情報セキュリティ: 2008年11月アーカイブ

今日はCSIの最終日。午前中でセッションは終わり。今日はSecure Design Summit のセッションを聞いた。朝のキーノートでは、Entrerprise Security Architecture の話と、Oracleの製品セキュリティ関連の話。たしかに、企業のセキュリティはパッチワークではなく、全体をビジネスの面からも体系的に考えていく必要がある。印象的だったのは、リスクをポジティブに考えてみようという発想。たとえば、現在の自動車産業の危機は新しいテクノロジーやビジネスモデルを生み出す原動力になる、という発想だ。（しかし、今朝のニュースでビッグ３に資金投入はやめて、一旦破産させるべきだ、というような議論がなされていたのは、なかなか寒い話だ。議論している連中はもうリタイアした旧経営陣、あきらかに金持ちの発想で物事を語っている。いったい何人がそれで職を失うのか・・・、ともあれ、まぁ、新しいものを生み出す際には痛みを伴うのはたしかではあるのだが・・）しかし、これは企業文化が深くかかわってくる問題だとも思う。ITという意味合いでのEAもそうだが、トップマネジメントの強力なリーダーシップがないとなかなか難しいようにも思う。Oracleの話で、Security (isn't only a) design というテーマは、なかなか現実的かなと思った。たしかに、Security by Design の考え方は重要。当然システムは企画・設計段階からセキュリティが考慮されている必要があるのだが、たとえそうであっても、プログラミング段階で脆弱性が作りこまれることも多いから、結局は開発の全工程できちんとセキュリティを意識していないといけないという話。しかし、今の日本のソフト業界にとっては、その体質もからめて、難しい課題のように思える。

さて、Secure Design Summit のほうは、最初のセッションは(ISC)2のCSSLP（Certified Secure Software Lifecycle Proffesional）という資格の話で、ちょっとつまらなかった。飛行機の時間やホテルのチェックアウトの関係があって途中で席を立ったのだが、もう少しアーキテクチャの話を聞きたかった。

で、ホテルをチェックアウトし、空港へ。

DCAからNY(ラガーディア）までは、US Airのシャトル便。一応、Star Alliance のGoldもあるので、チェックインはスムーズ。時間があるので昼飯を・・・余裕でいたら、気がつくとセキュリティの前に、どうみても100mはあろうかという長蛇の列。幸いにもGoldで優先ラインを使えたので、待ち時間は少なかったのだが、セカンダリチェックに引っかかって、念入りに調べられた。なんだか新しいスキャナみたいな機械に入れられて全身を２回ほどスキャンされた。（たぶんこれが、最近話題のX線バックスキャッタースキャナーなんだろうか。あまりいい気持ちはしないな。）

NYまでのフライトは順調。１時間ほどでラガーディアに到着。雪・・というニュースで天気を心配していたのだけど、いい天気で、DCよりも暖かい感じがする。とりあえずよかった。で、タクシーでホテルへ・・・。昨夜はよく眠れたはずなのに、なぜか午後になって異常に眠くなってきた。とりあえず、ホテルに入ってベッドに横になったら３時間ほど寝込んでしまい、気がついたらもう日が暮れていた。

晩飯をホテルのレストランで食べ、とりあえず今日は寝るだけ。残る日程は明日１日なので、今日はちょっとゆっくりしよう。

幸い、天気はもったけれど、木枯らしが吹く寒い一日。まぁ、ホテルの中なのであまり関係ないのだけど、夕方食事に出た際には寒さを実感。

CSI２００８は２日目。今日はTrusted Computing Summit の３セッションと最近のマルウエア動向のセッションを聞いた。Trusted Computing Summitでは、TCG(Trusted Computing Group）のメンバーがTPM（Trusted Platform Module)チップやTNC（Trusted Network Connect：オープン版のNAC仕様）の話などを中心に会場の参加者と盛んなやりとりが行われた。TPMがいまやほとんどのノートPCに実装されているにもかかわらず、ほとんど使われていない問題や、どのように使っていくのかというあたりのプレゼンがあり、またその信頼性や中国が独自仕様を盛り込んでしまっていることなどへの危惧などの議論もあった。TNCについては、実際に企業がそうしたNACを導入するメリットは何か・・・といった話も出て、TCGがどちらかといえば技術先行で、それを普及させるためのビジネス要素についてもっと考えるべきだという指摘なども出ていた。最後のセッションは、Seagateの自動暗号化ディスクについてのプレゼン。これもTCGの一部とのことだが、内容はどちらかといえば製品紹介に近かった。このあたりでちょっと睡魔が襲ってきて一時システムスタンバイ状態に・・・・。

マルウエア話は、MessageLabsによる最近の観測から見たスパムメールとウイルスやフィッシングメールの頻度などに続いて、最近、感染ファイル添付よりもマルウエアへのアクセスURL添付メールが増加しているという話や、このURLに対してDNSが動的に設定されていて、ボット感染PCのアドレスがラウンドロビンで返され、ボットによってさらにマルウエアサイトにリダイレクトされるような形態が増えていること。また、DNSの内容は３分に１回といった短い頻度で変わることで、URLフィルタなど、DNSをもとにしたフィルタリング回避を狙っていることが紹介されていた。（これをFast Flux Domainと呼ぶらしい）また、スパム送信が短時間に大量に送信される傾向が強まっていて、これもフィルタ回避のためだろうということ、gmailアカウントなどを入手するために、CAPTCHA回避機能が用意され、３０％程度の解読率を上げていることや、そうして入手したアカウントを使って、google docなどに不正コンテンツを置いてメールから参照させるような形も出てきているとの話。まったく、あの手この手・・・。聞いていて気分が暗くなったところに、標的型攻撃の増加や会社の役員を直接狙ったものが増えている話などで、とどめをさされた。なんとなく自分の足元が不安になってきた。どうも、最近のマルウエア話は暗くなっていけない・・・・。

・・・と気をとりなおしてちょっと景色など・・・。ポトマック川の風景と夕暮れ。ちょっとほっとする。

展示会場は年々、閑散としていく感じ。見ていて、あんまりわくわくする製品やベンダがなくなってきたなぁ・・・・と思う。今年はいきなりの不景気で余計にそう感じるのかもしれない。

夜は日本からの常連組の人たちと夕食に。しかし、寒い・・・・。イルミネーションはきれいだけど、写真を撮る手がこごえてしまった。

さて、明日は最終日。午前中のセッションが終わったらNYに移動・・・。雪じゃなきゃいいけど・・・

日曜に一日かけてワシントンD.Cに移動。郊外のNational Harbor で開催されているCSI2008に参加中。サンフランシスコとワシントンの気温差は大きくて、セーターを着込まないと外は歩けない。一方、ホテルの中はそれなりに暖かいので、逆に暑くなる。

会場は、例によって巨大な高級ホテルなのだけど、このご時勢、さすがに気が引けるので、向かいのレジデンスインに宿を取った。歩いて３分なので便利だが、最近開発されたリゾート地とあって、料金はそれなりに高い。下の写真は会場ホテル前。

さて、初日は朝のキーノートからなのだが、今回のキーノートは４人もスピーカーが出てくるロングバージョン、ねたも、いまいちよくわからない一般論からID管理、仮想化まで・・・。ちょっと眠くなってしまったというのが正直なところ。

しかし、キーノートに先立ってCSIのDirector挨拶で、「この金融危機で皆さんのセキュリティ予算も、ちょっと危ないよね・・・」なんて言葉が出てくるほど、やはりこちらの状況は深刻なようだ。予算ばかりかクビも危ない状態の人たちも多いようで、今回のコンファレンスは参加者も心なしか少なく見える。

今回のセッション構成は従来の分野別トラックではなく、特定の話題を扱うsummitと呼ばれるトラックがいくつかあり、あいたコマで個別のテーマを扱うような形。今日はSIEM（Security Incident/Event Management） summit をまず聞いた。SIMとかSEMとか、セキュリティ統合監視システムのAcronymは変遷してきたが、どうやら最近は SIEM に落ち着いたようだ。結局のところは、撤退したり、買収されたりしたベンダが多く、この分野はArcSight社の一人勝ち状態になってしまったこともあり、パネルは、ユーザ V.S ArcSightのやりとりに参加者もからんでなかなか面白かった。結局、 SIEMは、ひとつの道具であり、その効果は使うユーザに大きく依存する。自分たちの導入目的やニーズがはっきりしている米国の大手企業だから使いこなせる・・・ということもありそうだ。ベンダもある程度のテンプレートは用意できるが、なかなかユーザにフィットするものにはなりにくく、カスタマイズにはユーザ自身の明確な意思表示が不可欠だと思う。そういう意味で、ユーザサイドにセキュリティの技術を理解できる専門家がいる米国の大手企業とは異なり、米国でも中堅企業では、なかなか使うことが難しいという認識のようだ。我々日本を振り返ってみるに、米国よりも状況はよくない。米国のセキュリティ製品の多くが、大手企業にフォーカスして、専門家が使いこなせる管理機能を強化する方向にある中、だんだんこうした製品が日本で売りにくいものになっていくような気がする。これはベンダ側の問題もある一方で、そろそろ日本の、少なくとも大手と言われる企業が、小規模でもいいからセキュリティの専門チームを自社につくり、ベンダのカウンターパートとして機能できるような体制を作っていく必要があるのではないだろうかと思う次第だ。フルアウトソースの是非については、IT全体でも議論があるが、セキュリティに関しては、かなり難しいだろうと思う。つまり、はたしてアウトソース先に任せた仕事の責任を取りきれるだろうか・・・ということだ。システムダウンなどのITインシデントでも問題になることだが、セキュリティならばなおさらだろう。あれこれ考えさせられた議論でもあった。

コンファレンスの会場になったホテルは、豪華かつ明るい雰囲気。大きなアトリウムは昼間は明るく、夜はイルミネーションがなかなかいい感じだ。

さて、３時間の時差上積みで、まだ昼間は眠気がとれず、コーヒーが手放せない。今夜は少しはよく眠れるといいのだけど・・・。

・・・とテレビを見てたら、NYは大雪らしい・・・・・。このあたりも明日は寒くなりそうな感じ。雪も降るかも。はぁ、風邪を引かなきゃいいけどね。水曜にはNY移動なのだけど・・・・今年の初雪はアメリカで見ることになりそう。