ボス@サイバーセキュリティの専門家

169 posts

ボス@サイバーセキュリティの専門家 banner
ボス@サイバーセキュリティの専門家

ボス@サイバーセキュリティの専門家

@boss_sec_labo

古参の独立セキュリティコンサル🛡サイバーセキュリティ現場論、キャリア戦略、AI時代の立ち回りの3本柱で発信する。ふわふわした励ましはやらない、具体と実体験で語っていく。嗜みは、剣道とウイスキー。

Katılım Nisan 2026
21 Takip Edilen158 Takipçiler
Sabitlenmiş Tweet
ボス@サイバーセキュリティの専門家
ボス@サイバーセキュリティの専門家@boss_sec_labo·
修羅場を抜けてきた話しかしない。通称ボスだ、独立セキュリティコンサルをやっている。銀行系SIerで基幹システムを5年、その後、外資セキュリティファーム『グローバル・サイバーディフェンス』で金融・製造・官公庁のインシデント対応を指揮してきた。在籍中は最優秀セキュリティアーキテクト賞を4度もらった。20代から60代前半の現場エンジニア諸君、ここで語るのはサイバーセキュリティ現場論、キャリア戦略、AI時代の立ち回りの3本柱だ。フォロワー数稼ぎの薄い励ましや煽りは書かない。ログと経験に裏打ちされた言葉だけを残していく。
日本語
0
0
11
1.3K
ボス@サイバーセキュリティの専門家
ボス@サイバーセキュリティの専門家@boss_sec_labo·
「手書きのメモ帳を持ち歩くのは古い、全部デジタルでいい」と若手に言われた。違う。残し方を分けない奴が情報を漏らす。 クラウドのメモ、検索可能な議事録、SlackのDM。便利だ。同時に、漏れた時に守れる手段が一つもない。エンドポイントDLP(端末側の情報持ち出し制御)もMDM(端末管理)も、流出したものが広がる速度には追いつかん。俺は今でも、顧客先で議論する案件の機微・人事情報・未公開のインシデントは紙のメモにだけ書く。撮影されたら終わりだが、ネットには絶対に出ない。デジタルに残してはならない思考もある、というやつだ。 便利さの裏で「全部残す前提」を疑え。みんなの一番機密度の高いメモ、どこに書いている?
日本語
0
0
6
531
ボス@サイバーセキュリティの専門家 retweetledi
アラレちゃん@kintone勉強中
アラレちゃん@kintone勉強中@tbm_loves_kta·
これは怖いよ。地味だけど気が付かないよ。
ボス@サイバーセキュリティの専門家@boss_sec_labo

ある中堅商社のインシデント対応の話。営業の Outlook が乗っ取られ、取引先 12 社に「振込先変更」のメールが飛んでいた。本人気付かず、社内が騒ぎ出すまで 9 日。 ログを見ると、攻撃者は MFA 突破後 30 分で受信トレイの振分ルール(特定の差出人を別フォルダに自動退避する設定)を仕込み、「請求」「振込」「インボイス」を含む受信を全部ゴミ箱に飛ばしていた。本人の目には正常な受信ボックスに見え続けたわけだ。被害額は中規模、回収は半分。技術的には地味な手口だが、検知できない理由がはっきりしている。SOC(監視チーム)も EDR(端末側の防御)もメールクライアント内の「ルール作成」を異常として扱っていない。 みんなの環境、ユーザーが自分で作る受信ルールの監査は仕込まれているか?

日本語
0
1
2
112
ボス@サイバーセキュリティの専門家
ボス@サイバーセキュリティの専門家@boss_sec_labo·
「動いているものは触るな」と若い頃の俺も言ったことがある。 だがな、君のそれは「動いているからこそ放置」だ。 意味が、まったく違うんだよ。 サーバー停止まで、あと8日。 #10日後に止まるサーバー
ボス@サイバーセキュリティの専門家 tweet media
日本語
0
0
5
630
ボス@サイバーセキュリティの専門家
ボス@サイバーセキュリティの専門家@boss_sec_labo·
今朝、サプライチェーン経由の侵害事例をいくつか並べて整理していた。共通点が一つある。最初の踏み込み口が「正規ベンダーのアカウント」になっている、ということだ。 CI/CD(ソースコードを自動でビルドして配布する仕組み)への侵入。OSSパッケージのメンテナアカウント乗っ取り。SaaSベンダーの管理コンソール突破。攻撃者は自社の境界を叩くより、信頼している取引先を叩く方が早いと学習し終えている。ベンダーに発行しているAPIキー・サービスアカウントの一覧、誰がメンテしているか即答できるか?「発行したまま何年も触っていない」が一番危ない。 外注先のセキュリティ水準を質問票で聞くより、外注先に渡している権限のスコープを点検しろ。これが2026年の現場の宿題だ。
日本語
0
4
21
2.4K
ボス@サイバーセキュリティの専門家
ボス@サイバーセキュリティの専門家@boss_sec_labo·
先週、ある製造業のOT(工場の制御系ネットワーク。情報系と分けて隔離されているはずの領域)診断で、「うちはIT/OT分離してます」と胸を張られた。 調べたら、保守ベンダー用の踏み台PCがIT側とOT側の両方にNICを挿していた。「保守の利便性のため」と現場担当者は言った。VPN越しだと現場が遅くて作業にならん、という理由だった。 つまり、IT側を踏まれたらOT側に1ホップで到達する。「分離」は構成図の上にしか存在しなかった。 構成図を信じるな。実機のNICとルーティングテーブルを見ろ。みんなの「分離」は、ケーブルレベルで確認したものか、それとも資料レベルで信じているだけか?
日本語
0
6
28
4.3K
ボス@サイバーセキュリティの専門家
ボス@サイバーセキュリティの専門家@boss_sec_labo·
セキュリティ製品の年次更改シーズンだ。経営層は「今年は何を入れる」を聞いてくる。お決まりの問いだ。 EDRを入れた。SIEMも入れた。CSPMも入れた。SASEも入れた。ダッシュボードはどれも緑色だ。そして去年、検知の最初の一報を上げたのは、取引先からの一本の電話だった。ふふふ、これがリアルというやつだ。
日本語
0
0
9
1.6K
ボス@サイバーセキュリティの専門家
ボス@サイバーセキュリティの専門家@boss_sec_labo·
「AIでコードを書く時代、セキュリティはAI側に任せれば良い」と思っていないか。違う。逆だ。 AIが吐いたコードのレビューには、これまで以上に人間の脅威モデリング(このコードがどこから攻撃されうるかを設計段階で想像する作業)が必要になる。なぜならAIは「動くコード」を出すが「攻撃面を最小に絞ったコード」は出さん。学習元の大半がそうなっていないからだ。俺は今、生成された認可ロジック・トークン処理・入力検証を週に何件もレビューしているが、9割は「動くが脆い」。AI が普及するほど、人間側のセキュア設計力の希少価値は上がる。 君はAIに任せる方の人間か、AIを点検する方の人間か?
日本語
0
1
10
900
ボス@サイバーセキュリティの専門家
ボス@サイバーセキュリティの専門家@boss_sec_labo·
キャリアで頭打ちになるエンジニアの 9 割は、「手を動かせるか」と「説明できるか」の片方しか持っていない。 20代は前者で食える。コードが書ければ評価される。 30代に入った瞬間、後者がない奴から失速する。経営層に脅威を 3 行で説明できないと予算は取れん。 40代で前者を完全に捨てた奴も詰む。決裁者が技術を知らないと、ベンダー営業に丸め込まれる。 両方を磨き続ける奴だけが、AI に置き換わらない側に残る。みんなの今の比率は何対何だ?
日本語
0
2
16
1.9K
ボス@サイバーセキュリティの専門家
ボス@サイバーセキュリティの専門家@boss_sec_labo·
脆弱性スキャンの通知を、開封もせず「あとで」フォルダに流すクセ。 俺の現役時代、それで一夜にして3社が落ちた。 ふふふ、君のサーバーくんは大丈夫かな。 サーバー停止まで、あと9日。 #10日後に止まるサーバー
ボス@サイバーセキュリティの専門家 tweet media
日本語
0
2
13
1K
ボス@サイバーセキュリティの専門家
ボス@サイバーセキュリティの専門家@boss_sec_labo·
インシデント対応で最初に殺されるのは判断力だ。生き残るための心得を置いておく。 電話が鳴る前に手順書を開け。 最初の 15 分はメモを取れ、対処を急ぐな。 タイムスタンプは全部 UTC で揃えろ。 証拠保全を踏み潰す前に、写真でいいから画面を撮れ。 「たぶん」「思います」を報告書に書くな。 止まらないシステムを止める覚悟を持て。 責任を取れない奴は意思決定の輪に入れるな。 ここまでが現場の入り口というやつだ。
日本語
0
3
32
1.7K
ボス@サイバーセキュリティの専門家
ボス@サイバーセキュリティの専門家@boss_sec_labo·
ある中堅商社のインシデント対応の話。営業の Outlook が乗っ取られ、取引先 12 社に「振込先変更」のメールが飛んでいた。本人気付かず、社内が騒ぎ出すまで 9 日。 ログを見ると、攻撃者は MFA 突破後 30 分で受信トレイの振分ルール(特定の差出人を別フォルダに自動退避する設定)を仕込み、「請求」「振込」「インボイス」を含む受信を全部ゴミ箱に飛ばしていた。本人の目には正常な受信ボックスに見え続けたわけだ。被害額は中規模、回収は半分。技術的には地味な手口だが、検知できない理由がはっきりしている。SOC(監視チーム)も EDR(端末側の防御)もメールクライアント内の「ルール作成」を異常として扱っていない。 みんなの環境、ユーザーが自分で作る受信ルールの監査は仕込まれているか?
日本語
3
89
204
41K
ボス@サイバーセキュリティの専門家
ボス@サイバーセキュリティの専門家@boss_sec_labo·
今週、ある SaaS の社内 agent が「タスク管理」と「人事 DB 参照」を両方できる構成になっているのを見て頭を抱えた。プロンプト一発で守る時代はもう終わっている。 問題は文面じゃない。tool-call(agent が呼べる外部 API のセット)の設計だ。読み取り権と書き込み権、本番接続と参照系を同じ agent に両方持たせた瞬間、間接プロンプトインジェクション(攻撃者がドキュメントや Slack に仕込んだ命令を agent に読み込ませる手口)が一発で本番を破壊する。 ガードレール(ガバナンス用の制御層)を文書で整えて満足するな。agent が呼べる権限を最小に切り直すのが先だ。みんなの社内 agent、tool-call 一覧を今この場で即答できるか?
日本語
0
0
2
163
ボス@サイバーセキュリティの専門家
ボス@サイバーセキュリティの専門家@boss_sec_labo·
セキュリティ転職で書類落ちする人は明白だ。8割は、職務経歴書に「インシデント対応」と一行で書く。それで終わりだ。 採用側が見たいのはそこじゃない。何時間で封じ込めたか、誰にエスカレーションしたか、再発防止までいくつのコントロールを実装したか、そして「次の自分」が同じ事故を 30 分で潰せる手順書を残したか、ここだ。抽象語で経歴を書く奴は、現場でも抽象的にしか動けない奴だと読まれる。みんなの経歴書、定量で語れる行が何行ある?
日本語
2
1
24
4.1K
ボス@サイバーセキュリティの専門家
ボス@サイバーセキュリティの専門家@boss_sec_labo·
経営層が好きな言葉。「我が社はゼロトラストを採用しております」。 蓋を開ければ VPN を VDI (画面転送型の仮想デスクトップ) に替えただけ。社員 PC から社内ネットワークには直結のまま、特権アカウントは社長秘書が共有パスワードでログインしている。これでゼロトラストと胸を張られても困る。ゼロトラストはツールの名前じゃない。「誰も無条件には信用しない、毎回検証する」設計思想だ。ベンダーパンフを敷き詰めて満足するな。ふふふ、御社のゼロトラスト、ゼロから出直したほうが早いんじゃないか?
日本語
2
16
79
16.7K
ボス@サイバーセキュリティの専門家
ボス@サイバーセキュリティの専門家@boss_sec_labo·
うちのチップスが、相棒のサーバーを紹介すると言い出した。 俺の目には、その「相棒」、もう何箇所か危ないんだがな。 ふふふ、何日もつかな。 サーバー停止まで、あと10日。 #10日後に止まるサーバー
ボス@サイバーセキュリティの専門家 tweet media
日本語
0
0
8
349
ボス@サイバーセキュリティの専門家
ボス@サイバーセキュリティの専門家@boss_sec_labo·
先週、ある中堅 IT 企業の退職者対応の現場に呼ばれた。退職後 11 日経って初めて GitHub Organization のメンバから外された。その 11 日で当人が clone した社内リポジトリは 47 個。本人に悪意があったかは別の話だ。 「人事システム連携の遅延」で済む話じゃない。退職届が出た瞬間、特権はすべて読み取り専用に落とすのが基本動作だ。送別会を開く前にやれ。みんなの組織、退職者の SSO セッションは何分で失効する? 「明日でいいや」の積み重ねで、会社は静かに丸裸になっていく。
日本語
0
0
17
5K
ボス@サイバーセキュリティの専門家
ボス@サイバーセキュリティの専門家@boss_sec_labo·
30代後半から40代の中堅エンジニアが転職で失敗するパターンは、大体3つに収束する。 一つ、過去のプロジェクト名だけを並べる。マネージャ規模、予算、何を判断したかが書かれていない。 二つ、「上流から下流まで経験」と書く。何でも屋に見えて、何の専門家にも見えない。 三つ、直近2年で新しく学んだ技術が職務経歴書に1行もない。 採用側が見ているのは「過去の規模」じゃない。「今も判断と学習が続いているか」だ。中堅以降は、年数が信用を運ばない。判断の質と学習の継続だけが運ぶ。 君の職務経歴書、最後に書き直したのはいつだ?
日本語
1
5
52
12.9K
ボス@サイバーセキュリティの専門家
ボス@サイバーセキュリティの専門家@boss_sec_labo·
先週、ある外資セキュリティ会社の中途採用で30人分の職務経歴書をレビューする側に回った。残ったのは4人だ。 落ちた26人に共通していたのは「直近2年で何を判断したか」が一行も書かれていないことだった。プロジェクト名、規模、役割、ここまでは全員書く。その先がない。なぜその技術を選んだか。何を捨てたか。失敗から何を変えたか。採用側が知りたいのはそこだ。 中堅以降の職務経歴書は年表じゃない、判断の履歴書だ。君のそれ、判断の根拠まで書けているか? 今後のキャリアに迷っている者は以下から気軽に相談してくれ。 security.splash-eng.com @Securityb31w が対応する。
日本語
0
0
0
215
ボス@サイバーセキュリティの専門家
ボス@サイバーセキュリティの専門家@boss_sec_labo·
電話を取る前に深呼吸しろ。 最初の報告を鵜呑みにするな。 時系列はホワイトボードに書け。 推定はピンク、確定は緑で色を分けろ。 「多分」で報告書を書くな。 封じ込め優先か、解析優先か、最初に決めろ。 止血の判断は CTO じゃなく君が下す。 これがインシデント対応の初動というやつだ。経験者は当たり前にやっている。
日本語
0
0
7
1.4K
ボス@サイバーセキュリティの専門家
ボス@サイバーセキュリティの専門家@boss_sec_labo·
MFA(多要素認証)を入れた。フィッシング訓練もやった。社内 Wiki に「セキュリティガイド」も置いた。ご立派だな。 で、先週その会社で起きたのは、業務委託の外注パートナーが Slack で送ってきた「URL を開いて認証情報を入れろ」というメッセージに、社員5人が引っかかった件だ。MFA はワンタイムパスワードまで一緒に渡されて全部抜かれた。 セキュリティは「対策の数」じゃない。「対策が想定していない経路」が必ず残るからだ。 ふふふ、ガイドの最終ページに書いてある「不審なメールは開かない」、それが守られた現場を俺はまだ見たことがない。
日本語
2
41
205
118.4K

Keşfet

@Securityb31w @elonmusk @BarackObama @taylorswift13 @cristiano @BillGates @NASA @nikifrancismediavine