情報セキュリティ: 2009年10月アーカイブ

CSI最終日は午前中のみ。朝のキーノートはCISCOのCTOの、どハデなプレゼン。（上の画像はCSIのボスのイントロダクション）最初の一言がいい。君たちの「ベストプラクティス」はもう終わってる。アンチウイルスも終わってる。技術がどんどん変わってるのに、セキュリティが変わらないのはおかしい・・・・という感じで、会場内を歩き回りながら言いたいことをがんがん喋る姿にはちょっと圧倒される。ある意味、CISCOの宣伝でもあるのだけど、なんとなく普段言いたかったことを全部言われてしまったような感じがした。クラウドがらみで考えていたID管理の形を、レイヤは低いが同じことを考えているとわかって、ちょっと複雑な感じもしたけど。

そのあと、彼の部下が担当したクラウド関連のセッションを聞いたのだけど、こちらのほうは、ちょっとトーンダウンした感じ。昨日のクラウドセッションのスピーカー（弁護士）とのやりとりが面白かった。つまりは、技術的な解がそろっても、コンプライアンスや契約面での課題がまだまだ多いというもの。どうしても、制度面は遅れがちのようだ。

とりあえず、これでCSIの予定は終了。表に出たら、すっかり空は晴れて、きもちのいいお天気になっていた。

常連組で、近くのアジアン系レストランで昼食。なんだか、アジア系の雰囲気を全部ごちゃまぜにしたような店。階段の脇に大仏さんが・・・・。

窓からはポトマック川を見渡せて、なかなか景色もいい。どうせ量が多いだろうからと、料理はシェアすることに。まぁ、ちょっと不思議な味だがそれほど悪くはない。

ここで、皆さんと別れてタクシーで空港に向かう。西海岸への移動は長旅だけど、フライトはアップグレードできてるから、機内で夕食も食べられるし・・・と思って、とりあえずチェックインしてゲートへ。

折り返しの飛行機が到着して、乗客が全部降りて、そろそろ搭乗・・・という時にいきなりアナウンスが・・・。ミネアポリス付近の航空路混雑のため、2時半出発の便は5時出発に変更となるので、乗り継ぎがある人はゲートのカウンターまで・・・・・。あらら、大変だ・・・。先の便がなかったら、今夜はミネアポリス泊まりかぁ・・・？、レンタカーはどうしよう、サンノゼのホテルは・・・・、などとあれこれ算段しながらカウンターに行くと、4時発、アトランタ経由でサンフランシスコ午後9時過ぎ到着の便に変更してくれるとのこと。2時間遅れでなんとか今日中には着けそう。振り替えのチケットをもらって、隣のターミナルのデルタのカウンターへ。しかし、ここでまたシステムの不具合で、予約がきちんと入っていないことが発覚。NWとのシステム統合はここでも問題だった。とりあえず、なんとか搭乗券をもらってゲートへ・・・。でも、やはりアップグレードはできず、窮屈なフライトとなった。

まぁ、それでも足止めを食わなかっただけマシ。とりあえずアトランタでサンフランシスコ行きに乗り継ぎ、9時過ぎに到着。とりあえずレンタカーをピックアップして駐車場から出ようとしたら、出口の係りが「車が違う」という。システム上登録されているナンバーと違う車だったようで、そこでまた時間を食って、結局、それから１０１を南下してホテルについたのは、もう11時近くになっていた。

どうも、前回の出張あたりから、こういうトラブルが続いてるのが気に入らないけど、まぁ、そんなこともある・・・。さて、今夜もそろそろ寝よう。ちょっとまた時差ぼけ気味ではあるけど。

今朝（といってももう昨日だけど）は雨のワシントン。昨夜は結構、大雨が降ったみたいだけど、今朝は霧のような小雨。ポトマック川の対岸もかすんでる。

二日目のキーノートは、個人情報漏洩が発生した際の報告（公表）義務について、各国の制度の違いを説明するもの。残念ながら日本は例に挙がっていなかったけど、こんな比較表があるので、それに日本をマップしてみたら面白いかもしれない。実際、グローバルにビジネスをする場合は、各地の法制度の違いをきちんと意識しておかなければいけないので。

ふたつめのキーノートは、メリーランド州の産・官・学の連係について。ITのイノベーションを一番ドライブしているのはどこ？。という話なのだけど、そのあとのパネルで、結局、3者がそれぞれの立場ですべきことを進めていくのが最もいい方法だという結論に至った。実際、メリーランド州はその形がうまく出来上がっているとのことだ。

そのあとのセッションは、クラウドの1日トラックを聞いた。クラウドに対する不安のトップはやはりセキュリティだが、セキュリティと言っても、コンプライアンスや機密保持契約に抵触する可能性への懸念がいちばん大きいようだ。

法律や契約で管理方法が定められている情報をクラウドに置くには、まずアウトソースが許可されていなければならず、また、自社に課せられている義務と同じレベルの保護（たとえば、特定情報へのアクセスログの取得とか）をクラウド事業者にも要求できないといけない。さらに、クラウド事業者がたとえば、基盤のシステムをデータセンタのIaaSサービスに頼っている場合などは、そうしたアウトソースも認められなければならないし、さらにそちらに対しても同じレベルの契約がされているかどうかをクラウド事業者に開示させる必要が生じる。

また、クラウド事業者の内部犯罪への懸念や、万一インシデントが発生した場合にユーザはどこまで調査権を行使できるのか、というようなことも問題になる。

現実を見れば、クラウド事業者の多くが提示しているサービス内容や委託契約は、こうしたユーザの懸念を解消できるものになっていない。米国では、特に大規模なクラウド導入に際しては、法律の専門家を交えて個別の交渉で契約内容を変更するようなこともままあるようだ。事業者は表面的には個別交渉に応じないという態度を崩していないが、現実には例外もかなりあるらしい。契約にうるさい米国では、それなしでは大きな企業への導入は難しいのだろう。会社の顧問弁護士は間違いなく「使うな」と言うはずだ。日本でも、本気でクラウドを使うことを考えるのならば、このようなことは考えていく必要がありそうだ。難しい問題だが避けては通れない問題だろう。

展示会場の前に不気味なものを見つけた。これもハロウィーンだから？

今日は1日雨のお天気、明日もこんな天気が続くみたいだ。明日は、午前中でコンファレンスは終了、午後にサンフランシスコへ移動する予定。午前中は引き続き、クラウド関連の話を聞く予定。明日の話は、クラウドの先には何が・・・というような内容なのでこれは面白そうだ。

現在午前3時、時差ぼけでまったむ眠くならない。中途半端に寝てしまったのが災いしているのだけど、一週間くらいの出張では時差ぼけを直さないほうが、帰ってから楽なので、あえて体内時計を狂ったままにしている。でも、そろそろ寝ないと・・・

では、また明日・・・

今日からCSIコンファレンス。ワシントン郊外は雲は多いものの、晴れ。しかし、今朝はちょっと肌寒い気温で、秋深しといった雰囲気だ。航空路の下なのか、空にはおびただしい数の飛行機雲。

CSIの初日は午前中がキーノートセッションと展示会。キーノートの最初は、陸軍のサイバー関連法の専門家、David Willson 氏の講演。サイバー犯罪や戦争行為にどう対応していくかを国際法の観点から考えたものだ。インターネットに明確な国境は作れないから、いっそ国際条約で公海や南極、宇宙などと同じようにネットも各国が領有権を主張できない場所にしてしまおうというもの。そして、管理は国際的な枠組みで行って、インシデント対応も国際IRTを作ってやれば・・・というお話。いかにも法律家らしい考え方だが、ちょっと無理があるかもしれない。

このあと、そのテーマでパネルが行われたのだけど、やはり、あれこれと異論が出た。まず、ネットはほとんどの国で民間会社が運営していること。当然、その所有権や管理権は民間にあるから、それを国際管理といっても無理がある、というのはISPサイドの意見。そもそもネットは人間が作ったもので、もとからある海や南極なんかとは違うんだということ。当然、ネットの形もその時代の必要に応じて変えていくことが出来るし、そうすべきだと言う意見だ。

思うに、すでにネット上に「長城」を築きつつある国もあるし、一部の国はサイバー「戦争」も視野に入れた動きをしている。こんな動きがあると他国も追随せざるをえない。実際、戦争や紛争にリンクして、ネット上で攻撃が行われることも少なくない。はたして、これが軍事的な行為なのか、一部の人間の勝手な行為なのかはグレーなままだ。条約を作るのはいいが、それが実効性を持つかどうかはきわめて疑問だと思う。ただ、今のままで進んでいくと、ネット上に国境を作らざるを得なくなりそうなのも事実。難しい問題だ。

キーノートの後、展示会をちょっと冷やかしてから、昼食までの間、会場の周囲を歩いてみた。展示会はあまりぱっとしない。この不景気で企業スポンサーもユーザ企業からの参加者も減っているからいたしかたないのだが、それでもこうしたコンファレンスを維持できている意味は大きいと思う。

雲は多いけれど、気持ちのいい天気で、ポトマック川を渡ってくる風がここちいい。空の雲も、なんとなく晩秋の雰囲気だ。

午後からのセッションは、モバイル関連の連続セッションを聞いた。今日の午後はいまいちぱっとした内容がなく、たまには・・・と思って聞いたのだけど、内容的にはありふれたもので、かなり退屈した。最後のセッションは眠気に耐えかねてパス。夕方のレセプションまでホテルで昼寝を決め込んだら、ちょっと寝過ごした。

恒例の参加者レセプションは、時節柄、ハロウィーンな雰囲気。例によって日本常連組で、あれこれお話。カメラマンが撮影に来たので、向かい側に座っていたアメリカ人らしき女性を囲んで乾杯ポーズで撮影。たぶん、来年のコンファレンスのパンフレットに載るのだろう。ちなみに、今年のパンフには、日本常連組が写った写真がたくさん掲載されていた。主催者的にはインターナショナルな雰囲気を出したかったのだろうと思う。

さて、明日は一日ぶっ通しの「クラウド」トラックを聞く予定。クラウドのセキュリティと言っても、技術的にはその基盤となる技術、たとえば仮想化やWebセキュリティ系のものが多いのだが、気になるのはやはり、管理面やコンプライアンスの面からの問題。情報が国境を越えたり、分散されてその位置が特定できなくなってしまうことなどを考えると、特定の情報、たとえば個人情報などの管理方法を細かく規定した法令や、機密保持契約などとの間で整合性が確保できない可能性がある。このあたりをどのように解決しようとしているのか、また、SaaSなどの事業者がどの程度情報開示やインシデント対応への協力をするつもりがあるのかなどが私の興味の中心だ。こちらのユーザたちがクラウドをどのような視点で捉えているのかも興味がある。「雲をつかむ話」で私が書こうとしている見方と共通するような見方があるのかどうかも知りたいところだ。

さて、今朝はちょっと冷え込んだので、今夜は室温をちょっと高めに設定して寝ることにしよう。

今日は秋の情報処理試験の日。取れと言われたわけでもなく、取らなきゃいけないわけでもない、資格ヲタなわけでもない。ある意味、こんな仕事をこの年月やっていて、とれなきゃ何かがおかしい試験。まぁ、冷やかし半分に勉強も特にしないで受けてみた。どんな問題が出るのかも気になったので。

朝から絶好の行楽日和、何が楽しくてパシフィコ横浜に缶詰にならんといかんのか・・・などと思いつつも、受けてみた。

試験の感想は、まぁまぁ、まっとうな試験かな・・・というもの。午前Ⅰの試験は、いわゆる世の中のセキュリティ技術者には、ちょっと範囲が広いかな。最初の問題の「２の補数」とか、フリップフロップの動作とか、パイプライン処理とか、リスト処理の速度とか・・・・。まぁ、ＩＴ技術者の基本として知っているべきことなのかもしれない。特にセキュリティは扱う範囲も広いので。午前Ⅱは楽勝のセキュリティ４択だったけど、問題には結構突っ込みどころも。言葉（特にセキュリティ以外の部分の）の使い方があいまいだったりして、解釈に苦しんだ問題もいくつか。雷サージ対策が問題に出たのはびっくり。これってセキュリティ・・・だったんだ。

時間が余ったのでひと眠り。午前試験は途中退出できないので、寝てる受験者も多数。結構簡単な問題だったので。

んで、お昼はワールドポーターズまで歩いてパスタを食べてきた。その途中と、午後試験の合間に取ったみなとみらいと横浜港かいわい。

午後Ⅰ試験は記述式試験。どのジャンルの問題が出るのか気になっていたのだけど、情報漏洩対策系が２問、暗号・ＩＣカード系１問、プログラミング（ＪＡＶA)系１問といった感じでうち２問を選択。暗号とプログラミングが苦手でも、なんとかなる構成。情報漏洩対策系はポリシーと対策の関係を考えさせ、それぞれの改善を考えさせる内容で、なかなかいい。ちょっと気になったのは、退場可能時刻になったアナウンスがやたら長ったらしくて、うるさかったこと。あれじゃ、試験の邪魔だ。９０分の試験時間を６０分たらずで片づけて、とりあえず次の試験まで、あたりを散歩。いいお天気で、海風が気持ちいい。

で、午後Ⅱ試験は論述問題。２問から１問選択で、２時間の試験時間。１問はユーザ認証と業務承認権限の管理基盤を構築するストーリーに関する問題。もう１問は、セキュリティポリシーに沿ったネットワークを構築するストーリーに関する問題。ネットワークの問題を選択した。ストーリーは理解しやすいのだけど、設問が結構幅広い。中にはちょっと無理やりな設問も・・・。ま、この程度は大目に見ていいかも。

結局、午後Ⅱも１時間で切り上げて退場。受験は終了。ちょっと横浜に寄り道して帰ってきた。試験時間が細切れなので、CISSPやCISAみたいに集中力が切れる心配がないのがいいな。出来は、まぁ、楽勝・・・・のはずなんだけどね。

家に帰ったらもう夕暮れ。最近、どんどん日が短くなっていくな。今日は５時にはもう日没。きれいな夕陽。かすんでいて見えなかった富士山が夕陽のシルエットとして浮かび上がる。富士山の影が空に伸びている姿は不思議な感じがする。

そして日没

１日があっという間に暮れて、週末もおしまい。明日からは、また雲を追いかける毎日がはじまる。