サイバーセキュリティの最近の記事

RSAコンファレンス2日目。二度寝には気をつけようと思っていたのだが、二度寝どころか、今朝は起きることすら出来ず、結局、また朝食と朝一のセッションを逃してしまう。

今日の最初のセッションは、CISOになった人が、最初の3ヶ月をどう過ごすべきかというセッション。日本ではちょっと聴けないセッションなので聴いてみた。

要約すれば、最初の3ヶ月の間に、CISOとしての自分の足場を確実なものにしろという話。まずは、自分が新米CISOである前提で、スタッフや経営陣とのコミュニケーションを深めつつ、自社の現状を整理して課題を把握しろという話である。何かを変えるのはそれからでも遅くないし、焦って成果を出そうとすると失敗するぞ、という話である。やはり、CISOという仕事に気負ってしまう人が多いのだろうが、まずはしっかりと地に足を付けて・・・という基本的な話である。

それから午前中のキーノートを聴く。メインの登壇者はこの人。

元NBAのスーパースターで、現在は実業家の"マジック"ジョンソン氏である。ちょっとしたサプライズで会場は大盛り上がり。ビジネスの世界に入ってからの話はなかなか興味深いものだった。

昼休みにまた少し展示会場を歩く。これは会場の片隅にあるSOC。

午後はAIの話とレッドチームの話など。AIの話はどちらかと言えば基本的なもの。AIのデメリットや課題、メリットなどを整理したもので、具体的な話はあまりない。・・・というか具体的な話が出そうなセッションは、既に満席になっていて、空席待ちの長蛇の列が出来ている状況なので、いたしかたない。

レッドチーミングの話は、いかに対策が手薄な所を狙うかという例として、社員の自宅住所をLinkedInなどで調べ、会社の人事部門などを装って、特別表彰的なメッセージとAmazonのギフトカード贈呈のQRコードを手紙で送りつけるという話である。当然QRコードに含まれたURLはフィッシングサイトである。自宅でのアクセスは私物のスマホなどで行うので防御が手薄になる。とりあえず、会社のID,パスワードとワンタイムパスワードを入力させ、リアルタイムで認証を横取りしたあとで、本物のAmazonギフトカードのサイトに飛ばす。実際、50ドルの本物のギフトカードを入手できるので、疑われる可能性は低い。50ドルは攻撃者の負担だが、会社のアカウントを盗めるので、安いものである。しかし、この種の攻撃は、フィッシングだという種明かしの後でも、ひっかかる社員が後を絶たないというから根が深い。

最後のキーノートが終わったのが４時過ぎ。それから一旦宿に戻って一休みし、それから夜の会食に出かける。相手は仕事先の人たち。ちょっと早く着いたので、周辺を少し歩いて時間つぶし。

お店は、サンフランシスコに来ると一度は行く肉屋さんである。

ちょっと値が張るのだが、うまい肉が食えるので、お気に入りなのである。お腹いっぱい、ほろ酔いになって、いい感じで今日を締めくくる。

８時前でもまだ明るい夏時間のサンフランシスコ。少し冷えてきた風がかえって心地よい。ぶらぶらと歩いて、コンビニに寄り、買い物をしてから宿に戻る。

そんな感じで２日目も終了。明日は最終日。寝坊しないように今夜は早めに寝よう。

今日も朝から気温はぐんぐん上昇。24.6℃と夏日目前となった。下界ではあちこちで真夏日も出て、季節外れの暑さになったようだ。浅間山の雪もだんだん少なくなって、黒い部分が増えている。

ポロシャツ一枚で歩いていても、ちょっと暑いくらいで、腕まくりして歩く。まだ花粉症は油断ならないし、厄介な黄砂も飛んでいるようなので、マスクをして歩くのだが、これがまた汗をかいて暑い。もうそろそろスギの時期は終わってヒノキに移りつつあるはずだが、とりあえずは来週くらいまでマスクと薬は続けようと思っている。

別荘地の木々はまだ冬モードだが、そろそろ葉をつけ始めた木もあって、緑が広がるのも時間の問題だろう。

買い物に行くあたりの道沿いの桜がそろそろ開花し始めていて、もう一度お花見が楽しめそうだ。これは嬬恋村役場の桜。

昨日はここまで咲いていなかったと思うのだが、この様子だと満開になるのも時間の問題だろう。で、今日はコメリに行って、花の苗を買ってきた。毎年、駐車場の脇に花を植えているのだが、今年もまた植えた。

この作業は結構きつくて、腰が痛くなった。疲れたのでちょっと昼寝などする。ところで、今週ニュースになった、某ISPの情報漏洩事件。公式な発表はないが、巷では使われていた他社製のメールシステムのゼロデイ脆弱性が原因ではないかとのニュースが出ている。昨年8月に侵入され、以後、今月に発見されるまで潜伏しながら活動していたようなので、最悪の場合、発表されたような顧客情報の漏洩が発生することになる。これは、まだ可能性の範囲なのだが、今後の調査で実際に漏洩が起きたかどうかについても明らかになるのだろう。この会社はセキュリティ面では業界をリードしていると考えられていた会社で、相応の対策や監視等も行っていたようだが、ゼロデイ攻撃の場合、その兆候を発見できなければ侵入されてしまうことになる。しかし、この兆候を発見するというのは簡単ではない。また、半年以上発見されずに潜伏していたというのだから、相当慎重に活動していたようにも思える。そういうことを考えれば、かなり手強い相手に狙われたと考えていいのだろうが、実際どうだったのかは今後の調査を待たなければならないだろう。侵入経路や、侵入後発見に時間がかかった理由、発見されたきっかけなど、調査内容が明らかになれば、同様の攻撃に対しての備えを強化出来るだろうから、調査報告に期待したいところだ。

少し昼寝したあと、夕方にまた散歩をする。道すがら、こいつを見かけた。

下界の猫に比べればマシなのだろうが、これから毛玉にとっては暑さが辛い季節になってくる。寒暖差が激しくて、人も体調管理が大変な時期だ。まだ冬毛の猫にとっても、この暑さは厳しいだろうな。さて、そんな感じで一日が終わる。明日は、また少し桜でも見に行こうか。

今朝も快晴のラスベガス。あっという間の７日間、今日が最終日。

ISC2 Security Congressも今日が最終日。とりあえず、８時前に会場に入って朝飯の後、最後のキーノートを聴く。今日のスピーカーは、元ニューヨークタイムズのサイバー担当。メディアの目を通して見た、この１０年ほどのサイバー攻撃の変遷についての話。いわゆるAPT的な脅威に加え、近年、犯罪組織が本格的に金儲けを始めたことで、状況が大きく変わったというのは、皆が認識するところ。一方で、APTはさらに先鋭化し、ウクライナや中東での表に出ないサイバー戦は激しさを増している。加えて、いわゆる情報操作、偽情報の流布といった活動が日常化していて、単に選挙だからという一過性のものではなく、周到に世論を誘導したり、分断を煽ったりすることは、常に行われている。平時において、むしろ怖いのはそちらの方かもしれない。ある意味、いわゆる「民主主義」の弱点を巧妙にに突いた攻撃である。こうした攻撃への対処は、とりわけ民主国家では難しい。たとえば、Xとイーロンマスクのように、言論の自由を盾に規制を拒否する者への対処は容易ではないからだ。しかし、自由と放任は違う、というのは昔からの命題である。自由を享受するためには、自ら自由を守るために責任を果たす必要がある。言論にしても、それに責任を持つことが求められるし、嘘は許されない。我々は、もう一度そのあたりをよく考えて行動する必要があるのだろう。

キーノートの後は、ブレークアウトセッションが２つあって、それでイベントは終了となる。一つ目の話は、グローバル企業でITとOTをあわせてリスク管理する方法論について。ITに重きを置いたISO27001のようなフレームワークはOTには適用しにくい。ISA/IEC64223がOTに適用できる主要なフレームワークになる。そもそも、ITとOTでは、文化が大きく異なる。そうしたことを理解しながら、会社全体のビジネスリスクとしてサイバーリスクを管理していくことは簡単ではない。加えて多くの国にまたがる企業では、その地域ごとの法制度、規制に対するコンプライアンスを意識する必要がある。こうしたことを考慮すると、既存のフレームワークを包含、統合したような独自のフレームワーク作りが不可欠になる。実際に、紹介された例ではまさにそのようなことをしているのだが、これは簡単なことではない。ただ、自分たちが依存できるフレームワークを見つけることは極めて重要だ。既存のフレームワークを基本に据えつつも、自分たちのビジネスや文化に合わない部分には修正を加えることは行っていい（行うべき）ことだろうと思う。このセッションは、そうした事例の紹介として、興味深いものだった。

最後のセッションは、「心理的に脆弱なユーザの特定」というものである。終了間際のセッションにもかかわらず、多くの参加者があったのは、皆、こうした問題に関心があるからだろう。（出展、根拠は不明だが）たとえば、フィッシングなどでは、８％の脆弱なユーザがインシデント全体の８０％を引き起こしているとのこと。いわゆる「欺されやすい」とか「性格的に慎重さを欠く」ユーザということだろうか。たとえばフィッシングシミュレーション訓練とか、啓発教育といったことは多くの組織で行われているが、そうした教育の効果が上がらないユーザは存在する。改善が難しいのであれば、そうした対象への警戒を強化したり、場合によっては行動を制限するといった対応が必要になるかもしれない。もちろん、行きすぎれば差別に繋がるから慎重に行う必要がある。こうしたユーザを特定する方法として、たとえば中程度の難度の訓練メールを４回ほど投げて、そのクリック数でクラス分けするといったような方法が紹介されていた。思うに、特に脆弱なユーザを把握しておくことは重要だ。たとえば、インシデントの兆候が見られた場合に、判断の参考にできるだろう。ただ、それを持って本人の評価を行うことは避けた方がいい。評価はあくまで、本来の業務のパフォーマンスを元に行われるべきだし、仕事熱心な故にクリック率が上がるといったことも、可能性としては考えられるからだ。もちろん、テストの結果は全体的な傾向とともに本人には知らせるべきだし、それによって本人の問題意識を引き出すこともできるだろう。そのことと業務上の評価はわけて考えた方がいいと思うのである。可能であれば、仕事上のパフォーマンスや様々な属性等との相関を調べてみることで、問題の本質を見極められるかもしれない。そう言う意味では、こうしたテストは、全体的な傾向を洗い出すための一つの切り口に過ぎないということなのだろう。

そんな感じで、イベントは終了。クロージングセレモニーもなく、三々五々の解散である。ちょっと眠気がきつくなってきたので、今日もホテルに戻って２時間ほど仮眠する。夕方に街に出て少し散歩。今日はベネチアンのカナルショップスモールへ行って見た。ラスベガスに多い、偽物の空があるモールなのだが、ベネチアンホテルのモールだけあって、ベネチア風に運河が流れていて、ゴンドラが浮かんでいる。

しばらく中を歩いてから表に出る。気温はそれほど高くなく、半袖短パンで暑くもなく寒くもなく、ちょうどいい感じだ。

最終日の夜は「肉」と決めていたので、アウトバックに入ってサラダと肉で晩飯。

店を出たらすっかり日も暮れて、夜景を見ながらしばらく腹ごなしに歩く。

今夜の月は満月直前。少し薄雲がかかっているが、いい月夜である。

ホテルの周辺をしばらくあるいて、少し歩数を稼ぐ。今日はあまり歩いていなかったので、少し頑張って、一万歩越えを目指す。

そんな感じで最終日も暮れた。明日は４時起きしてホテルをチェックアウトし、空港へ向かう。６時過ぎの便でロサンゼルスへ飛び、そこから羽田行きに乗り継ぐ予定だ。

今朝も快晴のラスベガス。７時に目覚ましをかけていたのだが、二度寝してしまい、慌てて会場に向かう。

慌てたのはキーノートに間に合わないことよりも、朝飯をくいそびれる（苦笑）ことだったりするのだが、とりあえず片付けられてしまう前に到着して、急いでかきこむ。しかし、そのせいで、バッジスキャンのスタッフが引き上げてしまって、キーノートはCPE（CISSPの継続教育ポイント）なしになってしまった。まぁ、自業自得なのだが・・・・。

今朝のキーノートは、セキュリティチームのメンタルヘルスのお話し。忙しい上に一旦インシデントが発生すると大きなプレッシャーがかかるセキュリティチームにとってメンタルの維持は重要な課題。とりわけリーダーは自分だけでなく、チーム全体にも気を配らなければならない。こうしたチームでのケアはなにもセキュリティに限ったことではない。従って、その方法論も一般的な仕事の上でのメンタルヘルスの維持と同じ切り口になる。ストレスの軽減には睡眠が一番なのだが、現代人にとって安眠の維持は簡単ではない。安眠グッズ市場は巨大化の一途だが、安眠グッズや薬もさることながら、寝る前に気持を落ち着かせることが一番のようだ。ベッドに入っても寝付けない時は、思い切って起きて、少し身体を動かしたり、気持を落ち着けてから寝るといい、というアドバイスである。

今日は、最初にゼロトラスト関連のセッションを聴く。日本では完全にバズワードと化してしまっている「ゼロトラスト」だが、その基本的な考え方をもう一度押さえ直しておく。「誰も（何も）信用しない」のがゼロトラストではなく、「根拠を持って信用する」＝「暗黙に信用しない」というのが本来の意味だ。「性悪説」なんていう馬鹿げた言葉を使う輩も少なくないのだが、本質的に違う。セキュリティ境界についても同様だ。「境界防御は死んだ」的なことを吹聴するベンダがいるが、境界防御は依然として有効だし意味がある。但し、すべての防御を境界に頼るのではなく、その限界を見極めて、必要な対策を講じようということなのである。すべての対策をエンドポイントで行うのでは無駄が多い。境界防御とエンドポイント防御を適切に組み合わせることが重要なのだ。そういう真っ当なゼロトラスト論は、なかなか日本では聴くことができないから、こういう話を聴くと、ちょっとホッとするのである。

今日はちょっと睡眠不足で辛くなってきたので、昼食をパスして、昼休みはホテルに帰って少し昼寝した。おかげで、午後はだいぶ楽になった。

午後に聴いたのが、「AIの導入を経営層にかけあう際のポイント」についてのセッション。そもそも、こういうセッションのニーズがあるということは、セキュリティチームが積極的にAIを取り込もうとしていることの現れでもある。内容は一般的な経営層へのプレゼンテクニックなのだが、専門的な言葉は出来るだけ避けて、ビジネスとの整合に重点を置き、AIの利点とリスクを明らかにした上で、リスクは必ず対策も含めて提案しろ、というような話である。

合間のコーヒーブレークで展示会場へ行ったら、こんな囲いが用意されている。なんだろうと思っていたら、なんと仔犬とのふれあいコーナーだった。

やがて、仔犬が放されて、囲いの中に入ることができるようになったのだが、順番待ちの長い列が出来た。今朝のキーノートではないが、皆、癒やしを求めているようだ。

今日最後のセッションは、脅威モデリングの話。リスク評価やセキュリティ対策を考える上で、その前提となる脅威を明らかにすることは極めて重要だ。昨今の脅威は多様化、複雑化しているので、全方位的に対策を考えようとすると、労力やコストが馬鹿にならない。限られた予算や人員で対処するためには優先度を決めて対策を考えないといけないのだが、その前提となるリスク評価の第一段階として、どのような脅威を前提にするかということが大きな課題になる。自分たちのビジネス）や資産）が、どのような理由で、どのような相手に狙われ、攻撃がどのような切り口で行われるのかを出来るだけ明らかにして、可能性が高い脅威への対策の優先度を上げることが重要になる。これが脅威モデリングなのだが、まず、自分たちの持つ財産に高い価値を見いだすような相手や、自分たちのビジネス、活動、サービスが阻害されることで得をする相手などを念頭にそうした攻撃の対象となる資産と、相手を洗い出す。このあたりは、どちらかといえばビジネスや安全保障の視点が必要になる。次に、それらの相手が使うであろう攻撃手法を想定し、それらに対する対策を考えることになる。このあたりは、フレームワークとして、Mitre Att@ckなどが使える。こういうプロセスをきちんと話してくれるセッションはありがたい。これまで自分流で整理してきたものを再確認し、必要な修正を加えることができるからだ。この種の話は日本ではほとんど聴くことが出来ない。私が海外の、特にマネジメント系主体のコンファレンスに参加する大きな目的にもなっている。

さて、今日のセッションが終わった後、展示会場でレセプションが開かれた。今夜はここで飲み食いして晩飯の代わりにする。（笑）正直、街で晩飯を食うと出費が馬鹿にならないのである。まともなレストランだと$150～$200ほど、昨日や一昨日行ったBubba Gumpでのスープとサラダ（＋ビール）で、$50～$60、今のレートで日本円に換算するのが怖いような金額である。まぁ、そのあたりを気にしていたら海外など来られないから、とりあえず目をつぶってはいるが、あとでカードの請求を見て、目を白黒させるのである。

ここでもわんこたちは大人気。ふれあいコーナーにはまた長い列ができていた。

そんな感じで、とりあえず腹もふくれたので、ほろ酔い加減で会場をあとにした。空には、だいぶ満月に近づいた月。

ベガスの夜は、今日もも賑やかだ。

明日は午前中でコンファレンスが終わる。そのあとどうしようか、まだ考えていないのだが、明後日は４時起きで帰途に就くので、もう少し遊びたいなと思っている。

今日からISC2 Security Congress 2024が始まった。今朝は７時起きで、ちょっと睡眠不足。とりあえず、大通りを挟んで向かい側の会場（シーザースパレスホテル）に行き、コンファレンスの参加者向けの朝食を食う。

オープニングに続いてキーノートはAI関連。どちらかというと、AIの現状での問題点を列挙したような内容が多かったのだが、スタンスは一応、「使う」前提。まぁ、今のAIは確かに問題が多いのだが、解決は時間の問題かもしれない。変化のスピードが速いので、今回聞いた問題が半年後、どこまで残っているか・・・というようなことになりかねない。そう言う意味では、タイムリーに最新の情報を追いかけ続けていないと状況を見誤りそうだ。とりわけ、動きが遅い規制当局や行政がこのスピードについてこられないと、問題がこじれそうである。そんなことを考えながら聞いていた。

そのあとは、セキュリティの定量的評価の考え方とか、医療関連へのランサムウエア攻撃の話とか。たとえば救急車の管理システムや、医療機関は言うに及ばず、医療保険会社のシステムが止まっても、人の命にかかわる事がある。地域の医療全体を維持するための危機管理は、個別の機関や企業だけではなく、その地域全体での連携を考えないとダメだろうという話である。そのあと聴いたAIに必要なスキルを考えるセッションで、「AIを使うために必要なスキルは、それを適用する仕事固有のスキルを抜きには語れない」という話には強く同意した。もちろん、今のAIは完璧とは言いかねるから、きちんとアウトプットをレビューできるスキルが必須なのだが、将来、AIがより完璧に近くなった時、今度はAIのアウトプットを理解できるだけの業務スキルが必要になる。いずれにせよ、AIは道具である以上、使う側が、その仕事の知識や経験を持っている必要があるということだ。まぁ、仕事を完全に任せてしまえるほど完璧なAIができれば別だが、もしかしたらそれもそう遠くないのかもしれない。そうなった時に、さて、人は自分の価値をどこに見いだすのだろうか。しばらくは、「専門家」としてのAIを活用するジェネラリストとして、AIがカバー出来ないより大きな絵を描く仕事があるだろう。まぁ、それもそのうちに・・・、と考えると少し暗くなるのでやめておくことにする。（苦笑）

午後に聴いたサプライチェーン関係の話は、ごく基本的な内容で、基礎のおさらいをした感じ。このあたりから眠気がきつくなって、英語が右耳から左耳に抜けて行くようになってくる。最後のキーノートに至っては、ちょっと厳しい状態になってしまった。例のブルースクリーン問題などを引き合いに、単一ベンダに偏るリスクを強調していたようだが、反面、マルチベンダーは運用コストがはねあがる。ユーザサイドの視点で見れば、コストは大きな問題だから、どうバランスを取るのかが問題だろうなと思うのである。

どうにか、５時半まで、すべてのセッションを聴いてから宿に戻り、晩飯を食いに出る。ちょっと未練がましく西の空を眺めるが、今日も彗星の影すら見えず。しかたがないので、また月などを撮影する。月もだんだん満ちてきた。

さて、何を喰おうかと、少し思案しながら歩く。

ベラジオホテルやプラネットハリウッドのモールなどを歩いて見たが、結局、昨日と同じBubba Gumpに落ち着いた。サラダの選択肢が少ないので、昨日と同じサラダ。今夜はスープを南部風のガンボにしてみた。今夜は少し人が多くて、大通り沿いはかなり混雑している。こんな風景を見ながらホテルに戻って、一休みしてからこれを書いている。

明日も一日、コンファレンスである。

この三連休、土曜と日曜はあいにくの天気。それでも昨日、秋分の日の振り替え休日は、朝から青空が広がった。

その分、気温は一気に下がって、室内でも20℃を切るようになって、もう半袖は無理。半袖どころか、薄手の長袖でも、ちょっとすーすーする。

外は、さらに寒くて、頑張って歩かないと寒いくらい。秋を通り越して、一気に冬の入り口まで来た感じである。9月も下旬。まぁ、これが例年の状態なのかもしれないが、変化が急すぎて身体がついていかないので、風邪とかひかないように気をつけないといけない。

まぁ、寒いのを除けば、青空の下の散歩は気持ちがいい。浅間山もすっきり全部見えるのはいい。

連休で遊びに来ている人たちも、どうにか最終日は晴れて、楽しめそうだ。まぁ、半居住状態の私には連休は混雑するから辛いのだが・・・。そんな感じで久しぶりに朝の散歩も気合が入るのである。

昨日は、午後になってまたちょっと不安定な空模様になり、夜は雨がぱらついた。一夜明けた今日も、いまひとついすっきりしない天気。気温もさらに下がって、外は朝8時頃でこの気温である。

散歩に出かけたら、少し雨が降ってきたので、早めに切り上げて帰る。連休明けの今日は、午前中2件、午後3件の打ち合わせがあって大忙し。気がついたらもうあたりが暗くなっている。そういえば、昨日、少し時間があったので、以前一度立ち上げたものの、不調で停止していた攻撃監視用のハニーポット（攻撃対象を装ってサイバー攻撃を受け、その状況を監視するためのツール：クマ寄せの蜜壺にちなんだ名前）を再構築してみた。T-Potという複数のハニーポットをパッケージにしたようなオープンソースのシステムなのだが、これがなかなかよく出来ていて、kibanaを使ったダッシュボードは、様々な状況をうまく可視化してくれる。スキャンや攻撃の状況をリアルタイムにマップで表示してくれるので、見ているだけでも結構楽しい。（もちろん侵害されないという前提なのだが・・・（笑））時折、特定の国のIPアドレスから集中的な攻撃が発生するのは、ある意味日常茶飯事なのだが、それが見えていると、守る側としては気持ちが引き締まるのである。こうした攻撃は、その多くがいわゆる踏み台からのものなので、発信元の国に実際の攻撃者がいないことのほうが多い。多いのが、東欧圏のルーマニアやブルガリアあたり、欧州ではフランスあたり、米国からもかなりの数が来る。ブラジルからは、DoS攻撃とおぼしきものが集中的に飛んで来るのだが、どうやら元凶はマルウエア感染（いわゆるボット）のようだ。リアルでキナくさくなっているロシア方面とか中東方面からの攻撃はほとんどないのだが、まぁ、特にそういう状況化で、自国から直接何かをするというリスクはとらないだろうなと思いつつ、もしかしたら、全パワーを実際の敵国に振り向けているのかもしれないな、などと妄想している。

さておき、夜になってまた冷えてきた。足元が寒いので、小さなパネルヒーターを引っ張り出したのだが、これ以上冷えるようだと、本格的に暖房器具を出してこないといけなくなりそうだ。明後日くらいに一度横浜に戻ろうと思っているのだが、次に来る時には、そろそろ冬物を用意しないといけないかもしれない。

オースティンに入って３日目、そしてGRC Conferenceの二日目である。昨夜はノドの状態が少し悪化。鼻づまりも出て、なかなか眠れず。例によって夏風邪をもらってしまったらしい。今朝は７時過ぎに起床して８時前に宿を出た。

朝のキーノートは元NSAで、アクティブディフェンスに携わっていた女性。最近日本でも話題に上がる能動的サイバー防御なのだが、こちらは先制攻撃を躊躇せずにかけていくので、本質的に異なる。平時は主に情報戦であり、敵は中国、ロシア、イラン、北朝鮮といったあたり。中でも節操がない北朝鮮は頭痛の種だったらしい。金目当ての金融機関や暗号資産への攻撃は有名である。そうした国を相手に回すのだから、こちらもそれなりの人材を揃えないといけない。しかし、そういう連中に限って、組織の枠に押し込めるのは難しい。そんな「ヲタク」たちを管理するのも仕事だったらしい。出勤してきたら、ますシャワーを浴びさせるとか、結構笑える。そんな感じで、結構生々し話を聴くことができた。実際、きれい事は通用しない世界のようである。日本の国家機関では、まず無理な形だろう。

昨日は途中でちょっとサボってしまったのだが、今日はとりあえずフルで会場に詰めて話を聴いた。今年もＡＩ系のセッションが多いのだが、去年に比べると、より具体的な応用例が覆うなっているように思える。やはり、彼らはＡＩを使いこなせるかどうか（使えるかどうかをみきわめることが、自分たちの命運を分けると考えているようだ。

今日の最後は「ゼロトラスト」の実装に関する話。この言葉が単なるバズワードと化してしまっている日本ではなかなか聴けない話だが、マイクロソフトのオンプレ、クラウドのソリューションを使った実装がの話がなかなか面白かった。実際、MS365やDefender関連のサービスは私も少し使ってみてはいるのだが、全体を俯瞰してみると、必要な機能がひととおおり揃っていて、それを一元管理出来る枠組みがあるのがなかなかすごいのである。まぁ、例によって独禁法の訴訟とか起こされそうな懸念はあるのだが、そもそもセキュリティ対策の多くはＯＳなどのプラッタフォーマーが実装すべきものである。彼らが当初、それをサボっていたから、アンチウイルス業界みたいなものができあがってしまったわけだ。マイクロソフトの動きを見ていると、そうした状況を巻き戻そうとしているようにも見えるのだが、今となっては軋轢を生むことは必至だろう。さておき、使う側からすれば、ワンストップですべて揃うのは魅力的である。

そんな感じで今日は終わって、宿に帰る途中、薬局によってコロナの検査キットを買ってきた。たぶん風邪だと思うもものの、一応確認しておかないと、帰国後に面倒だ。ということで、宿に帰って早速検査する。

結果は、見ての通りの「シロ」判定。まずは、これでひと安心である。とりあえず腹も空いたのでホテルのロビーにあるバーで軽く食事をする。

テキサス地物のＩＰＡと白ワインなどを飲みながら、クラブケーキを食って今日の晩飯は終わり。

さて、明日はGRCの最終日。午前中にクロージングのキーノートがあって、それで終わりである。天気が良くて体調がよければ、午後から少し市内を散策してみようかと思っている。そんな感じで、今回の高飛びも大詰めである。

今日はDEFCON最終日。昨夜からちょっとノドの調子が良くなかったのだが、今朝起きたら、声がかすれている。なぜか、このところアメリカでたちの悪い風邪を貰って帰ることが多いので、ちょっと嫌な感じである。とりあえず、様子見で、ホテルをチェック疎し、荷物を預けてから、少し遅めに会場へ。

今日も、相変わらずの暑さ。一方、会場の中は寒いくらい。たぶん、これが風邪をひいた理由だろう。昨日、一昨日と会場では上着を一枚はおっていたのだが、下は短パンのままだったので、それが悪かったのかもしれない。

今日は昼過ぎでほぼ終わりになってしまうので、Windowsに不正なドライバを組み込む話を聴いて、今回のDEFCONは終了となる。小腹が空いたので軽い物を食いながら、会場で少し時間調整。会場からみた、The Sphereが面白い。

午後2時前に会場を出て、また融けそうになりながら、モノレールの駅まで歩く。

この景色を見るのはまた少し先になりそう。10月にまた来るのだが、イベント会場がシーザースパレスなので、ここまでは来ないだろう。1月のCESにも久しぶりに来たいのだけど、来たら、そのときはまたここに来ることにんなる。

さて、あとは、ホテルに預けた荷物を受け取って、空港へ向かうだけなのだが、とりあえず、ホテル近くのコンビニ薬局でマスクを調達。念のため4しておくことにする。コロンの検査キットも欲しかったのだが、売っていなかったのであきらめた。まぁ、熱もないしいめのところノドの痛みだけなので・・・。

午後3時半に予約してあったUberで空港へ。セキュリティもそれほど混んでおらず、30分ほどでゲートについてしまったので、しばらく時間を潰す。残念ながら、ラスベガス空港にデルタのラウンジはないのである。こんなメジャーな観光地なのだから早くいいのだが・・・。オースティン（テキサス）行きの搭乗は定刻に始まったが、荷物の積み込みに手間取って出発が遅れ、さらに、離陸待ちの行列に捕まって、また時間を食う。トータルで30分以上遅れてラスベガスを離陸した。

夕方の3時間弱のフライトなので、晩飯が出る。キノコのラビオリである。デザートのチョコケーキがめちゃくちゃ甘かったのだが、思わず完食してしまった。（血糖値が・・・・）

こんなことをしている間にオースティンに到着。タイムゾーンが西海岸（太平洋時間）から中部時間に変わるので、2時間余計に時計が進む。到着したら、午後11時前になっていた。とりあえず、ホテルまでUberで移動して、今日はこここまで。このホテル、同じ系列のホテルはアムステルダムで泊まったことがある。部屋は狭くて日本のビジネスホテルくらいだが、綺麗な部屋でベッドは広い。値段も安め。部屋のあれこれをタブレットでコントロールできるのが面白い。

さて、明日からはISACAのGRC Conferenceである。

今朝も快晴のラスベガス。DEFCON2日目は、ちょっと遅れて参戦。

今朝も朝から熱波のラスベガス。モノレールを降りてから、会場までの炎天下を歩く間に身体がこんがりと焼き上がってしまいそうである。

とりあえず、今日はこんな話などを聴く。

バッファオーバフローなどのバイナリレベルの攻撃と、OSレベルでの対策とその回避策の変遷をまとめたセッション。バッファオーバフロー対策としてのDEP（データ実行防御）あたりから始まって、ASLRや最近のプロセスレベルの実行制限手法までの流れと、その回避策との間の戦いを解説したもので、ここ20年から25年ほどの流れを知るにはいいセッションだったと思う。様々な対策がとられて、（もちろんそれを有効に使えている前提で）バイナリレベルの攻撃の難度は極めて高くなったが、それでも全く不可能になった訳ではない。対策の裏を掻くような攻撃を思い付く頭のいい奴らは少なからずいるし、なによりそういう連中が作った攻撃コードが売り買いされて広く流通してしまうのだから、こうした追いかけっこは、まだ当分続くのだろう。

こういう話を聴いていると、最近そのような世界から遠ざかっていることを実感する。OSのコードを一生懸命読んでいた時代にはもう戻れないが、たまにはこういう刺激があってもいいなと思うのである。

DEFCONはそうしたコンピュータの攻撃手法だけでなく、伝統的に、物理的な攻撃手法やソーシャルエンジニアリングも取り扱うイベントだ。この「ロックピッキング村」では、様々な鍵開け技術に関する実演やコンテスト、講演などが行われている。

今日も午後はちょっと眠気がきつくなってきたので、早々に撤収を決め込んだのだが、会場からモノレール駅までの歩道はヒーターのように焼けていて、下から火であぶられているような感じである。上からは日差し、前からは熱風、下からは熱気と赤外線で、まるでオーブンのなかで焼かれている感じである。そんななかを歩いていて不思議と汗をかかない。たぶん、水分がすぐに蒸発してしまうからだろう。逆に建物に入った瞬間に汗が吹き出してくるのである。

例によって宿に帰って、しばらく昼寝をする。それから、また夕方に食事をかねて出かけたのだが、この時間でも路面からの熱気はものすごい。

少し大気が不安定化しているのか、入道雲や、変わった形の雲が浮かんでいる。この雲はまるで人の顔のようだ。

今日も移動はモノレールを使って、フラミンゴあたりまで行って見た。観覧車に続くフラミンゴ脇の路地は所々にミストが吹き出しているので、ちょとだけ涼しい感じ。シーフード系とかの店を探しながら歩いたのだが、目に付くのはステーキハウスとか重たいものばかり。できるだけ、ホテルなど施設の中を抜けて歩くのだが、外に出ると、暑さでくらくらする。ミラージュの前辺りまで歩いて、そこから道の反対側へ折り返す。ちなみに、ミラージュは工事中、なにやら取り壊しているような雰囲気で、名物の「火山」がどうなるのかちょっと気になるところだ。

そこから、シーザースパレスの脇のフォーラムモールに入って、そのなかでレストランを探す。入ったところの3階に寿司屋があったので、とりあえず入ってみた。前菜に野菜天ぷらの盛り合わせと一番搾りをたのむ。

天ぷらは、いい感じでからっと揚がっていて、合格点。さて、寿司は？と、ちょっと高い方の盛り合わせを注文してみた。

これも悪くない。少なくとも食べていて違和感がない、ちゃんとした寿司である。（米国の寿司屋では重要なポイント（笑））これならば、また来てもいいなと思いつつ店を出た。ラスベガスは10月にまた来る予定なのだが、その時にまた来てみるのもいいいかもしれない。そこからフォーラムモールの中を歩いてシーザースパレスに抜ける。

シーザースパレスから外に出てみると、あたりはだいぶ暗くなって、気温も多少下がった感じになっていた。

さて、どうしようか・・・と思ったのだが、今回バスの乗車券は買っていない。モノレールの駅は遠いので、いつもの噴水ショーや夜景を見ながら、ぼちぼち歩いて帰ることにした。

ホテルまで帰ってきた頃にはすっかり日が暮れて暗くなっていた。歩数は今日も2万歩越え。流石に疲れたので、売店で水と一緒にアイスクリームを買ってしまう。まぁ、これだけ運動したのだから、ご褒美があってもいい。（笑）

さて、明日はDEFCON最終日。朝ホテルをチェックアウトしてから荷物を預けて会場に向かい、3時頃には戻ってきて空港へ。夕方の便で、次の目的地、テキサスのオースティンへ向かう予定である。

梅雨明け宣言から、さらに気温が上がった横浜方面。エアコンがきいた室内から出ようという気がまったくしない不健康な生活である。

外をあるいていると、くらくらしてしまうので、散歩に出ても長くは続かない。一方で、エアコンが効いた室内にこもっていると、いつまでたっても暑さに身体が慣れないという悪循環である。

そんなわけで、日曜日にはまた別宅へ避難することにした。しかし、移動途中、埼玉県、群馬県内は38℃、横川SAでも35℃、軽井沢でも30℃となかなか気温が下がらない。別宅周辺でも昼間は30℃近くまで上がって、部屋の中はかなり暑い。エアコンがないので、扇風機でしのいでいる。夜になると、ぐっと気温が下がるのだが、日が昇るとどんどん気温が上がるという繰り返しである。

去年も夏場はそれなりに気温が上がったのだけれど、今年はさらに暑い。風があまりないのも一因かもしれない。

下界の猫たちに比べればマシかもしれないが、こいつら毛玉には辛い季節だろう。

このあたりにも結構猫がいるのだが、警戒心が強くてなかなか近づけない。一匹くらいは手懐けたいところなのだが、なかなかうまくいかないのである。

昼間暑いと、夕方から夜にかけて雨になったりする。昨日は一日中、オンラインのセミナー講師で、結構疲れたのだが、昼間は扇風機全開。カメラにうつらない下の方は、当然、短パンである。午後5時に終わった直後に、ざっと雨が降り出した。雨は夜～朝にかけて断続的に降って、9時頃には一旦上がったのだが、天気予報によれば、これから一週間くらいは不安定な天気が続くようである。

そう言えば、先週発生した世界的なWindowsブルースクリーン騒ぎ（死のブルースクリーン：Blue Screen of Death/BSODなどと呼ばれている奴）。CrowdStrike社のセキュリティソフトが原因ということだが、航空会社などが大きな影響を受けて、まだ後遺症が残っている。さて、この後始末がどのようになるのかが気になるところだが、品質管理の問題だけに矮小化しない方がいいのかもしれない。ソフトウエアのバグをゼロにすることは困難な一方で、セキュリティソフトのような高い権限で動くソフトウエアの不具合は、今回のようにシステム全体の停止を招く場合がある。ソフトウエアのベンダーに一義的な責任があるものの、万一このような不具合が発生した場合に、OS側での保護策も考えておくべきだろう。たとえば、不具合の原因になったソフトウエアを自動的にパージするような仕組みである。マイクロソフトでも、Officeなどのサードパーティープラグインが悪さをすると、停止させてしまうような機能は（あまり評判はよくないが・・・）実装されている。OSレベルとなると、簡単には行かなさそうだが、全体が影響を受けるという点では、むしろ、こちらの方が重要かもしれない。マイクロソフト（に限らず、すべてのOSベンダー）は、こうした高い権限をサードパーティーに開放することの是非と、開放する場合の保護策を再考してほしいと思うのである。今回はバグのようだが、たとえば内部者の悪意や、ソフトウエアベンダーが侵害を受けたケース等、より深刻な事態も想定できるからだ。

さて、今日は一日、別宅まわりのあれこれ。雨のあいまに周囲の草刈りなど。運動不足解消のため、夕方、小一時間歩いて、どうにか今日は一万歩を達成した。雨が降ったり暑かったりで、このところ運動量がかなり下がっているので、要注意である。さて、そんな感じで、しばらく別宅避暑モードが続く。