macOSとAzureADでMacのユーザーアカウントを掌握 | ロードバランスすだちくん
シンジです。社内デバイスは全部Windowsですとは言いにくい時代になった昨今、Mac達は野放しにされ、例外とかいう常套句で社内ポリシーから逃げてきましたが、残念ながらmacOSのユーザー配布をADからAzureADを経由することで完全統制する方法が仕上がってきたので現状の話です。 ADとMacの相性は悪い 読者の中にMac利用者が居たとしても、そのMacをActive Directoryの配下に置いて、そこからユーザーを発行して展開したことある人は少ないでしょうし、試しにやってみた人が居たとしても運用したことがある人はもっと少ないのではと思っています。もしそれら全てを経験し、それを売りに仕事をしている方が居たとしたら、このブログによって廃業します。 管理者がMacを直接触ってセットアップする必要があった 今時ゼロタッチデプロイですよ。箱から空けたらユーザーがすぐに使える、管理者が電源を入
クラウドに上げたデータは誰のものなのSlack編 | ロードバランスすだちくん
シンジです。個人での利用、会社での利用に問わず、クラウドサービスに登録した自分の情報や普段利用するデータ、誰にも教えたくない秘密情報であったとしても、利用者本人のみが利用できる保護されたものだと思っている人も多いようですが、そんなわけあるか。 クラウドサービスのデータの所有権 所有権とか言い出すと、どの国の法律でどう定義されているから云々みたいな話になります。権利だけで挙げても、著作権や使用権、再利用権など広がる広がる。所有権だけを見て国内民法で見てみると、データは無体物であって民法上の所有権の対象にはならないとか言われる始末なので、いやいやそんなこと言われましても俺のものは俺のものですとか言いたくなるかもしれません。 全部が全部そうなってるとは言いませんが、どんな大手の有名クラウドサービスであろうが多くの場合、「クラウドサービスに上げたデータは、クラウド事業者のもの」です。 Google
Windowsでのパスワードを完全撤廃し、Active Directoryも抹殺した | ロードバランスすだちくん
シンジです。社内インフラを見直してみると、Active Directoryの闇に加えて、パスワードポリシーを含むGPOの地獄に絶望する管理者は多いと思います。シングルサインオンの技術を使って、なるべくシンプルにそして簡素化しつつもセキュアな構成にしようと試みます。今回はそれら全てをすっ飛ばして、そもそもActive Directoryを使わずに、Windows端末のパスワードも抹殺して、シングルサインオンを実現したというお話です。 概要 通常だとユーザーが利用するパスワードは、基本的には端末のローカルに存在するか、Active Directoryなどのディレクトリサービスに保管されてて、それらを利用します。最近だとDirectory as a Serviceと言われるものを利用して、SaaSを利用するケースもあります。ちなみに有名どころはJumpCloudです。これほんと便利。でもエージェ
https://blog.animereview.jp/zero-trust-architecture/
シンジです。社内インフラを構築するとき、何を指標として設計しているか、何のために作るのか、誰が嬉しいのかを考えずに淡々と予算を投入している企業の多いこと多いこと。これから会社を作るならまだしも、既存企業は長年の蓄積があるわけです。物理機器や、買収合併の弊害、シャドーITに働き方改革推進の圧力。これらに個別的に対処することこそが無駄かつ自己満足なので、自社のインフラはどうなるべきだったのかを考えたい物です。 ITは企業にとってコアである 企業や組織運営において、ITを使うことで便利になったり、効率が良くなったりする程度の時代はとっくに終わっています。企業や組織からIT全てをとっぱらってしまうと、企業や組織が消え去る可能性が非常に高い、というか確実に死ぬであろう状態にまでITに依存しています。つまり現代においてはITはコアなのです。 情報システム部門はその重要性を理解していない 企業においての
リモート会議で気になるノイズを消す | ロードバランスすだちくん
シンジです。家でのビデオ会議や音声会議、外出先でもガヤガヤしているカフェなどでリモート会議に参加すると、自分の声以外にも環境音などのノイズが相手に届くことで、相手にストレスを与えたり、集中できなかったり、その逆もあって、相手の音声がノイズだらけだと気になる物です。それを抹殺します。 krisp.ai 悲しいお知らせを先に。これができるのはmacOSだけです。Windowsなどなかった。 今回はSlackでの音声通話と、Zoom.usを利用してみました。 公式サイトからダウンロードとインストール krisp.ai https://krisp.ai/ 現時点でバージョンが0.5.7で、リリースされてから間もないアプリなので、現在は無料ですが、これからどうなるかはしりません。 設定 krispはmacOSに接続された「音声デバイス(マイク・スピーカ)」として仮想的に認識します。マイクに適用すれば
サーバー群への管理者アクセス権限を統制する | ロードバランスすだちくん
シンジです。sshを利用してサーバーへアクセスする際、IDとパスワードでrootにダイレクトアクセスさせてるケースもままあるでしょうが、監査も通らないし乗っ取りリスク高すぎ問題なので辞めたいところです。クラウドを日常的に利用する方々の場合、通常は証明書認証によってサーバーログインを行っていると思います。証明書ファイルが次々と増えていく問題、証明書ファイルを手に入れれば多くの人がサーバーにログインできちゃう問題は目をつぶるしかないのか。 そこでエンプラなどでは、「踏み台サーバー」を作って、そこでアクセス権限をコントロールすることで、サーバーログインへの統制を図るわけですが、第一踏み台から第二踏み台へそして第三踏み台とかいう絶望も現実的に存在している実状です。そもそも、エンプラが踏み台サーバーを自前で作るわけがなく、そういう製品を購入して作ってもらう、はい数千万円、保守費毎年よろしくみたいな世
当社初のセキュリティインシデント発生 | ロードバランスすだちくん
シンジです。もっとそれっぽい報告書みたいな感じにしてもよかったんです。事故報告書ってPDFにしてそれっぽくすると、読む気が湧き上がる種族っているじゃないですか。俺なんですけど。書くの面倒だったのでブログで勘弁。 何が起きたか 従業員が、お客さんに送るメールで、添付ファイルを間違えて送りました。端的に書けばそれだけです。 どういうことすか A社さんに送付したかった見積書のPDFファイルがありました A社さんにメールを書いてファイルを添付して送信しました A社さんから「これちがくね?」って返事が来ました 担当者は謝罪してメールを消すように連絡を入れました 担当者はシンジに「間違えたファイル送っちゃいました!」ってSlackでメンションして連絡しました まぁこんな具合です。 問題点 ひとつめ ウチの会社のWebサイトを見てもらうとインフラ構成が書いてあるのでそれでざっくり分かるのですが、そもそも
クラウドサービス契約上のポイントを解説していただいた | ロードバランスすだちくん
シンジです。ITリーダー向け専門メディア(自称)の記事で、「その契約内容で本当に大丈夫ですか?導入企業が必ず注意しておきたいクラウドサービス契約上のポイント」の内容について一部で話題になったので読んでみたら、なかなか面白かったので感想文です。 その記事はこちら その契約内容で本当に大丈夫ですか?導入企業が必ず注意しておきたいクラウドサービス契約上のポイント https://enterprisezine.jp/article/detail/10863 クラウドサービス提供者の契約書を読めってことだそうだ 記事では、「基本契約」と「SLA」があるから、それを前提にしつつ、自社の都合に合わせて個別契約をして契約内容をカスタマイズせよとのこと。サービス提供者側と、しっかり交渉せよとのこと。 まぁ、そんなのやらねーから。 常識的に考えて。 ENISAのガイドラインを使うといいぞってことらしい 具体的
起業して、身の軽さとは何かを知ったが、取引相手は軽くないという事実 | ロードバランスすだちくん
シンジです。起業して今日でまだ5ヶ月くらいでしょうか。営業開始が8月なので本格稼働は3ヶ月くらい。コネというコネを駆使しまくったお陰で、当社のお客さんは中堅企業以上、メインは超絶大企業がカスタマーとなっています。僕らはスタートアップで身軽に動くのに対して、相手はそうはいかない。ところが、相手は「動きたくない」と思っていないというのが面白いポイント。 スタートアップであることをフル活用したい 明らかに組織が固まった企業では難しい、だからといってスタートアップなら皆がやることも別に追いかける気はないので、適当に思いついてチャレンジしている感じです。 給与改定を年12回に「雰囲気給料」 月末月初のタイミングで、Zoom.usなりSlack Voiceなりで音声ミーティングで全員を繋いで、全員でGoogleスプレッドシートを見ながら翌月支払われる給料を自己申告します。 今月どれくらいやったから、こ
ガートナーのクラウド評価が的確すぎてぐうの音も出ない | ロードバランスすだちくん
シンジです。クラウドを取り扱っている中の人ならまだしも、多くのユーザー達はクラウドの本質を理解していません。そもそも理解する必要なんてあるのかとも思っていますが、分析ならお任せあれの我らがガートナーさんが発表したクラウド評価の資料たった1ページの説得力が尋常じゃなかったので紹介します。 ソースはこちら “クラウド後進国、日本”は、変われるか ガートナーの見方は (1/2) – ITmedia エンタープライズ http://www.itmedia.co.jp/enterprise/articles/1705/08/news042.html クラウドに関する誤解 この資料です。これです。3カテゴリに分けて、「誤解」「リアリティ」「アクション」としていますが、まぁ良く出来ていること。シンジなりに思うところもあるので、意見します。 誤解 クラウドは使えるのか、といった議論をする 議論不要です。議
オンプレ企業がクラウドを使うときのセキュリティポイントを聞かれた | ロードバランスすだちくん
シンジです。タイトルの質問はよく聞かれます。質問そのものが漠然としているので、毎回順を追って説明するのですが、この説明をしなくてもよくなる時代はまだ来なさそうな感じです。 おそらくこういう事情がある どうすればクラウドを安全に使えるのか、という質問の背景には、クラウドを使いたいというモチベーションはあるが、よく分からないので不安を感じている、ということに尽きる。そもそもセキュリティ専門部隊が、対象のクラウドサービスを厳密に調べ上げることができているのであれば、この質問自体が成り立たない。実際問題として、世の中には良いクラウドと悪いクラウドは存在しているし、どの視点でもって善し悪しを判断するかは立ち位置によってかなり変わる。 若い世代、クラウドネイティブなエンジニア達は、もはやオンプレミスの技術を理解していない。RJ-45がギリギリで、SFP+はアウトだ。クラウドが安全かどうかなど意識して使
メールをSlackに飛ばすと平和になる | ロードバランスすだちくん
シンジです。メール画面は業務時間の中でも多くの時間を専有し続けるわりには、操作する時間は圧倒的に少なく、いざSlackを導入してしまうと、Slackの画面専有時間も多くなるので、その他ブラウザを開いたりなんだかんだで画面が足りなくなることでしょう(シンジ調べ)メールをSlackに流してしまうことで、シンジの業務効率は変わりました。 そもそもメールは見たくないし書きたくもない という信念を持っているので、メール画面は開かないことにしました。ところが多くの場合、業務でメールを開かない=死に繋がるケースが多いようです(シンジ調べ) まずメールはどう見てるか 会社ごとにメールサーバーや仕組みが違うと思いますが、多くは「振り分けルール」や「ラベル」などを駆使して、特定のメールはこうする、このメールは転送する、などのルール作成を行っていると思います。このルールは組織内でなかなか共有されることがなく、各
シングルサインオン?やめとけやめとけwww | ロードバランスすだちくん
シンジです。うーん、シンジは使いますけどね!なぜなら超絶セキュアになるからなのだ。いろんなところで聞かれる「パスワード」を1つだけ覚えておけばいいんですよ?利便性も最高じゃないですか!という夢を見ていたのであって、現実は厳しいのであった。 シングルサインオンはセキュア なんでかって、様々なサービスで使うアカウント名とパスワード、これが要らないんですと言いますか、入力する項目すらなくなるんです。じゃあどうやってログインするのよって、社内においてある閉域な、インターネットとは隔離された場所で認証をして、認証出来たよーっていうところだけインターネットを使って各サービスに教えてやるんです。だから必要なのは、パソコンにログインするときのアカウント名とパスワードだけ。外部から各サービスにログインしようとしても、社内の認証局を通さないとログイン出来ないので、もしもパスワードが漏れたとしても、社内ネットワ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
