サイバーセキュリティの最近の記事

今日は朝からBlack Hatに参加。8時過ぎにホテルを出て、会場のマンダレイ・ベイホテルまで歩く。会場に着いたら入り口で長蛇の列につかまる。キーノート会場に入る前の朝食待ちである。こんなことなら、先に飯を食ってくるんだったと思いつつ、コンチネンタルな朝食をゲットしてキーノート会場のアリーナへ。会場はほぼ満席。久しぶりに参加したBHだが、やはり人気は高い。初日のキーノートはMicco Hypponen氏。話はマルウエアの歴史。私のような年寄りには懐かしい話である。しかし、会場にいる人たちで、こうした話をリアルで知っている人は何人いるのだろう・・と少し遠い目になる。

キーノートの後、最初に聞いたのは、Windowsのイベントログの仕組みに介入してEDRを回避する話。WindowsにはETW（Event Tracing for Windows）という仕組みがあって、これを介して、アプリケーションがリアルタイムにイベントログを生成、取得できる。最近のEDRなどイベントログ監視を行うアプリケーションの多くがこの仕組みを使っているらしい。カーネルレベルで直接コードを組み込むよりも安定性に優れ、パフォーマンスも確保出来るということなのだが、これに、色々と問題があって、ゴニョゴニョすると、EDRなどイベントを読み込むシステムに悪影響を与えることが出来ると言う話である。問題のいくつかは既にマイクロソフトによって修正されているようだが、依然としていくつか悪用可能な問題が残っているという。悪用はさておき、ETWそのものは面白そうなので、そのうち時間をとって遊んでみようと思う。

次に聞いたのがApple AirPlayの脆弱性に対する攻撃の話。AirPlayそのものだけでなく、デバイスをAirPlayに対応させるためのSDKにも問題があり、それを悪用してサードパーティーのデバイスを攻撃するといった話である。スマートスピーカーの攻撃デモを見せてくれたのだが、こうした脆弱なデバイスが更新されないままに使われている状況はちょっと寒い。いわゆるIoTの世界では、ファームウエアのアップデートが難しいデバイスがまだ多く存在する。機器のメーカーからすれば、逆にサードパーティーであるAppleから提供されたSDKに脆弱性があるという、いわばサプライチェーン問題になるわけだから、さらに問題は複雑だろう。様々なデバイスが繋がる時代にあって、脆弱性対策の難しさを実感させられる内容である。

昼食の後、眠気がきつくなってきたので、一旦ホテルに戻り、午後の最初のセッションをパスして昼寝する。それから会場に戻って聞いたのが、フィッシングメール訓練の有効性検証の話。端的に言えば、メール訓練はほとんど効果が無いから、もっと違うところに金を使おうという結論。いわく、誰も科学的に効果を検証しないままに、訓練が広く行われるようになっている点が問題だとのこと。実際、訓練（に加えて、関連する教育）を受けた人とそうでない人の差は僅か1.7%に留まると言うから、これが事実ならば、やり方を見直す必要がありそうだ。ちょっと極論に聞こえるのだが、論文もあるようなので、一度ゆっくり読んでみようと思う。たしかに、猫も杓子も「メール訓練」に走っている現状はちょっと問題かもしれない。効果測定もそうだが、使うメールの難易度設定や、啓発のための教育プログラムの選択が十分慎重に行われているとは言いがたい。詐欺と同じで、プロを相手に素人が対抗するにも限界がある。もちろん、手口を学習することで、ある程度耐性はつくが、それもあるレベルまでで、それ以上のレベルを一般のユーザに求めてはいけないだろうと思うのである。訓練は無意味とまでは言わないが、限界があることは間違いない。その限界を見極めつつ、限界を超えた攻撃に（組織として）どう対処するのかを合わせて考えることが重要なのだろうと思うのである。

もう一つ興味深かったのは、Googleの人たちが、フォレンジックにAIを使う話をしていたこと。Sec-Geminiというセキュリティに特化したAIを使い、GCPのディスクイメージからツールを使って抽出したアーティファクトを分析させるという話である。こうした作業は大量のログやデータと格闘することになるのだが、そこにAIを上手く使えれば、技術者の負担を大きく軽減できる。実際、彼らの実験では、ある程度分析の方向性を与えてやることで、エキスパートの作業と遜色ない結果を得られるとのことである。さらに興味深いのは、細かな方向性を示さなくても、かなりいい結果を出してくれるとのこと。しかも、これらの作業をさせるための費用（利用料）は極めて安いという話だから、実用化が待ち遠しい。現在テスト段階で、テスターも募集中とのことである。ちなみに、Geminiは日本語読みだとジェミニになるが、英語（米語）読みだとジェミナイとなるようである。

最後にもうひとつ、某東方大陸国家によるファイアウォール攻撃キャンペーンの話を聞いたのだが、ちょっと眠気がきつくなって落ちてしまった。後で資料を読んで復習しておこう。

そんな感じで初日は終了。一旦ホテルに戻って一休み。

休憩時間とかに中途半端にあれこれ喰ってしまったので、あまり腹も減っていないのだが、飯を食わないと夜中に腹が減っても辛いので、とりあえず食いに出ることにする。

結局、「軽い物」という選択肢で行く店は決まってしまい、いつものBubba Gumpでいつものサラダなどを喰うことになった。

サラダと言ってもアメリカンサイズなので、これもちょっと食い過ぎである。腹ごなしがてら、ぼちぼち歩いてホテルに戻る。

ホテルに戻った時点で今日の歩数は1万9千歩あまり。ちょっと歩きすぎである。カロリー消費よりも腰痛悪化などのリスクがあるので、歩きすぎには注意しないといけない。（苦笑）

そんな感じのBH初日。とりあえずホテルのカジノで「ツキの女神様」に少しお布施をしてから部屋に戻ってこれを書いている。明日もまた終日BH聴講の予定だ。

とりあえずの横浜復帰。こんな「お山」も久しぶり。

とりあえず、早起き、朝方パターンは続いていて、朝の散歩も朝食を挟んで2回のパターン。雨さえ降っていなければ・・・の日和見ではあるのだけれど・・。そう言えば、近所の「お猫さん」像が、メイド服姿になっている。このパターンは初めて。（笑）

で、今回、月曜日に戻ってきて、水曜日はCSAジャパンのイベントに久しぶりのリアル参加。そして、木曜から南紀白浜へ飛ぶ。まずは、羽田へ。横着して車で行くつもりだったのだが、駐車場が満車っぽいので、急遽、電車で行くことにする。とりあえず駅までで一汗。

羽田は年に一回、白浜イベントでしか来ない第1ターミナル。当然ながら赤色の航空会社的にはド平民な私なので、航空会社のラウンジには入れず、カード会社のラウンジでお茶を濁す。

去年は参加出来なかったので二年ぶりのイベント。朝一の便は4時起きしないといけないから、寝坊して乗り過ごす危険があるので、昼前の2便。例年なら、この便も某イベント関係者でほぼ埋まる。万一何かあったら、日本のサイバーセキュリティへのダメージは計り知れない・・という便なのだが、今年は半分くらいが一般の観光客。理由は簡単で、近々中国に帰ってしまうパンダを一目見ようという人たちが殺到しているからである。あおりで飛行機が取れなかった関係者も少なくなかったようだ。まぁ、本来、この便にスーツを着た人が多数乗っていることのほうが不思議なリゾート路線なのである。ということで、とりあえず無事に白浜入りして3日間のイベント参加である。何度も来ていると、昼間の講演よりは夜のイベントの方が楽しくなる、通称「温泉シンポジウム」。初日は夜のウエルカムレセプションのあと、こんな夕景（夜景）を見ながら宿に帰る。時間はもう午後8時近いのだが、まだうっすらと空が明るい

翌2日目は朝から快晴。とりあえず、6時起きで一風呂浴びてから、朝食を食い、腹ごなしに海辺を散歩する。

で、こちらがイベント会場。

今回は「アイデンティティ」がテーマ。いや、なんとなくテーマが抽象的すぎていまいちピンとこない。正直言うと、結局全体として何が言いたかったのか、いまいちピンとこなかった。「デジタル」でのアイデンティティというとIDとパスワードなどを思い浮かべがちだが、そうではなく、利用者を特定可能な「属性」の集合であるという話。ただ、これも抽象的で、いまいちとらえどころがない。結局の所、ID/パスワードはもうそろそろやめて、違う本人確認（認証）方式を・・・ということに帰結されそうなのだが、概念を広げ過ぎてピンボケになってしまっている印象がある。そういう意味で、なんとなく消化不良感が残った。

一方で街はというと、パンダ一色である。パンダ目当てで大量の観光客が押し寄せて賑やかだ。昨日の午後でイベントは終了し、多くの参加者は昨日のうちに帰ってしまったのだが、昨日の夕方の飛行機が取れなかった私はもう一泊して、今日の昼過ぎの便で帰ることに。とりあえず、今朝も6時起きして朝風呂、朝飯。

朝飯はバイキングなのだが、カレーがあったのでついつい喰ってしまうなど。結果的にちょっと食い過ぎ。それから、こんなものを土産に調達。さすがに混雑の中、実物を見に行く根性はなかったので。

で、腹ごなしにまた浜辺を散歩。道沿いにはそろそろ紫陽花が花をつけ始めている。

日曜とあって、浜辺には結構人が出ている。少し風があるので、白波が砕けている。

人が多いと思ったら、今日は飛行機のアクロバット飛行があるらしい。なので、10時にホテルをチェックアウトしてから、また浜辺に出て、11時の開始を待つ。

飛行機は一機だけで、15分くらいで終わったので、ちょっと物足りない感じだったが、とりあえず話のネタにはなる。まだ時間があったので、バスで少し離れた「三段壁」へ。

そこから、さらにバスで空港へ。空港行きバスがこの三段壁経由なので、ここで待って乗ったのだが、時刻表上は三段壁行きの一部が空港まで行く形になっていて、三段壁から空港までの料金は350円ほどと書かれていたのだが、乗ったバスは何やら空港行き専用っぽい感じ。で、料金も700円取られた。なんとなく欺された感じなのだが、もしかしたら乗るバスを間違えたのかもしれない。とりあえず、12時半頃に空港到着。飛行機の到着を待つ。

とりあえず飛行機は定刻出発。和歌山の海岸線を眼下に一路、羽田へ。

フライトは特に大きな問題無く、小一時間でこんな景色を見ながら羽田に到着。空域混雑の影響で、外房方面に大回りさせられた結果、到着は15分ほど遅れたが、急ぐ旅でもなく問題なし。着陸は22。混雑と視界不良のためか、都内に入り込んだ形での長めのアプリローチ。

とりあえず無事に羽田到着。

そんな感じで、帰りも羽田から京急。帰宅したのは午後４時過ぎである。荷物を背負って歩き回ったので結構疲れた。腹が減ったので勢いで晩飯を食い過ぎてしまい、ちょっと胃がもたれている。これをやるから・・・・と、まぁ、今日は言うまい。明日からまた節制しよう。

連日20℃越えの今週。月曜はちょっとぐずついた天気だったが、昨日は気持ちのいい快晴。

昨日は少し寝坊したが、それでも７時過ぎに起床。このところ早起きモードなので、朝飯前と朝飯後にそれぞれ散歩をしている。朝飯前の散歩は、朝食の野菜煮込みを作っている時間つぶし、朝食後の散歩は食後血糖値を抑える（苦笑）ためである。

浅間山の雪もほとんど消えた。

青空の下の散歩は、やはり気持ちがいい。おのずと歩数も伸びる。昨日は食後の散歩までで6000歩、今日は7000歩を超えた。

昨日に比べて今日は少し薄雲がかかっているが、日差しは届いて暖かい。これを書いている昼前の段階で気温も18℃を越えている。

ところで、これを書く前にちょっと貴重な体験（苦笑）をした。このブログに画像ファイルを一括でアップロードするため、WinSCPというオープンソースのツールを使っている。今日は起動した際にアップデート通知が出たので、クリックしてダウンロードサイトに飛んだ。オープンソースのツールなので、維持するために寄付を募っているのだが、寄付する人は小数のようで、サイトには広告がベタベタ貼られていて、それを収入源にしているようだ。広告はランダムに表示されるのだが、今日の広告はちょっと紛らわしい奴で、「続行するにはこちら」というボタンがついている。実は、クリックしなくてもダウンロードができるのだが、ついついクリックしてしまうと、広告主のサイトに飛ばされることになる。で、今日はその結果として画面がロックされ、でかでかと警告表示とメッセージ音声がでて、「ウイルス感染しているので、ただちにサポートに連絡を」となった。これは、典型的なサポート詐欺サイトである。実際にウイルス感染などはしておらず、ブラウザを操作してPCがロックしたように見せているだけなのだが、知らない人だと焦って書かれている先に電話してしまい、詐欺に遭うことになる。PCを再起動してしまうのが最も手っ取り早い（メッセージではデータが壊れるので絶対再起動するなと言うのだが、大嘘である。ただ、例えば作業途中の文書ファイルやブラウザ以外に開いているアプリケーションがある場合は、作業中のデータが失われてしまう可能性があるので注意が必要だ）。ブラウザはフルスクリーンモードになっているので、エスケープキーで通常のウインドウモードにしてから×ボタンで閉じてしまえばいい。それが出来なければ、CTRL+ALT+DELで割り込んで、タスクマネージャを使ってブラウザを停止させる。それから作業中のアプリデータを保存し、念のためPCを再起動すると良い。通常の再起動が出来ないようならCTRL+ALT+DELで割り込みをかけると、画面の端に電源スイッチマークが出るので、それをクリックして「再起動」すればいいのである。再起動を妨げているプログラムがあれば、「強制的にシャットダウン」してしまう。多くの場合、これで問題は解決するのだけれど、再起動後に、ウイルス対策ソフト（市販もしくは、Windows付属のDefnderなど）でスキャンしておけば安心だろう。それでも動きがおかしくなるようならば、よく分かっている人に相談してみることだ。

こうした広告は、広告事業者がクッキーという仕組みを使って、利用者を特定して、その人のアクセス傾向に応じた広告を表示することから「ターゲティング広告」とも呼ばれている。特定の製品等のサイトを閲覧したら、それ以降、無関係なサイトでも、その製品の広告が表示されるようになったという経験を持っている人も多いだろう。これは、そういう仕組みなのである。今回の広告事業者はgoogleなのだが、事業者の審査にもかかわらず、こうした不審な広告が紛れ込んでしまうことも少なくないようだ。通常、バナーとして表示されている広告をクリックしなければ、こうしたことは発生しないのだが、あの手この手でクリックさせようとするのが、最近の広告全般の傾向である。また、広告を掲載しているサイトが広告収入を確実にするために、一旦広告を見ないと先に進めないような仕組みを作っている場合も多く、運悪く「踏んで」しまうこともある。びっくりするだろうが慌てず対処したい。警察庁のサイトが参考に出来るので、不安な人は見るといいだろう。

RSA３日目の昨日は朝から連続５コマのトラックセッション。West keynteはクロージングまでないので、ある意味、一番充実している一日のはずだったのだが、朝飯を確保するために早起きしたら、容赦なく眠気が襲ってくる事態に・・・。なかなか厳しい一日になってしまった。印象に残っていたのは、脆弱性の修正情報をLLMで集めるという話。オープンソースのコンポーネントの中には、脆弱性の修正が他の更新にまざって行われてしまうものも少なくないという話で、その更新が脆弱性の更新を含んでいると判断しにくい場合があるという。そうしたものをすべて把握してタイムリーにパッチを当てることが難しい場合が少なくないので、開発元のサイトやGitHubをAIに監視させて、脆弱性の対応が含まれていそうなものをAIに判断させて情報収集させようという話である。そのためのLLMモデルを開発して公開しているらしい。パッチ管理にAIを使うというのはアリだと思うのだが、どうせなら、自組織のもろもろの事情を考慮の上、優先順位付けとか作業スケジュールを作ってくれるところまで行けば、かなり役に立つと思うのだが・・・。

午後３時過ぎから盛大なクロージングがあって、今年のRSAは無事に終了。その夜はまた寿司を食いに行く。前日の肉が結構重かったので、ラーメンか寿司か悩んだ末に寿司にした。

で、今日は一日フリー。夜の便でLAに移動し、明日の午前の羽田行きに乗る予定なので、昼間はすることがない。まぁ、天気もいいのでホテルを１１時前にチェックアウトして、また海沿いに出てみることにする。

ケーブルカーが結構混んでいたので、また、路面電車にすることにして、待ち時間に電停４つくらい分を歩く。お天気は快晴。ピア２７の客船ターミナルには、また別の豪華客船が停泊中。

で、またピア３９あたりをぶらぶら歩いて時間つぶし。

こいつらは相変わらず臭い。今日は風が強いので遠くまで臭いが飛ばされてくる。

強い北風のせいで日陰に入ると結構寒い。RSAのウインドブレーカーを捨てずに持ってくればよかったと後悔する。

時間が余りまくっているので、久しぶりにベイクルーズの船に乗ってみることにした。

初日にアルカトラズへ行ったのだが、その時の船は単に往復だったし、天気もあまり良くなかった。で、今日は天気がいいので期待したのだが・・・。

天気はいいのだが、冷たい北風のせいで、外の席は凍えそうである。向かい風になる行きはとくに最悪で、身体が冷え切ってしまった。

ゴールデンゲートブリッジをくぐって折り返して戻ってくるのだが、帰りは追い風なので多少はマシ。でも、行きで身体が冷え切ってしまっているので、やはり寒い。

海側から見たピア２７の客船など。

雲か霧かよくわからないが、ゴールデンゲートブリッジのタワーの先端にかぶっている。この景色は初めて見る。

帰りはアルカトラズをぐるっと回って港に戻る。

船を下りてまた少し歩いていたら小腹が空いたので、またピア３９のBubba Gumpに行ってクラムチャウダーとサラダ（＋コロナ１本）を注文する。今日は手が回っていないのか、注文を取りに来るのが遅くて、ちょっとイライラ。でもまぁ、時間は余っているので問題はなし。腹も膨れたので、またぼちぼちフィッシャーマンズワーフを歩いてケーブルカー乗り場まで。

ケーブルカーも結構混雑していて３０分以上待つことになったが、これも問題なし。

ホテルに戻って預けてあったスーツケースを回収し、Uberで空港に向かう。結局空港に着いたのは午後５時過ぎで、いい時間になってしまった。それでも、LA行きの便は８時台なので、まだラウンジでゆっくりできる。

そんなわけで、現在ラウンジでこれを書いている。あと１５分ほどで搭乗。そろそろゲートに向かうとしよう。

RSAコンファレンス2日目。二度寝には気をつけようと思っていたのだが、二度寝どころか、今朝は起きることすら出来ず、結局、また朝食と朝一のセッションを逃してしまう。

今日の最初のセッションは、CISOになった人が、最初の3ヶ月をどう過ごすべきかというセッション。日本ではちょっと聴けないセッションなので聴いてみた。

要約すれば、最初の3ヶ月の間に、CISOとしての自分の足場を確実なものにしろという話。まずは、自分が新米CISOである前提で、スタッフや経営陣とのコミュニケーションを深めつつ、自社の現状を整理して課題を把握しろという話である。何かを変えるのはそれからでも遅くないし、焦って成果を出そうとすると失敗するぞ、という話である。やはり、CISOという仕事に気負ってしまう人が多いのだろうが、まずはしっかりと地に足を付けて・・・という基本的な話である。

それから午前中のキーノートを聴く。メインの登壇者はこの人。

元NBAのスーパースターで、現在は実業家の"マジック"ジョンソン氏である。ちょっとしたサプライズで会場は大盛り上がり。ビジネスの世界に入ってからの話はなかなか興味深いものだった。

昼休みにまた少し展示会場を歩く。これは会場の片隅にあるSOC。

午後はAIの話とレッドチームの話など。AIの話はどちらかと言えば基本的なもの。AIのデメリットや課題、メリットなどを整理したもので、具体的な話はあまりない。・・・というか具体的な話が出そうなセッションは、既に満席になっていて、空席待ちの長蛇の列が出来ている状況なので、いたしかたない。

レッドチーミングの話は、いかに対策が手薄な所を狙うかという例として、社員の自宅住所をLinkedInなどで調べ、会社の人事部門などを装って、特別表彰的なメッセージとAmazonのギフトカード贈呈のQRコードを手紙で送りつけるという話である。当然QRコードに含まれたURLはフィッシングサイトである。自宅でのアクセスは私物のスマホなどで行うので防御が手薄になる。とりあえず、会社のID,パスワードとワンタイムパスワードを入力させ、リアルタイムで認証を横取りしたあとで、本物のAmazonギフトカードのサイトに飛ばす。実際、50ドルの本物のギフトカードを入手できるので、疑われる可能性は低い。50ドルは攻撃者の負担だが、会社のアカウントを盗めるので、安いものである。しかし、この種の攻撃は、フィッシングだという種明かしの後でも、ひっかかる社員が後を絶たないというから根が深い。

最後のキーノートが終わったのが４時過ぎ。それから一旦宿に戻って一休みし、それから夜の会食に出かける。相手は仕事先の人たち。ちょっと早く着いたので、周辺を少し歩いて時間つぶし。

お店は、サンフランシスコに来ると一度は行く肉屋さんである。

ちょっと値が張るのだが、うまい肉が食えるので、お気に入りなのである。お腹いっぱい、ほろ酔いになって、いい感じで今日を締めくくる。

８時前でもまだ明るい夏時間のサンフランシスコ。少し冷えてきた風がかえって心地よい。ぶらぶらと歩いて、コンビニに寄り、買い物をしてから宿に戻る。

そんな感じで２日目も終了。明日は最終日。寝坊しないように今夜は早めに寝よう。

今日も朝から気温はぐんぐん上昇。24.6℃と夏日目前となった。下界ではあちこちで真夏日も出て、季節外れの暑さになったようだ。浅間山の雪もだんだん少なくなって、黒い部分が増えている。

ポロシャツ一枚で歩いていても、ちょっと暑いくらいで、腕まくりして歩く。まだ花粉症は油断ならないし、厄介な黄砂も飛んでいるようなので、マスクをして歩くのだが、これがまた汗をかいて暑い。もうそろそろスギの時期は終わってヒノキに移りつつあるはずだが、とりあえずは来週くらいまでマスクと薬は続けようと思っている。

別荘地の木々はまだ冬モードだが、そろそろ葉をつけ始めた木もあって、緑が広がるのも時間の問題だろう。

買い物に行くあたりの道沿いの桜がそろそろ開花し始めていて、もう一度お花見が楽しめそうだ。これは嬬恋村役場の桜。

昨日はここまで咲いていなかったと思うのだが、この様子だと満開になるのも時間の問題だろう。で、今日はコメリに行って、花の苗を買ってきた。毎年、駐車場の脇に花を植えているのだが、今年もまた植えた。

この作業は結構きつくて、腰が痛くなった。疲れたのでちょっと昼寝などする。ところで、今週ニュースになった、某ISPの情報漏洩事件。公式な発表はないが、巷では使われていた他社製のメールシステムのゼロデイ脆弱性が原因ではないかとのニュースが出ている。昨年8月に侵入され、以後、今月に発見されるまで潜伏しながら活動していたようなので、最悪の場合、発表されたような顧客情報の漏洩が発生することになる。これは、まだ可能性の範囲なのだが、今後の調査で実際に漏洩が起きたかどうかについても明らかになるのだろう。この会社はセキュリティ面では業界をリードしていると考えられていた会社で、相応の対策や監視等も行っていたようだが、ゼロデイ攻撃の場合、その兆候を発見できなければ侵入されてしまうことになる。しかし、この兆候を発見するというのは簡単ではない。また、半年以上発見されずに潜伏していたというのだから、相当慎重に活動していたようにも思える。そういうことを考えれば、かなり手強い相手に狙われたと考えていいのだろうが、実際どうだったのかは今後の調査を待たなければならないだろう。侵入経路や、侵入後発見に時間がかかった理由、発見されたきっかけなど、調査内容が明らかになれば、同様の攻撃に対しての備えを強化出来るだろうから、調査報告に期待したいところだ。

少し昼寝したあと、夕方にまた散歩をする。道すがら、こいつを見かけた。

下界の猫に比べればマシなのだろうが、これから毛玉にとっては暑さが辛い季節になってくる。寒暖差が激しくて、人も体調管理が大変な時期だ。まだ冬毛の猫にとっても、この暑さは厳しいだろうな。さて、そんな感じで一日が終わる。明日は、また少し桜でも見に行こうか。

今朝も快晴のラスベガス。あっという間の７日間、今日が最終日。

ISC2 Security Congressも今日が最終日。とりあえず、８時前に会場に入って朝飯の後、最後のキーノートを聴く。今日のスピーカーは、元ニューヨークタイムズのサイバー担当。メディアの目を通して見た、この１０年ほどのサイバー攻撃の変遷についての話。いわゆるAPT的な脅威に加え、近年、犯罪組織が本格的に金儲けを始めたことで、状況が大きく変わったというのは、皆が認識するところ。一方で、APTはさらに先鋭化し、ウクライナや中東での表に出ないサイバー戦は激しさを増している。加えて、いわゆる情報操作、偽情報の流布といった活動が日常化していて、単に選挙だからという一過性のものではなく、周到に世論を誘導したり、分断を煽ったりすることは、常に行われている。平時において、むしろ怖いのはそちらの方かもしれない。ある意味、いわゆる「民主主義」の弱点を巧妙にに突いた攻撃である。こうした攻撃への対処は、とりわけ民主国家では難しい。たとえば、Xとイーロンマスクのように、言論の自由を盾に規制を拒否する者への対処は容易ではないからだ。しかし、自由と放任は違う、というのは昔からの命題である。自由を享受するためには、自ら自由を守るために責任を果たす必要がある。言論にしても、それに責任を持つことが求められるし、嘘は許されない。我々は、もう一度そのあたりをよく考えて行動する必要があるのだろう。

キーノートの後は、ブレークアウトセッションが２つあって、それでイベントは終了となる。一つ目の話は、グローバル企業でITとOTをあわせてリスク管理する方法論について。ITに重きを置いたISO27001のようなフレームワークはOTには適用しにくい。ISA/IEC64223がOTに適用できる主要なフレームワークになる。そもそも、ITとOTでは、文化が大きく異なる。そうしたことを理解しながら、会社全体のビジネスリスクとしてサイバーリスクを管理していくことは簡単ではない。加えて多くの国にまたがる企業では、その地域ごとの法制度、規制に対するコンプライアンスを意識する必要がある。こうしたことを考慮すると、既存のフレームワークを包含、統合したような独自のフレームワーク作りが不可欠になる。実際に、紹介された例ではまさにそのようなことをしているのだが、これは簡単なことではない。ただ、自分たちが依存できるフレームワークを見つけることは極めて重要だ。既存のフレームワークを基本に据えつつも、自分たちのビジネスや文化に合わない部分には修正を加えることは行っていい（行うべき）ことだろうと思う。このセッションは、そうした事例の紹介として、興味深いものだった。

最後のセッションは、「心理的に脆弱なユーザの特定」というものである。終了間際のセッションにもかかわらず、多くの参加者があったのは、皆、こうした問題に関心があるからだろう。（出展、根拠は不明だが）たとえば、フィッシングなどでは、８％の脆弱なユーザがインシデント全体の８０％を引き起こしているとのこと。いわゆる「欺されやすい」とか「性格的に慎重さを欠く」ユーザということだろうか。たとえばフィッシングシミュレーション訓練とか、啓発教育といったことは多くの組織で行われているが、そうした教育の効果が上がらないユーザは存在する。改善が難しいのであれば、そうした対象への警戒を強化したり、場合によっては行動を制限するといった対応が必要になるかもしれない。もちろん、行きすぎれば差別に繋がるから慎重に行う必要がある。こうしたユーザを特定する方法として、たとえば中程度の難度の訓練メールを４回ほど投げて、そのクリック数でクラス分けするといったような方法が紹介されていた。思うに、特に脆弱なユーザを把握しておくことは重要だ。たとえば、インシデントの兆候が見られた場合に、判断の参考にできるだろう。ただ、それを持って本人の評価を行うことは避けた方がいい。評価はあくまで、本来の業務のパフォーマンスを元に行われるべきだし、仕事熱心な故にクリック率が上がるといったことも、可能性としては考えられるからだ。もちろん、テストの結果は全体的な傾向とともに本人には知らせるべきだし、それによって本人の問題意識を引き出すこともできるだろう。そのことと業務上の評価はわけて考えた方がいいと思うのである。可能であれば、仕事上のパフォーマンスや様々な属性等との相関を調べてみることで、問題の本質を見極められるかもしれない。そう言う意味では、こうしたテストは、全体的な傾向を洗い出すための一つの切り口に過ぎないということなのだろう。

そんな感じで、イベントは終了。クロージングセレモニーもなく、三々五々の解散である。ちょっと眠気がきつくなってきたので、今日もホテルに戻って２時間ほど仮眠する。夕方に街に出て少し散歩。今日はベネチアンのカナルショップスモールへ行って見た。ラスベガスに多い、偽物の空があるモールなのだが、ベネチアンホテルのモールだけあって、ベネチア風に運河が流れていて、ゴンドラが浮かんでいる。

しばらく中を歩いてから表に出る。気温はそれほど高くなく、半袖短パンで暑くもなく寒くもなく、ちょうどいい感じだ。

最終日の夜は「肉」と決めていたので、アウトバックに入ってサラダと肉で晩飯。

店を出たらすっかり日も暮れて、夜景を見ながらしばらく腹ごなしに歩く。

今夜の月は満月直前。少し薄雲がかかっているが、いい月夜である。

ホテルの周辺をしばらくあるいて、少し歩数を稼ぐ。今日はあまり歩いていなかったので、少し頑張って、一万歩越えを目指す。

そんな感じで最終日も暮れた。明日は４時起きしてホテルをチェックアウトし、空港へ向かう。６時過ぎの便でロサンゼルスへ飛び、そこから羽田行きに乗り継ぐ予定だ。

今朝も快晴のラスベガス。７時に目覚ましをかけていたのだが、二度寝してしまい、慌てて会場に向かう。

慌てたのはキーノートに間に合わないことよりも、朝飯をくいそびれる（苦笑）ことだったりするのだが、とりあえず片付けられてしまう前に到着して、急いでかきこむ。しかし、そのせいで、バッジスキャンのスタッフが引き上げてしまって、キーノートはCPE（CISSPの継続教育ポイント）なしになってしまった。まぁ、自業自得なのだが・・・・。

今朝のキーノートは、セキュリティチームのメンタルヘルスのお話し。忙しい上に一旦インシデントが発生すると大きなプレッシャーがかかるセキュリティチームにとってメンタルの維持は重要な課題。とりわけリーダーは自分だけでなく、チーム全体にも気を配らなければならない。こうしたチームでのケアはなにもセキュリティに限ったことではない。従って、その方法論も一般的な仕事の上でのメンタルヘルスの維持と同じ切り口になる。ストレスの軽減には睡眠が一番なのだが、現代人にとって安眠の維持は簡単ではない。安眠グッズ市場は巨大化の一途だが、安眠グッズや薬もさることながら、寝る前に気持を落ち着かせることが一番のようだ。ベッドに入っても寝付けない時は、思い切って起きて、少し身体を動かしたり、気持を落ち着けてから寝るといい、というアドバイスである。

今日は、最初にゼロトラスト関連のセッションを聴く。日本では完全にバズワードと化してしまっている「ゼロトラスト」だが、その基本的な考え方をもう一度押さえ直しておく。「誰も（何も）信用しない」のがゼロトラストではなく、「根拠を持って信用する」＝「暗黙に信用しない」というのが本来の意味だ。「性悪説」なんていう馬鹿げた言葉を使う輩も少なくないのだが、本質的に違う。セキュリティ境界についても同様だ。「境界防御は死んだ」的なことを吹聴するベンダがいるが、境界防御は依然として有効だし意味がある。但し、すべての防御を境界に頼るのではなく、その限界を見極めて、必要な対策を講じようということなのである。すべての対策をエンドポイントで行うのでは無駄が多い。境界防御とエンドポイント防御を適切に組み合わせることが重要なのだ。そういう真っ当なゼロトラスト論は、なかなか日本では聴くことができないから、こういう話を聴くと、ちょっとホッとするのである。

今日はちょっと睡眠不足で辛くなってきたので、昼食をパスして、昼休みはホテルに帰って少し昼寝した。おかげで、午後はだいぶ楽になった。

午後に聴いたのが、「AIの導入を経営層にかけあう際のポイント」についてのセッション。そもそも、こういうセッションのニーズがあるということは、セキュリティチームが積極的にAIを取り込もうとしていることの現れでもある。内容は一般的な経営層へのプレゼンテクニックなのだが、専門的な言葉は出来るだけ避けて、ビジネスとの整合に重点を置き、AIの利点とリスクを明らかにした上で、リスクは必ず対策も含めて提案しろ、というような話である。

合間のコーヒーブレークで展示会場へ行ったら、こんな囲いが用意されている。なんだろうと思っていたら、なんと仔犬とのふれあいコーナーだった。

やがて、仔犬が放されて、囲いの中に入ることができるようになったのだが、順番待ちの長い列が出来た。今朝のキーノートではないが、皆、癒やしを求めているようだ。

今日最後のセッションは、脅威モデリングの話。リスク評価やセキュリティ対策を考える上で、その前提となる脅威を明らかにすることは極めて重要だ。昨今の脅威は多様化、複雑化しているので、全方位的に対策を考えようとすると、労力やコストが馬鹿にならない。限られた予算や人員で対処するためには優先度を決めて対策を考えないといけないのだが、その前提となるリスク評価の第一段階として、どのような脅威を前提にするかということが大きな課題になる。自分たちのビジネス）や資産）が、どのような理由で、どのような相手に狙われ、攻撃がどのような切り口で行われるのかを出来るだけ明らかにして、可能性が高い脅威への対策の優先度を上げることが重要になる。これが脅威モデリングなのだが、まず、自分たちの持つ財産に高い価値を見いだすような相手や、自分たちのビジネス、活動、サービスが阻害されることで得をする相手などを念頭にそうした攻撃の対象となる資産と、相手を洗い出す。このあたりは、どちらかといえばビジネスや安全保障の視点が必要になる。次に、それらの相手が使うであろう攻撃手法を想定し、それらに対する対策を考えることになる。このあたりは、フレームワークとして、Mitre Att@ckなどが使える。こういうプロセスをきちんと話してくれるセッションはありがたい。これまで自分流で整理してきたものを再確認し、必要な修正を加えることができるからだ。この種の話は日本ではほとんど聴くことが出来ない。私が海外の、特にマネジメント系主体のコンファレンスに参加する大きな目的にもなっている。

さて、今日のセッションが終わった後、展示会場でレセプションが開かれた。今夜はここで飲み食いして晩飯の代わりにする。（笑）正直、街で晩飯を食うと出費が馬鹿にならないのである。まともなレストランだと$150～$200ほど、昨日や一昨日行ったBubba Gumpでのスープとサラダ（＋ビール）で、$50～$60、今のレートで日本円に換算するのが怖いような金額である。まぁ、そのあたりを気にしていたら海外など来られないから、とりあえず目をつぶってはいるが、あとでカードの請求を見て、目を白黒させるのである。

ここでもわんこたちは大人気。ふれあいコーナーにはまた長い列ができていた。

そんな感じで、とりあえず腹もふくれたので、ほろ酔い加減で会場をあとにした。空には、だいぶ満月に近づいた月。

ベガスの夜は、今日もも賑やかだ。

明日は午前中でコンファレンスが終わる。そのあとどうしようか、まだ考えていないのだが、明後日は４時起きで帰途に就くので、もう少し遊びたいなと思っている。

今日からISC2 Security Congress 2024が始まった。今朝は７時起きで、ちょっと睡眠不足。とりあえず、大通りを挟んで向かい側の会場（シーザースパレスホテル）に行き、コンファレンスの参加者向けの朝食を食う。

オープニングに続いてキーノートはAI関連。どちらかというと、AIの現状での問題点を列挙したような内容が多かったのだが、スタンスは一応、「使う」前提。まぁ、今のAIは確かに問題が多いのだが、解決は時間の問題かもしれない。変化のスピードが速いので、今回聞いた問題が半年後、どこまで残っているか・・・というようなことになりかねない。そう言う意味では、タイムリーに最新の情報を追いかけ続けていないと状況を見誤りそうだ。とりわけ、動きが遅い規制当局や行政がこのスピードについてこられないと、問題がこじれそうである。そんなことを考えながら聞いていた。

そのあとは、セキュリティの定量的評価の考え方とか、医療関連へのランサムウエア攻撃の話とか。たとえば救急車の管理システムや、医療機関は言うに及ばず、医療保険会社のシステムが止まっても、人の命にかかわる事がある。地域の医療全体を維持するための危機管理は、個別の機関や企業だけではなく、その地域全体での連携を考えないとダメだろうという話である。そのあと聴いたAIに必要なスキルを考えるセッションで、「AIを使うために必要なスキルは、それを適用する仕事固有のスキルを抜きには語れない」という話には強く同意した。もちろん、今のAIは完璧とは言いかねるから、きちんとアウトプットをレビューできるスキルが必須なのだが、将来、AIがより完璧に近くなった時、今度はAIのアウトプットを理解できるだけの業務スキルが必要になる。いずれにせよ、AIは道具である以上、使う側が、その仕事の知識や経験を持っている必要があるということだ。まぁ、仕事を完全に任せてしまえるほど完璧なAIができれば別だが、もしかしたらそれもそう遠くないのかもしれない。そうなった時に、さて、人は自分の価値をどこに見いだすのだろうか。しばらくは、「専門家」としてのAIを活用するジェネラリストとして、AIがカバー出来ないより大きな絵を描く仕事があるだろう。まぁ、それもそのうちに・・・、と考えると少し暗くなるのでやめておくことにする。（苦笑）

午後に聴いたサプライチェーン関係の話は、ごく基本的な内容で、基礎のおさらいをした感じ。このあたりから眠気がきつくなって、英語が右耳から左耳に抜けて行くようになってくる。最後のキーノートに至っては、ちょっと厳しい状態になってしまった。例のブルースクリーン問題などを引き合いに、単一ベンダに偏るリスクを強調していたようだが、反面、マルチベンダーは運用コストがはねあがる。ユーザサイドの視点で見れば、コストは大きな問題だから、どうバランスを取るのかが問題だろうなと思うのである。

どうにか、５時半まで、すべてのセッションを聴いてから宿に戻り、晩飯を食いに出る。ちょっと未練がましく西の空を眺めるが、今日も彗星の影すら見えず。しかたがないので、また月などを撮影する。月もだんだん満ちてきた。

さて、何を喰おうかと、少し思案しながら歩く。

ベラジオホテルやプラネットハリウッドのモールなどを歩いて見たが、結局、昨日と同じBubba Gumpに落ち着いた。サラダの選択肢が少ないので、昨日と同じサラダ。今夜はスープを南部風のガンボにしてみた。今夜は少し人が多くて、大通り沿いはかなり混雑している。こんな風景を見ながらホテルに戻って、一休みしてからこれを書いている。

明日も一日、コンファレンスである。

この三連休、土曜と日曜はあいにくの天気。それでも昨日、秋分の日の振り替え休日は、朝から青空が広がった。

その分、気温は一気に下がって、室内でも20℃を切るようになって、もう半袖は無理。半袖どころか、薄手の長袖でも、ちょっとすーすーする。

外は、さらに寒くて、頑張って歩かないと寒いくらい。秋を通り越して、一気に冬の入り口まで来た感じである。9月も下旬。まぁ、これが例年の状態なのかもしれないが、変化が急すぎて身体がついていかないので、風邪とかひかないように気をつけないといけない。

まぁ、寒いのを除けば、青空の下の散歩は気持ちがいい。浅間山もすっきり全部見えるのはいい。

連休で遊びに来ている人たちも、どうにか最終日は晴れて、楽しめそうだ。まぁ、半居住状態の私には連休は混雑するから辛いのだが・・・。そんな感じで久しぶりに朝の散歩も気合が入るのである。

昨日は、午後になってまたちょっと不安定な空模様になり、夜は雨がぱらついた。一夜明けた今日も、いまひとついすっきりしない天気。気温もさらに下がって、外は朝8時頃でこの気温である。

散歩に出かけたら、少し雨が降ってきたので、早めに切り上げて帰る。連休明けの今日は、午前中2件、午後3件の打ち合わせがあって大忙し。気がついたらもうあたりが暗くなっている。そういえば、昨日、少し時間があったので、以前一度立ち上げたものの、不調で停止していた攻撃監視用のハニーポット（攻撃対象を装ってサイバー攻撃を受け、その状況を監視するためのツール：クマ寄せの蜜壺にちなんだ名前）を再構築してみた。T-Potという複数のハニーポットをパッケージにしたようなオープンソースのシステムなのだが、これがなかなかよく出来ていて、kibanaを使ったダッシュボードは、様々な状況をうまく可視化してくれる。スキャンや攻撃の状況をリアルタイムにマップで表示してくれるので、見ているだけでも結構楽しい。（もちろん侵害されないという前提なのだが・・・（笑））時折、特定の国のIPアドレスから集中的な攻撃が発生するのは、ある意味日常茶飯事なのだが、それが見えていると、守る側としては気持ちが引き締まるのである。こうした攻撃は、その多くがいわゆる踏み台からのものなので、発信元の国に実際の攻撃者がいないことのほうが多い。多いのが、東欧圏のルーマニアやブルガリアあたり、欧州ではフランスあたり、米国からもかなりの数が来る。ブラジルからは、DoS攻撃とおぼしきものが集中的に飛んで来るのだが、どうやら元凶はマルウエア感染（いわゆるボット）のようだ。リアルでキナくさくなっているロシア方面とか中東方面からの攻撃はほとんどないのだが、まぁ、特にそういう状況化で、自国から直接何かをするというリスクはとらないだろうなと思いつつ、もしかしたら、全パワーを実際の敵国に振り向けているのかもしれないな、などと妄想している。

さておき、夜になってまた冷えてきた。足元が寒いので、小さなパネルヒーターを引っ張り出したのだが、これ以上冷えるようだと、本格的に暖房器具を出してこないといけなくなりそうだ。明後日くらいに一度横浜に戻ろうと思っているのだが、次に来る時には、そろそろ冬物を用意しないといけないかもしれない。