サイバーセキュリティの最近の記事

またまた本業ネタなのだが、今回は最近（悪い意味で）話題に上がることが多いVPNについてである。VPN（Virtual Private Network : 仮想私設網）とは、インターネットのような公衆ネットワーク上で、専用線による直接接続に近い情報保護を実現する接続方式で、その基本は暗号技術による通信内容の秘匿と改ざん防止である。一般にインターネットVPNと呼ばれているものには、たとえば企業ネットワークの拠点間を専用線イメージで接続する拠点間VPNと、在宅勤務や出張時、社外からPC等のモバイル機器を社内ネットワークに接続するためのモバイルVPNの２種類がある。

VPNを使うことにより、情報の秘密が保証されないインターネットを使いながら、重要な情報を含む通信が行えるため、高価な専用線接続の代替として普及してきた。モバイル機器の接続は、以前は電話回線などを使用したダイヤルアップ接続が中心だったが、通信速度が低速な上に通話料金がかさむことなどから、近年はほぼすべてVPNに移行したと言っていいだろう。

安全な接続・・・とはいえ、問題がないわけではない。インターネットを使う以上、企業ネットワーク間接続やモバイル接続を行うためには、VPN装置という機器をインターネットに接続する必要がある。VPN装置を経由する通信は暗号化され安全が確保されるが、VPN装置そのものはインターネットからアクセスが可能でなければならない。つまり、その時点でインターネット側から機器が攻撃される可能性を排除出来ないことになる。たとえば、企業の拠点間など、それぞれのIPアドレス（インターネット上の番地に相当するもの）が決まっている場合は、それ以外からの通信を排除できるが、どこからでも接続する必要があるモバイルVPNの場合、その制限は難しい。しかし、VPN接続は機器にアクセスが出来れば誰でも可能な訳ではなく、認証という関門が存在する。モバイルVPNの場合は一般のサービス同様にユーザIDとパスワードが使用されることが多い。電子証明書のようなより強固な認証方式や、最近ネットサービスでもよく使われる多要素認証など、侵害されにくい認証方式も多用されるようになっている。

こうしたVPNを侵害するには、大きく二つの方法がある。入り口の関門である「認証」を破るか、VPN装置の欠陥（いわゆる「脆弱性」）を悪用して機器へのアクセスを確保するかのいずれかになる。「認証」には二種類あり、VPN接続を行う（つまり企業ネットワークに入る）ための認証と、もうひとつは機器そのものの管理機能にアクセスするための認証である。拠点間VPNでIPアドレスにより接続が制限されているケースでは、前者は困難と言える。また、管理機能へのアクセスも通常は企業内部のネットワークのみからしかアクセスを許可しないよう設定するため、困難となる。一方、モバイルVPNの場合、前者の認証にはインターネット上から誰でもアクセスが可能なため、他のインターネットサービス同様にパスワードの推測やリスト型攻撃、あるいはフィッシングによるID,パスワードの窃取など、様々なタイプの攻撃が可能になる。これを防ぐには、企業が発行する電子証明書による認証や、ワンタイムパスワードなど追加の認証方式を併用する「多要素認証」を行うのが一般的だ。これも完全ではないが、安直なパスワード設定やパスワードの漏洩に対する有効な保護策となる。後者については、拠点間VPN同様に、企業内からのみアクセスを許可することが一般的だ。脆弱性については、その内容に依存するが、基本は、それが公表された時点で早期に修正版のソフトウエアを導入することだろう。遅くとも１ヶ月以内には修正版を導入したい。（早い場合は、公表時に既に攻撃が始まっているケースもあるが、現実的に更新作業は様々な事情からある程度時間がかかるため、「遅くとも」と言っている。もちろん早いに越したことはない）

これらの対策（IPアドレスによる制限、多要素認証の導入など）は、企業でVPNを使う上での基本中の基本と言えるだろう。

さて、ここからが本題である。実は近年大きな話題になっている有名企業や医療機関などを標的とした「ランサム攻撃」（いわゆる身代金要求型のサイバー攻撃）事例の多くで、このVPN装置を経由した企業ネットワークへの侵入が切り口になっているのである。企業の中には、被害を受けた後にVPNを廃止したところもある。そんなことから、我々のギョーカイの中でも、VPN悪者論が広がりつつあるのだ。VPNにかわるソリューションを売り込もうとする向きもある。しかし、こうした侵害の多くで、先に述べたようなVPN装置の管理が適切に行われていなかった事実にはあまり触れていない。たとえば、１年以上前に明らかになっていた装置（のソフトウエア）の脆弱性を放置していたために、それを攻撃されたケースや、多要素認証を行っていなかったために、漏洩したパスワードを悪用されたケース、本来、機器の保守目的で設置していたVPN装置で、アクセス元を限定出来るにもかかわらず、それを怠っていたケースなどなど、ちょっと信じられない状況がそこにある。少なくとも、私が知る限りでは、VPNを切り口とした侵害では、こうした管理上の問題が必ず存在するのである。

特に罪深いのは、一般企業のVPN導入をサポートしたITベンダである。VPN装置などのネットワーク装置の導入から運用までをアウトソースしている一般企業、組織は少なくない。こうした企業は、顧客から見れば「プロ」なのだから、先に書いたような対策は確実に行うことが出来るはずだ。ところが・・である。実際、行っておらず、悲惨な結果を招いた事例が枚挙にいとまもないのである。いまや、ITのあらゆる分野で、「セキュリティ」は基本的な事項だ。たとえば、ネットワークの専門技術者であれば、ネットワーク関連のセキュリティ知識は不可欠な基礎知識である。侵害された機器を運用、管理していた企業は猛省すべきだ。にもかかわらず、一部ではVPNそのものが悪のように言われていることは、まことに腹立たしい。もし、そんな企業がVPNに代わるソリューションなどを売っていたとしたら、それは酷いマッチポンプだと思うのである。

もちろん、より安全で管理も容易なソリューションそのものを否定するつもりはない。だが、たとえ新しいソリューションを入れても、その管理が杜撰ならば、また同じ事が起きると思うのである。ユーザ側も、もうすこしITベンダを見る目を養った方がいいかもしれない。最低限行うべき事項が行われているかどうかをしっかりとチェックすることが重要だ。運用を「丸投げ」できても、責任は「丸投げ」できないことに気付くべきだろうと思うのである。

たまには本業にからめて、少し真面目なことも書いてみようと思い立った。最近、巷（業界界隈）で耳にすることが多い「ゼロトラスト」という言葉についてである。まず、最初に少し否定的な意見を述べるならば、少なくとも日本では、この言葉はもはやバズワードでしかないと私は考えている。

同じようにバズワード・・・というか、非常に危険な言葉として「性悪説」（のセキュリティ）が挙げられるだろう。この二つは、最近、一部のメディアなどで、重ねた形で扱われている。いわゆる「ゼロトラスト＝性悪説」論である。そもそも、セキュリティの世界に「性悪説」なる悪語がはびこるようになったきっかけは、とある大手のIT企業で内部犯行による大量の個人情報漏洩が発覚した時だと記憶している。経営者が記者会見で「これまでは【性善説】でやっていたが、これからは【性悪説】でセキュリティを考える」などと述べた以降、特に経営層の間でこの言葉が流行り始めた。そもそも、性善説や性悪説という言葉は、孟子や荀子といった中国の哲学者が言った、奥深い意味を持つ言葉なのだが、その本質を考えず、単に「人の善意を（無条件に）信じる」とか「人は本質的に悪だから信じてはいけない」といった短絡的な意味で捉えてしまっているところに問題がある。そもそも性善説は人を無条件に信じろとは言っていないし、人の善の側面を強化するための「導き」つまり教育の必要性と言ったことにも言及している。この言葉を（セキュリティなどの面で）否定的に捉えている人たちは、短絡的に「性善説」＝「善意の盲信」だと思っているようである。

そもそも、昔からセキュリティの世界では、信頼するためには相応の理由が必要だったはずだ。また、それが裏切られる事態も想定して、様々なベストプラクティスが作られてきた。先の経営者氏の発言は、ある意味、「性善説」＝「善意」を言い訳にして、本来あるべきセキュリティ対策が行われていなかったことを正当化（もしくは弁解）しているに過ぎないと思うのだ。だから、最近でもこの言葉を聞く度に私は血圧が上がるのである。

で、話をゼロトラストに戻そう。ゼロトラストの原則は一般に「信頼するな、常に検証せよ」（Do not trust,always verify)と言われる。この言葉が、先の性悪説の誤解と結びついて、「ゼロトラスト＝性悪説」論が出てきたのはある意味必然かもしれない。ただ、このゼロトラストの定義は、単純化されすぎている。もう少し補足するならば「暗黙に信頼せず（もしくは信頼し続けず）適切なタイミングで（再）検証せよ」ということなのだろうと思う。そもそも、これがどうして「ゼロ」トラストという言葉になってしまったのか、ちょっと恨めしく思っているのだが、さておき、これが「新しい考え方」なのかと言えば、私はそうではないと思う。そもそも、昔からセキュリティの世界では「暗黙の信頼」などと言う言葉は存在しない。相応の（検証された）理由があって、初めて信頼が成り立つはずだ。今の対策がもし、そうでなかったとしたら、それは単なる「手抜き」に過ぎないと思うのである。そういう意味で（少なくともバズワード化してしまった）ゼロトラスト論は、「なにを今更・・」と切って捨てたくなるのだ。

さておき、その一方で、ゼロトラストに関しては世界的に様々な取組がある。米国の政府系機関からも、関連して様々なドキュメントが出されている。そこには少なくともバズワードとしての「ゼロトラスト」とは違う「本質」が存在するはずだ。そう思って、いくつかの文書を紐解いてみた。

NIST SP800-207（Zero Trust Architecture）では、ゼロトラストを以下のように定義している。

ゼロトラストは、侵害されたと見なされるネットワーク環境下において、情報システムおよびサービスに対する正確かつ最小権限の要求単位アクセス決定を適用する際の不確実性を最小化するために設計された一連の概念と考え方を提供する。

この定義は、かなり技術的なものだ。ポイントは「侵害されたと見なされるネットワーク環境下」という言葉である。つまり、直接的に脅威に晒されているネットワーク環境、たとえばインターネットは言うに及ばず、既に侵入されてしまった内部ネットワークなどを前提とした対策の考え方だということになる。巷で言われる「ファイアウォールは死んだ」（内部ネットワークも安全ではない）というのは、マルウエアや脆弱性など様々な切り口での「侵入成功」を仮定して、セキュリティ対策を考えるゼロトラストの一面を（過度に？）強調したものだと言える。一方で、これは、ゼロトラスト以前によく言われてきた「事故前提」のセキュリティ対策にも通ずるところがある。こうした事故（侵入成功）前提でのセキュリティ対策は、たとえばCSF（Cyber Security Framework）における、「発見」「対処」フェーズに重点を置かざるを得ないものになる。一旦侵入されてしまえば、「早期発見」「早期対処」「拡大防止」が特に重要となる。一方で、予防対策も既に侵害が発生した前提で、ネットワーク上での不正な活動や横展開を防止する目的で再構成されなければならない。これらを確実かつ迅速に行うことを目的として「ゼロトラストアーキテクチャ」は考えられなければいけない。SP800-207では、ゼロトラストの実装について、以下の「7つの原理」を挙げている。

1. すべてのデータソースとコンピューティングサービスはリソースと見なされる。

2. ネットワーク上の位置に関係なく、すべての通信は保護される。

3. 個々の企業リソースへのアクセスはセッション単位で許可される。

4. リソースへのアクセスは動的ポリシーによって決定される。

5. 企業は所有および関連するすべての資産の完全性とセキュリティ態勢を監視・測定する。

6. すべてのリソース認証と認可は動的に行われ、アクセス許可前に厳格に実施される。

7. 企業は資産、ネットワークインフラ、通信の現状に関する可能な限りの情報を収集し、セキュリティ態勢の改善に活用する。

これらの「原理」は、すべて、これまで行われてきた様々なセキュリティ対策に対して、脅威や状況の変化に対しての迅速な対応（変化、再構成）を求めているのだと私は思う。基本的な対策の道具立ては大きく変わらない。だが、（既に侵害が発生し）変化している状況を早期に発見し、それに対して迅速に対応し、必要に応じてポリシーの見直し等を行う事が求められるのである。

一方、こうしたゼロトラストアーキテクチャの導入には様々な課題がある。既存の組織が導入するには多くの障害があり、段階的な導入がかかせない。ゼロトラストは特定のソリューション導入では完結しない。むしろ、特定のソリューションに依存しすぎず、必要があれば、より良いソリューションに置き換えることを前提に、それを容易に実現出来るアーキテクチャの確立というのが完成形なのだと私は考える。状況に変化があり、対応する必要が生じた時に、それに適するソリューションがあった場合に、それを（セキュリティシステム全体への影響を最小限にして）速やかに導入できるような（少なくとも技術的な）枠組みを考えておくことこそ重要なのだろうと思うのである。

CISAのZerotrust Maturity Modelでは、ゼロトラストを考えるために、セキュリティ対策を5つの柱に分類している。

ゼロトラスト：5つの柱
・アイデンティティ
・デバイス
・ネットワーク
・アプリケーションとワークロード
・データ

これらのそれぞれについて、以下の4段階の成熟度が定義されている。

ゼロトラスト成熟度
レベル1．従来型セキュリティ
レベル2．ZT初期実装
レベル3．ZT高度実装
レベル4．最適化されたZT実装

見るとわかるように、従来型の（脅威の変化に余り融通がきかない）セキュリティから、段階的にゼロトラストに移行していく道筋が示されている。レベル4の「最適化された」とは、脅威の変化に対して最も迅速に対応出来る、ゼロトラストの完成形である。このドキュメントでは、それぞれの柱ごとに、各成熟度の段階での実装指針が示されているのだが、成熟度が上がるにつれて、「動的」「自動化」「統合」といった言葉が増え、変化への追従速度や「発見」から「対処」の自動化による迅速化などが要求される。

こうした文書から見えてくるのは、ゼロトラストが、「変化していく脅威への追従速度」を重視しているということだ。たとえば、認証といった切り口では、認証を通過したユーザの挙動をモニタリングし、ハイリスクな挙動があれば、その時点で再認証や追加認証を要求するというようなやり方である。私はこれが「ゼロトラスト」の本質だろうと思っている。たとえば、マルウエア対策の切り口では、ウイルス対策ソフトを入り口の関門として、それを通過した後も挙動をモニタし、不審な動きがあれば検知し、必要があれば自動的にブロック、無害化出来るEDRのようなソリューションが、その道具立てになる。一方で、こうしたソリューションは単なる道具に過ぎない。セキュリティ対策、とりわけソリューションの導入にはコストがかかる。現実問題として、最適なソリューションを入れられないことも少なくない。だが、こうしたゼロトラストの本質を認識し、たとえば、既存の枠組みの中でポリシー変更等によって次善の策を講じることも可能だろう。また適切なリスク評価のもとで、ハイリスクの部分により多くのリソースや資金を配分するというリスクベースの考え方は、ゼロトラストの実装において特に重要となると私は考えるのである。

昨年、とある海外コンファレンスで、ハワイにある医療NPOが、限られた資金のもとで、ゼロトラストを実装した経験を聞いた。行われた実装は、まさにゼロトラストの本質を捉えたものだった。ゼロトラストとは、脅威や状況の変化に対して組織のセキュリティを柔軟かつ迅速に対応させる（セキュリティのアジリティー向上の）ための考え方である。これが、私の出した結論だ。

昨日、今日と引き続きISC2 Security Congress 2025に参加。昨日は不覚にも朝寝坊して朝食とキーノートをミスるという失態。目覚ましをかけ忘れたのが失敗。仕方が無いので、シャワーを浴びてから、次のセッションへ向かう。

午前の最初のブレークアウトは、ランサムウエアのインシデント対応の話。参加者に対処を尋ねながら進めるという方法は私が某セミナーでやったのと似ている。ただ、前提となるランサムウエアは従来型の暗号化だけを行うタイプで横展開もなし。感染経路がメールという設定。これは、ちょっと物足りない。よくある二重恐喝型で、VPNサーバ経由とか、ADを介して横展開するとかの設定がほしかった。午前の二つ目はAIを使った攻撃に対してゼロトラストの考え方で対処するという話。サイバーキルチェーンの各ステップにおけるAIの使われ方のパターンに対してゼロトラストを基本とした対策がどのように効果をもたらすかという流れでの話だが、これは1時間ではなかなか難しい。守る側もAIを上手く使わないと追いつかないよ、という話なのだがもう少し具体論が欲しかった。

で、昼飯を喰い、午後のタウンホールをパスして部屋で寝ていたら、また熟睡してしまう。結局、その日の午後のセッションは最後のひとつを途中から聞いただけ。CPE的にはゼロになってしまったのがもったいない。午後の最後のセッションは無線系の攻撃に関するもの。最近、この種のセッションは減っているのだが、スピーカーがそっち系のベンダーな人だったこともあって、いくつかの典型的な攻撃手法を紹介してくれた。興味深かったのは、クレデンシャルを盗めても表玄関は多要素認証で守られているので、隣のビルから無線LANにアクセスして内部から攻めるという手法。無線LANの認証が同じクレデンシャルだったらアウトである。そこは、証明書などでデバイスを縛ってほしいところだが、そうした実装ができていない組織も少なくない。他にも、ドローンに偽APを積んで飛ばすとか、普通に出来そうだから怖い。無線系のセキュリティはもう一度、ゼロトラストベースで見直すべきだろう。

夜は展示会場でレセプション。晩飯代を浮かす。（笑）いや、このところ円安が酷いので晩飯代もバカにならないのである。

で、今朝は同じ轍を踏まぬように目覚ましをかけて寝たのだが、夜中にちょっといやな夢を見て、結局、目覚ましの前に起床。とりあえず会場で朝飯を食う。

今日が最終日。今夜はダウンタウンに移動するので、朝のうちにチェックアウトし荷物をクロークに預けてから午前中の講演を聴く。

朝のキーノートは元ワシントンポスト紙の記者で調査ジャーナリストな人の講演。ジャーナリストとして見てきた様々な事件を引き合いに出しながら、AIの登場が今後そうした攻撃、インシデントをどのように変えていくだろうかという話。内容が盛りだくさんでちょっとついていくのが大変だったので、後で録画でも見て、もう一度おさらいしたいところだ。（ハイブリッド開催なので、後で録画が公開されることを期待しよう。）午前中にブレークアウトセッションが二つあり、それで閉会となる。最初のセッションは、APT関連。最近のAPT（つまり、どこかの国の政府の息がかかったハッカー集団）の動向や使われる技術について簡潔にまとめてくれていた。対策の切り口も述べられていたが、要するに手強い相手には臨機応変かつ階層的に対処せよ・・ということにほかならないような気がした。（苦笑）少なくとも弱点があれば必ず狙われるから、どうやって弱点、つまりAttack Surfaceを小さくするかを考え、加えて抜けてきた攻撃をどのように見つけて対処するかということなのだが、これも一筋縄ではいかない。攻撃に要する時間もどんどん短くなっているので、対処もリアルタイムで行わないと間に合わない。AIを応用したソリューションは有望だが、それをうまく使いこなす技量が必要だろう。相手に応じたシナリオを用意して、演習を繰り返すしかなさそうだ。

最後のセッションは、ハワイのNPO法人が少ないリソースと予算で、どのようにゼロトラストを実装したかという話。これは非常に興味深い。日本では「ゼロトラスト」が完全にバズワード化していて、「ゼロトラスト」＝「お高いソリューションの導入」みたいになってしまっているのだけど、本来「ゼロトラスト」はセキュリティの戦略であって製品やソリューションはその助けにしかならない。逆に、そうしたソリューションなしでも、ゼロトラストをベースにしたセキュリティは構築できる。徹底したクラウド化（オンプレのサーバ廃止）で運用を簡素化しつつ、要所要所で必要なセキュリティを構築するという非常に興味深い話だった。

そんな感じでイベントは終了。ダウンタウンのホテルのチェックインまで時間があるので、しばらく歩いたり、ロビーで座ったりして時間を潰す。午後2時半にUberでダウンタウンのホテルへ。幸い部屋に入れたので、ちょっと昼寝して、日が傾いた頃に街に出てみた。

前回来た時は風邪をこじらせて殆ど出歩けなかったので、とりあえず晩飯の場所を探しながら、メインストリートであるブロードウェイを歩いてみた。通り沿いは店から聞こえるバンドの音楽で溢れている。まさに、アメリカンな雰囲気。ニューオーリンズなどとはまた違った空気である。店もカジュアルな感じが多く、食い物も結構ジャンクな感じである。なかなかいい感じの店がなくてしばらく歩き回る。空にはこんな感じの半月。

ここで落ち着いた感じの店を探すのは難しそうなので、とりあえず、あまり騒がしくなさそうな店を探すことにする。

結局、バンドのライブがない店を探して入り、こんなものを喰う。いやはや、まさにアメリカンなジャンクフードである。

本当はステーキとか喰いたかったのだけど、残念ながら選択肢は限られていて、結果、これが一番マシなチョイスだった次第。流石に全部は食い切れず、ポテトは大半を残す事になった。まぁ、それもアメリカである。しかし、今頃になってちょっと胸焼けしている。明日はもうちょっとマシな食い物が食える店を探そう。

日が暮れると一気に気温が下がる。どちらかというと南寄りの地域なのだが、この時間で気温は10℃。昼間も20℃を切っていたから上着がないと寒い。とりあえずフリースを一枚羽織ってどうにか・・という感じである。一昨年みたいに風邪をひくと最悪なので気をつけよう。

そんな感じで明日は一日フリー。天気も良さそうなので、少しナッシュビルを散策してみようと思っている。

昨夜は11時半過ぎにホテルに到着。即沈没して一夜明け・・・。今日からISC2 Security Congress 2025に参加である。会場は一昨年と同じホテル。中に大きなアトリウムがある。時期的にはまったく同じなのだけれど、今回は気が早いクリスマスの飾り付け。前回は時期的にハロウィーンモードだったのだが、なぜだろうか。

こちらが会場のコンベンションセンター。とりあえず、早朝にバッジをピックアップして、会場で朝食。一度部屋に戻って8時前に再度会場へ向かい、オープニングと最初のキーノートを聴く。

スピーカーはGoogleな人。Googleの巨大かつ複雑なシステムのセキュリティをどのように維持しているかという話。創業時から屋上屋を重ねるように拡大したシステムのバラバラなセキュリティを統合した苦労話など。そのキーワードは「工業化」。すべてのネットワーク、システム基盤、アプリケーションについて、必要なセキュリティ要素を規格化（部品化）して、機械的に組み込む事で、システムが巨大化しても追随できるセキュリティを実現したとか。そうすることで、最新のセキュリティをシステムを大変更することなく導入できるようにもなったと言う。しかし、言うは易しで、そうした根本的な発想の転換はGoogleだから出来たような気もする。工業化という言葉は、前世紀に某通産省が唱えて大失敗した「ソフトウエアの工業化」を思い出させるのだが、重要な部分をコンポーネント化しつつ、上物も含めて常に最新の技術を取り込んで行くスピード（アジリティー）をさらに上げようという発想は当時は全くなかった話だ。アジリティーを損なわず、かつスケーラブルなセキュリティを実現する、というある意味理想的な形だから、本当にそうなっているのだとしたら、その発想と実現した技術力を賞賛すべきだろう。

そこから、午前中にブレークアウトセッションをふたつ。ランサム攻撃のような会社を揺るがすインシデント対応に何故失敗するのか、という話とか、SOCのあり方を考え直す話とか。会社の業務が止まってしまうようなワーストケースのシナリオを前提にきちんと机上演習をやって問題点を洗い出せ・・・という話なのだが、それもセキュリティ部門だけでなく、全社的な枠組みでやらないと意味が無い。実際、そうした事態でセキュリティ部門ができることなんか、ごく僅かだ。全社を挙げて対処する練習をしておかないと、重大なインシデントに直面した際に身動きが取れなくなる。しかし、そもそも縦割りのきつい会社には難しい。旧態依然たる日本の大企業には特に難しいのだが、このところ頻発しているランサムによる業務停止が長引く原因はまさにそのあたりにあるから、そろそろ皆気がついてもよさそうなところだが・・・。「うちは大丈夫」なんて言える会社はないのだから、万一の場合に備えて全社対応の演習を、トップダウンで考えるべき時代なのだろうと思う。そういう事態を想像できない（したくない）経営者にはそろそろご退場願いたいところである。

昼飯を挟んで午後もいくつかのセッションを聴いたのだが、次第に眠気がきつくなってくる。昼休みと、午後の展示会見学時間は部屋に戻って仮眠する。会場から部屋までそこそこ距離があるので、今日はそれだけで軽く1万歩を越えた。（笑）夕方は、ナッシュビルのダウンタウンで交流イベントがあったのだが、夜に日本との打ち合わせがあったのでパスしてホテルで晩飯。

日が暮れたアトリウムはイルミネーションが綺麗だ。晩飯はとりあえず肉。（笑）

で、部屋に戻って1時間ほど日本とリモート会議。例によってどこに居ようが関係ない。（苦笑）こちらの午後9時は日本の午前11時（翌日）である。流石に、午後の打ち合わせはきついので、午前中にリスケして貰った。そんな感じのナッシュビル初日（昨日はノーカンで）、明日も引き続きコンファレンス参加である。

BH2日目は、また朝のキーノートから始まる。会場のアリーナは、こんな感じでちょっと不気味な雰囲気。大音響の音楽がかかっていて、なんとなく落ち着かない。

昨日の混雑に嫌気して、今日はホテルで朝食をとってから会場へ向かった。しかし、今日の混雑はそれほどではなく、私と同じ事を考えた人も多かったのかもしれない。

キーノートはどこかで見た人・・と思ったら、昨年秋のISC2 Congressでも喋っていた、元NY Times記者の女性。メディアという、外側の世界から見たサイバー攻撃の変遷の話も、昨年とよく似た内容だった。同じラスベガスなのでちょっとデジャブである。

二日目は、物理系のインパクトがある話をいくつか。一つはEVチャージャーで火災を起こすというコンセプト実証の話。EVチャージャーにはリモコン機能があるものが多く、こうした機能など（の脆弱性）を経由してコントローラのCPUを乗っ取られた場合、火災を起こすことが出来るかどうか、という実証をした話である。ただ、これはコントローラそのものを乗っ取ったのではなく、本来ソフトウエアでコントロールされる制御信号に物理的に異常な信号を与えて、その結果、過電流による火災を生じるかどうかという実験を複数のメーカーのコントローラに対して行ったものである。充電の電流制御は、パルス状の電流の幅を変えることで行っていて、このパルスを作る元になる信号をCPUが発生させている。この信号に細工してパルス幅が100％、つまり電流が流れっぱなしの状況をつくってどうなるかを検証するという実験なのだが、ほぼすべてのメーカーの機種で、充電機と車を繋ぐケーブルが発火した。中には充電コントローラ本体が発火したものもあって、火災を起こすことができるということが実証された形だ。実際にコントローラを乗っ取れるかどうかは脆弱性次第だが、もしそれが出来れば外部から火災を発生させることが出来るということである。問題は、電流制御をソフトウエアのみに頼っていて、電気的に過電流を防ぐ回路が組み込まれていないという点である。コストを下げるためだろうが、こうした物理的な制御をソフトウエアで行う場合、ソフトウエアの異常で事故が発生することを防ぐ物理的な仕掛けが必要なのである。ちなみに、うちの車もオプションでWiFi経由のリモコンを装着できるのだが、そうした不安もあって、取り付けていない。今回の実験対象はサードパーティー製の充電コントローラなのだが、自動車メーカーの純正品にはこうした問題がないことを祈りたい。

もう一つは、車のECUの誤動作を検証する話。車にはECUと呼ばれるマイコンユニットが複数組み込まれている。多いものでは100個単位で組み込まれていて、車内ネットワーク（CAN)で通信、連携しながら動いている。たとえば、窓の開け閉めからブレーキ、パワステ、エンジンとあらゆる機構の制御にそれぞれ専用のECUがある。特に、車の重要な制御に係るECUが誤動作すると致命的な影響を与えかねない上に、車にはエンジンを始め、様々なノイズ源があって、ECUにとっては厳しい環境である。ECUは、自動車メーカー本体（いわゆるOEM）ではなく、電装品メーカーが作っていることが多いのだが、多くのECUでは、様々なノイズや電磁波、宇宙線といった外的要因で誤動作が起きるのを防ぐために、複数のCPUコアで同じ計算を時間差で行い、それを比較するというような安全策が講じられている。実験は、電源を瞬間的に断続する（グリッチを発生させる）ことで、この仕組みに影響を与えることができるかどうかを試すというものである。影響を与えることができれば、たとえば条件分岐などの処理に対して異常を発生させることができる。ECUモジュールにはデバッグ用の回路が組み込まれているが、通常はパスコードでロックされている。実験は、複数のメーカーのECUに対してランダムなパスコードを与えながら、そのタイミングでグリッチを発生させ、デバッグモードに落とすことができるかどうかを試すという内容である。デバッグモードに落とすことが出来れば、ファームウエアの書き換えといったことが可能になり、ECUを物理的に侵害できる。結果は多くのECUモジュールで数時間～数日程度の間にデバッグモードに落とすことが出来たという。これが出来ると、悪意を持って改ざんされたファームエアを車に組み込んで、様々なことが可能になる。たとえば、要人の車に不正なファームウエアを仕掛けて事故を発生させるといったスパイ映画まがいのことも可能になるかもしれない。ただちに一般市民の安全に直結しないまでも、自動車メーカーやECUのメーカーは対処すべき問題だろう。

それ以外には、携帯電話ネットワークに接続されたIoT機器を物理的に乗っ取って、攻撃の踏み台として悪用する話とか、様々な（クラウド）アプリケーションが行う通信の特徴をAIに学習させ、正常な通信を偽装したマルウエアの通信などを検出するといった話などを聞いた。

最後にクロージングのパネルがあったのだが、なんとなく雑談っぽい感じだったので途中で抜けてホテルに戻った。疲れたので少し横になってから、日本とのリモート会議を1時間ほどやって、その後飯を食いに外に出る。

さて、どこへ行こうと考えたあげくに、バスに乗って少し北の方にある、以前行ったことがある寿司屋に行くことにした。

しかし、行って見たら、もう閉めるところだと言う。時間的にはまだ午後9時前。不夜城のベガスにしては早すぎる。仕方が無いので同じモールにあるイタメシ屋でこんなものを喰う。

これは、結構うまかった。しかし、寿司を食えなかったのは残念。この寿司屋は、まともな和食を出すので気に入っていた。寿司だけでなく、天ぷらなどもからっと上がっていてなかなかいい。しかし、そんな早い時間に閉めてしまうとは、客が減っているのだろうか。聞けば、この国の現「国王陛下」のめちゃくちゃで、反感を持った国外からの観光客が激減しているとのこと。あるメディアは「閑古鳥」などと表現していたが、それはメディア流の「大袈裟」としても、たしかに以前に比べて人が減っている感じはする。ネバダはたしか、紅組が勝った州なのだが、思わぬしっぺ返しを食った形である。

そんなことを考えながら宿に戻る。さておき、今夜は満月のよう。いい感じの月が空にかかっている。まだ時間的には10時前だが、たしかに人が少ない感じがして、ちょっと寂しい。

さて、今回の主目的は今日で終了。明日、明後日はちょっと遊ぶつもりである。

今日は朝からBlack Hatに参加。8時過ぎにホテルを出て、会場のマンダレイ・ベイホテルまで歩く。会場に着いたら入り口で長蛇の列につかまる。キーノート会場に入る前の朝食待ちである。こんなことなら、先に飯を食ってくるんだったと思いつつ、コンチネンタルな朝食をゲットしてキーノート会場のアリーナへ。会場はほぼ満席。久しぶりに参加したBHだが、やはり人気は高い。初日のキーノートはMicco Hypponen氏。話はマルウエアの歴史。私のような年寄りには懐かしい話である。しかし、会場にいる人たちで、こうした話をリアルで知っている人は何人いるのだろう・・と少し遠い目になる。

キーノートの後、最初に聞いたのは、Windowsのイベントログの仕組みに介入してEDRを回避する話。WindowsにはETW（Event Tracing for Windows）という仕組みがあって、これを介して、アプリケーションがリアルタイムにイベントログを生成、取得できる。最近のEDRなどイベントログ監視を行うアプリケーションの多くがこの仕組みを使っているらしい。カーネルレベルで直接コードを組み込むよりも安定性に優れ、パフォーマンスも確保出来るということなのだが、これに、色々と問題があって、ゴニョゴニョすると、EDRなどイベントを読み込むシステムに悪影響を与えることが出来ると言う話である。問題のいくつかは既にマイクロソフトによって修正されているようだが、依然としていくつか悪用可能な問題が残っているという。悪用はさておき、ETWそのものは面白そうなので、そのうち時間をとって遊んでみようと思う。

次に聞いたのがApple AirPlayの脆弱性に対する攻撃の話。AirPlayそのものだけでなく、デバイスをAirPlayに対応させるためのSDKにも問題があり、それを悪用してサードパーティーのデバイスを攻撃するといった話である。スマートスピーカーの攻撃デモを見せてくれたのだが、こうした脆弱なデバイスが更新されないままに使われている状況はちょっと寒い。いわゆるIoTの世界では、ファームウエアのアップデートが難しいデバイスがまだ多く存在する。機器のメーカーからすれば、逆にサードパーティーであるAppleから提供されたSDKに脆弱性があるという、いわばサプライチェーン問題になるわけだから、さらに問題は複雑だろう。様々なデバイスが繋がる時代にあって、脆弱性対策の難しさを実感させられる内容である。

昼食の後、眠気がきつくなってきたので、一旦ホテルに戻り、午後の最初のセッションをパスして昼寝する。それから会場に戻って聞いたのが、フィッシングメール訓練の有効性検証の話。端的に言えば、メール訓練はほとんど効果が無いから、もっと違うところに金を使おうという結論。いわく、誰も科学的に効果を検証しないままに、訓練が広く行われるようになっている点が問題だとのこと。実際、訓練（に加えて、関連する教育）を受けた人とそうでない人の差は僅か1.7%に留まると言うから、これが事実ならば、やり方を見直す必要がありそうだ。ちょっと極論に聞こえるのだが、論文もあるようなので、一度ゆっくり読んでみようと思う。たしかに、猫も杓子も「メール訓練」に走っている現状はちょっと問題かもしれない。効果測定もそうだが、使うメールの難易度設定や、啓発のための教育プログラムの選択が十分慎重に行われているとは言いがたい。詐欺と同じで、プロを相手に素人が対抗するにも限界がある。もちろん、手口を学習することで、ある程度耐性はつくが、それもあるレベルまでで、それ以上のレベルを一般のユーザに求めてはいけないだろうと思うのである。訓練は無意味とまでは言わないが、限界があることは間違いない。その限界を見極めつつ、限界を超えた攻撃に（組織として）どう対処するのかを合わせて考えることが重要なのだろうと思うのである。

もう一つ興味深かったのは、Googleの人たちが、フォレンジックにAIを使う話をしていたこと。Sec-Geminiというセキュリティに特化したAIを使い、GCPのディスクイメージからツールを使って抽出したアーティファクトを分析させるという話である。こうした作業は大量のログやデータと格闘することになるのだが、そこにAIを上手く使えれば、技術者の負担を大きく軽減できる。実際、彼らの実験では、ある程度分析の方向性を与えてやることで、エキスパートの作業と遜色ない結果を得られるとのことである。さらに興味深いのは、細かな方向性を示さなくても、かなりいい結果を出してくれるとのこと。しかも、これらの作業をさせるための費用（利用料）は極めて安いという話だから、実用化が待ち遠しい。現在テスト段階で、テスターも募集中とのことである。ちなみに、Geminiは日本語読みだとジェミニになるが、英語（米語）読みだとジェミナイとなるようである。

最後にもうひとつ、某東方大陸国家によるファイアウォール攻撃キャンペーンの話を聞いたのだが、ちょっと眠気がきつくなって落ちてしまった。後で資料を読んで復習しておこう。

そんな感じで初日は終了。一旦ホテルに戻って一休み。

休憩時間とかに中途半端にあれこれ喰ってしまったので、あまり腹も減っていないのだが、飯を食わないと夜中に腹が減っても辛いので、とりあえず食いに出ることにする。

結局、「軽い物」という選択肢で行く店は決まってしまい、いつものBubba Gumpでいつものサラダなどを喰うことになった。

サラダと言ってもアメリカンサイズなので、これもちょっと食い過ぎである。腹ごなしがてら、ぼちぼち歩いてホテルに戻る。

ホテルに戻った時点で今日の歩数は1万9千歩あまり。ちょっと歩きすぎである。カロリー消費よりも腰痛悪化などのリスクがあるので、歩きすぎには注意しないといけない。（苦笑）

そんな感じのBH初日。とりあえずホテルのカジノで「ツキの女神様」に少しお布施をしてから部屋に戻ってこれを書いている。明日もまた終日BH聴講の予定だ。

とりあえずの横浜復帰。こんな「お山」も久しぶり。

とりあえず、早起き、朝方パターンは続いていて、朝の散歩も朝食を挟んで2回のパターン。雨さえ降っていなければ・・・の日和見ではあるのだけれど・・。そう言えば、近所の「お猫さん」像が、メイド服姿になっている。このパターンは初めて。（笑）

で、今回、月曜日に戻ってきて、水曜日はCSAジャパンのイベントに久しぶりのリアル参加。そして、木曜から南紀白浜へ飛ぶ。まずは、羽田へ。横着して車で行くつもりだったのだが、駐車場が満車っぽいので、急遽、電車で行くことにする。とりあえず駅までで一汗。

羽田は年に一回、白浜イベントでしか来ない第1ターミナル。当然ながら赤色の航空会社的にはド平民な私なので、航空会社のラウンジには入れず、カード会社のラウンジでお茶を濁す。

去年は参加出来なかったので二年ぶりのイベント。朝一の便は4時起きしないといけないから、寝坊して乗り過ごす危険があるので、昼前の2便。例年なら、この便も某イベント関係者でほぼ埋まる。万一何かあったら、日本のサイバーセキュリティへのダメージは計り知れない・・という便なのだが、今年は半分くらいが一般の観光客。理由は簡単で、近々中国に帰ってしまうパンダを一目見ようという人たちが殺到しているからである。あおりで飛行機が取れなかった関係者も少なくなかったようだ。まぁ、本来、この便にスーツを着た人が多数乗っていることのほうが不思議なリゾート路線なのである。ということで、とりあえず無事に白浜入りして3日間のイベント参加である。何度も来ていると、昼間の講演よりは夜のイベントの方が楽しくなる、通称「温泉シンポジウム」。初日は夜のウエルカムレセプションのあと、こんな夕景（夜景）を見ながら宿に帰る。時間はもう午後8時近いのだが、まだうっすらと空が明るい

翌2日目は朝から快晴。とりあえず、6時起きで一風呂浴びてから、朝食を食い、腹ごなしに海辺を散歩する。

で、こちらがイベント会場。

今回は「アイデンティティ」がテーマ。いや、なんとなくテーマが抽象的すぎていまいちピンとこない。正直言うと、結局全体として何が言いたかったのか、いまいちピンとこなかった。「デジタル」でのアイデンティティというとIDとパスワードなどを思い浮かべがちだが、そうではなく、利用者を特定可能な「属性」の集合であるという話。ただ、これも抽象的で、いまいちとらえどころがない。結局の所、ID/パスワードはもうそろそろやめて、違う本人確認（認証）方式を・・・ということに帰結されそうなのだが、概念を広げ過ぎてピンボケになってしまっている印象がある。そういう意味で、なんとなく消化不良感が残った。

一方で街はというと、パンダ一色である。パンダ目当てで大量の観光客が押し寄せて賑やかだ。昨日の午後でイベントは終了し、多くの参加者は昨日のうちに帰ってしまったのだが、昨日の夕方の飛行機が取れなかった私はもう一泊して、今日の昼過ぎの便で帰ることに。とりあえず、今朝も6時起きして朝風呂、朝飯。

朝飯はバイキングなのだが、カレーがあったのでついつい喰ってしまうなど。結果的にちょっと食い過ぎ。それから、こんなものを土産に調達。さすがに混雑の中、実物を見に行く根性はなかったので。

で、腹ごなしにまた浜辺を散歩。道沿いにはそろそろ紫陽花が花をつけ始めている。

日曜とあって、浜辺には結構人が出ている。少し風があるので、白波が砕けている。

人が多いと思ったら、今日は飛行機のアクロバット飛行があるらしい。なので、10時にホテルをチェックアウトしてから、また浜辺に出て、11時の開始を待つ。

飛行機は一機だけで、15分くらいで終わったので、ちょっと物足りない感じだったが、とりあえず話のネタにはなる。まだ時間があったので、バスで少し離れた「三段壁」へ。

そこから、さらにバスで空港へ。空港行きバスがこの三段壁経由なので、ここで待って乗ったのだが、時刻表上は三段壁行きの一部が空港まで行く形になっていて、三段壁から空港までの料金は350円ほどと書かれていたのだが、乗ったバスは何やら空港行き専用っぽい感じ。で、料金も700円取られた。なんとなく欺された感じなのだが、もしかしたら乗るバスを間違えたのかもしれない。とりあえず、12時半頃に空港到着。飛行機の到着を待つ。

とりあえず飛行機は定刻出発。和歌山の海岸線を眼下に一路、羽田へ。

フライトは特に大きな問題無く、小一時間でこんな景色を見ながら羽田に到着。空域混雑の影響で、外房方面に大回りさせられた結果、到着は15分ほど遅れたが、急ぐ旅でもなく問題なし。着陸は22。混雑と視界不良のためか、都内に入り込んだ形での長めのアプリローチ。

とりあえず無事に羽田到着。

そんな感じで、帰りも羽田から京急。帰宅したのは午後４時過ぎである。荷物を背負って歩き回ったので結構疲れた。腹が減ったので勢いで晩飯を食い過ぎてしまい、ちょっと胃がもたれている。これをやるから・・・・と、まぁ、今日は言うまい。明日からまた節制しよう。

連日20℃越えの今週。月曜はちょっとぐずついた天気だったが、昨日は気持ちのいい快晴。

昨日は少し寝坊したが、それでも７時過ぎに起床。このところ早起きモードなので、朝飯前と朝飯後にそれぞれ散歩をしている。朝飯前の散歩は、朝食の野菜煮込みを作っている時間つぶし、朝食後の散歩は食後血糖値を抑える（苦笑）ためである。

浅間山の雪もほとんど消えた。

青空の下の散歩は、やはり気持ちがいい。おのずと歩数も伸びる。昨日は食後の散歩までで6000歩、今日は7000歩を超えた。

昨日に比べて今日は少し薄雲がかかっているが、日差しは届いて暖かい。これを書いている昼前の段階で気温も18℃を越えている。

ところで、これを書く前にちょっと貴重な体験（苦笑）をした。このブログに画像ファイルを一括でアップロードするため、WinSCPというオープンソースのツールを使っている。今日は起動した際にアップデート通知が出たので、クリックしてダウンロードサイトに飛んだ。オープンソースのツールなので、維持するために寄付を募っているのだが、寄付する人は小数のようで、サイトには広告がベタベタ貼られていて、それを収入源にしているようだ。広告はランダムに表示されるのだが、今日の広告はちょっと紛らわしい奴で、「続行するにはこちら」というボタンがついている。実は、クリックしなくてもダウンロードができるのだが、ついついクリックしてしまうと、広告主のサイトに飛ばされることになる。で、今日はその結果として画面がロックされ、でかでかと警告表示とメッセージ音声がでて、「ウイルス感染しているので、ただちにサポートに連絡を」となった。これは、典型的なサポート詐欺サイトである。実際にウイルス感染などはしておらず、ブラウザを操作してPCがロックしたように見せているだけなのだが、知らない人だと焦って書かれている先に電話してしまい、詐欺に遭うことになる。PCを再起動してしまうのが最も手っ取り早い（メッセージではデータが壊れるので絶対再起動するなと言うのだが、大嘘である。ただ、例えば作業途中の文書ファイルやブラウザ以外に開いているアプリケーションがある場合は、作業中のデータが失われてしまう可能性があるので注意が必要だ）。ブラウザはフルスクリーンモードになっているので、エスケープキーで通常のウインドウモードにしてから×ボタンで閉じてしまえばいい。それが出来なければ、CTRL+ALT+DELで割り込んで、タスクマネージャを使ってブラウザを停止させる。それから作業中のアプリデータを保存し、念のためPCを再起動すると良い。通常の再起動が出来ないようならCTRL+ALT+DELで割り込みをかけると、画面の端に電源スイッチマークが出るので、それをクリックして「再起動」すればいいのである。再起動を妨げているプログラムがあれば、「強制的にシャットダウン」してしまう。多くの場合、これで問題は解決するのだけれど、再起動後に、ウイルス対策ソフト（市販もしくは、Windows付属のDefnderなど）でスキャンしておけば安心だろう。それでも動きがおかしくなるようならば、よく分かっている人に相談してみることだ。

こうした広告は、広告事業者がクッキーという仕組みを使って、利用者を特定して、その人のアクセス傾向に応じた広告を表示することから「ターゲティング広告」とも呼ばれている。特定の製品等のサイトを閲覧したら、それ以降、無関係なサイトでも、その製品の広告が表示されるようになったという経験を持っている人も多いだろう。これは、そういう仕組みなのである。今回の広告事業者はgoogleなのだが、事業者の審査にもかかわらず、こうした不審な広告が紛れ込んでしまうことも少なくないようだ。通常、バナーとして表示されている広告をクリックしなければ、こうしたことは発生しないのだが、あの手この手でクリックさせようとするのが、最近の広告全般の傾向である。また、広告を掲載しているサイトが広告収入を確実にするために、一旦広告を見ないと先に進めないような仕組みを作っている場合も多く、運悪く「踏んで」しまうこともある。びっくりするだろうが慌てず対処したい。警察庁のサイトが参考に出来るので、不安な人は見るといいだろう。

RSA３日目の昨日は朝から連続５コマのトラックセッション。West keynteはクロージングまでないので、ある意味、一番充実している一日のはずだったのだが、朝飯を確保するために早起きしたら、容赦なく眠気が襲ってくる事態に・・・。なかなか厳しい一日になってしまった。印象に残っていたのは、脆弱性の修正情報をLLMで集めるという話。オープンソースのコンポーネントの中には、脆弱性の修正が他の更新にまざって行われてしまうものも少なくないという話で、その更新が脆弱性の更新を含んでいると判断しにくい場合があるという。そうしたものをすべて把握してタイムリーにパッチを当てることが難しい場合が少なくないので、開発元のサイトやGitHubをAIに監視させて、脆弱性の対応が含まれていそうなものをAIに判断させて情報収集させようという話である。そのためのLLMモデルを開発して公開しているらしい。パッチ管理にAIを使うというのはアリだと思うのだが、どうせなら、自組織のもろもろの事情を考慮の上、優先順位付けとか作業スケジュールを作ってくれるところまで行けば、かなり役に立つと思うのだが・・・。

午後３時過ぎから盛大なクロージングがあって、今年のRSAは無事に終了。その夜はまた寿司を食いに行く。前日の肉が結構重かったので、ラーメンか寿司か悩んだ末に寿司にした。

で、今日は一日フリー。夜の便でLAに移動し、明日の午前の羽田行きに乗る予定なので、昼間はすることがない。まぁ、天気もいいのでホテルを１１時前にチェックアウトして、また海沿いに出てみることにする。

ケーブルカーが結構混んでいたので、また、路面電車にすることにして、待ち時間に電停４つくらい分を歩く。お天気は快晴。ピア２７の客船ターミナルには、また別の豪華客船が停泊中。

で、またピア３９あたりをぶらぶら歩いて時間つぶし。

こいつらは相変わらず臭い。今日は風が強いので遠くまで臭いが飛ばされてくる。

強い北風のせいで日陰に入ると結構寒い。RSAのウインドブレーカーを捨てずに持ってくればよかったと後悔する。

時間が余りまくっているので、久しぶりにベイクルーズの船に乗ってみることにした。

初日にアルカトラズへ行ったのだが、その時の船は単に往復だったし、天気もあまり良くなかった。で、今日は天気がいいので期待したのだが・・・。

天気はいいのだが、冷たい北風のせいで、外の席は凍えそうである。向かい風になる行きはとくに最悪で、身体が冷え切ってしまった。

ゴールデンゲートブリッジをくぐって折り返して戻ってくるのだが、帰りは追い風なので多少はマシ。でも、行きで身体が冷え切ってしまっているので、やはり寒い。

海側から見たピア２７の客船など。

雲か霧かよくわからないが、ゴールデンゲートブリッジのタワーの先端にかぶっている。この景色は初めて見る。

帰りはアルカトラズをぐるっと回って港に戻る。

船を下りてまた少し歩いていたら小腹が空いたので、またピア３９のBubba Gumpに行ってクラムチャウダーとサラダ（＋コロナ１本）を注文する。今日は手が回っていないのか、注文を取りに来るのが遅くて、ちょっとイライラ。でもまぁ、時間は余っているので問題はなし。腹も膨れたので、またぼちぼちフィッシャーマンズワーフを歩いてケーブルカー乗り場まで。

ケーブルカーも結構混雑していて３０分以上待つことになったが、これも問題なし。

ホテルに戻って預けてあったスーツケースを回収し、Uberで空港に向かう。結局空港に着いたのは午後５時過ぎで、いい時間になってしまった。それでも、LA行きの便は８時台なので、まだラウンジでゆっくりできる。

そんなわけで、現在ラウンジでこれを書いている。あと１５分ほどで搭乗。そろそろゲートに向かうとしよう。

RSAコンファレンス2日目。二度寝には気をつけようと思っていたのだが、二度寝どころか、今朝は起きることすら出来ず、結局、また朝食と朝一のセッションを逃してしまう。

今日の最初のセッションは、CISOになった人が、最初の3ヶ月をどう過ごすべきかというセッション。日本ではちょっと聴けないセッションなので聴いてみた。

要約すれば、最初の3ヶ月の間に、CISOとしての自分の足場を確実なものにしろという話。まずは、自分が新米CISOである前提で、スタッフや経営陣とのコミュニケーションを深めつつ、自社の現状を整理して課題を把握しろという話である。何かを変えるのはそれからでも遅くないし、焦って成果を出そうとすると失敗するぞ、という話である。やはり、CISOという仕事に気負ってしまう人が多いのだろうが、まずはしっかりと地に足を付けて・・・という基本的な話である。

それから午前中のキーノートを聴く。メインの登壇者はこの人。

元NBAのスーパースターで、現在は実業家の"マジック"ジョンソン氏である。ちょっとしたサプライズで会場は大盛り上がり。ビジネスの世界に入ってからの話はなかなか興味深いものだった。

昼休みにまた少し展示会場を歩く。これは会場の片隅にあるSOC。

午後はAIの話とレッドチームの話など。AIの話はどちらかと言えば基本的なもの。AIのデメリットや課題、メリットなどを整理したもので、具体的な話はあまりない。・・・というか具体的な話が出そうなセッションは、既に満席になっていて、空席待ちの長蛇の列が出来ている状況なので、いたしかたない。

レッドチーミングの話は、いかに対策が手薄な所を狙うかという例として、社員の自宅住所をLinkedInなどで調べ、会社の人事部門などを装って、特別表彰的なメッセージとAmazonのギフトカード贈呈のQRコードを手紙で送りつけるという話である。当然QRコードに含まれたURLはフィッシングサイトである。自宅でのアクセスは私物のスマホなどで行うので防御が手薄になる。とりあえず、会社のID,パスワードとワンタイムパスワードを入力させ、リアルタイムで認証を横取りしたあとで、本物のAmazonギフトカードのサイトに飛ばす。実際、50ドルの本物のギフトカードを入手できるので、疑われる可能性は低い。50ドルは攻撃者の負担だが、会社のアカウントを盗めるので、安いものである。しかし、この種の攻撃は、フィッシングだという種明かしの後でも、ひっかかる社員が後を絶たないというから根が深い。

最後のキーノートが終わったのが４時過ぎ。それから一旦宿に戻って一休みし、それから夜の会食に出かける。相手は仕事先の人たち。ちょっと早く着いたので、周辺を少し歩いて時間つぶし。

お店は、サンフランシスコに来ると一度は行く肉屋さんである。

ちょっと値が張るのだが、うまい肉が食えるので、お気に入りなのである。お腹いっぱい、ほろ酔いになって、いい感じで今日を締めくくる。

８時前でもまだ明るい夏時間のサンフランシスコ。少し冷えてきた風がかえって心地よい。ぶらぶらと歩いて、コンビニに寄り、買い物をしてから宿に戻る。

そんな感じで２日目も終了。明日は最終日。寝坊しないように今夜は早めに寝よう。