イベントの最近のブログ記事

毎年恒例、セキュリティ＆プログラミングキャンプ。昨日からはじまってます。昨日は開講式に参加して、それから特別講義を参観、BoFにも出て、一晩泊って帰ってきました。昨年から、初日の夜に交流会を兼ねたBoFをやってますが、これが結構、いい効果をもたらしているようです。セキュリティコース、プログラミングコース一緒にやるので、両方の参加者が交流できるし、ちょっと緊張気味の雰囲気が一気に和むので初日にこれをやるのはいい考えだと思います。

で、今年も、参加者をグループわけして、グループごとに寄せ書きを書いてもらいました。こんな感じで。ちなみに、寄せ書きの署名（本名）は消しました。

下の右側は合わせ技・・・・。下書き用のビニールシートを重ねるアイデアはなかなか萌えますね。

名刺交換タイム・・・・。最高75枚集めた猛者も・・・・。OS自作組の参加者、自作のゲーム用OSを作りたいのだとか。楽しみな人材。

個人的には、こういうことを書く若者がいてくれるのが嬉しいのだけど。

ちなみに、このグループはOS対決か・・・？

個人的にはこういう奴も嫌いじゃないな。＾＾;

こっちのグループはかなり濃い感じも・・・・。個人的には中央下の黄色いのが気に入ってるんだけど・・・。このグループの能力値はレベル４以上かも

こちらは、番外編。講師、チューターの落書き。さすがに、これはかなり濃いところ。

で、かたすみに某実行委員のヲ◎サンがこんなことを書いてました。まだ、こんなこと書くのは早いでしょ、若いもんに簡単にまけるわけにはいかないし・・・。(笑)まぁ、冷や水と呼ばれない程度に突っ張っておきましょう。かかってきなさいっ！　・・・あ、手加減はしてね。もうそろそろ体力ないし・・・＾＾；

戦い終わって日が暮れて・・・・某月某日某所の風景。

とりあえず、一泊して、今朝、企業見学に出るセキュリティ組のバスを見送ってから帰ってきました。

で、帰省準備にちょっと手間取ってしまい、1時間あれば余裕だろう・・・と家を出たのだけど、膝が不調なこととか、この時間帯の京急の運転本数と乗り継ぎやら、いくつかのパラメータの考慮を怠ったため、羽田で飛行機に乗り遅れてしまいまして・・・というわけで、3時間後の次の便を待つハメに。で、時間つぶしにラウンジでこれを書いている次第で・・・。orz

そういえば、第二ターミナル側の中央にあるANAラウンジからも、スカイツリーが見えるようになりましたねぇ。完成すると横浜あたりからでも余裕で見えそう。

・・と、風向きが変わったのか、離着陸方向がいつのまにか変わってるし・・・。はぁ、あとまだ2時間近くあるな・・・。暇だ。

 

P.S: そうそう、昨日の特別講義、ちょっと目からウロコだったのが、彼の「ハッカー検事」大橋さんのお話。やわやわなサーバをネットに置いていて、攻撃された（被害をうけた）場合、そんなサーバを立てた奴が悪いのか・・・という話。大橋さんがおっしゃるには、「法律は弱者を保護する」のだそうであります。たとえば、それがどれだけ間抜けなサーバであっても、攻撃して（いずれかの法律への違反や犯罪を構成してしまう場合）それは有罪ということだそうで、まぁ、頭では理解できても、我々技術屋の感覚では、自業自得感も強いのだけど、まぁ、鍵がかけてない他人の家に勝手に入っていいって話じゃないですよね。あと、本人に攻撃の意図がない場合、1回目は故意とはみなされないが、悪影響を与えることが、それでわかった場合は、2回目以降は故意とみなされるそうです。どこかであったような、架空の図書館攻撃事件を題材に語っていただきました。ちなみに、嫌疑不十分で不起訴、と起訴猶予は大きく違うとのこと。後者は明らかに「有罪」扱いなのだそうです。ただ、このケースでは民事だと過失相殺、刑事なら量刑において、被害者側の問題は考慮されるとのことでした。起訴猶予もその一環とのこと。でも有罪は有罪。くれぐれも、ご注意を。

今日はちょっと真面目に聴こう・・・と思って、５時間連続で聴いてみた。朝一はいまひとつだったので、１１時から４時まで、昼飯抜きで。まずは、モバイルアプリケーションについてのセッション。主に、最近流行りのiPhoneとAndroidについての比較論。無償アプリをダウンロードして解析し、全般的な傾向を調べた結果。

まずは、いずれのプラットホームでも、アプリが吐き出すログに機微な情報が含まれることが多いということ。たとえば、電話番号や機器固有のID,GPSのロケーション情報など。また、サーバとの通信の際にこうした情報が送られることも多く、特にHTTP/GETで送られてしまうと、サーバ側のログにもその値が残ってしまう。こうしたことは、アプリの開発者が、（少なくともセキュリティに関しては）初心者であることが多い点も影響している。Androidの場合、アプリがどんな情報にアクセスするかは、インストール時にユーザが確認して判断できる。一方、iPhoneの場合は、Appleがすべてを握っていて、Apple Storeに登録する際にチェックすることになるのだが、チェック漏れも多いようだ。どちらも一長一短あって、多くのユーザは何も考えずにOKしてしまうので、Androidのアプローチは一般のユーザに対しては、あまり役にたたないかもしれないと思う。一方、こうしたことに神経質な利用者にとっては、Appleのアプローチには不安が残る。実際、いずれのプラットホームでも、単純な「壁紙」アプリケーションが、連絡先やロケーション情報へのアクセスを要求する、といったことも多くあるようで、結構油断がならないようだ。このセッションを聴いて、一度、うちのXPERIAとiPadがいったいどこに通信しているか調べてみたくなった。帰ったらやってみよう。下の画像が、このセッションのまとめ。

次に聴いたのが、サイバー犯罪・戦争の話。サイバー戦争で、思い浮かぶのがグルジアだったり、中東あたりだったりするのだけど、実際、軍としてこうした部隊を持っていることがわかっている国は、米国、ロシア、中国、フランス、イスラエル、そしてイランだという。興味深かったのは、イスラエルがシリアの核施設を攻撃した際に、周辺国の防空システムに侵入して、レーダーなどの痕跡を消し去ったという話だ。物理的な攻撃と並行してサイバー攻撃が行われた顕著な例だろう。昨今、テロを除けば、戦争の標的は軍事施設に絞られることが多い。しかし、サイバー攻撃については、軍事施設のみならず、民間のインフラなども標的にされる。しかも、使われるネットワークは民間のインターネットだ。去年も書いたのだけど、サイバー戦争（国家間の戦争）とサイバー犯罪の区別はどこでつけるのだろうというのが、今回も疑問として残ったのだが、今回の内容はその点にも少し踏み込んだ内容になっていた。つまり、敢えてその境界を不鮮明にすることで、国家が、サイバー犯罪者を（間接的に）攻撃に利用している・・・というわけだ。サイバー犯罪者は「金」になればなんでもする。技術も持っている。表立った戦争ではなく、裏方のスパイ合戦に彼らを動員するようなものだ。失敗しても闇に葬ることができる。しかし、これは極めて危険な動きだと思う。実際に、こうしたサイバー攻撃が物理的な攻撃との組み合わせで行われるならば、サイバー攻撃そのものが、物理的な戦争の引き金になることもあるのではないだろうか。それを避けるには、それこそネットを国家が管理する某国のようなモデルが必要になってしまうかもしれない。もしかしたらネットの未来は闇の中・・・なのかもしれないなと思った。

次のセッションは、中国におけるネット検閲の問題についてのもの。いわゆる、Great FireWall of China の仕組みとか、検閲の方法、回避方法などについての解説だ。中身はさておき、これだけの仕組みを持っているのだったら、外向けの攻撃だって止められるだろう・・・・、と誰もが思うだろう。実際、それはできるはずだ。現実に、聞いた話だが、オリンピック期間中はばったりと攻撃がやんだらしいから。この前のセッションも併せて考えれば、国家がサイバー攻撃を利用、黙認しているという見方もできるし、一方で、不満のはけ口を作っているという見方もできる。ただ、いずれにせよ危険だ・・・。他の国が、ネットに介入する口実にも使えてしまうから厄介だと思う。

次のセッションは、ゲーム機を攻撃マシンにする話。実際、DSとWiiを使って、ARPスプーフィングで通信に介入し、同じネット内のPCでアクセスしたWebページのレスポンスにiFrameを埋め込むといったデモも見せてくれた。（何度か失敗して失笑を買っていたのもご愛嬌・・・）また、ゲームソフトにこのような機能をマルウエアとして感染させるということの可能性についても触れられていた。スマートホン同様に、ゲームアプリも実際はメーカーが配布管理をしているのだけれど、不法コピーや改造ソフトは数多く存在する。iPhoneのJailBreakがマルウエアの標的になったように、こうした改造ソフトが標的にされる可能性は十分にあると思う。やはり、不法ソフトや安易な改造ソフトの利用は危険だ。

最後に、「スパイウエア開発者としての私の生活」といったプレゼン。ITエンジニアだったスピーカーが、会社を首になり、その後、マルウエア開発を仕事にするようになった経緯とか、こうした裏社会の様子などを語りながら、結局、ヤクザな連中にうまく使われて、自分にとっては、あまり益がなかったことなどを話しながら、自分と同じ轍を踏まないように・・・という話だったように思う。

さすがに昼飯も食わず、５時間連続は腹も減って、体も冷え切ったので、今日はこれくらいで終わりにした。明日はもう帰るので、これがDEFCON最後となる。ちょっと表に出て、冷房で冷えた体を暖めて、宿に戻った。

宿で一休みして、それから夕食を食べにでかけた。今回は、この周辺から出ていないので、最後くらいはちょっと遠出、とダウンタウン（旧市街）あたりまで行ってみた。

しかし、バスで３０分ほど窮屈な格好をしていたせいか、膝が痛み出し、歩いている間にかなりヤバい状態になってきた。しかたがないので、あきらめて、またバス停へ。

ホテルまで戻ってきたのだけど、膝はかなり悲惨な状態で、しかたがないので、サンドイッチとサラダとビールを買って部屋に戻って食事。会場でも立ち見とか行列とか、今日は結構足を酷使したので、そのせいもあるんだろうか。まだあんまり無理はできないみたいだ。ホテルの窓からはちょうど夕焼けで、いい感じ。膝の痛みは湿布とアルコールでごまかして、くつろいでいる。

さて、明日は朝一にホテルを出て、１０時過ぎの便でLAへ。そこから成田行きに乗りついて帰国する。なんとなく弾丸ツアーな今回。でもまぁ、こんな膝では遊ぶこともできないのでしかたないかな。今夜は、膝をきちんと湿布して寝よう。

・・なれなかった私。DEFCONバッジ売り切れで入手できず。去年は翌日入荷分を配ってたのに、今年はないらしい。HUMANですらないなんて・・・・。インフォメーションで、「今日はどこで配るの・・・」って聞いたら、あっさりと、もうないよ・・・だって。（涙）

気をとりなおしてトラック１のキーノートを聞こうとしたら、既に満席、しかも入場制限されてるし。しかたないので、トラック２へ、DNSのトラフィックを複数サーバでモニタして、データベース化して、特定のドメインのアドレスの変化を追跡するというもの。メールのRBLみたいに、DNSサーバのレピュテーション的な使い方もできるそうな。

次は、「クラウドは大量破壊兵器か？」というタイトルのセッション。スケーラブルなクラウドを、攻撃システムとして使ったら、という話は常々あるのだけど、このセッションでは、実際にアマゾンを使ってDEFCONサイトにDDoSをかけるというデモ付き。でも、７インスタンスでは、落とすところまで至らず、会場からはちょっと失笑が漏れる。２０まで上げてようやくレスポンスがなくなった。攻撃の強さ、という意味ではボットネットのほうが高いのだろうけれど、オンラインでサインアップしてすぐに使えるクラウドは、一過性の攻撃をかけるにはお手軽なのかもしれない。実際、事業者側が事態を把握したときにはもう遅いわけだ。ただ、アシがつく可能性も高い。盗んだクレジット番号を使ったり、所在をごまかしたり、あれこれ面倒なこともしなければいけないから、自爆覚悟の攻撃者以外にはリスクが高いのかもしれないと思う。ただ、こうした可能性については、事業者はなんらかの対策を考えておくべきだろう。

しかし、会場は混雑している。毎年のことではあるのだけど、今年は特に人が多いような気がする。移動が大変。膝の調子が、やはりいまいちで立ちっぱなしは辛い。

午後は、IPv6話をまず聴いたけど、どちらかといえば、ありきたりな内容。そのあとの、仮想環境でのOSシグネチャについての話は、睡魔に勝てずに熟睡してしまい、聴き逃した。やっぱりDEFCONのプレゼンは早口だし、スピーカーそれぞれ、訛りも強かったりして聴くのが大変。集中力が切れたらアウト。ということで、今日は一旦宿に帰って昼寝を決め込んだ。ちょっと昼寝のつもりが、気がついたらもう６時・・・・。寝すぎてしまった。

とりあえず、リビエラまで行って、ビールを買って、プールサイドのバンド演奏を聴きながら飲み、ちょっと夏フェスっぽい雰囲気を味わってみた。しかし、日本勢も結構いるはずなのに、今日はだれも会えなかったのは、ちょっと寂しい。

足が痛いので例年のようにあまり歩きまわれないのだけど、ちょっとだけ散歩。

あんまり食欲もないので、サンドイッチとバナナを買ってきて、それで今夜の夕食はおしまい。どうも今回はカジノ（スロット）では負けっぱなしなので、あまり深入りしないほうがよさそう。今夜は部屋でまったりしていよう。

ソルトレイクから１時間ちょいのフライトでラスベガス着。ソルトレイク到着時はよかった天気が、出発時には雨。雨雲を抜けてしばらくは雲の上の飛行。こんな日は、おもしろい雲にも出会える。たとえば、こんな雲。

怪鳥のヒナといったところかな・・・。気流はあまりよくなくて、いつものようにラスベガス着陸前は熱波の乱気流で大揺れ。こことフェニックスの夏場はいつもよく揺れる。とりあえず、空港からタクシーでホテルへ向かって、長蛇のチェックイン行列に並び、部屋に入ったらもう３時過ぎ。今回の宿は、サーカスサーカス。DEFCON会場のリビエラホテルの向かい側なので便利はいい。

さすがにこの時間では、今日のバッジは売り切れで、仮バッジになってしまった。明日はまた死ぬほど長い行列に並んでバッジをもらわないといけない。

とりあえず、ホテルのカジノでちょっと運だめし・・・。結果、今回はあまりハマらないほうがよさそうとのお告げが出た。部屋に帰ってちょっとネットにあくせす。ここのWiFiは宿泊者はタダなので、PCとXPERIAの両方をつないでいる。これなら、iPadも持ってきたらよかったかも。まだあまり環境を整備していないので、持ってきても荷物になるからとおいてきたのだけど。飛行機の中は、持っている奴が一気に増えたな。デルタの国内線は、WiFiが使えるので便利。

ちょっと眠くなって、少し昼寝して、それから晩飯をホテル内のステーキハウスで・・・。お約束の「肉」。

このレストランは厨房（グリル）が客席の真ん中にある。炭火グリルで焼いているのだが、肉が・・・デカい。

例によってちょっと食いすぎなのだけど、よしとして、とりあえず部屋に帰ってこれ書いている。まぁ、眠くなったら寝て、目が覚めたら起きて・・・。３日ほどなので、無理に時差を修正するのはやめておこうかと。

さて、明日からのDEFCON、どこから聴くかちょっとプログラムを見て考えよう。

今日は朝から東京ビッグサイトへ。クラウド、情報セキュリティなどいくつかの展示会をとりあえず冷やかしてきた。とにかく、集客のためか、雑多なIT系の展示会をごちゃっと詰め込んだ形で、なんとなくテーマもボケぎみ。でも、主催者のもくろみ通り、全体の来場者だけはそこそこある、といった感じだろうか。

入口で、会場が東西の展示棟に分かれる。メインの東棟では、目玉のクラウドを軸に、開発系やら各種のサービス系やらの展示会を大ホールに詰め込んで、テーマごとの境目もはっきりしない形で構成されている。クラウドを見ていたつもりが、いつのまにか、Webマーケティングのブースを見ていた・・・という具合で、まぁ、クラウドという言葉の世間での認識の曖昧さをうまく逆手に取ったのは、マーケ屋さんとしてはお見事というしかない。

一方、西棟は、情報セキュリティを目玉に、ストレージとグリーンIT。但し、こちらはセキュリティとその他はフロアが分かれている。正直言うと、セキュリティは予想通り、特に大きな目玉もなく、なんとなく会場も閑散とした感じ。つまりは、もはやセキュリティも単独で展示会の目玉にはなり得なくなってしまったようだ。

グリーンITは、データセンタ向けの省エネソリューションばかりでつまらない。「グリーンなIT」ではなくて、もっと、「グリーンのためのIT」を出してほしいところだ。（というか、我々IT業界が、売り物として考えないといけないのだけど）

入口で見ていると２：１もしくは３：１くらいの比率で、人は東に流れていく。セキュリティ屋としては寂しさもあるが、これが本来の姿だろう。そろそろセキュリティ単独の展示はやめて、セキュリティ屋さんたちは、ITのいろいろなフィールドに自ら出て行くべきなんじゃないだろうかという思いを強くした。

一方、クラウドは最近、だいぶ方向がそろってきたような感じだ。「なんちゃってクラウド」とか「なんでもクラウド」じゃなくて、本来のクラウドらしいオン・デマンドかつスケーラブルなソリューションが増えてきている印象。こういう場所にどっぷり入って、クラウドをきちんと使うためのセキュリティを語れれば、セキュリティ屋さんたちの株ももっと上がるのだけど・・・。

とりあえず、昼までいて、昼飯を食って会社に戻った。ゆりかもめで新豊洲まで行き、晴海大橋を渡るといういつものコース。橋の上から、豊洲の某社ビル方面を見ると、スカイツリーがよく見える。そろそろ第一展望台の足場のあたりができつつあるようだ。

橋を渡ったら、満開のツツジがお出迎え。なかなかいい感じだ。

午後はまじめに仕事をして、今日は定時退社日。会社帰りにしては珍しく、ちょっと黄金色に黄昏れてみた。

今週もこれで半分が過ぎた。いまいち仕事が進んでいないのは連休ボケのせいだろうか。ちょっと気合いをいれなくては・・・・

今日から本格的に始まったＲＳＡコンファレンス。朝からキーノートを・・・と思ったのだけど、連夜の時差ぼけで寝坊してしまい、最初の２セッションを聞き逃した。お天気は朝から雨。肌寒い感じで、ちょっと気分もさえない感じ。とりあえず朝食で元気をつけて、会場に出かけた。

キーノートはちょうど中休み。とりあえず席を確保して残りのセッションを聞いてみた。最初は、シマンテックのＣＥＯのプレゼン。

最近のテクノロジーのキーワードとして、ソーシャルメディア、クラウド、モバイルの３つを挙げて、こうした技術がＩＴ（というよりも「情報経済」）の高度化をより加速していくだろうと予測。同時に、昨今の脅威の動向、とりわけ脅威のターゲットが鮮明になり、それにつれて手口も高度化していることなどに触れて、より総合的な対策が必要だと述べた。興味深かったのは、マルウエアのシグネチャ数が、２００９年から２０１０年で倍増しており、もはやシグネチャベースの対応には限界が見えていることや、シマンテックとして、シグネチャベースに加えてレピュテーションベースのしくみも強化しているといった話。そして最も印象的だったのが、最後のしめくくりとして述べた言葉だ。「新しいＩＴ技術はビジネスの推進に不可欠だ。ソーシャルメディア、クラウド、モバイルといった領域の技術は、ビジネスのあり方を大きく変えるだろう。我々（セキュリティの専門家）は、これらをブロックするのではなく、うまく使えるようにする（enableする）ことが必要だ。」というくだり。そう、これが日本のセキュリティ屋さんたちが一番考えるべき部分なのだろうと思う。

引き続き、表彰式をはさんで、暗号屋さんたちのパネル。こういうメンツのパネルを見られるのはＲＳＡならではかもしれない。

中身は半分雑談っぽいもの。正直言うと眠気のせいでいまいち聞き取れなかった。おもしろかったのは、モデレータの質問。「皆さんは、いわゆる頭のいい人たちとして世間から見られているのだけど、これまでに何かおバカなことをしたことはありますか？」というもの。おもしろかった答えは、自分は１００日のうち９９日はバカげたことしか思い浮かばない・・・というもの。でも、１００分の１の確率で素晴らしいことを思いつけるのだったらいいんじゃないかな・・・と。

最後は、先日、ホワイトハウスのセキュリティ責任者に任命された、ハワードシュミット氏の講演。

氏は、先日ＪＮＳＡが提携発表したＩＳＦの代表でもあるのだけど、先日の来日予定がホワイトハウスのご指名の影響で急遽キャンセルになったのは残念。米国政府で、現在進められているセキュリティ関連部局の統合の話などを中心に語っていた。やはり政府のセキュリティ施策は縦割りの行政では難しいのだろう。このあたりは日本もなんとかしたいところなのだが・・・

さて、今朝はＰＣ入りのバッグを提げて会場に行ったのだけど、これを持ち歩いているのは結構疲れる。すこし展示会を見てから一旦荷物を置きにホテルに帰ってきて、とりあえずこれを書いている。今回、ちょっと面白い傾向が見えてきた。セッションのテーマとしては「クラウド」がらみのものが多いのだが、展示会のブースで、"Cloud" を前面に出しているものは少なかったということだ。おそらくセキュリティ屋さん（米国ではユーザサイドな人が多い）の興味はクラウド周りにあるのだが、（というより、すでにかなり語りつくされた感もあるのだが・・・）ベンダサイドは、無理やり自分たちのソリューションをクラウドに結び付けても見向きされないことがわかっているから、むしろ、要素技術としての特徴をアピールするような方向にあるのではないかと思う。ともすれば米国発のキーワードに踊る（踊らされる）日本のベンダにも見習ってほしいあたりだ。

さて、天気も良くなってきたので、また少し出かけることにしよう。

雨の志賀高原。もう滑るのはやめようかと思ったのだけど、一旦、雨があがったので、回数券を買ってゲレンデに出てみた。焼額はゴンドラが強風で止まって、リフトが２本しか動いていないので、とりあえず一之瀬方面にエスケープして、ダイヤモンドを何本か、

向こう側は一之瀬なんだけど、歩道橋を渡るのが面倒なので、こちらがわを４本ほどかっ飛んでいたら、また雨がひどくなてきた。

で、早々に退散することにして、焼額方面への連絡コースを滑降・・・・。シャーベット状の雪は意外とスピードがのる・・・・。

第二高速を１本滑って昼食。お昼はねぎとろ丼、具だくさんの割に主賓のねぎとろは少なかったりするのだけど・・・

外は雨・・・・。レストランのガラスにも雨粒が・・・。エントランスに雪はなく・・・となんとなくさびしい２月末の志賀高原

で、早々に回数券を使いきって、引き上げ、山を下って湯田中温泉へ。まだ、ＪＮＳＡの本隊は到着していないので、しばし旅館のロビーで休憩

やっぱり、歴史のある温泉街だけあって、なんとなく風情がある。

３時間ほどの会議のあと（いちおう幹事会なので）夕食。なかなか立派なお膳。

若女将の口上も老舗の旅館らしい。

・・・んで、このあとは、お酒が入って・・・即沈没。だって、前日は３時起きだし・・・・

今朝は６時に起きて昨日は入れなかった温泉。で朝飯を食べて、現在まったり中。さて、もうひと風呂行ってこようかな。

北の国滞在中・・・。そういや今日は、そういう日だったな、ってことで雰囲気だけ。

夕食は、ちょっと、こ洒落たお店で。まぁ、雰囲気だけ・・・ですが。料理は結構いいです。このお店。

まぁ、ホワイトクリスマスだしね。明日も雪はよさそうだ。今日も朝からパウダーを満喫。シーズン初日から、ちょっと飛ばしすぎた感じだけど、調子はいい。雪が降るのはいいけど、風が吹かなきゃいいけど。リフト止まっても困るしね。

食事してる間に、風もおさまってきたし、明日はいい雪を期待しよう。ニセコひらふ、今シーズン初日も終了。今日は早めに寝よう。

今朝（といってももう昨日だけど）は雨のワシントン。昨夜は結構、大雨が降ったみたいだけど、今朝は霧のような小雨。ポトマック川の対岸もかすんでる。

二日目のキーノートは、個人情報漏洩が発生した際の報告（公表）義務について、各国の制度の違いを説明するもの。残念ながら日本は例に挙がっていなかったけど、こんな比較表があるので、それに日本をマップしてみたら面白いかもしれない。実際、グローバルにビジネスをする場合は、各地の法制度の違いをきちんと意識しておかなければいけないので。

ふたつめのキーノートは、メリーランド州の産・官・学の連係について。ITのイノベーションを一番ドライブしているのはどこ？。という話なのだけど、そのあとのパネルで、結局、3者がそれぞれの立場ですべきことを進めていくのが最もいい方法だという結論に至った。実際、メリーランド州はその形がうまく出来上がっているとのことだ。

そのあとのセッションは、クラウドの1日トラックを聞いた。クラウドに対する不安のトップはやはりセキュリティだが、セキュリティと言っても、コンプライアンスや機密保持契約に抵触する可能性への懸念がいちばん大きいようだ。

法律や契約で管理方法が定められている情報をクラウドに置くには、まずアウトソースが許可されていなければならず、また、自社に課せられている義務と同じレベルの保護（たとえば、特定情報へのアクセスログの取得とか）をクラウド事業者にも要求できないといけない。さらに、クラウド事業者がたとえば、基盤のシステムをデータセンタのIaaSサービスに頼っている場合などは、そうしたアウトソースも認められなければならないし、さらにそちらに対しても同じレベルの契約がされているかどうかをクラウド事業者に開示させる必要が生じる。

また、クラウド事業者の内部犯罪への懸念や、万一インシデントが発生した場合にユーザはどこまで調査権を行使できるのか、というようなことも問題になる。

現実を見れば、クラウド事業者の多くが提示しているサービス内容や委託契約は、こうしたユーザの懸念を解消できるものになっていない。米国では、特に大規模なクラウド導入に際しては、法律の専門家を交えて個別の交渉で契約内容を変更するようなこともままあるようだ。事業者は表面的には個別交渉に応じないという態度を崩していないが、現実には例外もかなりあるらしい。契約にうるさい米国では、それなしでは大きな企業への導入は難しいのだろう。会社の顧問弁護士は間違いなく「使うな」と言うはずだ。日本でも、本気でクラウドを使うことを考えるのならば、このようなことは考えていく必要がありそうだ。難しい問題だが避けては通れない問題だろう。

展示会場の前に不気味なものを見つけた。これもハロウィーンだから？

今日は1日雨のお天気、明日もこんな天気が続くみたいだ。明日は、午前中でコンファレンスは終了、午後にサンフランシスコへ移動する予定。午前中は引き続き、クラウド関連の話を聞く予定。明日の話は、クラウドの先には何が・・・というような内容なのでこれは面白そうだ。

現在午前3時、時差ぼけでまったむ眠くならない。中途半端に寝てしまったのが災いしているのだけど、一週間くらいの出張では時差ぼけを直さないほうが、帰ってから楽なので、あえて体内時計を狂ったままにしている。でも、そろそろ寝ないと・・・

では、また明日・・・

今日からCSIコンファレンス。ワシントン郊外は雲は多いものの、晴れ。しかし、今朝はちょっと肌寒い気温で、秋深しといった雰囲気だ。航空路の下なのか、空にはおびただしい数の飛行機雲。

CSIの初日は午前中がキーノートセッションと展示会。キーノートの最初は、陸軍のサイバー関連法の専門家、David Willson 氏の講演。サイバー犯罪や戦争行為にどう対応していくかを国際法の観点から考えたものだ。インターネットに明確な国境は作れないから、いっそ国際条約で公海や南極、宇宙などと同じようにネットも各国が領有権を主張できない場所にしてしまおうというもの。そして、管理は国際的な枠組みで行って、インシデント対応も国際IRTを作ってやれば・・・というお話。いかにも法律家らしい考え方だが、ちょっと無理があるかもしれない。

このあと、そのテーマでパネルが行われたのだけど、やはり、あれこれと異論が出た。まず、ネットはほとんどの国で民間会社が運営していること。当然、その所有権や管理権は民間にあるから、それを国際管理といっても無理がある、というのはISPサイドの意見。そもそもネットは人間が作ったもので、もとからある海や南極なんかとは違うんだということ。当然、ネットの形もその時代の必要に応じて変えていくことが出来るし、そうすべきだと言う意見だ。

思うに、すでにネット上に「長城」を築きつつある国もあるし、一部の国はサイバー「戦争」も視野に入れた動きをしている。こんな動きがあると他国も追随せざるをえない。実際、戦争や紛争にリンクして、ネット上で攻撃が行われることも少なくない。はたして、これが軍事的な行為なのか、一部の人間の勝手な行為なのかはグレーなままだ。条約を作るのはいいが、それが実効性を持つかどうかはきわめて疑問だと思う。ただ、今のままで進んでいくと、ネット上に国境を作らざるを得なくなりそうなのも事実。難しい問題だ。

キーノートの後、展示会をちょっと冷やかしてから、昼食までの間、会場の周囲を歩いてみた。展示会はあまりぱっとしない。この不景気で企業スポンサーもユーザ企業からの参加者も減っているからいたしかたないのだが、それでもこうしたコンファレンスを維持できている意味は大きいと思う。

雲は多いけれど、気持ちのいい天気で、ポトマック川を渡ってくる風がここちいい。空の雲も、なんとなく晩秋の雰囲気だ。

午後からのセッションは、モバイル関連の連続セッションを聞いた。今日の午後はいまいちぱっとした内容がなく、たまには・・・と思って聞いたのだけど、内容的にはありふれたもので、かなり退屈した。最後のセッションは眠気に耐えかねてパス。夕方のレセプションまでホテルで昼寝を決め込んだら、ちょっと寝過ごした。

恒例の参加者レセプションは、時節柄、ハロウィーンな雰囲気。例によって日本常連組で、あれこれお話。カメラマンが撮影に来たので、向かい側に座っていたアメリカ人らしき女性を囲んで乾杯ポーズで撮影。たぶん、来年のコンファレンスのパンフレットに載るのだろう。ちなみに、今年のパンフには、日本常連組が写った写真がたくさん掲載されていた。主催者的にはインターナショナルな雰囲気を出したかったのだろうと思う。

さて、明日は一日ぶっ通しの「クラウド」トラックを聞く予定。クラウドのセキュリティと言っても、技術的にはその基盤となる技術、たとえば仮想化やWebセキュリティ系のものが多いのだが、気になるのはやはり、管理面やコンプライアンスの面からの問題。情報が国境を越えたり、分散されてその位置が特定できなくなってしまうことなどを考えると、特定の情報、たとえば個人情報などの管理方法を細かく規定した法令や、機密保持契約などとの間で整合性が確保できない可能性がある。このあたりをどのように解決しようとしているのか、また、SaaSなどの事業者がどの程度情報開示やインシデント対応への協力をするつもりがあるのかなどが私の興味の中心だ。こちらのユーザたちがクラウドをどのような視点で捉えているのかも興味がある。「雲をつかむ話」で私が書こうとしている見方と共通するような見方があるのかどうかも知りたいところだ。

さて、今朝はちょっと冷え込んだので、今夜は室温をちょっと高めに設定して寝ることにしよう。