シンジです。いつだったか知人から、「入社初日にデータ抜かれて翌日から連絡が取れなくなった人がいて」といった話を聞きました。調べてみると名前も住所もでたらめで、まさにデータをぶっこ抜くためだけに面接を通過してきたという興味深い話でした。結局そこで深刻なデータ侵害はなかったようですが、この話を聞いてから今シンジだったら何ができるか考えて社内に実装した話です。 面接はZoomで、会うこともない どこから接続しているかも分からないし、それを知ったところで本当にそうなのか確認することも難しい。そもそも会ったところで、履歴書や本人が申告する名前と住所が本当に本人のものかを確認することもしていません。もし自分が面接を受けたときに、身分証明してくださいって言われてもなんか気持ち悪いし、もちろんそれが必要な業界や業種があるわけですが、当社のようなただのITベンチャーが、何が身分証明だせだばかやろうとか思うわ

シンジです。情報セキュリティの方針として参考にされることの多い「情報セキュリティ10大脅威2021」がIPAから発表されました。情報セキュリティの脅威や被害は時代背景をうつしたものが多く、パンデミックによる影響も見て取れます。そんな時代に最適解のゼロトラストアーキテクチャで、ランキングの大半がゼロトラストによってカバーできることを具体的に説明します。 ざっくり書くと、こうです。 その前にゼロトラストアーキテクチャを理解しよう シンジ自体はパンデミックよりも前から会社まで作ってこのアーキテクチャを実践してきたので、最近では数少ないゼロトラスト警察のひとりとして、ネットニュースや各所のWebサイト、オンラインイベントで「ゼロトラスト」の単語が出るもののほぼ全てを確認してきましたが、基本的に「わかってない」ので、改めておさらいしておきましょう。 情報セキュリティを実践する＝IT環境をシンプルにす

シンジです。ゼロトラストがマーケ用語に成り上がって久しいですが、とは言えなぜこの状況下であっちこっちでゼロトラストだとうるさいのか、かくいう俺もゼロトラスト警察とか言われるくらい叫んでおるわけで、それほどまでゼロトラストというのは現代的な考え方で、理想的で、非現実的な側面を持っています。 にわかゼロトラストの見分け方 マーケ用語と言われる所以は、ITベンダーが自社製品販売の為にゼロトラストという単語を使っていることが増えたからです。事例記事でゼロトラストを語っているものは、よく見ればベンダーの公告記事だということも分かります。ゼロトラストが盛り上がるのは大変良いことだと思いますが、まるで結論が出て運用していてうまくやってる風に見せている点が、実態と差があってよくないなぁと思うところです。 逆に何がまともなゼロトラスト記事だなと思うかと言えば、ゼロトラストへの結論はさておき、組織的に現代的な

シンジです。Zoomを使ったビデオ会議が爆発的に増え、「Zoomする」という単語で通じてしまうくらいの一般化がされたところですが、企業で導入する場合は社内のユーザにどのように使ってもらおうか、どの様な設定を入れておくべきか悩む人も増えているようで、今回は各設定の説明も入れながら解説し、自分の組織ではどうすべきかを改めて考えてもらえればと思います。 対象はZoom Meetings Zoomには会議室専用だとかウェビナープランだとか、様々な用途を想定したアプリなどがありますが、今回は一般的にみなさんが利用されるZoom Meetingsについてのみ取り扱います。 管理者権限でログインしましょう ログイン後、左メニューに管理者の項目が増えます。ここから設定を行います。今回掲載しているスクショの設定は、実際に当社で設定しているそのままです。全項目を説明すると大変なので、ポイントだけピックアップし

シンジです。社内インフラを見直してみると、Active Directoryの闇に加えて、パスワードポリシーを含むGPOの地獄に絶望する管理者は多いと思います。シングルサインオンの技術を使って、なるべくシンプルにそして簡素化しつつもセキュアな構成にしようと試みます。今回はそれら全てをすっ飛ばして、そもそもActive Directoryを使わずに、Windows端末のパスワードも抹殺して、シングルサインオンを実現したというお話です。 概要 通常だとユーザーが利用するパスワードは、基本的には端末のローカルに存在するか、Active Directoryなどのディレクトリサービスに保管されてて、それらを利用します。最近だとDirectory as a Serviceと言われるものを利用して、SaaSを利用するケースもあります。ちなみに有名どころはJumpCloudです。これほんと便利。でもエージェ

シンジです。sshを利用してサーバーへアクセスする際、IDとパスワードでrootにダイレクトアクセスさせてるケースもままあるでしょうが、監査も通らないし乗っ取りリスク高すぎ問題なので辞めたいところです。クラウドを日常的に利用する方々の場合、通常は証明書認証によってサーバーログインを行っていると思います。証明書ファイルが次々と増えていく問題、証明書ファイルを手に入れれば多くの人がサーバーにログインできちゃう問題は目をつぶるしかないのか。 そこでエンプラなどでは、「踏み台サーバー」を作って、そこでアクセス権限をコントロールすることで、サーバーログインへの統制を図るわけですが、第一踏み台から第二踏み台へそして第三踏み台とかいう絶望も現実的に存在している実状です。そもそも、エンプラが踏み台サーバーを自前で作るわけがなく、そういう製品を購入して作ってもらう、はい数千万円、保守費毎年よろしくみたいな世

シンジです。起業して今日でまだ5ヶ月くらいでしょうか。営業開始が8月なので本格稼働は3ヶ月くらい。コネというコネを駆使しまくったお陰で、当社のお客さんは中堅企業以上、メインは超絶大企業がカスタマーとなっています。僕らはスタートアップで身軽に動くのに対して、相手はそうはいかない。ところが、相手は「動きたくない」と思っていないというのが面白いポイント。 スタートアップであることをフル活用したい 明らかに組織が固まった企業では難しい、だからといってスタートアップなら皆がやることも別に追いかける気はないので、適当に思いついてチャレンジしている感じです。 給与改定を年12回に「雰囲気給料」 月末月初のタイミングで、Zoom.usなりSlack Voiceなりで音声ミーティングで全員を繋いで、全員でGoogleスプレッドシートを見ながら翌月支払われる給料を自己申告します。 今月どれくらいやったから、こ

シンジです。タイトルの質問はよく聞かれます。質問そのものが漠然としているので、毎回順を追って説明するのですが、この説明をしなくてもよくなる時代はまだ来なさそうな感じです。 おそらくこういう事情がある どうすればクラウドを安全に使えるのか、という質問の背景には、クラウドを使いたいというモチベーションはあるが、よく分からないので不安を感じている、ということに尽きる。そもそもセキュリティ専門部隊が、対象のクラウドサービスを厳密に調べ上げることができているのであれば、この質問自体が成り立たない。実際問題として、世の中には良いクラウドと悪いクラウドは存在しているし、どの視点でもって善し悪しを判断するかは立ち位置によってかなり変わる。 若い世代、クラウドネイティブなエンジニア達は、もはやオンプレミスの技術を理解していない。RJ-45がギリギリで、SFP+はアウトだ。クラウドが安全かどうかなど意識して使

シンジです。利用規約がアレだった名刺管理サービスのWantedly Peopleですが、例のブログ公開直後に利用規約は書き換わり、マーケティング責任者からクッソ長いメッセージが届き、とりあえず飲みに行くことになり、あーだーこーだ言ったうえでWantedly本社に乗り込んできたのでそのお話です。 あの利用規約なんだったんすか？ 逆瀬川さん「僕が作りました。全く悪意は無いです。悪用とかするつもり無いです。本当に申し訳ありません。。。」 シンジ「でもすぐ規約を直しましたよね」 逆瀬川さん「すげー怒られました。もう2度としません。もっとユーザーの気持ちを大事にしなければならないと心に誓いました。ほんとごめんなさい。」 と言うわけで利用規約問題は解決していたのであった。 Wantedly Peopleのテクノロジー 話しを聞けば聞くほど、この人ちょっと頭おかしいのかな（いい意味で）って思う人、相川さ

シンジです。Trend Micro Deep Security as a Serviceを使って、手軽に自身のサーバーにIPS/IDSやアンチウィルスのリアルタイムスキャナーをセットアップすることが出来ます。今回は初期セットアップ方法もそうですが、ちょっとコツがいるので、その辺を書いていこうと思います。[1/15 22時 修正点見つけたので暇できたら直しますー] 前提として お手軽すぎるのですが、そこそこマシンパワー食うので（特にメモリ）、弱小インスタンスの場合は要注意です。 また、本気でサーバーのセキュリティ対策として考えている場合、一般的なクライアント向けアンチウィルスソフトウェアなどとは異なり、Deep Securityはインストール後のチューニング及び、監視・対処運用がとても大事になります。今回はすだちブログに仕込みますので、既存環境へのインストールも対象としますが、普通にやるとサ