うんですよ。
まあそうね。 むちゃくちゃ学びがあったんですよね、僕。
何でしょう? ある番組に出させてもらいまして。
テレビ? ネットですけどね。
コメンテーターという立場で出たんですよ。 だから最初から最後までいて、セキュリティのこういうのがあったから出るとかではなくて、最初から最後まで出て
コメントするみたいな立場で。 以前からやってみたかったんですよ。チャレンジしたいなと思ってて。
でね、そこで準備していくわけですよ。今日その取り扱うテーマはこれとこれとこれなんで、みたいな風に事前に教えてくれるんでね。取り上げるニュースみたいなやつを。
で、そこで発見がありまして、僕、その扱うネタについて詳しくなろうと思って、勉強をある程度していったんですよ。
どういう背景があって、こういう問題があってとかね。 それが大きな間違いだったということに気づいたんですよ。
何かというと、その勉強の仕方というか準備の仕方が立場に合ってないってことに、放送中に気づいたんですよ、自分で。
で、よくよく考えてみたら、僕らって自分が調べたこととかを人前でお話ししたりとか、自分の調べたことに対してどう自分が思うかこうした方がいいんじゃないかとかいう意見とかを述べたりとか。
あとここの3人でパネルディスカッションという形でね、いろんなメディアでお話しさせていただくじゃないですか。
そうやって自分がその詳しいことを話していくために、いろいろ普段から調べたりするんですけど、コメントする立場っていうのはそうじゃないですよね。
専門家の立場と全然違うっていうことに気づいて。
ある程度勉強した方がいいにはいいんですけど、勉強した上で、ある程度理解した上でわからなかったことだとか、もうちょっとここみんなが知りたがってんじゃないかみたいなことを引き出すようなことをするっていう立場なんで。
同じように詳しく勉強していっても、その道具の使い方が違うなっていうことを改めてハッと気づいたというか。
それはそうだな。
実際に言われてみれば当たり前じゃないですか、今言ったことって。
それが全然普段の自分の板についてる方法でやっちゃってたっていう。
なんていうんですか、盲目になっちゃってたというかね。
やってみてわかったって感じか。
そうそうそうそう。だから僕らも、ねぎすさんがよくやられることはありますけど、ある程度ファシリテート的な回しというか、するのと、それをしながら専門家ポジションみたいなのでお話をしたりしますけど、回すのと違いますもんね。
03:12
自分が振られて専門的なことを答えるのとは。
あーそうだね。
だからこう、やり方、力の入れ方とかっていうのってやっぱり大事やなって思いましたね。意識の仕方みたいなやつが。
なんでね、おじさんになっても勉強できるなーみたいなね。
そうね。
なに?なんなん?知ってたわみたいな。
いやいや、そんなことないですよ。
めちゃめちゃ真面目なファイリーで大丈夫かっていうね。
そこに新しい気づきを得たみたいな。
違う番組だったっけ?みたいな。
真面目な話で大丈夫かって言ってることおかしいって気づける?自分で。
いやいや、ちょっと心配になっちゃって。
ちょっと頭打ったんかなみたいな。
そうそうそう。
いやいや、そういう学びがあったんで、せっかくなんで共有しようかなって思ったというとこなんですけどね。
そんな学びがあったわ今週はとか思ったらね、洗濯機壊れて。
あらら。
いやもう最悪っすよ。洗濯機って壊れたことある?
あるよ、あるある。
あれみんなどうしてんの?
物によるんじゃないの?
壊れ方によるんじゃないですかね。
いや動くよるんすよ、全然。
壊れてるじゃん。
じゃあいいじゃないですか。
話最後まで聞いてくれー。
壊れたって言ってるやつも話を聞いてくれ。
壊れちゃったんですね。
あのね、回してるとものすごい異音がするんですよ。
あーはいはい。
だからホンマは入ったあかんようなところに何かこうチャックがどっかに入ったとか。
分かんないですけど、ブラーンみたいななんかカリカリブラーンみたいな。
これほっとったらなんか本当に爆発電話したらどうするのみたいな音なんですよホンマに。
それはやばいねちょっとね確かに。
モーター系って怖いじゃないですかやっぱり。
危ないね。
そうですね。
だから一応ね、物を結構多めに入れてるからかなと思ってタオル1個にしてみても同じ音になるから速攻で止めて。
めっちゃ怖いなーと思ったからもうそのままその日のうちに買いに行ったんですけど。
古いよ古いよ。
結構ね、使って出したってことなんですか?
片番調べたら2014年発売の2015年に買ってるんですよ僕。
まぁちょっと微妙な感じが。
絶妙なラインですね。
でもなんかこう冷蔵庫とかでそういういわゆる代物家電みたいに言われるような物って10年は持ってほしいやんか。
06:01
そうだね一応物によるけど保証期間も10年ぐらいあるやつもあったりとか。
まぁそれぐらいは最近の代物家電は優秀だから10年ぐらいは持つよね。
ちょっとそれから考えたらもうちょっと頑張ってほしかったなみたいな気持ちはあるんですけど、しょうがないかと思ったんですけど。
基本的に家に選択肢1個でしょみんな大体。
まぁ普通そうだろうね。
あれ1個壊れたらさ、使われへんやん。
使われへんね。
新しいの来るまでみんなどうしてんのあれ。
日によるんじゃないの?日によるっていうか。
前俺が経験した時は壊れて、なんかこれは修理でもどうもならんみたいな感じで結局買い替えたんだけど、
1日か確か2日後ぐらいにもう届いたんで。
あーそうなんですね。
その時はその期間だけちょっと選択物が溜まったぐらいで済んだから。
まぁでもあれだよね、例えば手に入らないとかで1週間以上開いたりとかしたらちょっと辛いかもね。
そうですよね。たまたまね、幸い行ったら日曜日には届くと。金曜日に行って、日曜日に設置してくれるんですよ。
じゃあそうやったらまあ、
まだマシな方ではあるんですけど、洗濯機を動かしてからのイオンやからさ、中のもんがもうビシャビシャなんですよ。
だからもう全部干してビシャビシャなまま、干されへんから乾燥できないからさ。
だからもう全部お風呂にかけて。
しかも外、最近雨やったでしょ。外にも干されへんからめっちゃきついわ、思ってね。
なるほど。なんかそういう時だけコインランドリー使うとかそういう手はないの?
コインランドリーあると思うねんけど、なんか遠いやん。
それは場所によるような。
行ってさ、終わるんも待つんも嫌やん。
そういうもんじゃん、でも。
また行くんも嫌やん。
でも最近、昔はわかんないけどさ、最近は減ったよね、多分。
コインランドリーとか見かけなくなったしさ、使ってる人もだいぶ少なくなってる感じはするよね。
最近はマンションに始めからついてたりするようなマンションもありますしね、物によったらね。
だから今月はめちゃくちゃ節約しようと思ってた月やのに、洗濯機買うみたいなことになって。
しょうがないんじゃない?それは。
いつ買い替えるかだけの話やっていうのはあるんですかね。
結局はね、結局はどっかでは壊れたりとかなんかあるからね。
悩ましいわと思って、だから洗濯機は壊れる前に買い替えたほうがいいんかな?
いや、それも難しいよね。確かにいざって時に壊れてると困っちゃうかなっていうのはあるかもしんないけどね。
09:06
かといってまだ十分使えるのにね、買い替えるってのもなんかアホらしいしね。
例えばこの間8年で壊れたから7年でやろうかなと思ったら、そいつは実は15年ぐらい動くやつやったかもしんないですもんね。
そういうの難しいよね。
テレビとかとはわけが違うじゃないですか。
なかなかね。
悩ましいなあと思ってね。
だからもうそろそろお便り行こうかなっていう。
行きましょう。
お便り行けそろそろみたいな空気になってるんでね。
行こうかなと思ってるんですけれども。
はい、お便り今回もいくつかいただいておりましてですね。
前回の看護さんのネタに対してですね、ルーターの設定を定期的にみたいな話あったじゃないですか。
ありました。
あれに対してのご意見結構いくつかありましてやっぱり。
やっぱりそうですよね。
多くの方を代表してこの方っていう感じで、ほぼほぼ同じ意見なんですけれども。
定期的に設定内容を確認することは難しいですよねと。
設定内容を理解していないミス越しになってしまうのもありますし、
定期的に確認自体がそもそも大変だと思います。
それはなんかね、先週の我々の結論もこんな感じだったよね。
そうですね。
やっぱ定期的ってつくもんってだいたいしんどいですよね。
そうなんですよ。
割に効果ないみたいな感じもあるかもしれないですね。
まあだいたいこんな感じは皆さん同じような感じの意見だなと。
ちょっと目につくだけの反応を見て全体を語るのはあれかもしれないけど。
多くの人がまず最初に感じることじゃないかなって気がするんだよね。
そうですよね。前回の議論にもありましたけどね。
今までやってた対策ができてたらここが書き換わることはおかしいんちゃうのみたいなね。
そうそう。
書き換わった原因が何かっていう方が大事なんだよね。
本当にそこなんですよね。
その穴がちゃんと潰せればいいんじゃないのっていう。
何かをすっ飛ばしてしまってる気がしますよね。
なんとなくね。
これちょっと継続して見ていきたいなと思いますけども。
あとですね3CXの件についてもお便りが来ておりまして。
うちはEDRをこれから検討という段階だけどEDRで早期に検知できていたというのは心強い。
でもフォーラムでご検知だという情報があったらそれで安心して例外登録してしまいそう。
それではいけないという教訓ですね。
そうなんだよね。
本当にそうですね。
これまた対策も難しいですもんね。
いやーでも本当厄介だよね。
いや厄介ですね。
看護さんもこれね前回言ってましたけどそういう嘘情報をフォーラムに攻撃者が書く可能性だって大いにありますからね。
考えられますよねそういうことも。
そういえばさあちょっとついでにそれであれだけど、先週話した後になんかカスペルスキーかなんかが
12:04
インフォスティーラだけじゃなくてバックドア系のマルウェアも関連して見つけたとかなんかね看護さんもブログでまとめてたけど
ちょっとなんかあの追加情報がポロポロと出てるから
まだちょっとあの何
現在進行形みたいな。
進行形というか特に何でもなくてよかったねという感じではなくて。
全体像がまだぼやっとしてるっていう。
やっぱり何かこう真の目的が何かあったかって感じはするので。
ちょっとねああいうのが見るとどうやって防げばいいんだろうって頭抱えちゃうよね。
そうですよね。
興味持ったやつはなんかあれどうなったかなってたまには見てみるのもいいかもしれないですけどね。
ちょっと忘れた頃にあの件が原因でみたいなのがちょっと出てくるかもしれないよね。
逆に実はここ間違ってましたとかもあるかもしれないですね。
そうだねそれはあるよね。
教訓とは言うものなかなかこれは一言で言うなら何でも鵜呑みにせずにやっぱり自分の目で見て確認するっていうことの大切さが浮き彫りになったかなっていう感じはするけどそれができひんから困ってんねんっていうね。
そうなんだよね。
はい。
注意喚起で行動につなげる伝え方や内容って本当に難しいですね。
さらにやらされ感なくどう気づけをすべきかも悩ましいです。
新年度のセキュリティ目標や啓蒙活動対策を検討していますが検討することと同じぐらい伝え方の工夫が大変だというふうに思っておりますというお便りが。
これなんか僕が喋ったやつかな。
そうかもね。
ちょっと前に喋ったやつかな。
これなんかね、読んでて思ったんですけどこういうのに同じような悩みとかを抱えてたりとか、あとはなんかこう、ちょっと言い方悪いですけど、境外化しちゃっててそれを出すことが目的で実は全然伝わってなかったみたいなものも世の中には多いんじゃないかなと思うんですけど。
パッチとかセキュリティの情報収集どうやってるみたいなのってよく議論に上がったりとか僕らもね聞かれること多いですけど、どうやって社内の注意喚起してますかとかのようなバッドケースとかいうのも良かった点とかみたいなので、そういうのも共有できればいいかなと思いましたね。
確かにね。その人もそうかもしれないけど、社内向けに何か伝えるとかさ、今となってはどこもやってることだけど、例えば社内のセキュリティポリシーとかを決めてるところとか、ルールを作ってるところってあると思うんだけど、例えば新入社員とかさ、入社したらその会社のルールを大体一通り学ぶとかっていうのはどの会社でもあるじゃん。
最初の頃はね、やりますよね。
だけどさ、最初やったら大体みんな忘れてっちゃうのもあるし、なんとなく最初ザーッと聞いて理解しましたみたいな、今まさに言った形外化してるところが結構あったりとかして、そもそもなんでこのルールが必要なんだっけみたいなところが抜け落ちちゃってるとかさ、何のためにこれやってるんでしたっけみたいなのが分からなくて、結果事故に繋がるとかさ、そういうケースっていろんな会社ありそうじゃん。
15:15
ありそう。
そういう事例集とかなんか、あるかもしれないけど、いろんな固有固有のちょっと変わった事例とかさ、そういう伝え方がうまくいかなくて失敗しちゃった事例とか集めたら面白いかもね。
なんかあんのかな、そういうのな。
やり方って本当にこれ今まで通りでいいんやっけとかね。
いやーなんかね工夫の仕方いっぱいありそうだもんね。
そうそうそうそう。だからまあ今のままでいいっていうのをやっぱり疑ってかからないといけないっていうのはこれもそうかなって思いましたね。
そうだねー。何事も起きなければさ、なんかそのままでいいような気もするけどさ、なんかそれってでもね本当に伝わってて大丈夫だから起きれないのか、ただ単に運がいいだけなのか分かんないしさ。
そこ測れない、測れないですからね。できてるのか来てないのかみたいなね。
そうそう。何か起きてみないとさ、やり方間違ってたんだとか伝え方もっと工夫すべきだったって気づけないじゃん。気づきにくいっていうか。
測りにくいですもんね。
そうですね。難しいよね、そういうのね。
そういうのは結構なんか色々皆さんそれぞれで試行錯誤してると思うんですよね。その試行錯誤を共有するってなんかあんまり聞かないなと思って。
確かに。
ちょっとね、なんかこの辺にね、なんかちょっとフォーカスを当てた何かをちょっと仕込みたいな。
仕込み。
今年はちょっと間に合わなかったんで、来年ぐらいにはちょっとそういうのに向けて活動しようかなと思ってるんで。
ちょっと皆さんお待ちくだされれば多分忘れると思いますけど。
いや僕は絶対覚えてるんで、やりますんで待っててください。
来たほうが忘れるね。
気長に待ってます。
はい。
最後ですね、この人さすがやなっていうふうに思ったんですけど、今週の辻さん鼻声お大事にっていうの優しいね。
気づいた人いるんだ。
すごい。
ファイル名で気づいた人はいないのかな。
あ、ファイル名が何かようわからんっていう人いました。
ああ、惜しいね。惜しかったね。
ヒントあそこに当たっちゃったのかなっていう結果的にね。
声で気づく人いるんだ、すごいな。
すごいですね。
結構僕の声自体がちょっと鼻にかかったような声してないですか。
18:01
うーん、そうかな。
でも前回の主力の時とか編集の人から聞いてもそんなに別になんか風邪引いてる感っていうか鼻声感はそこまで感じなかったんで聞いてる分は。
私も全然。
言われなかったら気づかないだろうなと思ってたんだけど。
僕自身は結構できるだけ鼻声にならないように。
ちょっと体調崩してたんですよ。
1週間くらい薄く長く崩してたんですけど。
なんでちょっとテンション上がって早口になったりとかすると咳き込んじゃうみたいな。
とかもならないように。
キッターもゆっくりめに喋ってたかもしれないですね。前回。
ああ、そっか。
その辺でちょっと違和感を覚えて、鼻声も鼻声だったと思います。鼻ちょっとグズってたっていうのもあったんで。
すごい気づいたこともすごいけどね。こうやってわざわざ書いてくださるのがありがたいなというふうに思いました。
ありがとうございます。
おそれ言いました。
お便りは以上でございます。
何か質問とか意見とか自分もそう思うみたいなことがあったら、
シャープセキュリティのあれのハッシュタグをつけてツイートいただければ、ステッカーの印刷コードを差し上げるので皆さんよろしくお願いします。
はい、お願いします。
本編に入っていこうかな。セキュリティのお話なんですけども。
今日はそうです。ネギスさんが行きましょうか。
はい、じゃあタップバター行きますけども。
お願いします。
今日はですね、ちょっとした小ネタというかツールの紹介をしたいなと思ってるんですけど、
何かというと今週リリースされたムルバットブラウザーっていう名前、ちょっと呼び方が分かんないけど。
ムルバット。
ムルバットっていうMULVADかな、ブラウザーがあるんだけど、プライバシー重視のブラウザーっていう、どっかで聞いたような感じだけど、リリースされて、
これ実はムルバットVPNっていうサービスを提供している会社と、あとTORプロジェクトが協力してリリースしたやつで、一言で言うとTORネットワークを使わないTORブラウザーっていう感じで。
難しいこと言いましたよ。
難しい。
それブラウザーやんみたいな。
普通のブラウザーやん系みたいな。
元々TORブラウザーってTORネットワークに接続することを目的とした、それを前提にしたブラウザーなんだよね。
昔はTORブラウザーバンドルって名前が呼ばれてたんだけど。
懐かしいですね。
簡単にTORを使うことができるようにブラウザーにバンドルしましたみたいな、元々はそういうもので。
年々TORブラウザー自身がプライバシーを重視する機能が組み込まれたりしていて、ブラウザーとして見ても結構よくできてるんだよね。
ところがTORブラウザーはTORにつなぐことが前提なので、TORネットワークを使わないという選択肢はないわけよ。
確かにそうですね。
なんだけどTORブラウザーのブラウザーとしてのプライバシーを重視した機能の部分だけ使いたいなっていう使い方はできなかったんだけど、
21:02
そういうブラウザー出せばいいじゃんっていうのが簡単に言えば今回のMulbotブラウザーってやつで。
なるほど。
なのでTORにはつながないんだけども、TORブラウザーの機能をそのまま使えますよっていう、そういう感じになってますと。
そういうことですね。
このMulbot VPNって知らない人はいるかもしれないけど、結構VPNのサービスとしてはまあまあ老舗で、2009年にスウェーデンが本拠地の会社なんだけども、それなりに昔からプライバシーに定評のあるVPNサービスなんだよね。
で例えばそのVPNのサービスを使いたいと思ってそのアカウント登録しようと思ったら、最初にランダムな16桁の数字が割り当てられて、それがIDになるんだけどさ、
それさえあればアカウントが識別できるんで、特にその名前とかメールアドレスとか一切登録してなくていいのよ。
じゃあ個人に紐づくものが必要なく使えると。
完全匿名でできて、ただしお金を払う必要があるんでサブスクリプションを買うためには。
決済か。
ただそれも決済も現金の振り込みもOKだし、暗号試算もOKだし、普通のクレジットカードとかそういうのもOKなんだけど、
利用者側が結構選択できる選択肢がすごく広いんで、頑張って使い方を選べばもう完全匿名で使えることもできなくはないと。
まあそういう感じで、もちろんログとかも取らないしとかっていう、プライバシーを非常に重視したVPNサービスっていうので、
もともと結構定評があって、これ実はちょっと前に1年か2年前だったかな、
ファイアフォックスを提供しているモジラっていうところが、モジラVPNっていうサービスを新しく始めたんだけど、
実はその裏側で動いてるのはこのムルバートVPNってやつで、
あれモジラVPNって名前で売ってるけど、実体はムルバートのVPNを使ってるんだよね。
OEM的なね。
そうそうそう、そういうパートナーシップを使ってて、モジラ自体が結構プライバシーうるさい会社だから、
その辺で親和性があるようなVPNサービスで、そこがトワーと組んで、
トワーブラウザーを開発しているエンジニアが今回のやつも開発したという感じですね。
なんでトワーブラウザーを使ったことある人だったら、大体どんなものかってのは想像つくと思うんだけど、
ベースがFirefoxのESRっていうExtended Support Release版っていうやつをベースにしてて、
トラッキングを防止するような拡張機能とかさ、そういうのが最初からデフォルトで入ってたりとか、
あとデフォルトでプライベートモードで常に動くんで、履歴とかキャッシュが一切残らないとか。
なので普段使いしようと思ったら、それだけだとクッキーとか保存できた方がいい場合もあったり、
履歴が残った方がいい場合とかあるにはあるかもしれないんで、多少使うときにはカスタマイズが必要かもしれないけど、
デフォルトではトワーと同じように、トワーブラウザーと同じように、完全にその辺のプライバシー重視の方に
24:03
いい設定が最初からなってると。そういう感じだね。あと検索エンジンはもちろんDuckDuckGoがデフォルトになってるし、
その辺はほぼほぼトワーブラウザーと大体一緒って感じ。
違うところを挙げてあげると、トワーブラウザーだとトワー経由で、トワーのネットワーク経由で名前解決してるけど、
これはトワーを使わないので、DNSの名前解決の部分はムルバットのDOHのサーバーを使ってるとか、
その辺が多少違うだけで、それ以降はほぼ。ただしもちろんトワーネットワークを使わないので、
IPアドレスはそのままになっちゃうから、そこはVPNサービスと併用してくださいねっていうスタンスになってて、
自分たちはVPNサービスを提供している会社だから、自分たちのVPNを使った上でこのブラウザを使ったら、
よりプライバシーに重視した感じになりますよっていう、そういう提案だよね。
ただね、トワー言っても結構使ってみたけど、普通に他の、例えばプライバシー重視って言ってるのは
BRAVEとかDuckDuckGoブラウザとか、ああいうのと機能的にほぼ同じなんで、
別にVPNを前提とはしてないので、普段使いとして使っても悪くはないかなっていう。
いいですね。
そういう感じはしました。あと、選択肢として今言ったけど、いいなと思ったのは、今名前言ってたBRAVEは、
例えばBRAVEはChromiumベースだからChromeと同じだし、DuckDuckGoはWebKitがベースになってるから、
あれもSafariと同じ。今回の遊んでみればファイアフォックスベースなんで、
こうやってみると主要な3つのブラウザの、それぞれプライバシー重視のデフォート設定が入っているブラウザが出てるっていうのは、
利用者側からすると、
私そこいいなって聞いててもらってました、本当。
選択肢が増えていいかなと思って、そういうのちょっと気になる人っていうか、そういうの使ってみたいっていう人は、
自分にやっぱり普段使いするにはそれなりに好みっていうか、合う合わないがあるから、
他のやつ合わなかったなっていう人は、これ使ってみると結構しっくりくるかもしれないんで、
ちょっとお勧めとして紹介したいなと思いました。
ちょっとこれは僕知らなかったな、これは。
Murbatは実は僕も、VPNは僕個人的にはProton VPN使ってるんで、Murbatは使ってないんだけど、
でもProton使ってるんだ、Protonのメールも使ってるからで、一緒に使いたいからそっちを使ってるんだけど、
VPN単体で使うんだったらMurbat VPNは多分選択肢にまず真っ先に上がるところなので、
VPNサービスとしても結構お勧めだよね、これは。
なので安いし、プライバシー重視で非常に使い勝手もいいし、サーバーも全世界中にすごいいっぱいあるから、
そういう点でも結構いいかなっていう感じだね。
あとちょっとさっき言わなかったけど、トワブラウザーはやっぱりブラウザーとして使い勝手が悪くはないけど、
27:07
パフォーマンス的にはトワネットワークを経由するからさ、
ちょっとこれを普段使いするときついなって思う人もいると思うんだけど、
そうですね、速度がかなりムラがありますもんね。
ちょっとね。
そこがどうしても。
そういう人には、今言ったようなBRAVEとかDuckDuckGoとか今回のMurbatみたいな、
プライバシーは重視してるけど、トワネットワークとかを前提としていないような方が使いやすいかもしれないので、
そういう層にもお勧めなんじゃないかなと。
これはブラウザーとして使うのは無料で使えるけど、
VPNを使いたかったらサブスクが必要っていう理解でいいんですか?
これはもう完全にブラウザとしてオープンソースでフリーで公開されてるんで、誰でも使えるんだけど、
VPN機能が付いてるわけじゃないので、
VPNは別途、別にMurbatじゃなくても何でもいいんだけど、
他のサービス、VPNサービスを使った上でこれを使うのが望ましいですよっていうことなんです。
IPアドレスがそのままやから、それを隠したいというか、
ひとひとくしたいというのであれば、それを何かしら経由して、
直接アクセスじゃないようにすればいいですよっていう意味ですかね。
そうだね。
このMurbatっていうのは、さっき聞き漏らしたのかもしれないですけど、スウェーデンって言ってましたっけ?
スウェーデン。
スウェーデンってあれでしたっけ?ログを保存しないといけないという法律がない国でしたっけ?
スウェーデンとかは他にも結構そういう、
匿名性の高いVPNサービスとか昔から結構提供している会社が割と本拠地を置いているところで、
多分そういう規制的な面で有利というか。
それを売りにしているVPNサービスって結構多いですよね、スウェーデン。
割とね。
そうなんや。
でも、これあれですね。支払いをする方法のひとつに、
ブラウザのちょっとした機能で広告だとか、そこでアクセスして、
それを課金するとか、マイニング機能がついていたりすると、もっと匿名性が高くなるかもしれないですね。
カードを使いたくないって人も結構いるんじゃないかなと思って。
だからそこは暗号室なんじゃないですか。
それが一番手っ取り早いのかな。
どれぐらいの人がそれで話し払いしてるか知らないけど。
そうですね。
あとひとつちょっと、どうせアレ勢に突っ込まれるから先に僕が突っ込んでいいですか?
どうぞ。
お話の中でいろいろご説明をねぎさんがしてくださったじゃないですか。
こうこうこうあれあれこうで、とはいってもって言ったんですけど、
とはとかけてるって絶対突っ込まれると思うんで、僕が先に言っときます。
かけてないです。
かけてないですか?
気づかなかったわ。
とはいってもって言ったから、おっとおっと思ったんですけど、そういうわけじゃないですね。
確かに突っ込まれそうだねそれ。
そうそう、絶対これ突っ込まれるなと思ったからね。
思ってなくても突っ込まれそうだね。
30:01
これ今後それ言ったらずっと言われるよって。
とはの話してる時にとはいえとはいえとか言うと。
とはいえって言ったら。
めんどくさ。
笑ってまうやつじゃないですか。
ここまで聞いて聞き逃した人はもう一回聞けばいいんじゃないかなっていう感じでございます。
まあまあこういうのはこういうのがあるんだなっていうのを知っておいて、
使ってみるっていうか選択肢としていろいろあるっていうのは大事かなと思うんで。
そうですね、ツールこういうものがあるとかっていうのとか、
攻撃ツールとかもね、自分が被害になった時に見つかったツールのことを知ってるか知らないかで調べる速度とかも変わってきたりとか。
いろいろ選択肢とか自分の動きに影響するので知っておくっていうのは大事かなと。
できれば使ってみる。
ちょっと使ってみてもいいんじゃないかなっていう。
わかりました、ありがとうございます。
じゃあ次はカンゴさんいきましょうかね。
はい。
今日はですね、ちょっとまず、
今日2個いきたいんですよ。
じゃあ今日は僕なしにしますか。
いやいやいや言ってもらって大丈夫ですけど。
あの2個いきたくて、
1個は先ほど紹介のあったルーターの話。
お便りにあったやつね。
はいお便りでいただいていた、
続報的なものというか関連する情報がその後も出ていたので、
まずはちょっとそれの話をさせていただきたいなと思ってまして、
今日の長官土曜日ですけど、
毎日新聞が知らぬ間にサイバー攻撃っていう記事を出してまして、
ちょっとこれ読むとやっぱりちょっと印象変わったなっていうのはちょっと正直な感想で、
ルーターのやっぱり不正利用が相次いでいて、
それこそ下手したら国家関与のような攻撃にも悪用されている可能性があって、
どうしてもちょっと打つ手がないっていうところで、
注意喚起っていうところに行き着いたんだろうなっていうところは、
なんとなく公開情報とかの範囲で、
そうなんだろうなみたいななんとなく察してはいたんですけども、
やっぱりちょっとこの記事見ると少し印象変わったなというところがあって、
当然ではあるんですけども、
IPアドレスから辿っていくので、
不正なアクセスがなされた場合のIPアドレスがどこだっていうところが操作ってされていくものなので、
今回の補担というか、
不正利用されていたルーターの実際の使用されている方のところに操作が入ったっていう、
そういった記事だったんですね。
実際に使われていた方は身に覚えがないっていうことではあったんですけども、
警察の方から何か知らんかっていう形で操作を受けるというのは、
それなりにストレスというか結構しんどいものかなというところではある一方で、
この注意喚起の内容自体はお便りにもありましたし、
前回の議論の中でもあってちょっとこれだけだとなっていうところがありつつ、
最後にその記事の中で公安の幹部の方がコメントをされていて、
33:01
それそのままが掲載されているんですけども、
そのままでちょっとご紹介すると、
ルーターが悪用されると攻撃の発信源とみなされて、
警察の操作対象となって事情聴取や操作を受ける恐れもあるので、
ユーザー自らが取れる対策を取ってほしいっていうコメントをされておられてですね、
いやーこれちょっと厳しいなっていう。
要は注意喚起として、今回警察の方が発信されている内容ありましたけど、
その内容を適切にやってないとやっぱり操作される可能性あるぞというのをある意味、
ちょっと言い方が適切かわからないんですけども、
免罪不適な形で出してるのかなっていうのをちょっと邪推してしまうような、
そういった感じに受け取れてしまってですね、
ちょっと印象少し変わったなっていうところと、
これ改めて私思ったんですけど、
いっそのことVPN機能が悪用されてるっていう話ではあったので、
VPN機能をつけてないルーターを使いましょうっていう、
それが一番わかりやすいんじゃないかなと思っていて、
ちょっと前回時間的なアレもあったのであまり詳しく話せなかったんですけど、
最近売られているルーターってだいたい結構VPN機能省かれてるんですよね。
すごい高機能な高いやつだったら載ってるのも当然あるんですけども、
市販されている手に入りやすいような価格帯のルーターであれば、
VPN機能がそもそも搭載されてないっていうのが結構多いので、
当然買い替えたら、何年前のものだろうな、
数年前のものであれば買い替えたら当然Wi-Fiの速度上がりますし、
合わせてVPN機能ついてないよねっていうところを一つポイントにして、
買い替えていただくっていうのが一番確実な対策じゃないかなと思っていて、
今回はVPN機能が悪用されて踏み台にされて、
不正アクセスの踏み台にされてるっていう話ではあったので、
そもそもその機能ないやつを買えばいいんじゃないかっていうのが一つの多分、
対策になるんじゃないかなっていうのは思ったので改めて。
使わない機能だったらそもそもない方がいいっていう基本的な考え方ってことですよね。
結局操作を受けた方もVPN使ってるだろうって言われても、
そもそもVPNなんか聞いたことがある程度みたいな、
そんな感じのコメントをされてらっしゃるので、
多分使ってる方ってそうはいないと思うんですよね。
ご自宅に外からアクセスされたいっていうことをされる方ってそんなにいらっしゃらないと思うので。
気軽に買える値段のそういうネットワーク機器のVPN機能って遅い、そもそも。
確かにそうですね。
あんまりその辺がスペックとしても十分ではないっていうのは当然あると思うんで、
だからちょっとこの記事を見て、
それそのままを呼びかけるよりかはVPN機能ないものを積極的に使っていきましょうみたいな方が
使ってらっしゃらないんだればね。
そういう感じで呼びかけた方がいいのかなっていうのは記事を見て改めて思ったところでした。
36:05
そうですね。なんかちょっとしっくりけいへん感じはしますけどね。
なんでこれが悪用されてるんかっていうところはやっぱり全く情報ないですし。
そこをまず何とかしなあかんのっていうのはもう以前から僕らが話してきてることでもありますし、
こんなこと言われたらなんかインターネットやめますか、事情聴取受けますかみたいな感じに言われてるような気がする。
究極的には下手したそういう選択になることもありますよね。
ちょっとなんか気持ち悪いまま話が進んでるなっていう印象がありますね。
そうですね。ちょっとまたもしかしたらもう少しまた続報というか関連してる情報とかも出てくるかもしれないので、
また何か出てきたら披露させていただければと思うんですが、
もう一件ですね。これもちょっと興味深いなと思った事例がございまして、
4月の4日に愛知県の豊田市がメールアドレスの流出が発生してしまいましたということで公表されておられてですね、
よくあるというとあれかもしれないですけど、メールアドレスの流出が起きてしまいましたと。
メールの送信を通じてですね。タイトルだけ見るとたまに見かけるような、
BCCの宛先に本題入れるべきものを何らかの操作を誤るなどして、
2であったりCCであったりという形で視覚的に見えるように入れてしまって、
相手に送ってしまってそれが他の方に見えてしまうみたいな、
なんかそういうケースかなっていう風になんとなく見えちゃったんですけども、
中身見るとちょっと違っていてですね、強制BCCシステムと。
強制BCCシステム。
はい、さっき言ったBCCを強制するシステムということですね。
それを豊田市が導入されておられて、
今回その強制BCCシステム、噛みそうですけども、
強制BCCシステムを、それ含めてメールシステム全体を運営を委託している
ひまわりネットワークっていう会社で、
強制BCCシステムのソフトウェアライセンスの更新手続きを忘れてしまったということで、
やってなかったんですね。
ライセンスの更新を忘れてしまったので、一時的にそのシステムが止まってしまっちゃったと。
なので、4月の1日の土曜日なんですけど、
午後の6時から週明け4日ですね、火曜日なんですけど、
16時56分までの間、強制BCCシステムが機能しない状態となってしまって、
そのままToやCCに入れて送っていたメールが24件あったらしいんですけども、
その中にメールアドレスが652件含まれていたので流出してしまいましたと。
そういった事故があってですね、
39:01
これ結構思うところというか、さっき興味深いっていうのはまさにそこなんですけども、
本来はご送信というか、流出を防止するための目的としてBCC強制をするシステムを入れていたんだけども、
それが原因で流出してしまったっていう。
その取り扱いをミスって、それが良かると思って入れたものがあだとなっちゃったってことですね、結果的には。
そうですよね。
あとメール24件なので、
営業日だけで見たら月曜日丸々1日入っていて、火曜日も夕方っていうことだったので、
実質2日ぐらい入っていたことを踏まえれば、
多分全部のメールが強制BCCが働かなかったっていうわけではなくて、
おそらくもともとBCCに入力をされて送られるっていうことはやってらっしゃる方が多分相当数いらしていて、
残念ながらそのシステムが機能してるからっていうことで、
その辺をやられなかった方っていうのが24件という数で出てきてしまっているというところがあってですね、
システムに慣れてしまったというか、
予期に計られてやってくれてるから自分はそこまで気をつけなくていいんじゃないかっていうところも、
ある意味その強制BCCという形で導入されている一つの影響という形で出てきていたのかなっていうのをちょっと思ったりしてですね、
非常に本来システムが機能すべきところっていうところと、
人がやるべきところっていうところの良くも悪くもミスマッチなところが発現してしまった興味深い事例だなっていう、
なんかそんなのをちょっと見ていて思ったところでして。
そうですね、これなんかその再発防止策っていうところがちょっと苦しいなって気はした。
呼んでて。
なかなか本当かっていうぐらいの結構しっかりというか、これ大変だろうなって。
これ実際やるとなったら毎日のことでしょ?
そうですね、日々の業務開始前に問題となったシステムが正確に稼働しているかどうかっていうのを市と運営会社側双方で確認する再発防止ということでいられてるんですけども、
これもそれしかないのかもしれないんですけども結構大変ではあるなっていう。
そもそもこれBCCで送るのってやめられないのかね。
確かにね。
そうですよね。
今回のシステムって本来は保険的に働くべきシステム。
本当にそうですよね。万が一のためにっていう。
だけどそれ過信しちゃって、多分これ見ると過信してて別に2で送っても強制BCCしてくれるんだから平気でしょって言ってやっちゃってるとか状態化したんだと思うんだけど、
42:06
そもそもこんな強制システムを入れなければいけないようなBCCで送るようなやり方とか業務をなくした方がいいと思うんだけどできないのかな。
もうそこにそもそもおかしいんじゃないかという。
根本的なところなんですよね。
例外的にそういうのが発生するっていう場合があるかもしれないんだけど、わざわざ強制的にこういうの入れてるってことはしょっちゅう起きてるんだと思うんだけど、業務的にあるってことだと思うんだけど。
まずそれがミスを誘発しやすいっていうか危ないよね。危なっかしいよね。
本当に。
なんか危なっかしいなって感じ。
なんかね、スーパーマリオでスターとって無敵やがらー言って走りまくっとったら落ちて死んだみたいな。
確かにね。落ちたら死ぬんですよね。
その例えがあってんのかどうかわかんないんだけど。
無敵やがらって敵に突進していったら無敵時間切れてクリボーに当たって死んだみたいな。
どっちかっていうとそんな感じよね。大丈夫だと思っていったら直前に切れたみたいな。
この再発防止のなんか上げてるやつでね、いっちゃんこれ怖いなって僕思ったやつもどれもこれも怖いんですけど、
怖いというか大変そうやなっていうのもあるんですけど、一番こうしんどそうと思ったのは、
強制BCCシステムのソフトウェアライセンスの有効期限が近づいたことを社内メール上で知らせるアラート機能を導入予定ってあるんですけど、
このメールほんまに見るかな。
たぶんね、ライセンス…
自動更新の方がいいんちゃうん?って思うねんけど。
そうそうそうそう、その方がね、いいですよね。なんかフェールセーフなのかなっていうのはちょっと…
そうなんすよね。このメールを受け取る人が誰かによるかもしれへんしさ。
そうですね。
なんかほら、これで防げるんやったら世の中のHTTPSのSSLの証明書の期限切れなんて絶対なくなってると思うから、
ちょっとなかなか…
同じやと思うんすよ、こういうの。
確かに。
あんまり否定的なことを言い過ぎるとあれかもしんないですけど、なんかちょっとこれはこれで心配が残るなっていう気はしたなっていう。
あとちょっとこのシステムがどうなってるか分かんないけど、
フェールセーフって話で言うんだったら、強制BCCが止まったらメール送信が止まるってなってるべきだよね。
そう。
そうですよね。
そうなんですよ。だから、
今回はね。
なんか2とCCでいっちゃうっていうのがちょっとね。
それだと業務が止まっちゃうから、多分そうならないようになってると思うんだけど、
だったらちょっと最初からおかしいよね。
そうですね。
まあそれがちょっとね。
でもこれ見て思ったのはさ、提供している事業者がライセンス更新を怠ったからっていうところが一応根本原因ではあるんだけど、
強制BCCって話だけ絞っちゃうとさ、あんまり自分には関係ないなって感じがするんだけど、
45:03
これでもソフトウェアのライセンス更新を怠ったとか、あと証明書の更新を怠ったっていう。
さっき杖さんが言ってたやつも。
そうそう。それで起きる障害って本当に多いなと思って。
本当に大規模な障害になるやつありますからね。
あったあった。
はい。
で、どこでもこういうのってやっぱ起きるんだよね。
本当に。
それはなんかね、本当に一言じゃないよねこれね。
本当に思いました。
確かにそうですね。これ怠ったから起きたんやろうけども、怠ったものをうまく止められなかったっていう原因もあるはずですからね。
怠っても大丈夫にしとくべきことをしてなかったっていうのも一つ理由として挙げられるかな。
忘れちゃってもっていう。
そうね。だから分かんないけど、その一担当者が気づかなかったらそのままになっちゃってたとかさ、
多分そういう仕組みを管理を強化するっていうか、それを直しますって言ってるんだと思うんだけど、
そうなってたっていうことになんで気づけなかったんだみたいな話だよね。
そうそうそうそう。
いやなんか結構奥が深いですね。
いやなかなかね、こういうのはね。
どこにでも起こり得るよねこれね。
いや本当にです。本当に思ったんですねこれ見て。
人類には早かったのかもしれないですね。
どういうことやねん。
もう無くならへんやんこれ。
そうね。
こういう類のいわゆる誤創新って言われるジャンルにくくられると思いますけど。
あーまあそうね。
だからもうやっぱり令和なんで、その辺も変えていかないといけないのかなって思いますね。
そうですね。
まあ、令和でまとめるのもどうやねんって。
だいぶ雑よっていう感じですよね。
まあでもね、改めて考えるいい機会の事例かなと思いました。
そうですね。
ありがとうございます。
はい。
じゃあ最後、僕なんですけれども。
はい、お願いします。
今回もですね、いろんなニュースの中からですね、気になったやつなんですけども。
あるレポートなんですけれども、調査レポートというかアンケートを集計した結果こうでしたという風なものを今日ちょっと紹介しようと思うんですけども。
前回に続きですね、なかなか読んでてもよう分からへんなっていうところが多かった。
まだか。
なかなか理解にね、自分の腑に落ちるのに難しかったんで、それをちょっと今日も頑張って説明するってことをしようかなと思ってるんですけれども。
はい。
はい、今日の僕が紹介するのはですね、with Secureが出しているレポートで。
The value of putting security out comes first っていう、セキュリティの成果を第一に考えることの価値はみたいな感じのタイトルなのかなってことなんですけども。
これは4月の4日、今月ですね、今月の4日に出たやつなんですが、去年の12月に8カ国、日本を含む8カ国にですね、の従業員250人以上の企業および団体ですかね。
そういったところのITとかサイバーセキュリティの製品サービス導入に最終的な意思決定をするとか、あとは意思決定に関与する立場とかですね、そういった方々409人を対象にリサーチした結果というようなものなんですけれども。
48:06
内容に関しては一言で言うと、組織のサイバーセキュリティの優先順位とビジネスの目標課題みたいなものでですね、そういったものの投資で達成したいことは何なのか、そのギャップっていうのはどういうものかっていうのを探るというレポートになってましてですね。
相反する部分ってあるじゃないですか、事業に投資するのかセキュリティするのかみたいなね、ブレーキ踏まずに突っ走りたいけど踏まへんかったら危ないでみたいな、そのへんのバランスってやっぱり永遠の課題としてあると思うんです。
そういったことを取り上げたやつなんですけれども、この409人の人にいろんなことを聞いてるんですが、一番初めに回答者の71%が毎年セキュリティの予算を増額しているというふうに回答しているんですね。
それを回答しつつ、その全体の90%が事後対応型のアプローチ、何か起きたときに、いわゆるバータリ的に、有事のときにそういった後々やっていくと、何か起きたときに様々な問題が生じるからそういうやり方は良くないんじゃないかってことを回答してるんですって。
でもですよ、そういうふうに言ってるけれども、実際は回答者の60%が答えてることは、組織が個々のサイバーセキュリティのインシデント問題が発生したときにやっぱり対応しちゃってるんですっていう。問題発生してから行動するのは良くないと思いつつも、そういうふうになっちゃってるんですよねっていう回答されてるんですよ。
なるほど。分かってるけど実態とにはギャップがかなりあると。
そうそうそうそう。だから予算も増額していて、ある種追い風ですよね、そういった対策をするのにね。でもやっぱり良くないと思っているバータリ的な対応をして、そういった問題が発生する。いわゆる受動的な状態であるっていうのが続いているっていうふうに回答していると。
なるほど。
で、その人たちがサイバーセキュリティの投資もそういった対策をすることによって求める成果っていうふうなものがいくつかトップ5で挙げられてるんですね。
一番はリスクを軽減するとか、あとはカスタマーとかパートナーとのエクスペリエンスの向上、売り上げの増加みたいなよくあるものが挙げられてるんですよ。
で、これの割合とか順位っていうのはあんまり関係なくて呼んでると、割と明確なんですね。こうなってほしいというふうには皆さん思ってやってるんですよ。
でも一方でサイバーセキュリティの優先順位とビジネスの成果っていうところの整合性に問題なく運用できてますかっていうふうに質問をしたら、それを問題なくやれてますっていうふうに言ったのは3%なんですって。
おお、少な。
やることはわかってるけど、できてるかって言われたらそうではないというふうに言ってるんですよ。
で、なんでできへんのっていうふうなところになるんですけど、その理由はいくつか挙げられていくつかその上の方のやつを紹介すると、やっぱりどんどん色々便利になっていくと扱うデータ量が増えるとか、
51:09
あとこのポッドキャストでもいろんな話題を取り上げているのと同じように脅威が変化したりとか、それに追随していかないといけないというふうな結果、ITがどんどん複雑化していって、そっちの管理に追われてセキュリティとの両立ができないというふうなことが挙げられてたりとか、
あとこれはもうほんとあるあるですけど、さっき冒頭でも言いましたが、ビジネスを伸ばしていくっていうようなこととセキュリティの堅牢性を高めていくっていうふうなこの目標がやっぱり相反してしまうっていうふうな課題に囚われ続けているというようなことが挙げられていました。
加えてですね、半数近くの回答者の方がサイバーセキュリティが要求する、自分たちが要求する成果をもたらしているかどうかっていうのをどうやって測っていいかもわからないというようなことが皆さん言ってるんですよね。
あー測定の基準がわかんないとかそういうことか。そうそうそうそう。さっきのネギスさんの話でもネギスさんがおっしゃってたことも出てきたんですけども、何も起こらないと価値が証明できない。
あとは先ほどネギスさんが言った通り、自分たちがちゃんと投資して防げたのか攻撃が来なかったのかが示しにくいっていうね。これもずっと出てくる話だと思うんですよ。
昔からあるセキュリティの問題だよね。そうなんですよね。その測っていくということに関しては、成熟度、ちゃんとセキュリティをちゃんとしてビジネスを伸ばすということを合わせて成熟度を測る上で、現状と将来の目標に対して十分どういうふうに測るかということがまず理解できていないということですね。どう示せばいいのかということが一番大きい。
あと、ビジネスの目標をこういうふうにしていこうね、こういうふうになりたいねっていうふうなものに対して、効果的にセキュリティに投資したことがサポートしているかっていうのの貢献度を明確にできない。
これさっき言ったやつですよね。一番最後は一番苦しいなと思ったんですけど、僕も読んでて。価値を伝える際にそのパラドックスが発生してそれを克服できない。どういうことかというと、効果的なセキュリティへ投資をすればするほど、その価値を示す機会は減少するということですよね。
なるほどね。インシデントは減るだろうからな。
そうなんですよ。こういったことを読んでいって、いろいろこういうふうにしていきましょうねっていうようなこともレポートにいくつか挙げられてるんですよ。5つ、6つとか結構挙げられてたんですけども、それは皆さんおのおの見ていただきたいんですが、なんでおのおの見ていただきたいかというと、僕がしっくりこんかったってことなんですけれども。
結局、読んだ結果、ほなどうするのっていうのがですね。
そうですね。そこは知りたいですね。
そこがね、やっぱないんですよね。
うーん。
うん。なんで、じゃあどうすればいいんかなっていうふうに、僕もいろんなセミナーや何やとかでベンダーの方に質問する機会とかもあって、僕必ず可視化の部分聞くじゃないですか。
54:08
うーん。
どうやって入ってたことが良かった、もしくはその製品を選定して導入した人の評価につながるようにするためには、やっぱりね、上層部に見せるレポート、報告なんじゃないの?みたいな。
っていうふうに思うっていうのは、僕もそれはいまだにそれを読んでても変わらないんですけれども、このレポートの最初の方にですね、業種別のサイバーセキュリティにおける課題っていうのがあって、各業種ごとに上位3つの課題を挙げてる、なんかこう、なんていうんですか。
インフォグラフィックみたいなやつがあったんですよ。簡単な絵で書いてあるやつが。業種が金融、製造、小売り、サービス、メディア、冷え入り、テレコム、公共医療みたいな感じで分けられてたんですけれども、そのうち今挙げた、1、2、3、4、5、6、7、7つのうち、1、2、3、4、5、5つですね。
7つのうち5つの1位がやっぱりサイバーリスクの可視化っていうのが課題って挙げてるんですよ。 なんでやっぱりこう目に見えるっていうようなレポートと自分たちのやったことを、ほら自分たちがやったことってすごいでしょっていうのをその上の人たちが理解できる形で挙げるっていうふうなことにもっと僕たちは尽力していかないと、僕たちが僕たち含めですけどもやっていかないと導入も進まなければやってよかったから続けるっていうふうなことにつながっていかないと、
いかないんじゃないかなっていうのがやっぱり常々思ってたことがこういうところにも出てるんじゃないかっていうふうに僕は思いました。
どうですかね、お二人もいろいろそういう話で悩んだりすることもあるのかもしれないですけども、可視化以外にやっぱないんじゃないかなっていうのは気はするんですよね。
今聞いてて思ったのは、一つはセキュリティの投資対効果が見えにくいというのは昔から言われている話で、一つさっきの測定できない、どれぐらいの価値があるのかが測定が難しい、理解するのが難しいっていう話があったんだけど、
一つの解としては、例えば世の中にあるもので言うと、日出のサイバーセキュリティフレームワークとか、あとCISコントロールみたいな、いわゆる成熟度合いを測る基準になるようなフレームワークっていうのは世の中にいくつかあるんだよね。
それで例えば自分たちが投資をしてセキュリティ対策をやった結果、そういったフレームワークに照らし合わせると、レベルがこれぐらい上がりましたとかっていうことは、それは可視化できるわけ。ある程度はね。
問題は、そういう可視化は何らかの基準を作ればできるわけよ。基準を作ればね。なんとなくこの後レベルは年々上がってますねというようなことは示せるんだけども、その結果それがビジネスにどれぐらいプラスに働いたかとか、
インシデントの減少とか直接的な目に見えるマイナスを減らすことにどれだけ貢献したかっていうのの結びつきが割と直接的に示しにくいんだよね。そこにギャップがあるのは、それはそんなに簡単には示せないと思うんだよね。それはもう
57:15
ずっと昔からある課題で、それは簡単にちょっと解決するのは難しいと思うんだよね。リスクの可視化とか、成熟度合いの可視化っていうのはまあできる。やろうとすればできるんだけど、それとそれが本業のビジネスにどれくらいプラスになっているかっていうのを示すっていうのは結構難しい。
それがわかんないと過剰投資になっているんじゃないかとか、やった割にはあんまりビジネス的にプラスになってないんじゃないかみたいなことっていうのに単純に答えが出せないんだよね。それはどうすればいいんだろうね。
これは僕もずっと考えてはこうかな、いやでもなかなかうまいこといかへんなみたいなことを常にずっと繰り返してるんですけど、大きく分けてビジネスのセキュリティに対する投資とかセキュリティ対策みたいなことをしたことによって、それがビジネスを伸ばすことにどう貢献したかっていうふうに図るというか、貢献したぞというふうにするためには2つかなって思ってるんですよ。
僕2つあるかなと思ってて、1つはちょっと消極的なんですけども、セキュリティやらないわけにはいかない世の中になっちゃったじゃないですか。例えばパッチ当てとかパッチ管理、脆弱性管理、いろんなジャンルありますけども、そういったものを今までやってきたものをこれを導入することによって便利になって費用の削減をすることができましたという示し方。
やらなしゃあないことをそれでもやっぱりこれを楽にして他のことに専念できるようになりました。リソースが空きましたっていうふうな示し方が1つかなっていうのと、これ消極的な方ね。もう1個はこれは積極的というか、世の中の雰囲気みたいなものがあるので積極的というのもちょっと不適当かもしれないですが、セキュリティをちゃんとしたとかっていうふうなことをしている会社、そういうのを扱っている会社っていうふうなところで、
自分たちを選んでもらう理由っていうふうなものというか、それがブランドになるっていうような世界が一番誰にとってもいいのかなという気はしましたね。ここセキュリティちゃんとしているから選ぼうみたいな、ある種イメージもあるかもしれないですけどね。これはポーズみたいなものもあるかもしれないですけど、やっぱり選んでもらう1つっていうことじゃないかなと思うんですよね。
でもそれをするんだったら、自分たちの成熟度合いを外に示さなければいけない。そうそう、何かしらの基準があってそれを示さないといけない。だからその場合は中だけの基準ではダメで、さっき言ったような第三者的な評価だったり、それこそ認証取得もそういう1つかもしれないけど、第三者から客観的に見て自分たちのセキュリティやってますっていうことを大概的に見せないといけないね、それはね。
1:00:01
その辺も絡んでいくんだよね。そういったところでプラスを得ようと思ったら、社内だけ閉じていてはダメなんだよね。確かにそうですね。その辺がなかなか難しいところかなっていう。
そうですね。安全性能とかね、例えば車だとかなんだとかっていうのは安全基準みたいなものがはっきりありますもんね、そういったものがね。それを示すことができて、ここのやっぱり使うのがいいよね、みたいな風になっていけばいいんじゃない。そこを買う側の人も評価するポイントとして見てくれればいいのになっていうのがあって、ずっとこれは悩みながらいろんな取り組みをしてるんですけどね。
こういうアンケート調査とかを見ると、まあまあみんな似たようなことで悩んでるなっていうのがわかるね。確かにそうですね。そうだろうなと思いつつも、やっぱりそうかっていうのを確認できたのは、でもまあなんかまだまだ頑張ろう、いろんな手を返しなおかやらなあかんなっていうのを改めて思いましたということでございます。
まあこういうのを社内でも課題だと認識して、取り組むっていうこと自体が大事なのかなというか。たぶんね、これもう何十年もみんなやってて、パッとわかりやすい解決策ってのはないので、その会社とかやり方に合ったものを自分たちで考えていく以外、結局手はなくてさ。
一番ダメなのは、こういうのってやっても無駄だからみたいな幸投げちゃうとか、あるいはもう外部の例えばコーサル会社に丸投げしちゃうとか、こういうのが僕はあんまり良くないんじゃないかなというか。そうですね。自分たちのことですからね。
自分たちで社内にどうアピールするかとか、さっきの社外向けにどのようにお客さんにどうアピールするかとか、あるいはその投資がどのぐらいプラスになってるかっていうのを自分たちとしてどうやって図ろうとするかとかっていうことを自分たちなりに考えることがたぶん一番大事なんじゃないのかねと思うんだけど。
そうですね。
まあそれぐらいしか言えることがないけど。
まあそうですね、直近で僕らができるようなことというか、力を添えることができるということでいうと、僕らももっと頑張って良かったところをどんどん褒めるっていうようなイベントをやった方がいいですね。
そうだね。
そういうイベントあったのか。
聞いたことあるな。
なんか聞いたことある?
聞いたことあるね、そういうイベントね。
ほんまですか?
なんかありますね。
なんか聞いたことあるかもしれない。セキュリティー事故なんとか対応がどうだろうみたいなやつがありますけども。
今年もあるんですかね。
あるんじゃないですか?告知みたいになってるやんけ。
そうですね。でもなんかね、なんかあったら厳しい言葉ばっかり言うようなセキュリティの専門家じゃなくてね、そういった人たちがどんどん率先して良かったことを褒めて、これがいいんだってことを言っていきたいなというふうにも、そこも改めて思ったということでございます。
そうですね。
はい、以上です。ありがとうございます。
1:03:00
はい、ありがとうございます。
はい、ということで今日もセキュリティの話を3つしてきたんでですね、最後にお勧めのあれなんですけども、今日はですね、ちょっと小腹が空いた時に食べるようなものと。
はい。
カロリー少なめの。
小腹シリーズ。
小腹シリーズ。
そんなシリーズあったのか。
そんなシリーズあったのか。
今日ですね、僕が紹介するのはですね、株式会社ソウカンという会社の。
ソウカン?
はい、ソウカン。
漢字?
ソウカン。一応企業ロゴはアルファベットでソウカンなんですけども、壮絶の層に関東関西の関なんですね。
ほう。
いろんなちょっとしたおつまみみたいなものとか乾き物とかを扱ってる会社なんですけれども、そこのですね、いくつも種類を出してるやつでレンコンチップっていうのがあるんですよ。
へー。
で、このレンコンチップっていうのはね、一番人気っぽいのは海苔塩っぽいんですよ。
海苔塩は大体定番なものじゃないですか。
ポテトチップスも海苔塩とかあるもんな。
そうそうそうそう。
なんで、それはそれでいいんですけど、いろんなところとコラボしてまして。
ほう。
例えばお好み焼きの味がついてるレンコンチップとかはオタフクっていうところの。
あー、オタフクソースのオタフクか。
そうそうそうそう。
はいはい。
とかとコラボしていたりとか、あとはごま油味とかはカドヤっていう、たぶん皆さん見たことある。
ごま油といえばみたいな入れ物あるじゃないですか。
そうですね。
そうそうそう。それとコラボしてるとか、あと焼肉のタレ味とかやったらその焼肉のタレ作ってる会社とコラボしてたりとか、みたいなものが最近ちょっと。
梅レンコンとか海苔塩レンコンとかっていうスタンダードのやつがありつつ、最近ちょっといろんなところとコラボして、どこどこのこの味がついてますみたいなやつが出てて、すごくいろいろおいしいものが出てるんで。
中でもついさん的におすすめはあるわけ?
そうそう。どれですか。
焼肉おいしかったかな。
焼肉。
焼肉。
コラボ系で言うとね。
うん、かな。
これはコンビニとかでも売ってんの?
コンビニ、僕の主な情報源コンビニなんで。
そうだよね。
そうですね、僕の主な情報源はコンビニとニュースは5chのニュース系。
偏ってんな。
だいぶ偏ってますね、大丈夫ですかそれ。
じゃあこれはコンビニのおつまみコーナーみたいなとこ行くと売ってる感じ?
そうそう、結構やっぱりほら。
こんなの置いてあったかな。
いや、あると思いました。
日本につけますね、こんなの。
なんかね、僕コンビニ行くとだいたいこう全部見て回る癖があって。
すごいですね。
なんか新しいもんないかなみたいな。
結構昔からなんですよ、別にこのおすすめのあれがあるからってわけじゃなくて。
あ、そうなんですね、ネタ探しに行ってるわけじゃなくて。
違う違う違う違う違う。
そんな、業務じゃないのよ。
1:06:02
普通に生活の一環で行ってる。
取材で行ってるわけじゃん。
違う違う違う違う。
そうじゃないよ。
いろんな新しいもの。
入れ替わりが早いでしょ、コンビニって。
そう、早い。
コンビニはほんとに気づいたら無くなってる。
そうそうそう。
コンビニ行きつつたまにスーパー行くといろんなものが見れるんでですね。
こういうの探すようにしてはいるかなっていうところで。
おつまみコーナー結構行くんですよ、僕。
おつまみコーナーって結構乾きもんとかが多くて、
物によったらカロリーめっちゃ低いものも多かったりとかするんで。
あとなんかずっとスルメみたいにね、ずっと噛んでられるようなものとかあるから、
結構行くんで、この辺は結構見つけること多いですね、いろんなもの。
ぜひなんか自分の好みの味を探してみても面白いんじゃないかなと思って紹介させていただきました。
はい、ということで以上ですね。
はい、また来週もお楽しみでございます。
バイバイ。
バイバーイ。
01:06:57

Comments

Scroll