このブログは「風見鶏」が、日々気づいたこと、思ったこと、したことを気ままに綴る日記です。2008年9月に旧ブログから引っ越しました。バックアップをご覧ください。

ゲストログインがうまくできないので、コメントを承認制にしました。スパムでないことを確認の上、公開します。判断はあくまで「風見鶏」の主観で行いますので、文句は受け付けません。(笑)承認が遅れることもままあると思いますが、あしからず・・・

なお、ここに書いていることは、あくまで個人的な思いであり、いかなる組織をも代表、代弁するものではありませんし、無関係ですので念のため。

情報セキュリティの最近のブログ記事

ツツジ日和

| コメント(0) | トラックバック(0)

今朝もしっかり朝寝坊して、散歩はコンビニ買い出しのみ。そろそろ新月に近づいて、入江川の水位が大きく下がっている。こうしてみると町中のドブ川なのだが、海に近いこともあって水が入れ替わるのは多少マシである。夏場は水が引くと臭いがきついのだが、この時期はまだそれほどでもない。

今日は、午後から某客先に出かけ、ちょっと打ち合わせをして帰ってきた。

帰りは秋葉経由で、ちょっとヨドバシを冷やかし。買わないまでも、時々、新製品などのチェックは重要である。(笑)帰ってきたら、駅付近のツツジが満開になっていたので、ちょっと見て回る。

八重桜も散り始めて、そろそろツツジの季節である。道路沿いの生け垣も綺麗に咲き揃っている。

そう言えば、「チケットぴあ」のサイトの不正アクセスでカード情報が流出したというニュースを見た。セキュリティコードも流出・・・という話なので、そもそも、そんなものを保存してはいかんだろう・・・・と思って、ニュースリリースを読んで見た。本来保存する仕様になっていなかったはず・・・という話で、知らない間に(勝手に)保存されたり、ログに記録されていたりしていたという文脈である。Struts 2の脆弱性が原因らしいが、なにやら言い訳がましい書きっぷりである。「これらは、3 月初旬より同時多発的に生じている、一連のサイバー攻撃による事象と同じものであり、・・・」と巻き添えを食ったかのような表現有り、開発会社や運営会社の実名を挙げて、責任を強調するような書きっぷりありと、なかなか往生際が悪い。まぁ、それはさておき、この後始末がどうなるのかは興味深い。最近、こうした事例で開発元や運用委託先等の責任を法的に追及する動きも増えてきているのだが、今回の場合、脆弱性を認識していて、その上で修正パッチを当てる作業の判断をどのようなプロセスで行っていたのかはひとつの焦点だろう。これも、ぴあ側は、「まさかカード情報まで保存されているとは思わなかった」と予防線を引いている。おそらくは、(暗黙に)サイトの稼働を優先していた可能性もある。次に問題になりそうなのが、カード情報の取扱に関して、どこまで仕様に明記していたかだろう。「保存禁止」「ログ等への出力禁止」が明記されていれば、ぴあ側に問題はないのだろうが、単に書いていないことをやったという話だと、ややこしい。いまやカード情報の取扱において、セキュリティコードを保存しないのは業界の「常識」のはずだが、まだまだ開発者の常識にはほど遠い。裁判沙汰になれば、そのあたりも争点になるだろう。先般、アプリケーションの脆弱性に関しては、開発元の「常識」欠落の責任を問う判決も出て論議を呼んでいるが、今回は脆弱性に関しては開発元の直接的な責任ではない。ぴあ側が「想定外」としているカード情報保存について、仕様がもし曖昧であったならば、どこまでを「常識」と考えるかという議論が、カード情報についても起きる可能性があるだろう。仕様が具体的であっても、受け入れ時の確認もれに関する責任は、リリースにも書かれているように、ぴあ側も負わざるを得ない。ちょっとウォッチしておきたい事案である。

さて、そんな感じで今日も暮れ、明日は自宅で仕事をしつつ、夕方に都内で一件打ち合わせの予定だ。

そろそろ春本番

| コメント(0) | トラックバック(0)

今朝は快晴。気温は低めだが、日中は暖かくなるという予報である。

散歩道の、この桜はもう満開。早咲きの品種なのだろうが、一足先に春爛漫な景色である。

駅近くの小学校の校庭にある桜も、ちらほら咲き始めていたから、そろそろあちこちでスイッチが入ったようだ。関東地方の開花は早い予想らしいので、下旬には開花宣言が出そうである。

今朝は日差しがいっぱいあって、いつもの猫たちも、のんびり日向ぼっこをしている。木々の上では、日差しを受けて暖まるハトの姿も見られた。

公園脇の花壇のチューリップが、つぼみをつけ始めた。開花も遠くなさそうだ。今朝の散歩は、外出予定があったので後半をショートカットして1時間半くらい。

今日はいつもの客先仕事。この仕事も結構大詰め。夕方まで客先にいて、またいつものように秋葉経由で帰ってきた。

そういえば、久しぶりにUS-CERTからの注意喚起がメールで届いたのだが、今回は、企業等でよく使われているWebセキュリティゲートウエイのTLS横取り機能が結構いい加減だという話のようである。この種の製品は、TLSの通信内容をチェックするために、クライアントからの接続要求をサーバのフリをして一旦受けて、自分自身が再度サーバとのTLSコネクションを確立することで、内容を平文でチェックしている。いわば、MiTM(Man in The Middle)であるのだが、この場合、当然ブラウザ側で不審なサーバだと警告が出る。これを防ぐため、ゲートウエイが発行する証明書を信頼できるものとしてクライアント側にインストールする。これによって、クライアントは無条件にゲートウエイが発行する証明書を、つまりゲートウエイを経由して接続されるサーバを信頼してしまう。この場合、相手側のサーバの証明書確認はゲートウエイの責任なのだが、この確認が多くの製品で結構いい加減だというのが今回の警告の中身である。また、サーバ側で、こうしたゲートウエイを経由していることを認識する方法もいくつかあるようなので、悪意のサーバがそれを逆手にとってクライアントを騙すことができるといった可能性が指摘されている。さすがの、セキュリティをうたう製品でそんなことはないだろうと思っていたのだが、どうやら買いかぶりだったようである。困った話だ。

さて、明日は終日、某協会関係の会合が続く。一日、西新橋方面に詰める予定である。

今朝、ホテルをチェックアウトし、空港へ向かう。ホテルのシャトルが予約制だと知らず、結局タクシーを呼んで空港へ。なんせ、スキーの大荷物なので、バンタイプの車を呼んでもらった。とりあえず、チェックインもセキュリティもスムーズで、ギリギリだったにもかかわらず、問題なく搭乗時刻に間に合った。で、ちょっと遅れながらも無事離陸したので、ようやく今回のRSAの話を書くことができる。

米国のコンファレンスは総じて朝が早い。会場やその近くのホテルに滞在していれば、なんということはないが、今回はちょっと遠い宿だったので、結構、朝はばたばたする。結局、ちょっと出遅れて、キーノートのメイン会場には入れず、別会場での映像観戦となった。

今年は、なにやらちょっと不穏な雰囲気である。最初から「カオス=混沌」というキーワードが飛び出した。どうやら、我々、セキュリティ屋は「混沌」とした状況に直面せざるを得ないらしい。いかにも、セキュリティ業界を代表するコンファレンスらしい、ある意味FUDっぽい話の建て付けなのだが、実際、たしかにサイバーの世界はかなり混沌としてきている。これはセキュリティだけの話ではなく、ITの世界全体の話である。1月のCESで見たように、技術は爆発的に進化、多様化している。それを引っ張っているのが、世界でもトップクラスの研究者や技術者だから、この先の予測は極めて難しい。しかも、それにAIのような、ある面では人間の能力を遙かに凌駕するようなものが、それを後押しするとすれば、これからのITの世界は、どんどん「想定外」の出来事が起きるだろう。政治的、社会的な影響もこれまで以上に大きくなる。戦争の(むしろ、表向きの戦争ではない情報戦の)道具としてこれらが使われる可能性は極めて高い。これらは技術的な問題ではなく、極めて政治的なパワーバランス の問題である。「セキュリティ」という領域を守っていこうとすれば、当然ながら、こうした、いわば「ITの爆発的進化」や環境の変化とと向き合わなければならない。それは、極めて難しいことだ。だから、今回の「混沌」は、セキュリティ業界が、ある意味で行き詰まりつつあるというシグナルなのかもしれないと私は思うのである。

これは、CESが、ITの進化による明るい未来を体現しているのに対して、その対極にあると言っても過言ではない。結論めいたものがあるとすれば、「とにかく、一緒に頑張ろう」という話である。ただ、私が思うに、「一緒に頑張る」相手は、同業者(セキュリティ屋さんたち)ではなく、むしろ、世のIT屋さんたちなのだろう。我々セキュリティ屋は基本的なことは知っていても、最先端のIT分野に自ら対応できるだけのパワーはない。実際、加速度的に拡大するIT技術やビジネスの最前線には、外(門外漢)からの意見を受け入れる余裕もないように思えるのである。思うに、そろそろ「セキュリティ業界」という、いわば「ご意見番」めいたポジションを捨てて、自ら様々な現場に入り込み、その分野の専門家や技術者と一緒に、もしくは自分がそうした存在に変わって、内側からセキュリティを高めていくことが必要になっているのではないだろうか。ある意味、「セキュリティ業界解体論」に近いのだが、そもそも、セキュリティ自体、何かに従属している存在なのだから、これは自然な流れではないかと思うのである。

今回は、フル・コンファレンスのチケットを敢えて買わなかった。たかだか45分程度のセッションの繰り返しのために、早期割引でも十数万円の投資は割に合わないと思ったからである。なので、今回はキーノートでの全体像掌握と、展示会でのベンダ動向の把握に重きを置いてみた。

最近よく見るのは、こうした自国の企業をアピールするブースである。CESでも多かったのだが、アジア系はもとより、最近ではヨーロッパ系も積極的だ。

米国は政府機関の出展も目立つ。こちらはNSAのブース。

今回は、FBI、DHS(国家安全保障省)もブースを出していて、様々な民間支援プログラムなどをアピールしていた。政府系のリサーチから、民間にノウハウを移転するというプログラムも少なくない。、このあたりは、産官学で人材がうまく回っていて、国が主体的に研究や技術開発に踏み込んでいる米国ならではの動きだろう、残念ながら、我が国では一部を除き、「官」は「産」にたよりきりなので、こういうプログラムは機能しない。

キーノートでも話が出ていたのだが、防衛系の企業の出展も目立ち始めている。「サイバー戦争」が現実味を帯びる中、軍需産業の力の入り方も顕著になっている。こうした企業が近い将来、レガシーなセキュリティ企業に取って代わる時代がくるのかもしれない。

こちらは、DHSのブースである。

初日は、そんな感じでキーノートと展示会巡りで終わった。午後に一度宿に戻り、夕方にまたダウンタウンに帰って、日本のお客さんとの会食など。

少し時間があったので、ユニオンスクエアあたりをしばらく散策。一昨日のサンフランシスコは春のような陽気で、夕方は、散歩していて、気持ちがよかった。

宵の明星が出ていたので、ちょっとこんな絵柄を撮ってみた。

ちょうどバレンタインデーとあって、夕暮れのユニオンスクエアは歩くカップルの姿も多い。

もうひとつ、こんな絵も撮ってみる。

そんな感じで、お客さんとの会食も無事終えて、PowellからBARTでMillbraeに戻る。Powell St.のケーブルカー乗り場は遅い時間でもケーブルカーを待っている人がいる。

翌日の朝は、ちょっと雲が多い空模様。この日は、近くのMariottの会場にあるSandboxエリアのIoT/ICS系のステージに詰めてみることにした。

コンファレンスセッションが、参加費の割にはイマイチだと書いたのだが、そういう意味では、Sandboxのセッションは、そこにフォーカスして話を聞きたい人間にはいい。しかも、展示会パスでも聞ける。そのぶん、地べたに座って聞くという、よくあるスタイルなのだが、どちらかと言えば私はそういうスタイルが好きなのだ。

ICSサンドボックスのプレゼンでサンディエゴがスマートシティの先進的な取り組みをしていることを知った、そういえば、CSAのIoT WGのリーダーせある、Brianも、サンディエゴ在住である。これは、もう少しあれこれ調べてみたいところだ。

お隣では、SANSがCTFっぽいイベントをやっている。

こちらは、このところICS系ステージの常連になっているカスペルスキーの連中。今回は、プラントのVRシミュレーションを使って、ICSへの攻撃シミュレーションを可視化しようという面白いシステムの紹介。本物のPLCからの信号をシミュレータに取り込んで、実際のプラントがどう動くかをVRでシミュレーションするというもの。見た目は、VRゲームそのものだが、実際に、PLCからの信号でプラントが異常動作して、それを映像で確認できる。

これは、圧力異常で可燃性ガスが漏れて火がついた状態。

まだ開発途中らしいが、実際のプラント用のステージングシステムに応用すれば、プラントを燃やさなくても(笑)攻撃や異常のシミュレーションができる。すべてをシミュレートするのではなく、実際の制御系のアウトプットを受けて動く部分のシミュレーションであるのが面白い。実際の演習などで有効活用できそうな技術である。

こちらのセッションでは、医療機器の実際のインシデントや医療機関内でのセキュリティの取り組みを医療機関のCISOが語ったセッションである。実際、一般のセキュリティはCIA(機密性、完全性、可用性)のうち、C(機密性)にフォーカスすることが多いが、医療系など、直接人に影響を及ぼすシステムでは、可用性や完全性の欠落は命に関わるため、一般とは違った優先順位で考える必要がある。しかし、医療機関という独特のカルチャーを持つ組織で利用されるITに関してセキュリティの対策や対応を取ろうとすると、そのカルチャーが障害になることが少なくないようだ。たとえば、医療機器を装着した患者に何かあった場合の調査で、機器のフォレンジック調査がタイムリーにうまく出来るか・・・といったあたりである。特にIT畑からのCISOは、そのあたりで苦労するのだとか。

トレンドマイクロの連中は、SHODANを使って、インターネットに公開されて(しまって)いる機器の傾向分析を紹介していた。機器やプロトコル別、地域別の件数で見ると、なかなか面白い傾向があるようだ。ロサンゼルスは全体的に件数が多い。次いでヒューストンが続く・・・と言った感じだが、プロトコルによっては、違う都市がトップに出てくる。これは、脆弱な機器の普及の偏りや、人口、IT化率、その他様々な要因が関連しているのだろうと思う。こうした傾向と、各都市の様々な統計情報を相関させてみると面白い傾向が見えて来るかもしれない。それこそ、ディープラーニングに食わせてみたいテーマである。

今年も、政府系な人のプレゼン。去年はFCCが、5Gに関する話をしたのだが、今年は商務省から。IoT機器の安全を高めるためのコミュニティー作りを呼びかける内容のプレゼンである。米国の役所の偉いところは、こうしたところでの存在感を自然に作り上げているところだろう。偉そうにするでもなく、でも、自分たちの方向性を説明して技術コミュニティーに対して協力を求め、率直にに議論する彼らの姿勢は、どこかの国の役人どもに足の爪の垢でも煎じて飲ませたいところである。まぁ、こうしたことができるのも、米国のように産官学で人が循環している国だからだろうが・・・

さて、今年のRSAはそんな感じで終わった。CESとはなかなか対照的な感じがあってこれはこれで面白かったのだが、我々も、もう一度自分たちの立ち位置や、これからのロードマップを考え直さなければならないだろうと強く感じた次第である。

CSA Summit US 2017

| コメント(0) | トラックバック(0)

だんだん遅れていく日記書き。いろいろ内容があって、まとめる暇がなかなかとれない。今回は、特に宿がMillbraeであることもあって、ダウンタウンへの行き来に時間がかかる点もちょっと影響している。

この駅は、BARTとCaltrainの接続駅である。朝夕はSFO(サンフランシスコ国際空港)を経由しないBARTの直通電車が走っているので、折り返しの時間が省ける。さて、13日はRSAのプレイベントであるCSA Summitに参加した。クラウドの世界も、いよいよ本格的に大規模な導入が進んで、一気に一般化したのだが、そのぶん課題も色々と出てきているようだ。

ガートナーの予測では、2020年までに大企業の98%がハイブリッド・クラウド化した情報システムを持つだろうとされている。今回のSummitでも、その関連の話題がいくつかあったが、ハイブリッド化することで、オンプレミスとクラウドの境界が曖昧になり、結果として企業ネットワーク全体の境界が崩壊する可能性が高い。クラウドを積極的に利用する方向ならば、これは避けがたいことなので、境界を前提にしないセキュリティを考えなければならないわけだ。

結局、エンドプロテクションが重要になるのだが、その要はセキュリティの基本である、ID管理と認証、そしてアクセス制御である。つまりは、これまで「境界」防御に頼って、あいまいにすませてきたアイデンティティの管理を基本に戻ってきちんとやる必要が生じるという話だ。

一方、ハイブリッド化で企業ネットワークと密に繋がるクラウド事業者側では、別の懸念も浮上する。現在、大手のパブリッククラウド事業者のセキュリティレベルは非常に高い。しかし、ユーザのシステムがそれに直結することで、もしかしたら、ユーザ側がバックドアになるかもしれないという懸念である。これは、今まで議論されてきたのとまったく逆の見方なのが興味深い。結局、繋がるということは、どちらにもリスクが生じるわけだが、多くの(レベルが違う)利用者をかかえる事業者側では、より問題が深刻化する可能性があると言うことだろう。

クラウドのアジリティを最大化するDevOpsへのセキュリティプロセス組み込みを意味する、DevSecOpsの話もいくつか。これは、DevSecOpsにおける、開発者、セキュリティ担当者、運用担当者のそれぞれの分野における必要なスキルレベルを示したチャートである。それぞれ、他の分野の知識や経験が少なからず必要となるのは、開発から運用までを一気通貫にし、問題を速やかに開発(設計)にフィードバックするDevSecOpでは、各担当官のコミュニケーションが最も重要になるからだ。

CSA Summitのスピーカーは招待者を除いて、基本的にスポンサー企業である。なので、人によっては企業宣伝の比率が高くなってしまうのが難点といえば難点。一応、製品・サービス紹介だけはダメよ、というルールはあるようなのだが、つまらないと感じるセッションも若干あるのが残念。以前に比べて、最近特にCSAはその傾向が強まっている。あまり、これが強くなると、自己崩壊に向かう可能性もあるから注意して欲しいところである。

この日は終日、CSA Summitに参加して、夕方からはRSAの展示会場でWelcome Receptionに。展示会場で、軽い食事や酒が出るので晩飯代とカロリー軽減のために顔を出す。北館のロビーには、こんなSOCが・・・。なんとなく、こじんまりとしたブースで、ある意味「見世物小屋」的な雰囲気だ。

使われているのは、当然、RSAのSIEMなどの製品である。Interopのようにあれこれ様々な製品が置かれていると面白いのだが。

とりあえず、食って飲んで、ほろ酔い加減でどこにどんなブースがあるのかだけ見て回る。今年もFBIはこんなブースを出している。面白いのは、FBIグッズ(バッジみたいのとか)をブースで売っているところである。Fed系では、NSAやDHSが、やはりブースを出していた。アメリカのいいところは、こうした政府機関が様々な民間支援プログラムを提供している点である。セキュリティ企業は、ともすれば金の儲かる大企業にフォーカスしたソリューションを提供しがちだ。これは日本でも同様である。なので、そうした網からこぼれてしまう企業や業界に対する支援の意味でも、いい形だろうと思うのである。また、民間企業に対して、政府の技術が利用できる枠組みも用意されている。ちょうど、民間ロケット企業にNASAが技術提供しているのと同じ形である。まぁ、どこかの国ではそういうノウハウも、まるごと民間頼みだから無理だろうな・・・・と、ちょっと自虐的な感覚に陥ってしまった。(苦笑)

そんな感じの月曜日。昨日と今日の話は、帰りの飛行機の中ででも書くことにしようかと・・・。そろそろ荷造りして寝るとしようかな。

今日は朝からどんよりしたお天気。雨は降らない予報だが、気温も低くて肌寒い一日になった。

朝からちょっと仕事をしたり、買い物に行ったり。朝のうちに密林に注文してあったBDのシリーズが届く。いやぁ、某☆シリーズにハマってしまい、2シーズン大人買いなど・・・。だんだんダメな人になりつつあるかもしれない。(苦笑)体重オーバーなこともあって、昼飯は抜いて午後からしばらく周辺を歩き回る。

ついでだから、ポケモンハントとポケストップ周りなども併せて。まぁ、このゲームは歩くモティベーションにはつながるので悪くない。

歩いて見ると、同じような奴らが結構いる。まぁ、これで日本国民の健康度が上がるなら悪くない。(笑)

そう言えば、鳥取地震の後、日向灘で中規模の地震があったとか。昔の鳥取大地震の後、東南海地震が起きたこともあって、そういう話も取りざたされているのだが、連動説はさておき、地震活動が活発化していることは間違いないので、注意するにこしたことはなかろうと思う。食料や水の備蓄くらいは、多少考えておいた方がいいだろう。

そうえいば、今日の散歩コースには、ただいまドロドロ渦中のこの建物もある。警察はずいぶんと慎重に捜査しているようで、犯人につながる情報はまだまったく出てこない。なにやら怪しい雰囲気である。そろそろ真相が明らかになってほしいものだと。

調子こいて歩いていたら、ちょっとエネルギー切れっぽくなってしまったので、公園のベンチで一休みする。ふと見たら横浜線を点検用車両が走っていく。

そんな感じで歩き回って、ちょっと疲れたので家に帰って軽く昼寝してから届いたBDを見る。

そんな感じで今日は終了。そう言えば、米国のISPがDDoSを食らってDNSがダウンし、メジャーなサイトがアクセス不能になったようだ。DNSを狙われるとインターネットは崩壊する。そもそも、設計上の問題があると言われているDNSなので、そろそろ真剣に対策を考えた方がいいかもしれない。たとえば、非常時にはDNSをインターネット帯域外で検索できるような仕組みとかも考えた方がいいかもしれないなと思うのである。たとえば、ISP間だけでも、こうしたアウト・オブ・バンド的なDNS連携をやってもいいのではないだろうか。

さて、明日もちょっとお仕事しないといけないな。

またもや地震・・・

| コメント(0) | トラックバック(0)

今日は昨日よりも少し気温が下がって、日中でも半袖だとちょっとスースーする感じ。CODE BLUEは午前中サボって、昼から出かけることにして、朝のうちに買い物とかクリーニング出しとか。

このところ、ちょっと気を許していたら、またしても体重が危険水準になっている。運動量が維持できていないので、多少食い物を減らしても間に合わない。やはり、毎日体重計に乗って自らを戒めた方がよさそうである。

さておき、午後から新宿へ向かい、CODE BLUEを聴く。午後のセッションは、ATMハッキングの話から。物理的に蓋を開けることができれば、いろんなツールでソフトウエアに不正な操作ができるよ・・・という話なのだが、物理的に蓋を開けられるのであれば、直接オカネを抜いた方が・・・などと思ってしまうのは私が俗人だからだろうか。(笑)不正送金マルウエアの無害化オペレーション、C&Cのドメインをひとつ乗っ取って、ボットネットの制御を奪い、無害化するようなコマンドを送りつける方法は興味深い。それをKC庁がやったというのは(法的根拠の意味会いも含め)なかなかインパクトがあるのだが、セッションでも述べられていたとおり、そうした方法は何度も通用しない。結局、地道に国際協力しながらテイクダウンしていくしかないのだろうかな。たとえば、駆除用ソフトウエアをネットに放つ・・・なんてのも将来的には可能になるのだろうか。まぁ、結果としてイタチごっこになって、ネット上で戦争状態に・・・なんてことも予想できそうだから熟慮が必要なんだろう。

某赤い國製ルーターにバックドアが・・・・というセッション。ブラジル人の訛りのキツい英語に閉口しながらも、興味深く聴いた。思うにサプライチェインが複雑化する中で、どこでそうした操作が行われたのかを突き止めるのは難しい。結局の所、それは解明できなかったようだが、実際、そんなことがあるかもしれないという前提で物事を考えなければいけない時代なのかもしれない。しかし、発見したきっかけが、保存した設定ファイルの中に平文でBACKDOORの文字があったというから、間抜けな話というより、もしかしたら悪意というよりも無神経にそうした裏口を作り込んでしまったのかもしれない。たとえば、メンテナンス用みたいな感じで・・・。ただ、それが見つかってしまうと悪用が可能になるのだから、そうしたものも含めてしっかりチェックできないといけないのだろう。

今日も、適当に切り上げて帰ってきた。なんだか、簡単に行ける場所であるコンファレンスは、どうも気合いが入らない・・・(苦笑)まぁ、ちょっとは刺激になったので、また日頃の本業を頑張るとしよう。そんなことをしている間に、鳥取方面で震度6弱の地震があったとか。熊本の地震から半年あまりで、また被害が出る地震が発生した。やはり日本全体で地震や火山活動が活発化しているのだろうか。こちらも、日頃からの備えが重要である。

RSA3日目、最終日の今朝は、ちょっと晴れ間も見えていて、傘は持たずに出かけたのだけど、会場に着いてしばらくしたあたりで雨が降り出した。とりあえず影響はないのだが、なかなか止む様子がない。

午前中はトラック別のセッション。最初のセッションはアジアをターゲットにしたマルウエアなどのお話。日本を標的としたshifuの特徴など。それから、東ヨーロッパのブラックマーケットのお話。表のECサイトばりの、品揃えとサポート体制は、なかなかの驚き。コールセンターもあって、アフターサービスも万全だと言う。まぁ、それを、お客相手のビジネスと考えれば、表も裏も基本は同じなのだろう。製品だけでなく、教育コースなどのサービスもあって、ハッカー講座は、卒業後の就職斡旋もあるらしい。

午前の最後は、開発系のセキュリティ。DevOps(開発、運用の一体化)によるサービスの継続的開発とリリースが流行だが、こうした手法において、システムのセキュリティを低下させないためにどうすべきか、といったセッション。DevOpsの基本は徹底した自動化だが、そこにセキュリティも組み込んでしまおうという話である。ただ、言うは易しで、実際には様々な課題がある。ともすれば、開発とリリースの効率化に逆行しがちなセキュリティだが、それではビジネス的に本末転倒になる。まずは、セキュリティ屋さんも、マインドセットを変える必要があるという話である。

ランチを挟んで、午後はIoT系のセッションを一本聴いたのだが、こちらはちょっとイマイチ。某Web系セキュリティベンダの我田引水的なお話だったので、ちょっとがっかりである。我田引水と言えば、そのあとのキーノートの冒頭で、登壇したアリババのセキュリティ責任者も、英語はひどいし、内容は自社の宣伝・・・。聴いていてちょっと辟易とした。このあたりが、まだまだAP&Jの未熟な部分だろう。

その後のEYの話は、世界的な流れとアジアの傾向の差を、数字ベースで見せてくれたので面白かった。世界的に見ると、セキュリティ投資の比率は「予防」「発見」「対処」をバランスさせる方向にあるが、アジアでは、まだまだ「予防」偏重になっているという話など。これは、日本も例外ではない。防御しきれない脅威が増えている中で、変わっていく必要がある部分だ。

クロージングは、ノーベル平和賞受賞者のSir Bob Geldof氏の講演。貧困や格差の解消に取り組んできた氏からみたデジタルエイジの問題点などについての話。インターネットの発展は、格差を埋める一方で、新たな格差も生み出してしまう。人間自身が追従できないような速さで進む物事が、社会を不安定化させるといった問題などを指摘しつつ、現在の状況と20世紀初頭や19世紀初頭の戦争前夜の状況の類似性を説いていた。なかなか奥の深い話である。

そんな感じで、午後4時前にコンファレンスは閉幕。その後、またU先生、T氏とちょっとお茶をしてからホテルに戻った。しばらく上がっていた雨が夕方からまた降り出したので、晩飯はまた近場のクラークキーあたりにでかけて、川沿いの居酒屋で一杯ひっかける、

小雨が降る中、クラークキー界隈は、それでも結構な人で賑わっている。

そんな感じでほろ酔い加減。ホテルに戻って、またちょっと寝落ちしてしまった。

明日は一日フリーなのだが、ちょっと天気が心配。雨ならホテルで仕事でもしていようかと思っている。

昨日はRSAの2日目。前日同様、夜半過ぎから雷雨になり、朝まで雨が残ったが、ホテルを出る頃には雨も上がって晴れ間がみえてきた。2日目は、午前中、トラック別のセッション。私はThreat Intelligence系のトラックに居座り。

最初は、FireEyeのAP-CTOのセッション。いわゆるAPTによるアジア向けの攻撃の状況について紹介すりもの。APTと言えば、暗黙に赤い國を意味するのだが、非常に組織化され、洗練された攻撃を仕掛けてくる厄介な相手である。戦略、作戦にもたけていて油断がならない。最近、グループの数を絞って、互いの連携を強めるような戦略に変わってきているという。

Level3 Communications というISPのVPが喋った次のセッションも興味深い。ISPながら、NetFlowを使って、通信のソースと宛先の統計を取っている。ボットネットの動きなども監視しているという。C2サーバが置かれているの国のランキングを紹介しながら、知見をいくつか述べていたのだが、最近、一部の国では犯罪組織と国家が協力関係にあり、国が開発した新たなマルウエア技術のテストを犯罪組織がやっているケースもあるという。一方、途上国のインターネット普及はまだ遅れているが、知識や技術を持つ者は増えていて、環境が整うと、これらの人間が儲けに走り、一気に犯罪者が増える可能性も指摘している。

途中の休憩時間に展示会をまわってみる。内容的には、去年と大きくはかわらない。

昼は、いつものように展示会場で立食のバイキング形式のランチ。なんとなく、去年に比べると中身が落ちている感じがする。参加者も減っているようだし、ちょっと先行きが不安な感じである。

会場の冷房がきついので、長袖を持って行ってきているのだが、それでも体が冷えるので、少し外を歩いて体を温める。(少し歩くと、今度は汗だくになるのだが・・・・)

さて、午後はまたキーノートの全体セッション。最初の講演は今回の目玉である、ブルース・シュナイアー。さすがに話はうまいし面白い。なにより、聞き取りやすいのが助かる。まぁ、高い金を取るだけのことはあるのかもしれない。(笑)

話の内容は、IoTである。シュナイアーがIoTというのもちょっとアレだが、とりあえず、IoTがかかえている課題をひととおりおさらいしてくれた。インターネットがセキュリティを大きく変えたように、IoTもまた、攻撃と防御のバランスを大きく変化させるのだという。こうした変化に、なによりも法制度がついていけない点が問題だと彼は言う。特に、IoTのように技術分野の境界を越えて統合が進むことで、行政の縦割り弊害がより顕著になるというのである。そのへんは、納得する話だ。

午後になって、だんだん集中力が切れ始め、特に訛りのきついスピーカーの話がだんだん聞き取れなくなってくる。このあたりが、AP&Jの辛い部分。米国でのコンファレンスに比べ、スピーカーにアジア系の人が多いのが影響している。

そんな感じで、夕方まで聴いて、それからまた、U先生、T氏と、今度はクラークキーあたりに行って飲みながらお話をした。

この人たちとの話で毎回出てくるのが、日本の組織のセキュリティマネジメント力のなさである。人材育成が技術志向に走ってしまっているため、全体の動きをきちんと調整できる人材が極めて少ない。今回のコンファレンスでもみられる傾向だが、攻撃が高度化する中で、インシデント対応などの全体を、きちんと管理することが求められている。しかし、残念ながら日本の人材育成は、そうした方向を向いていない。ある意味、世界から遅れているとも言える。

そんな話を2,3時間して、ホテルに戻ってきた。

結局、酔ってまた寝てしまい、夜中に歯を磨いて寝直すことになる。さて、今日はRSAの最終日。天気はよさそうだ。

朝方の雷雨で、どうなるかと思った天気も、10時頃には薄日がさして回復傾向。とりあえず、会場のマリーナベイ・サンズに向かう。

とりあえず、レジストレーションでバッジとバッグをもらい、持って行ったバッグをたたんで、もらったバッグに荷物を移したのだが、バックが思ったより小さくて、カメラとかを入れるのに難儀した。サンフランシスコはリュックだったのだが、AP&Jはケチケチ作戦らしい。

セッションは午後からなので、少し周辺で時間をつぶす。新調したα7Ⅱの試し撮りなど。

展示会の某協会ブースにちょっと顔を出すなど。ひとつのブースに数社の展示が混在しているので、ちょっと来場者にはわかりにくいかもしれない。協会のPRではなくて、会員企業のPRなので・・・・。

それから、昼飯を食うなどして時間をつぶし、ようやく午後2時45分にコンファレンスが始まる。オープニングは派手なアトラクションから。

続いてシンガポールの「なんとか大臣」の御挨拶。まぁ、政治家らしい挨拶なのだが、この大臣の取り巻きがかなりの大人数。会場の前列数列を占拠している。

しかも、大臣挨拶が終わり、RSAの社長挨拶が終わった段階で、こいつらが一気に、ぞろぞろと退場。次のスピーカーがステージの上がっているのに、いきなり前数列が空席になってしまうという寒い状況に。どこの国でも政治家と役人はそういうものなのだろう。

さておき、今日は、30分~40分ほどのキーノート講演の連続。ベンダ(スポンサー系)のスピーカーなのだが、いちおう製品PRはしない約束なので、比較的、一般論の形をとるのだが、なんとなく歯切れはよくない。ただ、各スピーカーに共通していたのは、セキュリティは最終的には「人」なので、ちゃんと人がツールを使いこなせないといけないという話。まぁ、いまや「銀の弾丸」など作れないことはわかっているので、ベンダの関係者が喋ると、いいわけに聞こえてしまうのは、いたしかたなかろう。セキュリティの状況をできるだけ多面的に可視化して意味づけし、その上で異常を人が見て判断するという原則論に立ち帰ろうという話なのだが、言うは易し・・・である。実際そこが最も難しいところなのだから。同様に、Defence in Depth とか階層防御を見直せ、なんていう話も出ていた。要は、何階層ものセキュリティを入れても、各層が分断されていてはあまり意味が無いのだという話。たしかに、これまでは「防御する」ための階層だったから、それでもよかったのかもしれないが、「見つける」ための階層であれば、各層が連携しないと話にならないだろう。実際、「防御」から「発見」「対処」へ・・・という話も文脈の中で共通している。納得はするものの、ソリューションベンダなら、人にたよらなくていいソリューションを作って見やがれ、と言いたいところだが、まぁ、今の技術ではまだ難しかろうなと思う次第。それこそ、AIがもう少し発達したら・・・という話である。いや、逆に、攻撃側がAIを使い出したら守る側も使わざるを得なくなるから、早晩、セキュリティは人の手を離れていくのかもしれない。

キーノートの最後はFBI。毎回出てきてあれこれ話をする努力をしているのは立派である。ランサムウエアの話では、FBIはできる限りこうした犯罪を防止する方向に動くのだが、不幸にして被害に遭ってしまった場合に、身代金を払うかどうかは、基本的にはビジネス上の判断だと言う。ただ、FBIとして、払うことはお薦めできない。なぜならば、払ったところでデータだ復旧される保証がないことや、なにより犯罪者を儲けさせてしまうのだから、たとえばバックアップなどを確実に行っておくことで、払わずに対処できればそれにこしたことはない、というような言い方をしていた。ある意味、現実的な言い方だろうと思う。あとの話はいつものように、FBIとして民間とどのように連携し、情報を共有していくかといった部分にかなりの時間を使っていた。

今日は全体セッションのみで、そのあと展示会場でレセプション。今回は、レセプションに日本人の顔が少ない感じがしたのだが、日本からの参加者は年々減っているようである。まぁ、シンガポールあたりまで聞きに来ようという奇特な人は、そもそも多くないだろうし、他に金を使うべき部分も多いから自然な流れなのかもしれない。結局、今日は、常連のU先生とその知人のTさんの3人でレセプションで少し話した後、地下のフードコートで飯を食いながらお話しして帰ってきた。

帰りに地下鉄に乗ろうと思ったら、胸のポケットに入れていたEZ-LINKカードがなくなっているのに気がついた。たぶん、胸のポケットに突っ込んだカメラを出し入れする際に、汗でくっついて外に落ちてしまったのだろう。以前にもあったので、朝はちょっと気にしていたのだけど、いつしか忘れてしまっていた。しかたがないのでカードを買い直したら、サンリオのキャラクターバージョンのカードだった。なかなかかわいい。(笑)大事に財布の中に入れておくことにする。

さて、明日は終日コンファレンスである。聴くセッションは一応決めてあるのだが、集中力を切らさないようにしよう。時差が少ないのは助かるのだが、英語のセッションは集中力が切れると辛いので。

白浜2日目

| コメント(0) | トラックバック(0)

さて、今朝もそこそこいいお天気。昨夜ちょっと夜更かししたので、7時起床したものの、寝不足感満載でうっかり二度寝して、気がついたら8時半。バスは行ってしまったので、開き直って朝飯を食って、タクシーを呼んで待っていたら、某S氏が現れたので、一緒に会場へ。今朝の一番はこんなお話。

ちなみに、今回は公演中の撮影禁止になってしまったので、途中の画像はない。昼食の弁当はカレー。いい天気なので、外に出て僅かな日陰を探していたら、某KYAさんがいたので、隣に座って食べることにする。

この施設は屋上が芝生になっている。上がって歩くと風が気持ちいいのだけど、日差しがきついので、日焼けが気になる。

午後のJC3坂さんの講演はなかなか面白かった。結局の所、「サイバー犯罪」とひとくくりにされがちな犯罪の大半が、いまや詐欺だったり、脅迫だったり、スパイ行為や(情報の)泥棒だったりサボタージュだったりと、昔からの犯罪の延長上にあるものだ。「サイバー」技術はその手段のひとつに過ぎない。それを考えると、警察もそろそろ「サイバー」とひとくくりにするのはやめなイカ!という話である。FBIがすでにそういう動きになっている話とか、なかなか興味深かった。私も同様の話を某方面な人たちにはずっとしてきたので、話の内容はすとんと腹に落ちるのである。結局、最後は昔からの犯罪捜査の経験が活きるという話で、本質的に昨日の丸山さんの話と通じるところがある。今回は、この二人の話を聞けただけでも、自分が思っていたことを再確認できたという意味で、大きな収穫だった。

さて、今夜の晩飯は、希望者で、海辺のレストランへ行き、バイキング。とりあえす、来るだろうと思っていた知り合いのために席をとって待っていたのだけど、結局知り合いは現れず、他の席にも入りそびれて、寂しく一人で食うことになった。まぁ、これは確認しなかった私が悪い。一人でビール2本をあけ、ほろ酔い加減で夕日を眺める。

それからバスで宿に戻って、BOFはパスして温泉に浸かる。いい感じで暖まってこれを書いている。

さて、これから夜のお話にちょっと顔を出してくるつもりだ。明日は、朝から広島に移動するので、私は今夜が最後である。

南紀白浜

| コメント(0) | トラックバック(0)

今朝も、とりあえず朝の散歩から。でも、あまり時間が無いので、ちょっとショートカット。

そろそろ紫陽花も咲き始めた。

いい天気なので、猫もひなたぼっこ。

で、朝飯もそこそこに、支度をして、車で羽田へ。なんだかんだで、電車ではぎりぎりの時間になってしまい、昨年の悪夢がよみがえったので・・・・・。

とりあえず、少し余裕を持って到着できて、ゲート前で、怪しい面々と出会う。(笑)このフライトは、なかなか怪しい雰囲気である。とりあず搭乗して05から離陸。

出発間際にどこかで見た顔が乗り込んできたのだが、確信が持てず。とりあえず忘れることにする。

機窓からはこんな富士山。

Ⅰ時間ほどで白浜に着陸。到着ロビーへ出て、出迎えの人たちを見て、なんとなく後を振り返ったら、元首相の息子が・・・。テレビで見て想像していたのよりも小柄だが、たしかにあの顔は小泉の息子である。偶然とは言え面白いこともあるものだ。帰省の飛行機で、地元出身の某M元首相(引退後も、なにかとおバカなことをしてくれるので、郷土の恥と私は思っているが(苦笑))と乗りあわせた事はあるが、それよりはずいぶん貴重な経験である。

そこから会場までは専用のバスで移動。こんな感じで受付の列に並んだ。

あいかわらず、会場だけでなく電波も混雑中。会場のフリーWiFiは、どうやらアドレスプールが枯渇してしまったらしく、繋がってもアドレスが取れない状態に。主催者が用意したAPのほうはどうにか利用可能、

とりあえず、午後は2セッション。いずれも、この20年の歴史を振り返る内容。トーマツの丸山さんのセッションで紹介された35年前のセキュリティ本が今も通用するという事実は、重要なことを示唆している。つまり、汎用機=IBMの時代を「オープン化」の名の下に、SUNなどのUNIX勢が書き換え、その後、マイクロソフトがPC時代を作る流れの中で、いわゆるパラダイムシフトを引き起こして、それまで市場を握っていた企業を足下からひっくりかえすというIT業界のダイナミックな動きの弊害で、過去から引き継がれるべきものまで一旦、白紙に戻されてしまうという事象が発生しているのだろう。少なくともセキュリティの切り口では、過去の常識はいまだ通用する。むしろ、今だからこそ活きる考え方も少なくない。技術や考え方は変わっても、こうしたものをうまく継承していくことが重要だと言うことを改めて考えさせられた。

その後、会場から宿までまたバスで移動。今年は夜のイベント会場になるホテルを予約できたので、夜はゆっくりできる。

夕方に20周年記念の立食パーティーがあるのだが、それまでの少しの間、ちょっと歩いてみた。

その後、パーティーとナイトセッションのパネルなど。

とりあえず、ミッドナイトセッションは適当に切り上げて、一風呂浴びて部屋の戻ったら、もう日付が変わる直前になっていた。さて、明日も終日、白浜シンポジウムに参加である。

今朝も天気はまずまず。暖かい朝。寝坊気味に起きて、とりあえず散歩。

ちょっと薄雲がかかってきたのは、だんだん天気が下り坂になるからだろうか。

今朝もちょっと気合いを入れて歩く。公園脇のグラウンドでは、野球の朝練中。

そういえば、このところオバマ氏の広島訪問がニュースになっているのだが、なにやら某首相は、それに便乗して、ちゃっかり選挙宣伝をやってるような気がしてならない。こういう便乗がお得意の某首相だが、英断を下したのはオバマ氏である。そのあたりは騙されないようにしたい。かわりに真珠湾訪問が取りざたされているが、その話は、実際に行ってからにしようではないか。まずは是非、行くべきだろう。

そのサミットまで、あとわずか。都内でも地下鉄駅のゴミ箱撤去などの動きが広がりはじめている。物理的な警備もさることながら、ネット方面の警備も気になるところだ。政治的に大陸方面の動きも気になる。表側の動きもさることながら、既に潜伏しているかもしれない火種をあぶり出すことも考えた方がいいかもしれない。開催場所が決まってからの準備期間はずいぶんあったと思うから、本当に何かやる気なら、既にあちこちに仕掛けがありそうな気がするので。

さておき、今日も、なんとなく、のんびりとした時間を過ごす。昼頃に、駅に行ってネットで予約した切符を買ってきた。来週後半は白浜シンポなのだが、そのあと大学時代の同窓会で広島へ行く。そのための切符である。昨年は京都でやったのだが、また同じ日程で、今度は広島。白浜最終日はパスして朝から移動である。切符を買いに行く途中で見たら、入江川をカモが泳いでいた。こいつらも、そろそろ子育て時期に入る。

子育てと言えば、カラスもそろそろ。この時期、血眼になって餌をあさるので、朝の騒ぎが拡大する。大挙して飛び回る上、あちこちのゴミ置き場が荒らされるので要注意だ。

そんな感じで、あとはゴロゴロしてすごす。夕方に、買い物がてら、またちょっと散歩。自宅の周囲から、公園を経由して高台越え。朝の散歩の後半部分である。いい季節なので、夕方には、ちこちで猫たちがのんびりしている姿を見られる。

帰りにスーパーで買い物して帰ってきたら、そろそろ日没。

明日、明後日はちょっと天気が崩れそう。来週は白浜行きもあるので、またバタバタしそうだ。

お天気は下り坂。今朝は、こんな曇り空。

今朝はちょっと寝坊して6時半過ぎに起床。とりあえず散歩は継続。天気が悪い分、放射冷却がないからか、気温は昨日よりもだいぶ高めである。

九州方面は朝から本降りらしく、関東地方も夜には雨になる予報。熊本あたりで土砂災害が起きないか気になるところ。今日は夕方から予定があるので、そっちのほうも天気が心配。

この公園脇の階段のツツジもだんだん咲き揃ってきた。これからしばらくはツツジが楽しめそうである。

この景色も、今日はちょっとどんよりしている。

今日は、ちょっと事務処理をしてから、実家とVPN接続しているバッファローのルーターを、仮想マシンのpfsenseと入れ替えてみた。家庭用に毛が生えたようなルーターでは、まともにログも取れないのと、IPv6をトンネルできないので、入れ替えを試みている。連休に実家に帰ったときに、向こう側も入れ替えようと考えているのだが、一つ問題が出てきた。pfsenseはL2TP/IPSecをサポートしないので、今のモバイルVPN接続がそのまま移行できない。そこで、モバイルは、メインのYAMAHA RTX1210に受け持たせることにして設定を入れたのだが、コマンドラインでの設定はやたらとめんどくさく、なかなかうまく動かない。そんなことにハマっているあいだに時間切れ。とりあえず、元のルータに切り戻して家を出たのはもう5時をまわっていた。

なんとか、うまく動かせるといいのだが、ダメなら、今のルーターをモバイル専用にしてDMZにでもぶら下げようか・・・・などと考えている。

夜は、CSAジャパン主催のクラウド利用者会議。利用者サイドと事業者サイドがあれこれ議論しようという催しで、今日は某大手キャリア系の事業者がプレゼンをしてくれた。でも、やはり利用者側と事業者側のギャップはかなり大きい。結局議論は、事業者側の透明性が低いという話になっていく。たしかに、欧米の事業者に比べると日本の事業者はセキュリティに関する開示が少ない。だが、これは事業者だけを責める話でもない。利用者側が欧米に比べてレベルが低いのである。つまり、クラウドを使うに当たってのリスク評価や、そもそも、セキュリティの最終的な責任が利用者側にあるということがわかっていない。事業者はセキュリティのための道具だては提供できるが、それを使いこなすのは利用者側である。ある事業者が提供するものが足りなければ、自前で付け足すか、別の事業者のサービスをかぶせるといった、欧米の利用者が普通に考えていることを、日本の利用者はなかなか考えられない。つまりは、すべてベンダまかせで、リスクも押しつけるという昔ながらのスタンスから抜け出せていないのである。そもそもリスクを判断して必要なら自前で対策するくらいの力がないと、クラウドは使いこなせないと思うのだ。セキュリティが重要といいながら、その要求レベルすらまともに示せない利用者では困るのである。一方で、事業者側も、そういう利用者側の状況にかまけて、十分に説明責任を果たしていない。「うちなら安心」といいつつ、その理由をきちんと説明できない、開示しない・・・という事業者も少なくない。結果として、ボールがいっぱい間に落ちて、いざコトが起きた時になすりあいが始まるのである。

こうした議論は、もっとどんどんすべきだろう。相手に投げたつもりで、実は落ちて転がっているボールの多さに、早く気がつくべきである。そんな思いを強くした集まりだった。

3連休は雨予報

| コメント(0) | トラックバック(0)

はやくもお天気下り坂な今日。午後から一件、都内で打ち合わせがあったのだが、夜までは降らないようなので、傘を持たずに出かけた。

ひょんなことで知り合った人の会社の仕事なのだが、なにやら怪しい雰囲気が漂っている。真面目そうな人なので、ちょっと背負い込みすぎているような気もするのだが、エンドユーザとの関係がいまひとつよくわからないので、いかんともしがたい。最悪の場合に巻き込まれないように、ちょっと予防線を張って進めている。

そう言えば、今年は延長されていた「サイバーセキュリティ月間」も今日でおしまい。攻殻機動隊とのコラボポスターは人気だったようだが、この月間の意義はどれだけ一般の人たちにまで伝わっただろうか。(個人的には攻殻よりも紅殻のほうが・・・・以下自粛)最近、サイバーセキュリティがらみのニュースも増えてきた。以前のような事故・事件報道だけでなく、様々な取り組みの報道も増えてきたのだが、裾野を広げていくことも重要だ。セキュリティは「専門家」だけの領域ではない。むしろ、日常の生活や仕事の中でそれを意識することが重要なので、特に、技術者層とマネジメント層に対する啓発は重要だろうと思うのである。

さて、明日は夕方からまた実家に顔を出して、連休明けまで滞在する予定である。残念ながら、毎年恒例のニセコ行きは今年は断念した。3連休の天気はいまひとつらしいので、実家で宿題をあれこれこなすとしよう。

今日はRSAコンファレンス最終日。昨夜はなかなか寝付けず、ほとんど眠れなかったので、結構辛い朝になった。幸い、今日はスタートがちょっと遅く、昼過ぎで終わりなるのが救い。

朝から雨で、なんとなくじめじめした空気。今日は午後、日本から来ているお客さんと市内を歩こうという話をしていたのだけど、この天気ではちょっときつそうな感じ。

今日は、午前中に3セッション。最初のセッションは、DHSの研究者の話で、様々な方式の通信網全体にわたるモニタリングと、プロテクションのシステムを作るという話。ネットワーク通信は途中で様々な通信網を経由するが、これら全体を監視して、不審な通信を発見し、リダイレクトして解析して不正なものはブロックしようという話なのだが、これをやるとすべての通信が盗聴できてしまうという話になりかねないなと思った。幸か不幸か、まだ研究段階のようだが・・・・。

二つ目のセッションは、ロシアの犯罪組織のバンキングマルウエア拡散オペレーションの手口をあばく話。改ざんしたサイトから、ユーザをリダイレクトしてマルウエアを感染させる流れが、きちんとシステム化されていて、セキュリティベンダ対策や感染先の環境判定と環境ごとの攻撃コードなども含め様々な部分の機能がパッケージ化されている。こうしたモジュールや改ざん可能サイトのリストなどのサプライチェインができあがっているようで、彼らはそれらを調達してこうしたシステムを作り上げているようだ。なかなか手強い印象である。

最後のセッションはIoTに関するもの。内容は一般的だが、興味深かったのはIoTデバイスのリスク評価のモデル。一般のCIAモデルにかえて、COO(CO2)モデルというのを提唱している。Controlability(制御可能性)、Observability(監視可能性)、Operability (運用可能性)を軸として、脅威の影響を評価しようというものである。CIAモデルで、どちらかといえば、Aに分類されてしまう部分を細分化したような感じである。特に制御系のシステムはこういう視点での評価が必要かもしれないなと思った。

そんな感じでRSAコンファレンスは終了。一旦ホテルに戻ってから、午後にお客さんと待ち合わせ。幸い、雨は上がってくれたので、ケーブルカーで海沿いへ出て、散策と土産の買い物など。

フィッシャーマンズワーフからピア39あたりを少し歩く。例によって、ピア39の脇にはこいつらがゴロゴロしている。

アルカトラズもこのどんよりした空の下だと、監獄島らしい雰囲気がでていいかもしれない。

この天気にもかかわらず、ピア39は観光客で賑わっている。

そこから海沿いを、フェリーターミナルまでぶらぶらと歩く。ピア27には豪華客船が入港中。遠目に見ると大きなビルが建っているように見える巨大客船。GRAND PRINCESS、10万トンを越える巨大船で、乗客と乗組員を会わせて4000人以上が乗れる船だ。

いつか、こんな船で船旅をしてみたいと、見るたびに思うのだが、いつの日か夢がかなうだろうか。

フェリーターミナルのマーケットでちょっと買い物につき合って、それから路面電車でフィッシャーマンズ・ワーフに戻って、またケーブルカーで帰ってきた。

夜は、会食して、それから宿に帰ったら眠くなり、しばらくゴロゴロしていたら、もう午前0時をまわってしまった。しかし、隣の店が怪しげな音楽を深夜まで大音響で流すのでうるさくてしかたがない。今夜は金曜日だからか、午前2時頃まで続いた。流石に今は3時前で静かになっている。

明日(今日?)は夕方の便でLAに飛び、深夜便で羽田に帰る予定なのだが、天気が悪そうなので、昼間どうしようかと思案中。仕事もたまっているから、スタバあたりでノマドってもいいかもしれない。

RSAふたたび

| コメント(0) | トラックバック(0)

今朝は小雨模様のサンフランシスコ。今日はまたRSAに戻って終日聴講。

最初のセッションは、IoT系のパネルディスカッション。今回のRSAでも、やはりこのての話は多い。2020年には5000億のデバイスがネットに繋がるという予測もある中、あちこちで同じような議論がなされているのだが、なかなか具体性に欠ける話も少なくない。興味深かったのは、パネリストに一人が言った「IoTは製品ではなく、サービスだ」という言葉。思うに、今この考え方が一番求められている。どうしてもデバイスそのもののセキュリティに議論が偏りがちな中、サービスを含めた全体をシステムとしてとらえて議論することが必要なのである。IoTでは、サイバー攻撃が物理的な被害をもたらすケースもある。医療系システムは人の命に直結するし、工業系のシステムは物理的な事故に繋がる可能性もある。最近、ウクライナの発電所がサイバー攻撃で停止した騒ぎでは、復旧したものの、いまだ手動運転が続いているそうだ。社会へのインパクトも大きい。自動システムについては、物理的な代替手段が必須となるだろう。もちろん、それぞれの分野でこうした議論は進められているのだが、縦割りもきつく情報の風通しも悪い。コンピュータシステムと違い、利用者にはブラックボックスに見えるIoTでは利用者による対策は限られている。様々な分野に横串を通し、セキュリティの専門家を交えた議論が求められている。

IoTに関しては、会場の片隅にあるInnovation Sandboxというコーナーでいろいろ展示がある。これは、家庭内IoTのイメージ展示だが、バービー人形までネットに繋がる時代になったというのも、なかなか大変である。

ここでは立ち見で、小セッションが行われている。これは、FCC(連邦通信委員会)の人による5Gセキュリティのお話し。

5Gは、20年代の実用化を目指して現在規格策定で各国が火花を散らしている。米国が主導している規格では20GHz帯という、従来より一桁高い周波数帯を使用する。現行の方式では、反射などによって、通信経路が複数できる、いわゆるマルチパスの影響などで利用が難しかったのだが、通信用チップの能力向上などによって、信号処理がうまくできるようになったことや、基地局の数を増やして制御できるようになったため、通信の高速化と接続機器を大幅に増やせるこの周波数帯が使えるようになったとのこと。しかし、一方で、通信網のバックプレーンの制御が複雑になり、もし、こうしたシステムがサイバー攻撃を受けた場合、通信網が崩壊する危険も大きくなる。そこで、彼らは、規格設計の段階からセキュリティの専門家を交えた議論を進めているとのことである。IoTでの利用を念頭に置いた5Gでは、暗号方式なども、その用途に合わせて複数選択ができるようになるとのこと。ミッションクリティカルな用途で混信などを避けるため、専用の周波数帯を設けることも検討されているようだ。最後に、「どんなアイデアでもいいので、我々にメールしてくれると大変助かる」という言葉があったのは印象的。どこかの国のお役所では考えにくいオープンマインドな言葉である。民間と政府で人材が行き来している米国ならではの、すばらしい風景である。構想段階から広く専門家にアイデアを募る姿勢で策定される規格と他の規格の優劣は自明だろう。

その脇で某AVベンダが、SCADAの攻撃デモをやっていた。このあたりは、なんとなくDEFCON的な雰囲気が漂う。

そのあとのセッションは、Stealth Operation つまり、ダークサイドに潜入して Threat Intelligence を行うような際の方法論などに関するセッション。いわゆる「ハッカー集団」などのコミュニケーションに紛れ込んで情報を収集する動きだが、実際かなりリスキーな話である。このスライドは、そうした際の注意点のまとめ。「自らダークサイドに落ちないように・・・」というのは重要だろうと思う。

このあたりでかなり眠気がきつくなってきたので、昼休みに一旦ホテルに戻って、ちょっと昼寝することにした。街はまだ雨模様である。

午後は、一連のキーノートと間にスポンサーセッションが大ホールで開かれた。「アンチウイルスは死んだ」発言で物議をかもしたシマンテックのセッションで、「セキュリティベンダは細切れのソリューションをユーザに売りつけてきたことを悔いるべきだ」という自戒を込めた発言も・・・・。これからは、もっと大局的な視点でソリューションを提案していくのだとか。言葉通りになればすばらしい話だが、末端の、特に海外の営業まで浸透させるのは難しいだろうなと思った次第。逆に、ユーザ側がきちんと判断して、ベンダの細切れソリューションをビルディングブロックとして、自分たちの描いたシステムを作り上げる力をつけていくことが必要だろう。

今回のRSA全体を通してAppleとFBIの問題は、議論になっている。次のキーノートパネルでもその話が議論されていた。

パネリストの多くはバックドアを設けることに対しては否定的だが、一方で、犯罪捜査やテロ対策で、こうしたセキュリティ機能が障害となる点については、なんらかの解決策が必要だという点では一致している。ただ、これもなかなか難しい議論だ。暗号鍵の預託といった方法は、昔から組織内での暗号ソリューション利用では行われてきた方法だが、これを捜査機関に対して行うということは、すなわちバックドアを作るということと同義になる。たとえば、司法に預けて、その判断で開示といった方式ならばいいかもしれないが、その鍵の管理も難しい問題だろう。ただ、こうした議論は今後、なんらかの結論を迫られる可能性が高いから、注視していきたいところである。

さて、今日もそんな感じで終了。とりあえず、宿に戻って、ちょっと仕事をして、それから晩飯を食いに街にでかけた。今夜はこんなところで肉を喰らう。

宿からコンベンションセンターに行く途中にあるレストランだが、ちょっと渋い感じのお店で、なかなか流行っている。とりあえず、クラムチャウダーとアンカースティームを注文。

メインは、分厚いミディアムレアなフィレである。

満腹とほろ酔い加減で宿に戻ったのが午後8時過ぎ。

ちょっと一眠りしてから、また起き出してこれを書いている。明日はいよいよRSA最終日。午前中で終わるので、午後はちょっと市内を歩く予定である。

CSA Research WG Meeting

| コメント(0) | トラックバック(0)

今日は、RSAを一日離れて、CSA のリサーチワーキンググループのミーティングに参加した。CSAのWGの成果発表会的なイベントである。コンベンションセンター近くのロースクールの会議室を借りてこじんまりと行われたイベント。

今回、これに参加した目的のひとつが、CSAグローバルのIoT WGと日本のIoT WGの情報交換というか、顔合わせ。グローバルの動きが速くて、なかなかキャッチアップできないこともあり、Face to Faceで話してプレゼンスを上げておこうというもくろみである。そういう意味では、リーダーのBrianと話ができたので、今日は目的を達した感じである。

ここまで急ピッチで、こんなアウトプットを出してきたWGだが、当局とのコラボも進んでいる。FCCのガイドラインにはかなりの影響を与えているほか、直近では、FHWA(連邦道路局?)と組んで、自動車IoTセキュリティ関係のワークも始めている。

ヨーロッパでも、ENISAあたりの活動に食い込んでいるようで、なかなか面白い動きになっている。日本はこの動きにおいていかれないように、今後プレゼンスを上げていかなければいけないのだが、なかなかタフな状況である。

さて、そんな感じで今日は終わり。今夜は会食予定もなく、それほど腹も減っていないので、晩飯は抜いて、ちょっとホテルで仕事などをしていた。

明日はまたRSAに戻って、一日、セッションを聴講する予定である。

霧の街と雲の話と

| コメント(0) | トラックバック(0)

今朝のサンフランシスコは朝霧がでて、ちょっとどんよりとしたお天気。今日は、RSAのプレイベントである、CSA Summitに参加。ホテルから会場まで歩いて15分くらいなのだが、ぎりぎりになったのでヒルトン横からシャトルバスに乗ってみた。

ところが、このバス、ヒルトンを起点にあちこち回ってから会場へ行くので、結局30分ほどかかってしまった。これは誤算である。歩いた方が早かった。

CSA Summitは大入り満員。空席もすぐに埋まって、外には待ち行列という状態に。クラウド利用がどんどん進んでいく中で、あれこれ課題をかかえた人が多いのだろう。複数のサービスをAPIでたばねて利用、管理するクラウドブローカーという考え方は以前からあるが、最近は、それにセキュリティの意味合いも加え、CASB (Cloud Access and Security Broker) という考え方が広がっている。アクセス経路を一本にして、セキュリティも含めたコントロールポイントを作ろうという考え方である。

こうしたサービスが機能するためには、各事業者がログ管理も含めたセキュリティAPIを提供しなければいけない。今後、各事業者はそういう取り組みを進めていくべきだという議論が進められている。

気がつけば、外はいつしか快晴になっている。朝のどんよりは、やはり霧のせいだったようだ。さて、CSAの当初からの活動に、Top Threatがある。クラウドへの主要な脅威を挙げて解説する取り組みだが、その関係者によるパネルディスカッションもあった。主要な脅威にAPTが挙がってきたのは、クラウド利用が進んで、重要なデータやシステムをクラウドに依存するようになってきたからなのだろう。あいつぐデータ漏洩やDDoS攻撃なども上位に挙げられている。

お昼はボックスランチが配られたのだが、会場の出口を一旦出て、ランチを持って会場内に戻る形になっているので、出入り口が大渋滞して大変だった。これは、一考が必要。

さて、腹がふくれると次にやってくるのが睡魔である。午後一のベンダプレゼンがいまひとつだったので、ついつい落ちてしまった。眠気が来ると、英語が右から左に抜けていき、かなり辛いことになる。これは、私にとっての Top Threat に違いない。(笑)おかげで、午後の記憶は途切れ途切れである。そんな中でこんなスライドが印象に残っている。

ヤフーは毎日新しいソフトウエアをリリースし、amazonは11秒に一個ソフトウエアをリリースする。ハッカーは200ミリ秒に一個マルウエアをリリースしている。いまや、インターネットのトラフィックの41%しか、人が関与するものがない。2018年までにビジネスコンテンツの20%は機械によって生成されるようになる。といった内容。

ITの世界も人の役割がどんどん減っている。ソフトウエアの開発もやがてはAIがとってかわるのかもしれない。10年後には悪のAIがインターネット最大の脅威になっているかもしれないなと妄想した。

クラウドの利用が進み、様々なクラウドを組み合わせて利用するようになれば、IDや認証の統合は必須となる。さらに、それにIoTのようなデバイスもからむと、従来からのIAMとは違ったID管理の考え方が必要になるのかもしれない。そんな話も。

どんどん増加する新たなサービスを、使う側はどう評価すればいいのかというのも大きな課題だ。これは、クラウドの最初から挙がっている話だが、クラウドサービス自体がどんどん多様化し、ブラックボックス度を増していく中で、再度、整理しておくべきなのかもしれない。

上のスライドの最後の「透明性」は、最も重要なポイントかもしれない。単に、自分たちはこんなにすごいんだよという自己主張を振りまくだけでなく、不都合な話もきちんと利用者に説明できる事業者が、最終的に信頼を勝ち取ることになるのである。

技術的に興味深かったのは、コンテナの話。仮想マシンではなく、OSの上で、アプリケーション単位で隔離された環境を作るコンテナの利用が広がりを見せている。代表格の DockerはLinux上で動作するコンテナ管理システムだが、軽量で、個々のアプリケーションの実行環境を分離できる上、サーバを越えたコピー、移動も簡単なため、クラウド上でのサービス構築の道具としても便利である。OSを共用するため、純粋な仮想マシンに比べると、環境の分離度は低いが、うまく使えば面白そうである。

そんな感じで午後4時過ぎにSummitは終了。外は青空。一旦ホテルに帰って荷物を置き、それから会場にもどってWelcome レセプションに参加する。

今日も暖かい一日で、街には半袖姿も・・・・。冬から夏のすべての服装が混在しているようで、なにか奇妙な感じがする。レセプションは展示会場で行われ、飲み物と食い物が配られている。

長い食い物の列に並びながら、ふと見たら、隅の階段のあたりに見た顔が・・・・。海外コンファレンスで会う方が多いという日本の人たち。とりあえず合流してしばらく過ごし、帰りに近くのアイリッシュパブで一杯引っかけてからホテルに戻った。

明日は、RSAの本番。午前中のキーノートを聞いて、午後からは久しぶりに会う知人と展示会をまわる予定である。

年末モード

| コメント(0) | トラックバック(0)

ちょっと飲み会続きで日記書きも滞ってしまっている。月曜は大学時代の同期と飲み、昨日はちょっと怪しい業界系飲み仲間と赤坂方面のアジトで忘年会。今日は一日空いたが、明日、明後日と忘年会が続く。このところの不摂生で体重がかなり危険なことになっているのだが、来週は毎年恒例のニセコなので、このまま正月モードに突入しそうである。

散歩も、このところまったく・・・の状態。今朝も、ちょっと買い物がてらコンビニまで歩いただけ。食べる量はだいぶ減らしているのだが、それでも消費量がおいつかないのが困りものである。

今日は、朝方、宅急便の集荷が来て、スキー道具をニセコに発送。それから、秋葉方面へ出かけて、セミナー参加。Security Day 2015という、こじんまりとしたセミナーなのだが、内容は結構濃かったりする。IoTまわりの話では、既に海外で、乗っ取られてマルウエアをインストールされた機器が多数観測されている話など。しかし、telnet開けっ放しはやめてほしい。国内に輸入されている製品もあって、日本も例外ではなさそうである。オリンピックに向けた組織委員会のセキュリティへの対応の紹介とか、NISCの講演などもあって、結構盛りだくさんの内容だった。

例によってちょっとヨドバシをひやかしてから、帰ってきて、駅前で買い物など。このあたりのこういう景色も見慣れてきた。

明日は、いつもの客先仕事のあと、別の客先でミーティングしてから忘年会。明後日も客先仕事で、そのまま忘年会である。飲み食いは控えめを心がけよう・・・・。

ESCAR EUROPE 2015 Day2

| コメント(0) | トラックバック(0)

今日もESCARコンファレンスに終日参加。

今日は、昨日より早く9時からのスタート。最初に通信系の話、午後は車載システムに関するオンラインアップデート系の話、それから、車載ネットワークのセキュリティ関連など。オランダ、ドイツ、オーストリアの3国共同で勧めているITSの話が最初。ITSで認証などに使われる暗号鍵や証明書は、いわゆる「長期」証明書であるという話は考えてみれば確かにそうだ。車の証明書は5年で更新するが、CAはさらに長い期間鍵を維持しないといけない。CA鍵の更新タイミングで、古いルート証明書と新しいルート証明書をリンクさせて、一定期間併用し、その間に車の証明書をすべて更新するしくみである。こうした長期の証明書は256ビットの楕円曲線暗号などを使って実装しているという話など。その後は、CANのセキュリティアーキテクチャ関連の話。CANにおける、ECU間のメッセージ保護と認証にMACを使うという流れになっている。しかし、MACは、メッセージの正当性は保証するが、送り主を直接認証するわけではないから、CANのID詐称やリプレイ攻撃には対応できない。そこで、CAN フレームのIDをタイムスロットのMAC(共有鍵で認証)に置き換えて匿名化とランダム化をして、リプレイを防ごうというアイデア。ただ、MACにハッシュを使うのと、さらにハッシュを切り詰めて使うので、衝突の可能性がある。質問では、しっかりそこを突っ込まれた。検証だけならよいが、ユニークさを保証する必要があるフレームIDでは、衝突対策は必須だろう。別のセッションではMACとCRCの両方を処理するのは冗長なので、誤り検出も含めMACだけにするという話など。この領域は、いまだ新しい提案と試行錯誤が続いている。

午前中の最後にFBIの人が講演。車とはちょっと離れた、サイバー犯罪の傾向の話などをした後で、いつものように様々なセクターとのコラボレーションや情報共有の話。その際に、こんなスライドも。

捜査機関が出てくると、民間企業はあれこれ心配するのだが、たとえばシステムを差し押さえられるのではないか、とか、情報が他社やメディアに漏れるのではないかといった危惧を、このスライドで打ち消している。FBIは米国国内だけでなく、あちこちに出かけてこういう話をしているところが偉いなと思う次第。

日本からの講演もいくつかあったのだが、ちょっと英語がたどたどしい。まぁ、その点は他の国のスピーカーも訛りがひどかったりするからいいとしても、原稿棒読み的な感じの人がいたのはちょっと辛いなと思った次第である。あとは質問を聞き取れない、うまく答えられない・・・といったあたりも。たしかに、質問コーナーはなかなか厳しいと思うが、そこは適当にごまかすのではなく、質問を聞き直すとか、ゆっくり喋ってくれというとかして、できるだけ正確なやりとりをしたい。

そういえば、講演スライドのほぼすべての先頭に、例のジープの話が出てきたのは、業界的なインパクトの大きさを物語っている。

そんな感じで、コンファレンスは無事閉幕。帰り道、昨日の騒ぎでちらかったゴミを清掃車が集めていた。祭りの後的な寂しさが漂っている。

明日は、ケルンで一日フリーなのだが、天気予報では雨になっているので、最悪、ホテルで仕事でもするかな・・・と。これはちょっと残念である。天気予報が外れてくれることを祈ろう。

月別 アーカイブ

このアーカイブについて

このページには、過去に書かれたブログ記事のうち情報セキュリティカテゴリに属しているものが含まれています。

前のカテゴリは季節です。

次のカテゴリは愚痴です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。