このブログは「風見鶏」が、日々気づいたこと、思ったこと、したことを気ままに綴る日記です。2008年9月に旧ブログから引っ越しました。バックアップをご覧ください。

ゲストログインがうまくできないので、コメントを承認制にしました。スパムでないことを確認の上、公開します。判断はあくまで「風見鶏」の主観で行いますので、文句は受け付けません。(笑)承認が遅れることもままあると思いますが、あしからず・・・

なお、ここに書いていることは、あくまで個人的な思いであり、いかなる組織をも代表、代弁するものではありませんし、無関係ですので念のため。

ITの最近の記事

今朝、ホテルをチェックアウトし、空港へ向かう。ホテルのシャトルが予約制だと知らず、結局タクシーを呼んで空港へ。なんせ、スキーの大荷物なので、バンタイプの車を呼んでもらった。とりあえず、チェックインもセキュリティもスムーズで、ギリギリだったにもかかわらず、問題なく搭乗時刻に間に合った。で、ちょっと遅れながらも無事離陸したので、ようやく今回のRSAの話を書くことができる。

米国のコンファレンスは総じて朝が早い。会場やその近くのホテルに滞在していれば、なんということはないが、今回はちょっと遠い宿だったので、結構、朝はばたばたする。結局、ちょっと出遅れて、キーノートのメイン会場には入れず、別会場での映像観戦となった。

今年は、なにやらちょっと不穏な雰囲気である。最初から「カオス=混沌」というキーワードが飛び出した。どうやら、我々、セキュリティ屋は「混沌」とした状況に直面せざるを得ないらしい。いかにも、セキュリティ業界を代表するコンファレンスらしい、ある意味FUDっぽい話の建て付けなのだが、実際、たしかにサイバーの世界はかなり混沌としてきている。これはセキュリティだけの話ではなく、ITの世界全体の話である。1月のCESで見たように、技術は爆発的に進化、多様化している。それを引っ張っているのが、世界でもトップクラスの研究者や技術者だから、この先の予測は極めて難しい。しかも、それにAIのような、ある面では人間の能力を遙かに凌駕するようなものが、それを後押しするとすれば、これからのITの世界は、どんどん「想定外」の出来事が起きるだろう。政治的、社会的な影響もこれまで以上に大きくなる。戦争の(むしろ、表向きの戦争ではない情報戦の)道具としてこれらが使われる可能性は極めて高い。これらは技術的な問題ではなく、極めて政治的なパワーバランス の問題である。「セキュリティ」という領域を守っていこうとすれば、当然ながら、こうした、いわば「ITの爆発的進化」や環境の変化とと向き合わなければならない。それは、極めて難しいことだ。だから、今回の「混沌」は、セキュリティ業界が、ある意味で行き詰まりつつあるというシグナルなのかもしれないと私は思うのである。

これは、CESが、ITの進化による明るい未来を体現しているのに対して、その対極にあると言っても過言ではない。結論めいたものがあるとすれば、「とにかく、一緒に頑張ろう」という話である。ただ、私が思うに、「一緒に頑張る」相手は、同業者(セキュリティ屋さんたち)ではなく、むしろ、世のIT屋さんたちなのだろう。我々セキュリティ屋は基本的なことは知っていても、最先端のIT分野に自ら対応できるだけのパワーはない。実際、加速度的に拡大するIT技術やビジネスの最前線には、外(門外漢)からの意見を受け入れる余裕もないように思えるのである。思うに、そろそろ「セキュリティ業界」という、いわば「ご意見番」めいたポジションを捨てて、自ら様々な現場に入り込み、その分野の専門家や技術者と一緒に、もしくは自分がそうした存在に変わって、内側からセキュリティを高めていくことが必要になっているのではないだろうか。ある意味、「セキュリティ業界解体論」に近いのだが、そもそも、セキュリティ自体、何かに従属している存在なのだから、これは自然な流れではないかと思うのである。

今回は、フル・コンファレンスのチケットを敢えて買わなかった。たかだか45分程度のセッションの繰り返しのために、早期割引でも十数万円の投資は割に合わないと思ったからである。なので、今回はキーノートでの全体像掌握と、展示会でのベンダ動向の把握に重きを置いてみた。

最近よく見るのは、こうした自国の企業をアピールするブースである。CESでも多かったのだが、アジア系はもとより、最近ではヨーロッパ系も積極的だ。

米国は政府機関の出展も目立つ。こちらはNSAのブース。

今回は、FBI、DHS(国家安全保障省)もブースを出していて、様々な民間支援プログラムなどをアピールしていた。政府系のリサーチから、民間にノウハウを移転するというプログラムも少なくない。、このあたりは、産官学で人材がうまく回っていて、国が主体的に研究や技術開発に踏み込んでいる米国ならではの動きだろう、残念ながら、我が国では一部を除き、「官」は「産」にたよりきりなので、こういうプログラムは機能しない。

キーノートでも話が出ていたのだが、防衛系の企業の出展も目立ち始めている。「サイバー戦争」が現実味を帯びる中、軍需産業の力の入り方も顕著になっている。こうした企業が近い将来、レガシーなセキュリティ企業に取って代わる時代がくるのかもしれない。

こちらは、DHSのブースである。

初日は、そんな感じでキーノートと展示会巡りで終わった。午後に一度宿に戻り、夕方にまたダウンタウンに帰って、日本のお客さんとの会食など。

少し時間があったので、ユニオンスクエアあたりをしばらく散策。一昨日のサンフランシスコは春のような陽気で、夕方は、散歩していて、気持ちがよかった。

宵の明星が出ていたので、ちょっとこんな絵柄を撮ってみた。

ちょうどバレンタインデーとあって、夕暮れのユニオンスクエアは歩くカップルの姿も多い。

もうひとつ、こんな絵も撮ってみる。

そんな感じで、お客さんとの会食も無事終えて、PowellからBARTでMillbraeに戻る。Powell St.のケーブルカー乗り場は遅い時間でもケーブルカーを待っている人がいる。

翌日の朝は、ちょっと雲が多い空模様。この日は、近くのMariottの会場にあるSandboxエリアのIoT/ICS系のステージに詰めてみることにした。

コンファレンスセッションが、参加費の割にはイマイチだと書いたのだが、そういう意味では、Sandboxのセッションは、そこにフォーカスして話を聞きたい人間にはいい。しかも、展示会パスでも聞ける。そのぶん、地べたに座って聞くという、よくあるスタイルなのだが、どちらかと言えば私はそういうスタイルが好きなのだ。

ICSサンドボックスのプレゼンでサンディエゴがスマートシティの先進的な取り組みをしていることを知った、そういえば、CSAのIoT WGのリーダーせある、Brianも、サンディエゴ在住である。これは、もう少しあれこれ調べてみたいところだ。

お隣では、SANSがCTFっぽいイベントをやっている。

こちらは、このところICS系ステージの常連になっているカスペルスキーの連中。今回は、プラントのVRシミュレーションを使って、ICSへの攻撃シミュレーションを可視化しようという面白いシステムの紹介。本物のPLCからの信号をシミュレータに取り込んで、実際のプラントがどう動くかをVRでシミュレーションするというもの。見た目は、VRゲームそのものだが、実際に、PLCからの信号でプラントが異常動作して、それを映像で確認できる。

これは、圧力異常で可燃性ガスが漏れて火がついた状態。

まだ開発途中らしいが、実際のプラント用のステージングシステムに応用すれば、プラントを燃やさなくても(笑)攻撃や異常のシミュレーションができる。すべてをシミュレートするのではなく、実際の制御系のアウトプットを受けて動く部分のシミュレーションであるのが面白い。実際の演習などで有効活用できそうな技術である。

こちらのセッションでは、医療機器の実際のインシデントや医療機関内でのセキュリティの取り組みを医療機関のCISOが語ったセッションである。実際、一般のセキュリティはCIA(機密性、完全性、可用性)のうち、C(機密性)にフォーカスすることが多いが、医療系など、直接人に影響を及ぼすシステムでは、可用性や完全性の欠落は命に関わるため、一般とは違った優先順位で考える必要がある。しかし、医療機関という独特のカルチャーを持つ組織で利用されるITに関してセキュリティの対策や対応を取ろうとすると、そのカルチャーが障害になることが少なくないようだ。たとえば、医療機器を装着した患者に何かあった場合の調査で、機器のフォレンジック調査がタイムリーにうまく出来るか・・・といったあたりである。特にIT畑からのCISOは、そのあたりで苦労するのだとか。

トレンドマイクロの連中は、SHODANを使って、インターネットに公開されて(しまって)いる機器の傾向分析を紹介していた。機器やプロトコル別、地域別の件数で見ると、なかなか面白い傾向があるようだ。ロサンゼルスは全体的に件数が多い。次いでヒューストンが続く・・・と言った感じだが、プロトコルによっては、違う都市がトップに出てくる。これは、脆弱な機器の普及の偏りや、人口、IT化率、その他様々な要因が関連しているのだろうと思う。こうした傾向と、各都市の様々な統計情報を相関させてみると面白い傾向が見えて来るかもしれない。それこそ、ディープラーニングに食わせてみたいテーマである。

今年も、政府系な人のプレゼン。去年はFCCが、5Gに関する話をしたのだが、今年は商務省から。IoT機器の安全を高めるためのコミュニティー作りを呼びかける内容のプレゼンである。米国の役所の偉いところは、こうしたところでの存在感を自然に作り上げているところだろう。偉そうにするでもなく、でも、自分たちの方向性を説明して技術コミュニティーに対して協力を求め、率直にに議論する彼らの姿勢は、どこかの国の役人どもに足の爪の垢でも煎じて飲ませたいところである。まぁ、こうしたことができるのも、米国のように産官学で人が循環している国だからだろうが・・・

さて、今年のRSAはそんな感じで終わった。CESとはなかなか対照的な感じがあってこれはこれで面白かったのだが、我々も、もう一度自分たちの立ち位置や、これからのロードマップを考え直さなければならないだろうと強く感じた次第である。

なにやらバタバタしている間に12月突入。ここ数日の動きをまとめて書くことにする。一昨日と昨日は、CCDS主催のIoTセキュリティウィークに参加するために那覇に行って来た。

沖縄は3年ぶりくらいだろうか。国内線で3時間近いフライトは久しぶりである。お昼過ぎに那覇入りして、午後からイベント。CCDS関係の研究発表などを聞いた後で、パネルにパネリストの一人として登壇。各方面から出ているIoT関連のガイドラインをどう見るかという内容のパネル。私は今回、CSAジャパンの帽子で出て、CSAがグローバルや日本のIoTWGで行っている検討の方向などを話してきた。国際標準化もテーマの一つになっていたのだが、私に言わせれば標準化の議論の前に、まずどうやってデファクトを押さえるかという議論が必要。能書きや単なる研究ではなく、実際に有効なことが立証できているものをもとに標準化しないと、標準そのものが見向きもされなくなってしまう。国際的な流れは、欧米を中心に、まず市場を押さえてから、短時間で標準化の話をまとめるという形が主流だが、どうも日本は、そうした流れにはおいていかれがちだ。CSAのグローバルWGでアクティブな人たちの多くが、そういう立場で自分の会社や国の仕事をしながら、互いに情報交換やすりあわせた内容をCSAのアウトプットにしていく作業をしている。つまり、自分たちが考えた内容をCSAという独立な主体から発表し、それを逆に参照することで、デファクト化していくという動きである。そのほうが直接やるより、各方面との調整が容易だからなのだが、知る限りでは日本はそういうプロセスから完全においていかれているように見える。そこに危機感を抱いて、日本発の内容を、できるだけCSAグローバルに持ち出そうと考えているのだが、そのためには、そうした認識のもとに今回参加した各方面(で動いている人たち個人)との協力が不可欠である。しかし、この認識を(とりわけ、国関係の流れで動いている人たちと)共有するのは、なかなか難しいのも現実である。標準化を叫ぶ前にもう少し世界の現実を見て欲しいところだ。

初日の夜は懇親会があって、一部の人たちとそんな話で盛り上がった。ちょっと疲れたので、早めに宿に帰って、そのままダウン。

昨日は朝からいくつか招待講演を聴いた。昼飯を抜くつもりだったのだが、時間つぶしに歩いている間に腹が減って、なんとカツ丼を食うという暴挙に出てしまい、ちょっとカロリー消費が必要になった。

なので午後、二つほど講演を聞いた後、ちょっと早めに抜けて首里方面へ行って来た。

そう言えば、このモノレールの切符が磁気では無くて、QRコードを読み取る形なのは、ちょっと珍しい。ICカードは沖縄独自のものしかダメなので、切符を買わなくてはいけないのだが、最初、ちょっと戸惑った。特に出る時も切符が回収されないので、違和感が大きい。まぁ、飛行機のゲートとかをイメージすればいいのだが、鉄道ではちょっと変わっている。

そんなわけで、以下、首里城の風景など。

重たいリュックを背負って歩き回ったので、ちょっと疲れて、この、いかついのが見守るレストハウスでアイスなどを食って休憩。修学旅行生の団体が時々、どどっと押し寄せてくるのが観光地っぽい。そう言えば、往路の飛行機もほとんど修学旅行生で占領されていた。

帰りは守礼門から出て、駅まで歩くのだが、これがまた、結構距離があるので、モノレールに乗る頃にはかなり疲れ果てていた。

そんな感じで夕方6時過ぎに那覇空港到着。ラウンジで、しばらく搭乗待ち。

12月とあって、那覇もクリスマスムードである。午後7時過ぎの飛行機で羽田に向かい、午後9時半前に到着。帰りはおよそ2時間とだいぶ早かった。羽田に車を置いていたので、帰りはラクチン。そんな感じで、12月の最初の2日はちょっと遠出した。

IoTとIdentity

| コメント(0) | トラックバック(0)

・・・・などというお話しを明日、こんなイベントですることになっているのだが、今日はいつもの客先詰めのかたわら、資料の仕上げなど。

例によってすっかりバズワード化しているIoTだが、これまた、本質的に結構深い意味を持っている。単に機器のネットワーク化にとどまらず、それに関連する様々なサービスや、データを集約、処理して,フィードバック、提供することで、様々な付加価値を生み出すのが"Internet" of Thingsなのである。これは、クラウドで、サービスが様々な形で結びついて付加価値を生むのと同じ仕組みだ。言い換えれば、Cloud of Thingsと言ってもいいかもしれない。そんなクラウドの世界でも、その必要性から標準化、オープン化されてきたIdentity Managementやフェデレーションだが、これに機器が加わることで、さらに広がっていくことになる。そんなあたりの課題を少しまとめてみようというのが、話の趣旨だ。Web2.0 クラウド そしてIoTと、米国発のキーワードをことごとくバズワード化させてしまい、結果として遅れをとってしまう日本。そろそろ、その言葉の裏にある本質を見て、先回りしないとまずいと思うのだが、残念ながら、そういう動きは少ない。尻馬に乗ってバスワード化に拍車をかける輩と、どうせバズワードだろう・・・と無視するか、真面目に考えようとしない連中に、なんとなく二分されてしまっているのが情けない。とりわけ業界のメインストリームにいる人たちにその傾向が強い(営業は前者、技術は後者な)感じがする。まぁ、国内に閉じた仕事ならばそれもいいかもしれないが、ネットの世界はボーダレスだ。国内の産業を真剣に振興するつもりなら、海外に先手を打って市場をリードするくらいの気概がほしい。そうしないと、結局主要な標準や技術、ビジネスモデルを海外勢に押さえられてしまうのである。猫も杓子もIoTと言いながら、それじゃ、それで何をするかということになると、結局、ユースケースも海外の事例頼み。IoTありきではなく、ニーズありきのIoTを考えないと意味が無い。今の困りごとを解消するでもいい。もしくは、次のビジネスの道具としてでもいい。何かをするために、IoTが必要だ(本当に必要なのか?)という流れでものを考えないと、まともなソリューションは出てこないだろうと思う。これでは、またしても「いつか来た道」である。そんな危機感を募らせながら、明日は喋るのである。

そんなことを思いながら、夕方まで仕事をして、いつものように秋葉経由で帰ってきた。

ちょっとヨドバシを冷やかしてから帰ってきたのだが、電車で居眠りしてしまい、東神奈川まで一駅乗り過ごしてしまった。

明日は、冒頭に書いたイベントで終日外出である。面白そうな話も多いので楽しみだ。

七夕は猛暑日

| コメント(0) | トラックバック(0)

今朝は好天。しかし、その分、気温はどんどん上昇。昨夜、CSA総会の後飲んで帰ってきて、そのまま寝落ちして、夜中に目覚め、そのあと、いまいち眠れなかったので、ちょっと辛い朝。

でもまぁ、昨日飲んだ分は消費しないといけないので、とりあえず散歩は決行。

しかし、公園あたりでもう、かなり汗だく。ハンカチを忘れたので、ちょっと気持ちが悪い。

今日は、10時に都内某所で打ち合わせの予定だったので、散歩はちょっと短めにする。

今日の午前中は、某協会と某機関のメンバーと一緒に、某工業系業界団体のIoT関連WGメンバーと面談。朝から、都内某所に出かけたのだが、京浜東北線が赤羽方面で線路に人が入ったとかで遅れ、ぎりぎりになる。くそ暑い中、川崎乗り換えで走り、地下鉄乗り換え、駅から現地の歩きで大汗をかく。

IoTのセキュリティに関する意見出しに呼ばれたはずなのだが、まだユースケースすら固まっていない状態。経営層や役所から「検討せい!」と言われて始めたものの、いったい何に使えるかよくわからんという状況、しかも、IoTで可能と言われていることは、既に、本来のシステムでほとんどやっている状態で、いまさら・・・・という話。そもそも、ちょっとIoTという言葉に踊りすぎ。霞ヶ関あたりも、あまり考えずに、「推進」している様相だから無理もない。だいたい、IoTという言葉の定義すらままならないのでは、かなり無理がある。そんな状態ではセキュリティの話なんて、そもそも無理である。IoTがバズワードと化してしまっている実態を改めて見た気がした。もうちょっと足元を見て考えないと、空回りで結局最後にはしぼんでしまうのは明らか。逆に、ニーズを掘り起こし、そこから組み上げている欧米勢には水をあけられるばかりだろう。言葉だけを取り上げて、本質を理解しないで失敗するのが、今世紀に入ってからの日本のIT(ビジネス、政策)である。またしても、にならないようにしたいものである。

昼前に終わって、近くで飯を食い、秋葉に寄り道して、ヨドバシで小物を買って帰ってきた。一番暑い時間帯に歩いたら、帰宅した時点で、かなりへろへろになってしまった。朝。出る前に洗濯機に突っ込んで洗剤に浸けてあった洗濯物を片付けて干したのだが、3時頃から干したにもかかわらず、夕方には乾いていた。

さて、今日は七夕。どうやらお天気は持ちそうな感じだったが、日が暮れてから雲が広がっている。でもまぁ、天の川の増水はないだろうから、年に一度のデートは大丈夫だろう。

さて、7月第一週も、明日はもう金曜日。とりあえず客先詰めの予定。ちょっと、あれこれやることも多いので、この週末は仕事かな。

お天気は下り坂。今朝は、こんな曇り空。

今朝はちょっと寝坊して6時半過ぎに起床。とりあえず散歩は継続。天気が悪い分、放射冷却がないからか、気温は昨日よりもだいぶ高めである。

九州方面は朝から本降りらしく、関東地方も夜には雨になる予報。熊本あたりで土砂災害が起きないか気になるところ。今日は夕方から予定があるので、そっちのほうも天気が心配。

この公園脇の階段のツツジもだんだん咲き揃ってきた。これからしばらくはツツジが楽しめそうである。

この景色も、今日はちょっとどんよりしている。

今日は、ちょっと事務処理をしてから、実家とVPN接続しているバッファローのルーターを、仮想マシンのpfsenseと入れ替えてみた。家庭用に毛が生えたようなルーターでは、まともにログも取れないのと、IPv6をトンネルできないので、入れ替えを試みている。連休に実家に帰ったときに、向こう側も入れ替えようと考えているのだが、一つ問題が出てきた。pfsenseはL2TP/IPSecをサポートしないので、今のモバイルVPN接続がそのまま移行できない。そこで、モバイルは、メインのYAMAHA RTX1210に受け持たせることにして設定を入れたのだが、コマンドラインでの設定はやたらとめんどくさく、なかなかうまく動かない。そんなことにハマっているあいだに時間切れ。とりあえず、元のルータに切り戻して家を出たのはもう5時をまわっていた。

なんとか、うまく動かせるといいのだが、ダメなら、今のルーターをモバイル専用にしてDMZにでもぶら下げようか・・・・などと考えている。

夜は、CSAジャパン主催のクラウド利用者会議。利用者サイドと事業者サイドがあれこれ議論しようという催しで、今日は某大手キャリア系の事業者がプレゼンをしてくれた。でも、やはり利用者側と事業者側のギャップはかなり大きい。結局議論は、事業者側の透明性が低いという話になっていく。たしかに、欧米の事業者に比べると日本の事業者はセキュリティに関する開示が少ない。だが、これは事業者だけを責める話でもない。利用者側が欧米に比べてレベルが低いのである。つまり、クラウドを使うに当たってのリスク評価や、そもそも、セキュリティの最終的な責任が利用者側にあるということがわかっていない。事業者はセキュリティのための道具だては提供できるが、それを使いこなすのは利用者側である。ある事業者が提供するものが足りなければ、自前で付け足すか、別の事業者のサービスをかぶせるといった、欧米の利用者が普通に考えていることを、日本の利用者はなかなか考えられない。つまりは、すべてベンダまかせで、リスクも押しつけるという昔ながらのスタンスから抜け出せていないのである。そもそもリスクを判断して必要なら自前で対策するくらいの力がないと、クラウドは使いこなせないと思うのだ。セキュリティが重要といいながら、その要求レベルすらまともに示せない利用者では困るのである。一方で、事業者側も、そういう利用者側の状況にかまけて、十分に説明責任を果たしていない。「うちなら安心」といいつつ、その理由をきちんと説明できない、開示しない・・・という事業者も少なくない。結果として、ボールがいっぱい間に落ちて、いざコトが起きた時になすりあいが始まるのである。

こうした議論は、もっとどんどんすべきだろう。相手に投げたつもりで、実は落ちて転がっているボールの多さに、早く気がつくべきである。そんな思いを強くした集まりだった。

脱走事件などなかったかのように、山羊たちは今日も草を食んでいる。

どうも、このとこるまた、夜更かし+朝寝坊癖が戻ってしまい、散歩が出来ない分、なにやらまた体重が増加傾向。ちょっとまずいな・・・と思いつつも、ずるずると過ごしていたりする。そういえば、このところ自宅にいるときに、iPhoneとiPadからのFacebookとTwitterへのアクセスがうまくできなくなっていたのだが、その原因が意外なモノだと言うことが今日判明した。ある日突然おかしくなった(と思っていた)のだが、実はその前にネットワークのポリシーをいじっていたことを思い出したのである。しかし、本来それは影響するはずがないものだったので忘れていたのだが、試しに戻してみたら、あっさりと復旧した。先日、ポリシーをよく見ていたら、IPv6のアウトバウンドで、hhttp/httpsを制限し忘れているのを発見したので、フィルタを一個追加して禁止したのである。そもそも、squid が立っていて、すべてそれを経由するようにしているから問題ないはずだったのだが・・・。ちなみに、FBとTwitterは既に、IPv6対応になっているから、うちの環境だとIPv6でのアクセスとなる。本来、IPv6サポートをうたっていないiOSだが、ちゃっかりIPv6を喋ってしまうのは確認済みだった。しかし、やはりこれは意識して実装されたものではなく、一部のアプリではproxy設定を無視してIPv6でアクセスしてしまうことが、図らずも明らかになったのである。これは結構まずい話だ。これだけで「脆弱性」とまでは言えないかもしれないが、意図せずに動いているものならば、調べれば脆弱な点もあるかもしれない。そういう意味では、Androidについても気になるが、少なくともこちらのほうは、proxy設定は生きているようだ。一応、ステータスを見るとIPv6アドレスを取得していることはわかるから、多少は意識しているのだろう。問題は毒リンゴマークのほうである。ちょっと時間があったら詳細に調べてみたい。まさか、内部のサービスへのアクセスができてしまったりはしないだろうが・・・、今回の件ではかなり不安になった。公衆WiFiなどでは攻撃対象になりかねないので、メーカー(Apple)には、ちょっと真剣に考えてほしいのだが。(できれば、正式にサポートしてほしいのだけど、最悪止めてくれた方が安心できる)

さて、今日は某協会のイベントと総会があったので、午後から秋葉方面へでかけ、夜の懇親会までいて帰ってきた。8時前に会場を出て、こんな景色を見ながらヨドバシをちょっと冷やかしてから帰ってきた。

梅雨入りした関東地方だが、明日はちょっと一休みで青空が戻るらしい。明日から幕張でInteropなのだが、午前中はいつもの病院で眼科の検査があるので、午後から行ってみようかな。

GCCS2015 Day-2

| コメント(0) | トラックバック(0)

ハーグは今朝もいい天気。でも風は冷たくて、薄手のコートが欲しいところ。ちょっと昨夜の酒が残った感じだったが、6時過ぎに起きて、昨日の日記を途中まで書き、朝飯を食ってからGCCS会場へ。

二日目の今日は朝から昼過ぎにかけてテーマ別のセッションが2本。今日は連携関連のセッションを聞く。一本目は、軍と文民、民間連携の話。専守防衛で「軍」のない日本(に飽き足らない某首相は自衛隊を「軍」と称したらしいが、それはさておき・・)にはあまり関係ないように聞こえる話だが、結構重要な要素を含んでいる。

ちなみに、今日のセッション会場は、小ホールだが、なんとなくSF的な演出がされている。ブルーの照明にスモークでレーザーを浮き立たせるという凝った感じの雰囲気。さて、「軍」の出番といえば戦争だが、サイバーに関して言えば、表向きは受け身の対応にならざるを得ない。まぁ、裏で好き勝手やっている国もあるが、基本は「防衛」だ。そういう状況の下で、たとえば日常的に軍ができることは限られている。基本は軍組織自身の防衛である。軍施設やネットワークへのサイバー攻撃警戒や、防衛産業等の防御支援などだ。一方で、有事の際は重要インフラなどの防衛支援も仕事のひとつになるが、その際、警察などの捜査機関との連携や、全体の指揮系統をどうするかと言った問題は重要だ。シビリアンコントロールの原則にたてば、政府が全体を統括することになるのだが、現場ではより緻密な連携が必要になり、課題は大きい。このあたりは、各国それぞれの形があり、それは、その国での「軍」の位置づけとも深く関連している。

リアルの世界では、警察では対応が難しい部分に軍の出番があり、その場合は軍独自の指揮系統が機能するのだが、サイバーとなると、その線引きも極めて難しい。まして、サイバーインシデントへの対応に関しては、攻撃を受けた組織が主体になる。軍や警察は実際の対応はそれらの主体に任せ、その支援や全体的な状況把握にあたることになるため、役割もかぶってしまう。結局、政府内でうまく連携できる仕組みを作って同じ仕事をうまく分担させるしかなさそうだ。一方、国際的な連携についても、それぞれ違うスキームがある。警察はインターポールや、地域の警察機構を通じた国際連携の枠組みがあり、軍は軍で二国間や多国間の枠組みを持っている。とりわけ、ある種の緊張関係にある軍同士の国際連携は互いの「信頼」醸成が極めて重要だ。普段から互いに透明性を確保しつつ、信頼醸成に努めなければ、有事の連携は難しい。まして、「軍」が動く事態では、実際の物理的な「紛争」が発生しているケースも少なくないため、これらの戦略、戦術とも「サイバー」とうまく連動できなければならない。GCCSで、このテーマが話し合われるのは今回が初めてである。それだけ、各国ともそうした枠組み作りに腐心しているということなのだろう。さて、我が国の「軍」はどうだろうか・・・。

さて、二本目のセッションは、今度は警察における国際連携のお話。こちらは、日本も大いに関係する分野なので、警察庁関係の方々の姿もちらほら・・・。

パネリストは、ユーロポール、アメリポール、インターポールなどの代表と各国警察関係の人たち。それぞれの地域での警察組織の連携や、インターポールの役割などの紹介。これはその中で出てきた標語。

インターポール代表は、先日シンガポールのセンター長になった中谷氏。インターポールが、政治的に中立な国際機関として、政府間の確執を超えたサイバー犯罪捜査の国際連携に重要な役割をはたしていることや、各国からの基金をもとに、サイバー対応能力育成支援、実際の捜査における技術支援などを行っていることなどが紹介された。ユーロポールからは、ヨーロッパの金融機関を狙った不正送金事件などでの連携事例の紹介など。警察に関しては、対象が民間を狙ったサイバー犯罪であることが多いため、官民連携の枠組み作りも極めて重要になる。そういう意味で、各国にあるCERTやセクターごとの情報共有の枠組みなどとの連携も大きな課題だ。会場にいたCERT関係者などからは、民間やCERTとの間で一層の連携強化を求める声も聞かれた。

こうした官民連携は警察独自というよりも、政府としての官民連携の枠組みをどう作っていくかという問題だろうと思う。その中で警察が果たすべき役割を考えていく必要があるだろうと思う。日本の場合、民側がICT系のセクターを除くとどうしても受け身になりがちなこともネックとなりそうだ。こうしたセクターに対する啓発活動や人材育成支援も官民連携の重要な要素かもしれない。もちろん、これは警察だけの仕事ではないのだが・・・・。

さて、そんな感じでGCCSは早くもクロージング。1日半の日程では、かなり積み残し感も大きいのだが、とりあえず全体的な認識を各国の官民で共有するという、このイベントの意義は小さくないと思うのである。

ちなみに、二年ごとに開催されるGCCSの次回開催国はメキシコ。2017年の開催である。

できれば次回も参加したいと思うのだが、それまでに世界の枠組み作りがどのようになっているか期待と不安が半分といったところである。日本については、こうした活動に私も微力ながら協力していきたいと思っている。

午後2時前にすべてのイベントが終了。会場入り口のトンネルを通って会場をあとにする。

昼食をとる時間もなかったので、とりあえず、そのまま夕食までひっぱることにして、一旦歩いて宿に戻る。そういえば、この鳥はカラスだろうか。ちょっと違う気もする。色は違うが雰囲気はカササギとかに似た感じだ。

今日は少し風があって、体感的には結構寒い。海沿いなので、海からの寒風が気温を下げているのだろう。

厳戒態勢の会場周辺を抜けて、オランダの古い町並みに出ると、ちょっとほっとする。一旦、ホテルに戻って着替え、ちょっと昼寝して、4時頃からちょっとあたりを散歩してみた。数分歩くと小さな港があり、その先にはビーチが広がっている。海岸沿いは北海からの寒風がまともに吹き付けるので、かなり寒い。風があるからか、このあたりはカイトサーフィンが盛んなようだ。

沖を見ると油田のリグらしきものがうっすらと見える。このあたりも石油の産地だ。

この寒いのに、子供が水着姿で走り回っているのにはちょっと驚いた。海岸線は遊歩道と自転車道が整備されていて、散歩やランニングをしている人も多い。犬の散歩もあちこちで見かける。このあたりでは、散歩の際に犬を放している飼い主が多いが、犬もよくしつけられていて、不安感はない。

海沿いの灯台。なんとなく歴史を感じる灯台だ。

小一時間つぶして、早めの夕食をとることにした。港の脇にあるイタリアンレストランに入ってみる。まずはビール。ハイネケン(一応地ビール(笑))の生。

つまみにステーキサラダなど。

酒を赤ワインにかえて、のんびりと酔っ払う。

メインはやはり肉。テンダーロインなのだが、ソースがブルーチーズベース。ちょっと癖があるのだけど、ワインにはよく合う。

1時間半ほどレストランでつぶし、ビール2杯ワイン2杯でいい感じになって店を出た。しかし、その後でとんでもないチップの計算をしていたことに気づいた次第。50ユーロだから、10%が5ユーロ、15%にしたら・・・というあたりで、なぜか5×3=15という式にすり替わり、15ユーロをチップにつけてしまった。結果30%ものチップを払うことになったのだが、後の祭り。いやはや、ただの酔っ払いになってしまった。でもまぁ、足りないよりはマシ・・とあきらめることにした脳天気。

酔い覚ましに海風に当たりながら帰る。

宿に帰って画像をアップしたところで、また睡魔に襲われ夜中の12時過ぎまで寝てしまった。で、真夜中にこれを書いている。日本はもう土曜の朝か。明日はホテルをチェックアウトして、駅に荷物を預け、ハーグの街を少し歩いてみるつもりだ。夜はスキポールに移動して、空港のホテルに泊まる。土曜はホテルの朝食が8時からなので、ゆっくり寝ていよう。

GCCS2015

| コメント(0) | トラックバック(0)

ひんやりとした空気が気持ちいい朝のハーグ。

ホテルの朝食を食べてから、歩いて会場へ。「サイバー空間に関する国際会議」(Global Conference on Cyber Spsce: GCCS)の初日。各国政府の閣僚、副閣僚クラスが参加する会議だけあって、会場周辺の警備はものものしい。周辺の道路を警察が封鎖して検問していたりするので、ちょっと緊張する。当然ながら、会場入り口では空港並みのセキュリティチェックがあるので、入場者の列ができている。民間も含めれば参加者は2~3000人くらいはいるだろうか。メインのホールは満員御礼状態。VIPの到着待ちで少し遅れて開会。オープニングは映像をバックに男性二人のパフォーマンス。

続いてオランダ首相の開会の挨拶など。ちなみに、日本からは外務省の中山副大臣が参加している。

最初は、サイバースペースの課題に関するパネル。各分野のパネリストが、それぞれの立場から意見を述べる。サイバースペースのインフラであるインターネットの安全を保ちつつ、いかにして自由でオープンな状態を維持していくかというのが、この会議を通じたテーマである。セキュリティ分野のパネリストはJPCERT/CCの伊藤さん。いやぁ、英語のスピーチがめちゃくちゃかっこいい。

もはや、インターネットは現実社会においても不可欠の基盤になっており、様々な面でリアルとサイバーの融合が始まっている。当然、犯罪などのネガティブな面でもそれは同じ。国境のないサイバースペースの利点を生かしつつ、一方で悪意に対応していくためには、国際連携が欠かせない。セキュリティだけでなく、すべての側面で国際的な協調と連携が必要になる。一方で、インターネットでも南北問題が生じつつあるというのがアフリカ諸国のパネリストたちの意見だ。途上国ではインターネットの接続料金が相対的に高いため、利用における貧富の格差が拡大している。経済的なデジタルディバイドである。また、過激派のインターネット利用の問題もまた深刻だ。こうした問題の解消にも国際連携が欠かせない。このパネルの後、17カ国ほどの代表がそれぞれ3分間ずつスピーチをした。そういえば、英語だとたかをくくって同時通訳のレシーバーを持たずに入ったのは失敗。ヨーロッパの国際会議では、フランス語のスピーチは想定しておくべきだった。まぁ、中国語は想定外だったけど・・・・。(笑)中国代表が何を喋ったのか気になるところだが、後で誰かに聞いておこう。

。。。。と、このあたりで時間切れ。昨夜は懇親会で遅くなり、酔っ払っていたこともあって、すぐに寝てしまったので、朝になってからこれを書いているのだけど、今日は開始時間が早いので、そろそろ支度をしないといけない。残りはまた帰ってきてから書くとしよう。


で、帰ってからの追記。今日の話は後で書くとして、昨日の続きから。

軽いランチのあと、午後のセッションは、サイバー犯罪への対応をシナリオベースで議論するパネル。シナリオはドラマ形式の映像で流れ、その局面ごとに、Webサイトやアプリからの参加者アンケートを拾って、その結果をもとにパネリストが議論するという形式。ストーリーは、悪の組織がハッカー集団を雇って、銀行をハッキングし、不正送金を試みるというもの。ハッカーは、銀行の女性ITマネージャを割り出し、そのフェイスブックアカウントからソーシャルエンジニアリングの情報を得る。あるブランドの靴に興味を持っていることを割り出して、そのブランドのWebサイトをクラック。CEOの情報を入手してバーで接触し、まんまとそのブランドの新作ハイヒールを入手する。そのハイヒールに無線装置を仕込み、(ここからがちょっとうさんくさいのだが)女性マネージャに贈る。そして、女性がサーバルームに入ったところで、装置から無線でアクセスし、サーバにマルウエアを感染させる。(無線で・・・というのがアレだが、そこは目をつむることにする)目くらましの大規模DoSを仕掛けたところで、国のCERTがそれを検知して動き始める・・・・というシナリオ。ここからのインシデント対応の流れを議論するもの。ここで、国のCERTはどう動くべきか・・・というのが質問。まず、どの機関と連携するのか、という質問で会場の答えは半数以上が「捜査機関」と答えた。議論では、その前に金融機関のCERTと連携して類似の攻撃に備えさせる必要があるとか、DDoSならば、ISPとの連携も必要ではないかという指摘。結局、こうした関係者をタイムリーに巻き込んで並行して対応していくべし・・・という月並み(笑)な落としどころに落ち着いた。結末は、捜査の手が近づいたことで、犯罪組織から狙われる危険を感じたハッカー集団のボスが、捜査機関に接触し、自分たちを守るのと引き替えに、犯罪組織の女ボスを逮捕するための情報提供と自分が囮役になるという取引をして・・・・というもの。ストーリーへの突っ込みはさておき、従来の組織犯罪とサイバーが融合した犯罪に対し、捜査側も従来の手法とサイバーを融合させて対応するという流れは現実に即したものだろうと思う。

そのあとテーマ別のセッションでは、セキュリティを離れて、新しい技術が社会に与えるインパクトや倫理上の問題などを考えるパネルセッションを聞いた。

ひとつは、たとえばビッグデータを使うことで、ユーザの先読みをして、様々なオファーを出すなど、利用者に対してアクティブに振る舞うコンテンツに関する倫理問題の考察。利用者の行動に対してリアクティブに情報を返すだけでなく、利用者を特定の方向へ誘導するような形でプロアクティブに振る舞うようなアプリケーションがどこまで許されるのかという問題はかなり核心を突いている。フェイスブックの感情操作実験のようなことが、実際にある目的を持って行われるような場合、それが許されるかどうかという議論は、どうしても後手に回りがちだ。一方で、議論が成熟するまで新しい試みができないとなれば、技術の発展が遅れてしまう。このジレンマをどう解決するか、倫理問題と便利さや利益の追求のバランスをどう取っていくかは難しい問題。とりわけ米国と欧州のぶつかる部分である。こうした議論を加速させるためには、技術を開発する側が倫理を、ポリシーメーカーは技術をもっと学ぶ必要がある。しかし一方で「倫理」と言った瞬間に、議論は絶対基準を失ってしまう。いわゆる「宗教論争」に陥りかねない。実際、「いい」「悪い」の線引きは極めて相対的だ。国、文化、宗教、その他様々な要因がからんで、統一的な基準を作るのが難しい。ならば、プライバシー問題などと同様に、「何をしているか」「どういう問題があるか」といったことをできるだけオープンにして、利用者や社会がそれについてそれぞれ判断を下せるようにすることが最初の一歩だろうということは間違いなさそうだ。だが、その先は混沌としている。当面は個別に対応せざるを得ないだろうが、技術の発達がどんどん加速している現在、社会が後手に回る状況は続いていきそうである。

二つ目のセッションは、より具体的な例。新技術が社会にどのようなインパクトを与えるかという議論。ドローンとブレイン・マシン・インターフェイスの組み合わせがいかに安く簡単にできるかというデモを交えての議論が面白い。

デモでは、市販のドローンとBMIのキットを使ってドローンを脳波で制御する実験をする。まったく操縦未経験の人間が、短時間でこうした操作が可能になる。

上の脳波センサーからの信号を処理するアプリケーションがこれ。

そして、物体が浮き上がることをイメージした時の脳波を学習させる。学習はものの数秒で終わる。それから訓練。画面の中に浮いているキューブを持ち上げるイメージを持って、実際にキューブを動かす練習をする。

キューブが動くようになったら、それをドローンに連動させると、こんな感じでドローンが浮き上がる。

とりあえず浮かせることはできたが、実際の操縦とはほど遠い。ドローンそのものですら、野放し状態で様々な問題がようやく議論されはじめたところなのに、こうした未成熟な技術が使われることで、たとえば事故が起きた際の責任をいったい誰が取るのかという議論である。問題の根っこは前のセッションと同じ。結局、できるだけオープンにそうした議論を加速していくしかないというのが、とりあえずの結論。必要以上に新しい技術の足を縛らずに、安全、安心をどう確保するのかという葛藤はまだまだ続きそうである。

さて、セッションの途中に、FBのメッセージでJPCERT/CCの某氏から連絡。夜に、外務省の中山副大臣が日本からの参加者と会食したいとのことで、参加の打診。9時半開始とちょっと遅い時間になるが、参加させてもらうことにして、それまでの間、日本組の知り合い数名で、副大臣の滞在先近くのバーでちょっと一杯。

ちょっと・・・のつもりが、ベルギービールとかワインとかで、結構酔っ払い。

言い感じでできあがって、午後9時過ぎにバーを出た。この時間でまだ空が明るいのはちょっと違和感がある。

結局、そのあとの懇談会も結構盛り上がって、なかなか終わりそうになく、宿が遠い私は早めに・・・と言っても11時は軽く回っていたのだけど、退散することにした。

酔い覚ましに夜風に当たりながら少し歩いてからトラムに乗って宿に帰ってきた。さすがに結構酔っ払っていて、そのままベッドに横になったら寝てしまった・・・という次第。今朝はちょっと残った感じがあったのだけど、とりあえず昼間は寝なくてすんだのが幸い。

ということで、ここまで昨日の回想。さて、まだ夕食時まで時間があるので、ちょっと海沿いまで歩いてみようか。

二月突入

| コメント(0) | トラックバック(0)

二月の初日は日記をパス。実はこのサーバの仮想マシンの引っ越しが終わらず、更新ができなかった・・・ということもあったのだけど。実は、古いNAS箱のHDDがずいぶん前に一個逝ってしまっていて、その内容は窓鯖の共有フォルダに移してそのまま放置していた。今回、ESXi箱の増設に伴って、ESXiで共有できるNASが欲しいと思ったのだけど、生きている方のNASは安物なので、NFSをサポートしない。しかたなく、仮想で一個Linuxを上げて、NFS共有していたのだけど、容量がないので、壊れていたNASを2TB/RAID1にして再利用しようともくろんだ次第。しかし、もともと1TBのNAS箱のHDDを2TBに差し替えて、起動したらやはり動かない。初期化できないわけで、しかたないので昔の片肺を戻して、まずは起動してRAIDを解除。それから、2TBのHDDを一個増設して初期化。その後、起動に使った1TBを取り外して2TBに換え、今度はそれを初期化した後に、RAID1を再構成するという面倒な手順を実行。それでもう夕方までかかってしまった。

ところで、HDD買い出しに横浜まで車で出かけたのだけど、第二京浜沿いのガソリンスタンドを見たら、ガソリンがえらい勢いで値下がりしている。

このまえ車のガソリンを入れた年始の帰省帰りの時はまだ130円台後半だったのだけど、現金会員価格とはいえ、122円はかなりの価格下落である。まぁ、景気がいまいち元気のない昨今、庶民にとっては嬉しい。

とりあえず、NASは復活、アップグレードしたので、NFSでマウントして作業をしようとしたら、いきなりRAIDの再構成が始まってしまい、おまけにアクセス権設定の加減で、うまくアクセスができない・・・。とりあえず、一旦仮のNFSサーバである仮想のLinux側にマウントして、その上で仮想マシンのコピーを始めたのだけど、これがまた遅い・・・。日暮れ時から初めて、夜中までかかってしまった。

飯の買い出しの後に、こんな夕景のパノラマなどを撮ってみた。空には宵の明星。

で、結局夜中までかかってコピーは終わったのだが、ESXi箱側にマウントしても、アクセスがうまくいかない原因がわからず、昨夜は古い方のインスタンスで起動して寝ることにした。古い方で更新してしまうと、またコピーする羽目になるので、昨日は日記を書かなかった次第である。

今朝も結構寒い朝。久しぶりにマジメに散歩。こんな抜けるような青空。

そろそろ立春だが、まさに「春は名のみ・・」である。しかし、公園ではこんなものも・・・・

公園脇の石段のところにある河津桜は早くもちらほら・・・。いつもながら、ちょっと感覚が狂うのだが、一足先に、こちらは春景色を準備中である。一方で、公園脇の斜面は一面の霜柱。

まぁ、そろそろ梅もあちこちで咲きそろいつつある。もう一月ほどすれば、そろそろ春っぽくなりはじめるので、しばらくの辛抱だ。

今日は午前中に書き物仕事をして、午後からちょっと打ち合わせに都内へ出かけ、その後、アキバのヨドバシでアクションカムの予備バッテリーをたまったポイントで買ってきた。このところの物欲全開で、ポイントが結構たまっているわけで・・・・(苦笑)

今月下旬から来月上旬にかけて、去年同様に友人とアメリカへスキーに行く予定なので、そのための準備を少し。今年はユタ方面を攻める予定で鋭意準備中である。まぁ、一番準備が必要なのは私自身の体かもしれないが・・・・。(苦笑)

ところで、こんな記事を読んだ。FBで知人がシェアしていたものだが、この記事が事実なら、かなり本末転倒な結論が出そうで気になっている。個人情報保護法改訂の最終案で、取得後の利用目的変更をWeb掲示などだけで出来るようにするような内容で、ネット系企業(ヤフーとかたぶん楽天とか・・・・)の意見を入れたということなのだが、これはかなり筋違いな感じだ。たとえば、ビッグデータ利用においては、匿名化データの扱いや基準を話し合っていたはず。つまりは、これらを個人情報としてではなく、単なるデータとして扱えるためにはどうするかという議論だったはず。つまり、個人のプライバシー保護とデータ利用が対立しない方策を考えていたはずなのに、目的変更という「プライバシー問題の根幹」に踏み込んで、それを緩めるという動きはまさに本末転倒と言わざるを得ない。記事にも書かれているように、EU基準を満たせなければ、日本企業にとって様々な不利益が出る。もし、本当に「ネット企業」(の経営者)たちが、これを望んだとしたならば、彼らは「ビッグデータビジネス」を「ネット名簿屋」と勘違いしていると言ってもいいだろう。彼らがネット名簿屋に成り下がれば、日本はビッグデータビジネスで世界に遅れをとってしまうに違いない。困った話だと思う。引き続き注目しておきたい。パブコメとか出るのなら、みんなで意見を申し述べたいところである。

さて、明日はまた客先詰め。先月ほどではないが、今月もあれこれ忙しい。

escar Europe2日目

| コメント(0) | トラックバック(0)

昨夜は、いまいち熟睡できず、結局朝6時前に起きてうだうだ・・・。早めに朝飯を食って、日記を書くなど。

escar会場のホテルは、赤煉瓦の倉庫風。かなりシブい。

コンファレンス2日目は、また結構ディープな話が並んでいる。キーノートは、カーナビなどの経路探索アルゴリズムのお話。これは、大学の先生。あらかじめ、経路の重みやショートカットを計算しておいて、ダイクストラのアルゴリズムの計算負荷を下げようという話である。面白かったのは、たとえば、電気自動車の場合、充電所や走行距離、充電時間などを考慮して、最短時間の経路を算出するというような話。たしかに、電気自動車や燃料電池車は、充電や燃料補給の場所が限られるから、これらを想定に入れた経路案内ができると便利である。

午前中はTPMやHSMを使って、ECU間の通信の信頼性を確保するというような話。こうしたチップベンダの宣伝も半分入っている話だが、CANの中でも走行制御にかかわる部分などは、こうした信頼の確保が重要かもしれない。

CANメッセージの信頼性をHMACで担保し、その認証を集中管理しようという名古屋大の研究発表。質問でかなり突っ込まれて、発表者が質問をうまく理解出来ず、たじたじになる一幕も・・・。質問を理解出来なかったら、聞き返して確認するというあたりは慣れの問題かもしれないが、准教授クラスにしては、ちょっとお粗末だったかもしれない。CISCOがやった、スマホを一時的なキーがわりに使うという話はなかなか面白かった。実際のキーからNFCでスマホに車の固有鍵を転送し、それを使ってハッシュメッセージを作って、トークン発行サービスに送り、有効期限と電子署名を付加したトークンとしてスマホに取り込む。それをNFCやBluetoothで車に送って認証しようというもの。たとえば、知人に車を貸す場合や、レンタカー、カーシェアリングなどで、スマホをキー代わりに使うようなサービスに利用できる。有効期限や、起動のためのPINを設定できるので、安全性は担保できる。問題は、車側の仕組みが無線からCANのクリティカルなセグメントに対してコマンドを投げる形になること。トークンの安全性よりも、このあたりのソフトウエアやハードウエアの安全性が問題になりそうな気もする。

一番ディープな話は、L2キャッシュのフラッシュタイミングの違いを使って、covert channel通信をしようという話。さすがに、これを車のECUでやるというのは、あまり現実的では無いような気もするが、コンセプトとしては頭に置いておいてもいいかもしれない。

最後は、今後の自動車セキュリティについてのパネル。やはり、こうしたセキュリティ要件の標準化を進めるべきという意見が強かった。安全面では、既に動きがあるのだが、システムのセキュリティも含めた形のものは、まだこれからである。航空機の標準なども参考にできるのだが、高度な訓練を受けたパイロットが操縦する飛行機と、一般人が運転する車では、システムの役割も大きく異なる。そのあたりを念頭にセキュリティ標準を考えることが必要だという話。

さて、そんな感じで2日間の日程は終了。午後4時という中途半端な時間で、天気もいまいちなので、とりあえずおとなしくホテルに戻ることにした。

ちょっと眠くなって、しばらく横になってから、下のレストランで晩飯。肉と地物のビールなど。本当はあと一日ほど滞在して、すこし市内を歩いて見たかったのだけど、21日は東京で用事があるので、明日の午前中の便で帰途につかなければならない。初ドイツなのでちょっと残念だが、また来る機会を作りたいと思っている。

昨日から、escarに参加。ハンブルグはあいにくの曇天時々小雨。

でもまぁ、こういう街には曇り空も似合うかもしれない。コンファレンス会場は、滞在中のホテルから徒歩5分ほどの場所にある、これまた由緒ありそうなホテル。コンファレンス自体は比較的こじんまりとしたものだが、結構活発な感じ。朝のレジストレーションはちょっと混雑していた。

参加者200人弱くらいだろうか。日本人が結構多いのはちょっと意外だったが、その多くが自動車業界やそれに関わるIT業界系な人たちのようだ。たしかに、こっち方面に特化したコンファレンスは少ないので、日本の自動車業界も注目しているのだろう。ちなみに、escar ASIAは東京でも開催される。

午前中は、リスクアセスメント系の話が多かった。自動車系のシステムのセキュリティリスクを評価して、設計段階からのデザインに活かそうという話。一言で自動車のシステムと言っても、エンジンや走行系の制御から、各種の情報系まで、様々なものがあるので、そのリスクは様々だ。これらの制御のためのコンピュータユニットはECUと呼ばれ、現在の車では一台の車に数十台のECUが搭載されていることが多い。これらはCANと呼ばれるネットワークで接続されていて、相互に連携ができる。たとえば、カーナビなどに、走行系の情報を表示できるのも、こうしたネットワークを介して情報を授受できるからだ。しかし、一方で、様々なものがいっしょくたに繋がってしまえば、重要な制御システムに対するリスクが大きくなる。最近では、カーナビなどを介して、USBでスマホや音楽プレイヤー、USBメモリなどが接続されるから、これらを介してマルウエアなどが入り込む可能性もある。なので、最近では、CANも複数のセグメントに分割され、ゲートウエイとなるECUにファイアウォール的な機能を持たせている。ただ、CANの構成はまだまだ進化途中で、2,3年前のモデルと今年のモデルの間でもだいぶ異なるのが実情だ。年々安全にはなっているものの、10年前の車が普通に道路を走っている状況を考えれば、こうした旧式の車のケアが、今後、ITSなど様々なサービスや運転支援機能が強化される中で大きな課題になってくることは間違いないだろうと思う。

午後のセッションは結構ディープな話が多かった。最近、車にもUSB機器が搭載されるが、こうした組み込み系のUSBドライバは案外脆弱であるという話。USB用のファジングツールを使ってこうした脆弱性を見つける話など。また、ECUのセキュリティを破る話も・・・。ECUのチップ内に格納された暗号鍵を、物理的に、チップをスライスして、フラッシュメモリから読み出すといった荒技。意外だったのは、CISCOにこうした、セキュリティ検証を行うチームがあること。先日アトランタで聞いた、犯罪捜査でのデバイス解析などでも、使われる方法。これは、どちらかと言えば、DEFCONねたに近い。

もうひとつ、これはコンセプト実証実験の話だが、車のレータ距離計を邪魔する方法など。偽の信号を与えて、距離を誤認させる方法論など。先の話もそうだが、そこまでやるか・・・というレベルではある。ただ、こうしたことが出来るという可能性を念頭にデザインができるかどうかは、大きなポイントだろう。

さて、昨日はセッションが3時で終わって、それから交流イベントとディナー。交流イベントでは、ハンブルグの有名なミニチュアワンダーランドに全員で行く。ここは、鉄道模型のレイアウトやジオラマを大規模に展示している。どれも驚くほど精巧だ。国別のいくつかのエリアに分かれていて、景色も異なる。照明が変化して昼夜もある。下の絵は、まるで本物の景色のようだ。

カメラを近づけて撮影すると、すごくリアルな絵が撮れる。

走っているのは鉄道模型だけではない。車も走っているし、なんと空港エリアでは飛行機が離発着している。これはよくできている。ちゃんとゲートからタキシングして滑走路にはいり、離陸して壁の向こうに消えていくのである。着陸は壁から出て滑走路に降り、そのままゲートまで走って行く。めちゃくちゃリアルだ。

こんなお茶目な景色も・・・。事故やら、山火事やら、デモやら・・・・ジオラマもなかなか面白い。

山あり、街あり、港あり、様々な景色の中を模型が走っているのは見ていて飽きない。

こちらはコントロールルーム。基本的にはコンピュータ制御の自動運転である。システムもかなり良く出来ている。

こんな雪景色も。

裏方はこれ。サーバとネットワークのラックである。

ミニチュア堪能の後は、同じ建物の中でディナー。各国からの参加者で話に花が咲いた。

ホテルに戻ったのはもう11時前、結構眠くて、そのまま寝てしまった。

さて、今日は二日目。また面白い話が聞けそうだ。

昨日は、終日、SUNTECコンベンションセンターで開かれているCloud ASIA の会場内で、CSA APAC Summitに参加。

とりあえず、早めに会場に着いたのだが、ホテルにiPhoneを忘れてきたのに気がついて、一度戻ることにした。会場からホテルまでは、徒歩で15分くらい。中途半端な距離で、ホテルからMRT(地下鉄)の最寄り駅まで遠いので、MRTを使うのも効率が悪い。行きは試しに一駅だけ乗ってみたのだが、結局時間的にはむしろ長くかかったような感じ。もう日が高くなった外を歩くのはかなり辛くて、汗だくになる。

帰りは歩いて会場に戻ったのだが、こちらは、半分は地下のショッピングモールを通れるので、むしろ、こちらのほうがマシである。しかし、汗だくになった体で冷房が効いた場所に入ると凍えてしまう。とりわけ、展示会場のホールはやたらと冷房が効いている。地元の人たちは知っているのだろう。みんな長袖+上着で歩いている。これはちょっと意外。こちらは、半袖シャツで、講演を座って聴いていると体が冷え切ってしまう。

CSA Summitの最初は、CEOのJimの話。クラウドを企業導入する際のポイントのような内容。IT部門は、シャドウITを単に切るだけではなく、そこから(その背景や内容を含めて)学ばなければならない、というのはそのとおり。現場の必要をIT部門が満たせない現実から目を背けてはいけない。もちろん、これはIT部門だけの責任ではなく、IT部門に十分なリソースを与えてこなかった経営陣の責任でもある。どれだけ優秀な会社にアウトソースしても、こうした部分は十分にカバーはできないので。自社の目線で考えられる人材をきちんと確保すべきだ。

以降の講演内容は、どちらかといえばベンダ系のプレゼンで、ちょっと退屈。昼休みを挟んで、午後の一幕。CSAが始めたクラウドセキュリティの認証制度STARの、シンガポールでの新しい認証事業者となったドイツ系の TUV RheinlandとCSAとの調印式など。

その後、クラウドセキュリティ認証についてのパネル。これはなかなか面白かった。(パネリストのキャラのコントラストが・・・)

一番左のシンガポール支部のおっさん(たぶん中国系)が一番賑やか。右端のTUVのコンサルタント氏はインテリ風、中央、EMCのSaidは、CSAのメンバーでもあり、ISOなどの標準化団体とのリエゾンで動いている人物。典型的なアメリカ人。そもそもクラウドのセキュリティに、いわゆるベストプラクティス的なレベルで特別扱いすべきものはあるのか・・・・という根本的なところから話が始まった。ISO27017の立ち上げ当初、同様の議論があって、結局、なんとなく多少は違うところもあるだろう・・・というところに落ち着いたわけだが、思うに、クラウド固有の問題は実装にかかわる部分が多いので、ベストプラクティスそのものよりも、その実装についての議論が多くなるだろうと思っている。CCMやSTARは、その部分にフォーカスしているわけだ。そういう意味では、27017の認証といったものが、どこまでうまく回るのか、また、実質的に事業者のセキュリティをどこまで保証できるのかといったあたりがこれから注目しておくべき部分だろう。まぁ、お墨付きを喜ぶ日本のユーザ向きであることは間違いないのだが・・・・・

最後は、パネリストでもあったEMCのSaidが、クラウドサービスのセキュリティ保証における、ソフトウエア開発セキュリティの重要性について講演した。セキュアな開発手法、設計レビューやコードレビューによって、脆弱性や設計上の問題をあらかじめ可能な限り排除する仕組みがあるかどうかは、たとえば、セキュリティ認証においても重要な監査ポイントだ。外部からの検査だけでは、すべて対症療法になってしまい、十分ではない。開発プロセスがセキュリティをきちんと考慮しているかどうかはきわめて重要である。いわゆる「お墨付き」が、どこまでこうした部分に踏み込めるかも見物なのだが・・・。

そんな感じで、終了する頃には、体の芯まで冷え切っていた次第。幸いにも風邪をひくようなことはなかったのだが・・・。で、CSAな人たちと、ロビーのVIPレセプションでちょっと飲みながら歓談したあと、一緒に食事に行った。

例によって、シンガポールな人たちの会話を聞き取るのには難儀する。とりあえず、熱心に話をしている二人に張り付いて、一生懸命話を聞いて耳を慣らしていた次第。まぁ、訛りはどこの言葉にでもある。シンガポール支部のチェアはイングランド出身だが、スコットランドやウェールズといった地方の訛りは彼も聞くのに難儀することがあるらしい。彼に言わせれば、アメリカ人の英語も訛っているというのだが、私にとっては、どちらかといえばアメリカ英語が最も聞き取りやすいのである。一番辛いのが強い中国訛りとインド訛り、何れも時々英語には聞こえなくなる。そういう意味でシンガポールという土地柄はちょっと辛いのである。

そんな感じで交流タイムのあと、また歩いてホテルに戻ってきた。なんとなく疲れて、ベッドに横になって、そのままうとうと・・・。結局、日記も書かずに寝てしまった次第。

今日は、Cloud ASIAのコンファレンスセッションをいくつか聞く予定である。

CEATECに行ってみた

| コメント(0) | トラックバック(0)

今朝は雲が多い感じの空模様。この週末連休にかけて、今年最大最強の台風襲来とあって、天気は下り坂予報。

なので、崩れる前に・・・ということで、今週、幕張で開催されているCEATEC Japan 2014に行ってみることにした。知人たちの多くが越後湯沢方面(の某ワークショップ)に流れる中、行けなかったかわりに、ちょっと違う方向で世の中を見てみようという話である。

横浜から幕張は結構遠いのだが、総武線快速を津田沼で各停に乗り継いで幕張本郷からバスというルートで会場に着いたのはお昼頃だった。

いまどきの、最新ITはコンシューマー向けから導入されるというのは常識。なので、この系統の展示会を見ておくと、流れがよくわかる。実際、展示の多くが、IoTやビッグデータ系の話にからんでくるわけだ。今回も、そうした情報ネットワークやセンサ系、ウエアラブル系、HEMSなどの関連を見て回った。

4K/8K系テレビなどに混じって、画像系で多かったのがAR/VRの応用。こうした車用のHUDデバイスも多く展示されている。

また、NFCやBluetoothといった近距離無線通信系の応用も多く、Bluetoothビーコンを使った情報提供デモなども多く見られる。短距離ながら超高速の通信が出来るような方式の規格も進んでいるようで、数年の間に様々な応用が広がりそうな感じである。

ウエアラブル系も目玉のひとつ。時計型端末もあちこちで展示されていたが、こうしたヘルスケア系のセンサとして使われるものも多い。

こちらは、テレビのニュースにもなった卓球ロボ。大がかりだが、ロボもここまで出来るようになった。相手をしているおねーさんはちょっとお疲れ気味のようだが。(笑)機械は疲れないから大変だ。

作業指示・支援をHUDのARでやるというのは、既に様々なところで応用されているのだが、こちらは車のメンテナンス作業のデモなど。

医療系では、センサと画像データの通信を統合するような基盤作りも進んでいる。

顔の映像から脈拍を測るような技術もある。応用シーンの解説はちょっと微妙。勝手に脈拍を読まれて、あれこれ判断されるのはあまりいい気持ちがしないのだが・・・。

顔と言えば、顔認識技術もどんどん進んでいる。先日のアトランタでは監視カメラの画像処理や顔認識、人の追跡などの技術のすごさに驚かされたが、これらも様々な応用が進んでいる。監視カメラからの個人特定などは、様々な応用ができる反面、プライバシー問題などの議論も必要だろう。

こちらも話題になっていた、シャープの自由形状の液晶パネル。これが実際の車に搭載される日も遠くはないだろう。車以外にもいろんな機器で使えそうだ。

センサー系のデモ。最近、こういうのを勝手にやって問題にされるケースが散見されるからだろうか、一応注意書きが書いてある。

ところで、気になったのが、こうした機器で無線通信を使うものの多さだ。中心となっているのは、WiFiとBluetoothだが、会場内のWiFiはこの有様である。

会場内には各社公衆WiFiのAPも設置されているのだが、はっきり言って遅くて使い物にならない。スマホが自動的に各社のAPに切り替わるのだが、アクセス集中に加えて電波の混雑もあって、会場内では、WiFiを切って4Gで通信した方がはるかに速い状況である。

目玉展示には、どこも長蛇の列。EPSONブースでは、話題の眼鏡型端末の体験デモが一時間待ち。

この端末は、Google glassとは違い、ハーフミラーを使った透過型。遠くを見ていると数十メートル先に大画面がある感じだ。透過型なので、AR的な応用も出来るのだが、視野全体に対する画面がちょっと小さめなのと、焦点距離が固定されるので、近いものを見ながらだと目の焦点が合いにくいのが難点かもしれない。使うアプリによって距離感を変えられるといいかもしれない。あとは、応用アプリがどれくらい出てくるか・・・ということになるが、今のところは自分で何かアプリを作るので無ければ、買っても、すぐに飽きそうな感じがした。この流れは面白いのだが、たとえば汎用的に様々なスマホやタブレット、PC等とワイアレスで繋がって、アプリと連動できるようなものが出てこないと普及しなさそうだ。

VICSブースでは、オリンピックあたりをターゲットにした新サービスのパネルも展示されていた。ある意味で、東京オリンピックはIoTやウエアラブルデバイス等の壮大な実験場になるのかもしれない。VICS/ITCのような車だけでなく、観客、観光客向けにも様々なサービスが展開されそうだ。

ビッグデータ分析系の応用もある。SNSから情報を拾って分析する方法が多いのだが、今、気になっているのはSNS事業者による情報の寡占である。こうしたSNS上の情報利用を有料化とかされてしまうと、まんまと罠にはまった感じになるからだ。

IoTと言えば、この方面ではHEMSも大きな柱だ。規格統一も進んでいるようで、なんとHEMSのコントローラはオープンソースのプロジェクトもあるそうだ。(一度遊んでみようかと思っている)

しかし、仕事柄気になるのは、こうしたシステムにおける通信やアプリケーションの安全性である。この展示会で描かれているような夢の世界が破綻してしまわないように、今のうちからきちんとそのあたりは考えておかないといけない。泥棒に家の鍵を開けられたり、嫌がらせに、夏場エアコンを暖房に切り替えられたり・・・なんてことが無いようにしたい。規格統一が進めば逆に攻める側としても楽になる。マルウエアで大量の家電を遠隔操作し、電力需給が逼迫したときに一斉にスイッチを入れられたら・・・などと考えると、かなり寒い。(夢の近未来を体感しに行ったはずだが、このあたりを考えてしまうのは職業病である。)

面白かったもののひとつにこれがある。ここも体験でもは長蛇の列ができていたのだが、光学的に背後にあるモノが手前の空中に浮いて見えるようなパネルである。これを使えば、映像が宙に浮いているような表示が可能なのだが、この手の擬似的な立体視の難点は、実際の距離感と目の焦点が合う位置が異なってしまうことだ。ちょっと慣れないと立体的に見えないのと、長時間見ていると疲れるのである。3Dテレビと同じだ。光の波面合成(ホログラム)のようなことがフルカラーの高精細度でできないと本格的なものは難しいかもしれない。

最後に、Bluetooth系の講演を一時間ほど聞いた。この手のデバイスもウエアラブル端末など向けに省電力化が進んでいるのと、直接TCP/IPやHTTPプロトコルスタックが組み込まれるなど進化を速めている印象だ。

そんな感じで、今日は夕方まで幕張にいた。こうやって、最新のITに触れておかないといつのまにか頭の中が陳腐化してしまう。とりわけ、最近は技術の変化が激しいから気を抜けない。最新のITを知らずして、そのセキュリティを語ることはできないので。

今日の夕焼けは、なにやらちょっと不気味な色だった。台風接近のせいかもしれないな、などと思いつつ家路についた。

昨夜は、本当にだらだらと寝てしまった。まぁ、体内時計浮遊を許容するという意味からは、悪いことではないのだが、ちょっと気持ちのけじめがつきにくい感じもする。とりあえず、今日もこんな夜明けの景色。

とうとう、今日は最終日。今日は午前中にジェネラルセッションが3本。最終日はちょっと前日までより人が少ない感じがするのは、展示会のベンダ関係者がいないからだろう。

最初の講演は、ISC2のセッション。スターウォースに見る脅威モデルというタイトルは興味をそそる。しかし、「スターウォーズ」は単なるつかみだったようで、内容は「脅威モデル」のありかたが中心。脅威モデルを考える際に陥りがちな間違いを10個列挙しているのだが、結局、最後に結論をまとめてみると、「脅威モデル」は、それを作る、もしくは使う目的によって様々な形が考えられるから、定石はないんだよ・・というきわめてあたりまえな話である。まぁ、確かにHow to的な本に騙されることも多いので、こうした指摘は正しいのだが、これを日本でやったら、たぶん意図はまったく伝わらないだろうな・・・などと考えながら聞いていた。

ちなみに、スターウォーズの映画の一作目、デス・スターが破壊される直前に、帝国軍の士官が司令官にこう進言している。「彼らの目的を解析したところ、非常に危険なので今すぐ待避してください」と。しかし、司令官は「無敵」のデス・スターを信じて疑わず、その進言を無視し、結果としてデス・スターは死を迎える。脅威の評価はその時々で変わる。未完成のデス・スターへの脅威を完成時点と同じに評価してはいけないという話。このあたりは面白いたとえだろう。

次のセッションは、中国情勢について。中国駐在のジャーナリストから見た中国の姿が、なかなか面白い。

情報統制が強い中国は、外から見るのと中から見るのではかなり状況が違う。ある程度、自由化することで発展を勝ち取った中国だが、一方で、様々な体制的矛盾があらわになっている。中央の指導力低下というよりは、そもそもあの巨大な国を完全に統制下に置こうということ自体が無謀な様な気がする。少子化政策の影響、地方と都市の格差、若者たちの考え方の変化、そうした状況は外から見ているだけではなかなかわからない。今の日本では、なかなかこうした情報に触れる機会が無いのもたしかである。そういう意味で、米国のメディア、ジャーナリストの姿勢、バランス感覚は面白い。もちろん、メディアは様々ある。昨日、コリン・パウエルがその講演の中で言っていたのだが、米国のメディアは立場が明確だ。たとえば、共和党支持で、保守派ならFOXを、民主党支持でリベラルならNBCを見ていれば、まったく違和感を感じずにニュースを見聞きできる。反面、互いに報道しない側面が報道される面白さもある。これは、互いに立場を明確にしているからできることだ。一方で、日本のメディアは、すべてをオブラートに包んでしまう。しかし、その根底にはそれぞれの思想が横たわっているからたちが悪い。受け手はそれの騙されることも多いのである。日本の中にいると、そういうことはなかなか見えにくい。

さて、今日は午前中で全日程が終了。最後はクロージングランチでしめくくりとなる。最後にランチセッションで講演したのは、米海軍特殊部隊SEALの元提督。特殊部隊のチームにおけるリーダーシップのありかたなどを話した。確かに、命がけで、しかもとびきり困難な任務に当たる特殊部隊でのリーダーシップは重要だ。それは、チーム全体の命運を左右する。ある意味、究極のリーダーシップであり、何かの目的に対して突き進む際の理想の姿なのかもしれない。しかし、一方で、戦場以外の場、とりわけビジネスにおいては、環境がまったく異なる。命がけなのはリーダーだけ、いやリーダーすら、逃げ道を考えているかもしれないと疑える中では、理想的なリーダーシップを維持するのはもっと困難かもしれないと思うのである。日本でもそうだが、経営者は、こうした形のリーダーシップを求めがちだ。しかし、本当にそれが最もビジネスにとっていいのか・・・ということは、少し慎重に考える必要があると思った。

そんな感じで、全日程が終了。帰りは、少しダウンタウン方面へ歩いて見る。ちょっと雲は多いが天気は悪くない。

アトランタの街角は、結構花が多い。なかなかいい感じの街である。これも、90年代のオリンピックを境にできた雰囲気なのだろう。

こんなオリンピックを記念した公園など。

ここの足下には、おそらくアスリートの名前だろうか、名前を書いたブリックが埋められている。

公園脇の観覧車。見るとかなり高速で回っている。これじゃ乗り降りは結構大変だろう・・と思いつつ、結局今日は乗らずじまい。

そういえばもう10月、こんな季節になっている。

一昨日と同じようなコースで、ダウンタウンの Peachtree Centerあたりに出てみる。

なにやら、重量級のおばさんたちのグループが街を闊歩している。近くで女性活躍系のコンファレンスがあったようだ。しかし、どうやったら、ここまで「存在感」が出るのだろう(苦笑)少なくとも飛行機で隣り合わせにはなりたくない。

そこから少し通り沿いを南に歩いてみる。アトランタは結構緑が多い。上から見ると都心部もあちこちに緑があって、いい感じである。

MARTAで一駅、ファイブポイントあたりまで歩く。

とりあえず、そこからMARTAをNorth Avenueまで乗って、ホテルに帰った。回数券は丁度あと1回分を残すのみ。明日、空港まで行って、十回分を消化することになる。

宿に帰ってまたしばらく寝て、それから晩飯。今夜はまた下のレストランでホタテを食う。

このレストランはなかなか渋い感じで気に入っている。スタッフもいい雰囲気である。

さて、これにて今回のアトランタ全日程終了。明日は、10:00の便で、NY(JFK)経由、帰途につく。帰りはアップグレード確定したので、のんびりと帰れる。帰ったらまた仕事に励むとしよう。

今日もRSAで朝からSANDSへ。今朝も結構ぎりぎりだったけど、やっぱりダウンタウンラインは早い。

最初のキーノートはMIT/ハーバードのMcAfee先生(某ベンダとは無関係)による講演。コンピュータが急速に人間の領域に進出している今、人とコンピュータがどう棲み分けるかというお話。

数年前には、コンピュータには難しかったパターン認識や言語処理などが人に近い(もしくは以上の)精度でできるようになった現在、人が持つ唯一の優位性は「直感」しかないのかもしれない。たとえば、ちょっとした異常を見つけるという技はコンピュータにはなかなか難しい。しかし、人間は直感的に異常(違和感)を感じ取ることができる。たとえば、コンピュータが得意な情報処理を駆使して、データを処理して様々な角度から可視化できれば、人がそこから異常を見つけ出すことが容易になるだろう。そんな感じで、将来的には人とコンピュータが共存していくしか無いだろうという話である。でも、2045年問題なんかを考えると、その直感すらコンピュータに奪われる日がもしかしたら来るのかもしれないが・・・・。

その後は、POSマルウエアの話。

そして、バンキングマルウエアの話など・・・

ところで、日本ではほとんど聞かないが、海外ではよくあるテーマがこれ。情報漏洩などのセキュリティインシデントが起きた際、失われた社会的な信頼をどのように回復していくかという話。一種の危機管理なのだが、今の日本で一番やりたいねたかもしれない。

広報戦略や、コミュニケーションの順序など、いくつかの鉄則があって、どこのセッションでもだいたい同じ事を言うのだが、先日の例も含め、日本企業の対応は、この鉄則をはずしているケースがあまりに多いのである。推定でことさらに被害を小さく見せたりすれば、後で実態が見えた時に不信感をもたれてしまうことなど、簡単にわかりそうなものだが、だいたいはこれで失敗するわけで・・・。不明なことは不明として、こまめに状況を知らせていく方が信頼は得られるのだけど・・・。

今日は割と面白いセッションが多かった。あっという間に最後のキーノート。ベンダ系の話2本の後に出てきたのが、この人。かつて、ツール・ド・フランスチャンピオンのドーピング疑惑を13年にわたって追い続けた孤高のジャーナリストである。最終的には疑惑は証明され、7回もの優勝記録はすべて剥奪されたわけだが、その話の中で、真実を語ることの大切さを訴える姿は感銘を受けた。

そんな感じで、全日程は終了。椅子の裏にサイン本贈呈券が張ってあるというサプライズであたりを引いて、氏のサイン入り著書を貰ってきた。

夕方は、某JNSAで一緒のN氏たちと軽めの晩飯。

その後、N氏と二人でラッフルズホテルまで行き、シンガポール・スリングという名物カクテルを飲むことにした。

ロングバーという名前の渋い感じのバーである。

で、これが、シンガポール・スリング。かなり甘いカクテルで、飲み過ぎると危険な感じである。

結構いい値段がするので、一杯だけのんで、あとはビールを一杯飲んで帰ってきた。とりあえず、今回のシンガポールはこれで予定終了。明日は、夕方の飛行機までの間、適当に時間を潰そうかと思っているのだけど、今のところノープランである。あまり歩き回っても暑いだけなので、とりあえずチェックアウト時間ぎりぎりまでのんびりして、それからどこかでゆっくり昼飯でも食ってから、少し時間を潰しつつ空港に向かうことになりそうだ。

今日からRSAコンファレンス。朝、ちょっとのんびりしていて、ぎりぎりになったので慌ててSANDSに向かう。ちなみに、SANDSへは、新しく出来たダウンタウンラインのMRTでほんの数分。とりあえず、朝のキーノートには余裕で間に合った。

最初のキーノートはEMCのVP。実空間では何度かの戦争を経て、歴史的に国際的な行動規範が形成されてきたが、サイバー空間ではこれから・・・というような話。下のスライドのような原則をというのだが、いずれも、某アジアの赤い國には難しい事柄ばかりのように見えるのが・・・・。

参加者は東南アジアや中国、台湾といったあたりに加え、今回はJAPANというのがタイトルに入ったこともあり、日本人もかなりいる。日本語同時通訳のトラックが一本あるのだが、なんとなく内容はいまいちの感じ。これにつられて来た、英語が不自由な日本人にはちょっとつまらなかったかもしれない。(まぁ、実質観光旅行の言い訳で参加・・・という人も多いかもしれないので問題なし? ^^)

お昼は展示会場で立食のランチ。まぁ、こういうのも悪くはない。昨日ちょっと食い過ぎたので、ちょっと控えめにしておく。

午後からはクラウド系のセッションをいくつか・・・。CSAのJim ReavisがSDP(Software Defined Perimeter)の話をしたのだが、コンセプトはうまく伝わっただろうか。まだ、足りない仕様も少なくないのだが、ベンダ独立の仕様としては面白いので、うまくデファクトにできるといいなと思っている。それから、クラウドサービスのAPIセキュリティのお話とか、セキュア開発のお話とか。CSAガイダンスでもアプリケーションセキュリティの章ではセキュアSDLCがひとつのテーマとして挙がっているのだけど、このセッションでも取り上げられていた。(内容は、私が書いたガイダンスの解説記事とよく似た感じになっている)

セッションを聴いているところに、CSA APACのAloysiousからメールが来て、今夜、Jimを囲んで話をするから来いとのこと。で、急遽、トレンドマイクロのオフィスに出向いてミーティング。

その後、ビルの地下街のシンガポール料理店に行って会食。今夜も結構盛り上がる。しかし、当地の英語はなかなか聞き取るのが厳しい。特に、飲み食いしながらの会話となるとかなりきつい。インド人の英語に次いで苦手である。(インドと言えば、今回のスピーカーにもインド系多くて、かなり辛いセッションがある。アメリカ人が喋るセッションはちょっと、ほっとする。)

今夜も9時過ぎまで飲み食い歓談して、帰ってきた。結局、またしてもちょっと食い過ぎ。現地メンバーおすすめのシンガポール料理はなかなか美味しかったのだけど・・・。

さて、明日は二日目。サイバー犯罪系のセッションを中心に聴こうと思っている。

疑心暗鬼・・・

| コメント(0) | トラックバック(0)

今日も曇り空ながら雨は降らず・・・・。午前中ちょっと資料作りなどして、昼に都内へ出かける。今日はこんな催し。

数年前、ひょんなことから、この集まりでお話をさせてもらった縁で、その後、個人で参加している。IT系の勉強会なのだが、いろいろな人たちがいて面白い。今日は年次総会の後、IoTをテーマにした勉強会。ベンダやシンクタンク系の講演を聴く。世の中的には、IoTはビッグデータと絡めての議論も多い。実際、多数のデバイスから集めたデータを統計処理して、マーケティングやビジネスの効率化に結びつけようという動きがある。しかし、エクサバイトを通り越してゼッタバイトレベルの話になると、かなり危険な香りがする。この規模のデータを処理する能力があるのは世界でも一握りの事業者だが、こうしたデータの寡占化によって、情報も寡占化が進むのではないかという懸念がある。またIoTが、社会に対してなんらかの影響力を持つ可能性を考えれば、ある種のフィードバックループを作ることも可能だ。つまり、たとえば、単純な例を挙げると、世界各地のデジタルサイネージで流した広告の効果を、SNSなどの情報をリアルタイムに集めて分析するようなことである。これは、結構恐ろしい可能性を内包している。何百万台ものデバイスが人になんらかの影響を与え、その効果をリアルタイムに計測できるということは、なんらかの意図を持って社会を操作できる可能性を示唆する。同時に、情報伝達の高速化が思わぬ弊害を引き起こす可能性もある。少し前までは、情報発信からその効果測定までの時間は何日というレベルだった。しかし、いまはもう数時間以下に短縮できる。それどころか、場合によってはほぼリアルタイムな計測が可能だ。その計測結果をもとに、さらに情報発信を重ねれば、高速な情報のフィードバックループができあがる。これが何を起こす可能性を持つかは、証券取引の高速化がもたらした市場の異常変動を見れば明らかだろう。桁は数桁ちがうが、以前と比較しての高速化の度合いは似たようなものだ。もしかしたら、想定できない社会現象を引き起こすことがあるかもしれない。それが意図的なものか、まったく想定外のものかにかかわらず、社会に重大な影響を与える可能性がある。今日の話を聞きながら、ずっとそんなことを妄想していた。情報伝達や処理のスピードが想定を大きく上回って向上し、それらが一部の手に握られてしまった時に何が起きるのか・・・・。SFに登場するような世界が目前まで来ているのかもしれない。情報技術の面だけでなく、社会学的な考察が早急に必要かもしれないなと思う次第だ。

前にも書いたが、時々、本業を離れて、違う畑の話を聞くことは大事だと思う。また違った発想が得られるからだ。こうした機会は貴重である。いつもなら、このあと懇親会に出るのだが、今日はちょっと早く帰宅したかったので、そのまま帰ってきた。

最近、世界のあちこちで「タガ」が外れつつあるような気がする。それに、情報の氾濫や想定外のループが影響を与えている可能性も否定できないのではないか・・・。考えれば考えるほど、疑心暗鬼になってくるのだが・・・・。ともあれ、今週はちょっと忙しい。明日は朝から都内放浪予定。まぁ、世の中、なるようにしかならんのだが・・・・。

・・・ということで、今日はこんなあたりに出かけてみた。

自分としては、可能な限り最新技術は追いかけているつもりなのだが、たまにはこういう場所に出かけて、あれこれ見てこないと、そのうち置いて行かれてしまうんじゃないかという不安感がある。まぁ、これは技術屋の宿命なのだが。

しかし、これだけ壮大なおもちゃを作れる実験場は、たぶんここしかないから、ここでやったことが数年後に現場に広がっていくことになるわけで・・・。ここも、Software Definedが流行になっているわけだが、要素技術はさておき、Defineするための抽象化された記述方式はまだまだの感じがする。これも、できればXMLとかで標準化してしまいたいところだ。今日のキーノートでスピーカーが、SDNをプログラミングに例えて、アセンブラを知らなくても、C言語で・・・という話をしていたが、そういえば、初期のCコンパイラのバグには泣かされた。どれだけ穴が開くほどコードを眺めても間違いがないのに、正しく動かない。コンパイル途中で、アセンブラのソースを吐かせて、ようやくそれがコンパイラのバグだとわかるわけで、同じように、SDNも最初のうちは、逆にトラブルシュートが難しくなってしまうんじゃないだろうかと危惧している。まぁ、年寄りの愚痴のたぐいなのかもしれないが、あまり、いろんな物がブラックボックス化してしまうのも、いかがなものだろうか。平均で見た技術レベルが大幅に下がってしまう結果、何か大災害があったら技術が全部失われたりはしないだろうか、などと終末論的なことを考えてみたりするわけで・・・。

まぁ、そういうことを考えること自体が、歳を食ったということなんだろう。

とりあえず、冷房が効いた講演会場で凍えながら2本ほど話を聞いて、それから昼飯の後、展示会を1時間ほどまわって帰ってきた。かつてほどの展示会ではないので、1時間あれば、めぼしいところは見て回れるわけで・・・。

昼間は雨だったのだが、夕方には晴れ間が広がって、こんな夕景。いつものように、買い物がてら散歩に出かける。

雨上がりで、ちょっと湿気が多い。予報では、今夜また一雨あるような話だが、今のところ降りそうな雰囲気はない。この時間は、散歩道のあちこちに猫が出ている。この手前の猫は、なにもないところをずっと凝視している。もしかしたら、何か見えているのだろうか・・・などと、ちょっと夏向きの妄想をしてみたり。

日に日に、紫陽花の色が濃くなっていくのは、この季節の楽しみ。不快な季節で唯一の清涼剤である。

そんな感じで散歩と買い物を終えて帰ってきた。昼に食ったカツカレーがちょっともたれている。このところ、あっさりしたものばかり食っているので、ちょっと胃袋がなまっているのかもしれない。

さて、今日はそんな感じでおしまい。でも、ああいうところに行くと、また何かゴリゴリと作って見たくなるのだが、まぁ、これは性分なんだろうな。暇つぶしに、何かやってみようか・・・。

白浜二日目

| コメント(0) | トラックバック(0)

今朝もいいお天気の南紀白浜。海辺の朝は気持ちがいい。

シンポジウムは二日目。最初は警察庁の・・・・講演。スピーカーはマニータこと間仁田さん。いやぁ、これは想定外。しかし、なかなか見事なプレゼン。内容はオフレコも含め、色々と参考になる話も聞けた。

このあとの、L社伊東隊長の話も興味深い。今回のテーマ「抑止とダメージコントロール」の本来の意味を語ってくれた。懲罰的抑止と拒否的抑止の違いとか。前者は、攻撃を加えた場合、手痛い反撃を加えられるということを見せつけることで抑止を行うもの。後者は、守りが堅いということを見せて、不毛な攻撃になると思わせて抑止を行うものだ。サイバー攻撃に対しては、これまで後者が中心だが、たとえば、サイバー戦争になったら、もしかしたら前者が必要になるかもしれない。先手を取られてしまえば、リカバリーはかなり難しい。なので、防御もさることながら、反撃の可能性を見せつけて抑止することも必要になるかもしれない。日本は憲法上難しい部分もあるが、各国がサイバー部隊増強をアピールする背景には、そうした考え方もあるのではないかなと思った次第だ。ダメージコントロールについても、太平洋戦争当時の艦船や航空機についての日米の考え方の違いがわかりやすい。爆撃を受けた際のダメージを減らすように設計された空母や、パイロットや燃料タンクを敵の機銃から防御する設計の戦闘機など、米国の設計思想はこうした考え方を重視したものであった一方、日本の空母は、爆撃でのダメージが内部で大きくなるような構造だったり、性能を重視するために、防御機能を削ってしまったゼロ戦など、対照的。その違いが、結果に大きくかかわっている。世界最強の空母艦隊をあっさり失い、戦争中期までに多くの優秀なパイロットを失ってしまった日本を考えれば、避けられない攻撃に耐えることを想定しておくことが、いかに重要かがよくわかる。セキュリティの世界でもまったく同じ事が言える。

そんな感じで午前中はなかなか面白い話が聞けた。午後はNICTの話とか、マルウエア解析を通じた攻撃者のプロファイリングの話とか。途中、ちょっと眠気が差して、休憩時間に外の日陰で少し居眠り。のどかな雰囲気に浸る。

今日はナイトセッションまで時間があったので、宿に帰って一風呂浴びて、それから夕涼みがてら食事にでかける。こんな綺麗な夕陽。

ナイトセッションは今夜も盛り上がり、私も12時前くらいまで会場にいたのだけど、さすがに、そのあたりで引き上げてきた。明日は最終日。終わってそのまま空港へ移動して帰る予定である。

現実は・・・・

| コメント(0) | トラックバック(0)

意外と単純だったという話なのだが、それは後でゆっくり書くとして・・・。今朝はちょっと薄雲が広がった朝。かなり寝坊して7時起き。それから散歩。

いつもより小一時間早い時間なのだが、小学生が登校準備で集まっている。みんなリュックをかついでいるところを見ると、今日は遠足のようだ。しかし、最近のお子様は立派なリュックを背負っている。結構いい値段がするだろうに・・・。

今夜あたりから天気が崩れる予報になっているので、明日の散歩は久しぶりの雨かもしれない、などと思いつつ歩いていた。

今日は、PCのメンテとかをしようと思っていたのだけど、朝一にちょっと仕事が舞い込んで、それで半日つぶれた。そんなことをしている間に、昨日の続報が・・・・。本人が犯行を認めたという話。どうやらこれは本当らしい。正直言ってかなり驚いた。昨日も書いたが、当初考えていた犯人プロフィールから見れば、考えられない一連の行動である。彼が(犯罪者として)愚かだったのか、それとも、警察や検察との駆け引きで精神的に疲弊した結果なのか。いずれにせよ、あっけない結末である。テレビに映った片山被告は連行される際うすら笑いをうかべていたようにも見える。精神的に破綻した可能性もあるなと思うが、今後の裁判の過程で彼の心理なども明らかになって欲しいと思うのである。

今回は、ある意味で犯人をリアルの世界に引きずり出した警察の作戦勝ちと言うべきだろうか。潜伏した犯人をあぶり出す心理戦は警察が昔から得意とする手法の一つだろう。もしかしたら、早い段階でのプロファイリングで、彼の心理を見抜いていたのかもしれないなと思う。行き過ぎれば、相手を過度に追い詰めかねないこうした心理戦のリスクは、過去のえん罪事件なども含めて認識されるべきなのだが、犯罪捜査に有効な手法であることも事実だ。犯罪心理に通じた警察の勝利、というべきなのかもしれない。

一方で、犯人がもっと慎重だったらと考えると、なかなか厳しかっただろうなとも思うのである。保釈後のメール送信がなければ、裁判はかなり厳しいものとなっただろう。もしかしたら、弁護側が勝っていたかもしれない。犯人がリアルの世界に出てこなければ、捜査はもっと難航していただろう。そういう視点から、今回の事件を再評価してみることは、今後のサイバー犯罪捜査にとって意味があることかもしれないと思うのだ。

今回はこれで一件落着となりそうだが、こうした犯罪は今後も発生するだろうし、より深刻なものが発覚しないまま進行してしまう可能性もある。守る側にとっては油断できない状況が続きそうだ。

季節はそろそろ梅雨に向かい始める。道ばたの紫陽花も、そろそろ花をつける準備を始めているようだ。なにやら世の中全体がちょっと不穏な雰囲気。平穏であることを祈りたいところだ。

月別 アーカイブ

このアーカイブについて

このページには、過去に書かれた記事のうちITカテゴリに属しているものが含まれています。

前のカテゴリはです。

次のカテゴリは【雲をつかむ話】クラウドコンピューティングの実際です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。