チャンネル登録ありがとうございます。 企業のSNSについては、MicrosoftのTeamasを使っているところが多いですよね。良い選択だと思います。 私は個人のSNSではSignalです。

返信ありがとうございます。 Microsoft Teamsも使った事ありますけど、Zoomはよろしくないですかね？有料版だと連携できますけど…

一般の中小企業が使う分には特に心配しなくても良いと思います。 ただし安全保障や国家インフラに関わるプロジェクトの方々は、もっと何重にも気を払うことはあると思いますが、この動画ではとりあえずそこまでは言及しておりません。

国家プロジェクト…知りたいけど極秘でしょうねw ITリテラシー高い方はシグナル派が多い！

ここで述べているアタックサーフェスとは攻撃者が直接接続できるか、メールやWeb経由で間接的に攻撃をダウンロードする機器のことです。 プリンタやモニターは攻撃者が直接外部から接続できなければ大丈夫です。 １、外部からの直接アクセス ・グローバルIPなどを付与して、外部から直接アクセスできる設定でしょうか？だとアタックサーフェスです。 ・あるいはローカルIPだけで内側から外部への接続だけでしょうか？であればアタックサーフェスではありません。 ２，ユーザによる任意ファイルダウンロード またOSを搭載したモニターでも、ユーザが任意のサイトにアクセスしてファイルをDLできる場合は、アタックサーフェスです。 メーカーが決めたサイトで決められたファイルだけのDLであればアタックサーフェスではありません。 もしアタックサーフェスに該当する場合は、その端末のメーカーと型番を教えていただければ、更に対応方法について確認いたします。よろしくお願いいたします。

@@connectone509 ご丁寧にご教示いただきありがとうございます。弊社のプリンタとモニタはアタックサーフェスでないと理解（認識）できました。動画の更新楽しみにしております。

ありがとうございます。大変励みになります。これからもよろしくお願いいたします！

私が参考にしているのは、X(Twitter)で下記のアカウントをフォローして、中小企業に該当しそうな事例で、かつCVSS7以上のものを拾っています。 IPA （JVNiPedia） JVN 脆弱性レポート IPA （ICATalerts） JPCERTコーディネーションセンター 内閣サイバー(注意・警戒情報) あと下記のニュースサイトも良い情報が流れていると思います。 Security Next www.security-next.com/category/cat191

@@connectone509 ありがとうございます！ やはりXは隙間時間の情報収集に丁度いいですよね。 参考にさせていただきます🙇

外交的にリスクがある国の製品は、セキュリティツールに限らず、ソフトウェアやIoTなどは要注意だと思います。あとはその会社の責任者の方のご判断だと思います。

なるほど。そういう職務をされている現場の方々も多いのはそうですよね。ちょっと表現が偏っていたかもしれません。 この動画も登録者も1000名を超えましたので、表現についてはよりいろいろな企業のいろいろな立場の方がご覧になっていることを肝に銘じます。 また気になった表現などあればご指摘いただければ幸いです。よろしくお願いいたします。

ありがとうございます。励みになります！

真相は私達に明らかにはならないかもしれないですが、「回復キーの管理の重要性」はどの企業においても大切だと思います。

・該当するクラウドストラク製品がインストールされていて ・あの問題の約１時間半ほどの期間にオンラインであった ・Windows端末は、おそらく例外はなく発症したと思います。 なぜならもし例外条件があれば、クラウドストライク社はその例外条件を発表したでしょうから。というのが私の見解です。

詳細はわかりませんが、サードベンダーが利用できるギリギリのところまで踏み込んでいた設計であったろうと推測しています。あらゆる手口で侵入してくるマルウェアの裏をかくために。

本当の真相は私達一般人には知らされることはないでしょうが、一つ言えることはこれから何があるかわからないから「回復キー」はきちんと保管して身を守るパーセントを少しでもあげておきたいですね。

WWW

懐かしい！

バックアップについては、また専門家を招いて考察をしていきたいと思います。お楽しみに！

世界中に大きなシェアを持つ歴史があるので 「過去のしがらみを残さないといけない事情」 が大きいのかなと想像しています。

WWW

パスキーのWebシステムは、PW管理ソフトから除外しても良いのではないでしょうか。 なぜなら基本的にはもうそのWebシステムは手入力のPWDは使わないので。

追伸 今しがた知った事ですが…PW管理アプリでも「パスキー認証」していました(汗) 早速パスキー認証しましたw

良かったです！

ですよね〜

本日クラウドストライク社からコメントが発表されましたが、やはり検証フローに問題があったのだろうと推測します。 世界システム障害「品質検査にバグ」　米企業が原因報告 www.nikkei.com/article/DGXZQOGN24EGR0U4A720C2000000/

なるほど。今回の事件でも回復が早かった企業はそのような管理を普段からしていたのでしょうね。

我々セキュリティベンダーにとって他山の石です。

具体的にどういうリスクを回避するためのサービスなのかと首をかしげます。 ダークウェブに漏れてはいけないのは、単なるグローバルIPではなく ・そのグローバルIPの機器に ・脆弱性が放置されている ・RDPやSMBやSSHなどのポートが開けっ放しになっている というような情報と思います。 だから ・接続元のIPアドレスの制限を設定する ・深刻な脆弱性はあらかじめパッチで塞いでおく ・ハッカーが利用しやすいポート（RDPやSMBやSSHなど）は一般外部からの接続に対して閉じておく という対策が、まず重要となります。

WWW

その場合は（パスキーのWebサイトログインに限らず）そもそもそのPCに保存されているファイルやメールなどの情報すべてが盗取される状態だということです。 このご質問は動画本編でも解説いたしますね。

返信が遅れて申し訳ありません。非常にお詳しいですね。もしよろしければ詳しいお話を伺うことは可能でしょうか？

会社などの拠点からに接続を制限できる場合は、接続元IPが最もコスパ良くセキュリティも高い方法だと思います。拠点間VPNやメールサーバ接続など。 ただし自宅や出先などのリモート環境からのアクセスの場合は、IPアドレスの固定は難しいので、多要素認証（そしてこれからはパスキー）が現実的な解になると思います。

した方が良いです！

あなたが管理者として質問してるなら、パスキー　SAMLでググると出てくると思います ここから先はソリューションごとの話ですので、ここで聞く内容じゃありません ユーザーとして質問してるなら、サイト側が対応してない限り使えません

１，webサイトごと鍵を作成の意味を教えて下さい これはそっくりの偽物フィッシングサイトを防ぐためです。本物のWebサイトに鍵を作ることで、そっくりの偽サイトについても鍵が合わないので防ぐことができます。 ２，passkey作成するのに必要な項目を教えてください これはサイトに記載されているパスキー移行手順で行います。そのWebサイトがパスキーに対応していることが条件です。

ありがとうございます。励みになります！ これからもよろしくお願いいたします。

本当に気持ちが良いです。ただし最近は暑くてカメラが熱暴走するのが悩みです。

ご指摘のとおりこれからパスキーは標準になっていくと思います。 特に米国では、フィッシングのなりすまし対象としてはMSアカウントが第一位です。それだけ攻撃者の餌食になっているので、MSとしても対策を急いでいるお尻に火が着いた状態だと思います。

励ましのコメントありががとうございます。本当に嬉しいです。 何か取り上げて欲しい話題などありましたら、どうぞリクエストいただければ、一緒に考えたいです。よろしくお願いします。

本当に。まず「何を守るか」「どうしてそれを守る必要があるのか」という骨格が重要ですよね。これからもよろしくお願いいたします。

そうなんです。ご理解頂いて動画を作った甲斐があります。 これからもよろしくお願いいたします。

その御認識は正しいと思います。 ただあのEmotet大流行でベンダーからのセキュリティパッチがリリースされるまでのゼロデイ期間は、この年配SEさんのように、まず出来る対策を手動で、というご判断もまた正しいと思います。良いSEさんですね。

ありがとうございます。これからもお役に立てる動画を配信していきたいと思います。よろしくお願いいたします。

返信が遅くなって申し訳ありません。 一つのIDに対して、同一のパスキーが複数端末に共有されるにしても、端末ごとに別のパスキーが共有されても、セキュリティ的には変わりはないと思います。 クラウドで共有した方が、管理や登録が簡単であるというメリットがあるということと思います。 重要なのは、一つのIDにパスキー（共有でも個別でも）を発行登録する時に、それがなりすましではない、本人であるという確認フローだと思います。 これはそのWebサービスの運用にかかって来ます。たとえば本人確認時に、プライマリ端末のパスキーで承認させるなどのフローが考えられます。 ここがポイントとなるのはパスキー流用でも個別発行でも同じです。 たとえばSIMスワップ詐欺のように、偽造のマイナカードなどでパスキー追加登録が出来るのはセキュリティ強度として不十分です。（クラウド共有でも個別追加でも）

リクエストありがとうございます。 バックアップついては専門家の方をゲストに招いて考察していきます。お楽しみに！