Google Homeが届いてから色々遊んでみてGoogle Assistantアプリを作ってみたので、Alexaに移る前にいったんまとめてみる（招待メールまだ来ないけど）。

構成

最もスタンダードな構成は以下のようになる。

Action on Google

Assistantアプリの開発プラットフォーム。会話メッセージと音声のリクエストを受信しレスポンスを返す。実機に繋いだシュミレーターによるテストなどもここから行える。

Dialogflow（旧API.AI）

チャットボット作成のプラットフォーム。元々はAPI.AIという名前で2016年9月にGoogleに買収され、自然言語対話の統合的なプラットフォームとして進化し2017年10月にDialogflowに名称が変更になった。会話のコントロールを軸としてWebHookで他のプラットフォームと連携したり外部のチャットサービスと連携することができる。

Dialogflowは標準でFirebaseと連携している。そのためDialogflowでプロジェクトを作成すると必ずFirebaseにもプロジェクトが作成され、Dialogflowで設定した内容がスクリプト化されてFirebaseに保存される。Firebase上に配置するスクリプトはInline Editorから直接編集してカスタマイズすることも可能。

Firebase

Firebase上に配置されるスクリプトはNode.jsベースのコードなので独自に開発してデプロイすることもできる。Dialogflow上からできることは限られているので、会話の内容を元にデータベースにアクセスしたり、Googleの他のサービスと連携するような仕組みを構築する場合はFirebaseのプロジェクトを作って開発することになる。firebase-tools に action-on-google のライブラリが準備されているため比較的用意に実装ができる。

その他サービスを使う

上記の構成はあくまで標準的な構成で、公開されているSDKやAPIを使うことで他のプラットフォームを使って連携することもできる。

Fulfillment Hosting  |  Actions on Google  |  Google Developers

Firebaseは無料アカウントだと外部ネットワークにアクセスできないため、WebHook部分はFirebaseを使わずにHerokuから外部サービスと連携させるようなやり方も試してみた。firebase-tools を使わない場合は自分でJSONフォーマットのレスポンスを返すことになる。その際の注意点はQiitaに幾つかまとめておいた。

qiita.com

qiita.com

connpass.com

日時：2017/11/01(水) 19:00 〜 20:30

場所：さくらインターネット

グランフロントにお引っ越しして積極的に勉強会を開催されているさくらインターネットさんのセキュリティ勉強会。 最近では backspace.fmにマストドンのサーバを提供し、番組にも出演するなど いろいろな場面で楽しませて頂いています。

今回はホスティングサービスでのセキュリティについて少し話を聞いてみたかったのと、WAFについても情報収集したかったので参加してみた。脆弱性に関しては最近はWordPressの問題が多いようでこれは想像通りで、対策についても全般的にWordPress向けの話だった。またWAFについてはStruts2の事例にあるように脆弱性が見つかってから実際に攻撃されるまでの期間が短くなってきているのでホスティングサービスで追加費用なしで使えるのは魅力だと感じた。

帰り際にアンケートに答えるとさくらのVPSのクーポンを頂きました。また使ってみます。

Webサイトのセキュリティインシデントの傾向

発表者:さくらインターネット　技術本部 山下 健一さん

遅刻して前半は聴き逃した。セキュリティインシデントの3つめの紹介からのメモ。

Daserf

scan.netsecurity.ne.jp

• バックドア機能を有するマルウェアで、「Nioupale」とも呼ばれる
• 日本の重要インフラを標的とした攻撃者に使用され、長期間にわたって標的組織に潜伏しつつ活動している可能性が高いことが明らかになった
• ラックが対応した標的型攻撃事案のうち、重要インフラに属する業種が56％と過半数を占めた

www.lac.co.jp

-「Daserf」の被害を受けた企業は、発見までに数カ月から2年半の時間を要しており、発見されにくい工夫がされていました。 -「Daserf」は、遠隔操作機能を備えた高機能な不正ソフトウェアであり、指令サーバーの約65%は韓国企業が保有しているIPアドレスでした。 -「Daserf」を悪用する攻撃者の背景推測（プロファイリング）を説明しています。 -攻撃に関する痕跡情報（Indicator of Compromise）を掲載しています。

基本的な対策

• 強固なパスワード
• ファイアウォール
• 自動アップデート
• 定期的にバックアップ

異常に気づくきっかけ

• アクセス解析
• メール流量に注意
• サーバの不可

何かあったら

• 手に負えるか？手に負えないならすぐ初期化が一番安全
• バックアップを残していないとお手上げ
• バックアップは安全か？再設置すると再発するかも？
• 再発防止

ホスティングサービスのセキュリティ対策について

発表者:さくらインターネット　技術本部 小西 宏典さん

さくらレンタルサーバで行っている対策

• サービスで使用しているソフトウェア管理
• サービス運用監視
• サポートからの告知

問題を検知する方法

• 運用監視から異常値を検知
  • 異常なメールを送りすぎ
  • 異常なパケット出しすぎ
• 各種ブラックリストから検出
  • FireHOL IP Lists

iplists.firehol.org

WordPressがクラックされる状況

パスワードクラック

• パスワードを推測する
• 推測しやすいパスワードを使わない

ユーザー名を特定する

• ?author=N のリクエストから漏れる
• CSS class "author vcard" から推測
• 管理者のIDが推測しやすい

パスワードを用意

• 1文字から使用可能

ログインフォームに送信

• HTTP Status 302 Location ⇒成功
• ログイン用のURLが固定
• ログインロックがない試行回数が無制限

ダッシュボードログイン

• テーマを編集
• 404.phpなどに @eval

↓このあたり参考

WordPress にバックドア仕掛けられないように… | dogmap.jp

対策

さくらのレンタルサーバでの対策⇒プラグインを同梱

ja.wordpress.org

• ユーザー名≒ニックネーム
• パスワード強度チェック
• ログインURLを任意のものに変更
• ログインロック＋履歴
• ファイル改ざん検知＋通知機能

できることをチェック

WP-CLI(PHP)

Command line interface for WordPress | WP-CLI

• 管理用コマンドラインインターフェイス
• バッチインストール、アップデートなど多機能
• 複数のWordPressを管理するなら必須

WPScan(Ruby)

github.com

• 脆弱性スキャナ

Pyscan(Python)

• マルウェアスキャナ
• 改ざんされたプログラムを検出
• 汎用的に使えてインストール不要

ダメなときは「全部消してやりなおし」⇒これが確実（調査は後回し）

原因を特定して対策を立てる

• 原因を特定しないと効果が期待できない
• カーゴカルトなセキュリティ対策はよくない
• 事前に発生しうる問題を想定しておく

サイトの「健全性」を確認する

• 大昔は障害で問題にきづくことも
• 今はただの死活監視では足りない
• アプリケーションレベルで異常値を検知

コンテンツは「資産」である

サーバは稼働していても機会を損失する

ホスト型WAF「SiteGuard Lite」徹底解説

株式会社ジェイピー・セキュア　取締役CTO　齊藤 和男さん

WF SiteGurardシリーズ

www.jp-secure.com

WordPressプラグイン

www.jp-secure.com

脆弱性の動向

情報セキュリティ10大脅威2017

www.ipa.go.jp

インターネットからの攻撃により発生した重要インシデント

今年の特徴

• Apache Strutsの脆弱性⇒JPSERTの情報が今年だけで7回更新
• WordPress REST APIの脆弱性

対策

• 自社でウェブアプリケーションを開発している場合はSQLインジェクションなどの攻撃を受けないように開発する
• フレームワークやCMSの提供元情報
• JPSERT/CCなどからの情報を収集
• 最新版やパッチを迅速に適用

最近の脆弱性の特徴

• 脆弱性公開から攻撃開始までの時間が短くなっている
• CMSを活用している場合拡張機能の脆弱性にも注意

⇒WAFを有効活用

WAFの役割

• 不正アクセスをブロックしてWebアプリの脆弱性を悪用した攻撃からウェブサイトを保護する
• 脆弱性を修正するものではない
• 保険的対策

新しい脅威への対応スピード事例

• Struts2の対応⇒注意喚起よりも先に対応
  • WAFでブロック

カスタム・シグネチャ

• 顧客が研修つポリシーを独自に定義
• 指定ホスト以外のアクセスをブロック
• 管理者からのアクセスを安全とみなす
• 指定パスの検査除外

※さくらインターネットではSiteGuard Liteを追加費用なしで利用可能

store.google.com

HomeにするかHome Miniにするか迷ったが、

• エンジニア視点で音声アシスタント機能を使ってみる事が目的
• Amazon Echoも使って比較したい
• Homeのほうは音が今ひとつという噂

などを踏まえて、先に発売されたHomeの噂をチラ見しつつ、検証目的で買って使ってみるならMiniのほうが手頃だろうと考えた。色はチョーク（白っぽい色）を選択。

10/13に予約購入し、10/24発送予定となっていたが、実際には10/25に発送（発送されましたメールが来たのは10/26の夕方だったが…）。

ざっくり開封の儀

ガジェットマニアのように開封の儀を執り行いたかったが、いきなり不慣れ感があって写真からは大きさが分かりにくい。。文章で補足すると1辺は10cm前後の大きさの箱で届いた。

開封すると本体、説明書、電源アダプタの順に入っていた。

説明書は至ってシンプル。

初期設定

Google PlayからHomeアプリをインストールして起動するとGoogle Home Miniを探してくれる。

色々聞かれるが、基本的には書いてある内容に従い設定する。

• どこで使うかを設定（複数台使う場合を想定してどの部屋のデバイスかを区別するため）
• 接続するWiFiの設定
• 「OK Google」と「ねえ、Google」の自分の声を覚えさせる

一通り設定が終わるとスピーカーのほうから設定完了の音声が流れて利用開始できる。

スピーカーの真ん中がGoogle Assistantアイコンと同じ4色で光る。

使い方の一部は説明書にも書いてあるが基本的にはGoogle Assistantと同じ。

ファーストインプレッション

デザイン的にシンプルだし場所を取らないので手軽に使えて良い印象。この大きさなら家の中を持ち歩きたいという気もするが、それだとスマホと変わらなくなるのであくまで据え置き型として使い方を模索するのが正しいのだろう。そういう意味ではスマートスピーカーとしての使い方はまだ生活に馴染んでいないのでしばらく使ってみてからの評価になるだろう。

先に使ってみた海外版Amazon Echo Tabと比較すると

• 小さいわりに音は良い（あくまでEcho Tabと比較して）
• 音声の外部出力が無いのは気にならない（外部スピーカーを使いたいシーンではGoogle Home Miniは使わない）
• ちょっとした事だが「Alexa」のほうが短くて呼びやすい
• 音声でGoogle Play Musicを操作するのは思ったより大変
• 長押しでアシスタントを呼び出す機能が使えないのは痛い

すぐ近くにスピーカーがある時に毎回「OK Google」で呼ぶのは結構めんどくさい。そう考えると長押しで呼び出す機能が不具合で使えない*1 のは痛いが、復活するかもしれないという噂もあるので期待したい。

※追記

音楽の操作はこちら。個人的には2,3曲飛ばすとか、昨日聴いたところから続けるなどができればもっと利用できそうに感じる。

Google Home で音楽を聴く - Google Home ヘルプ