サイバーセキュリティの最近の記事

とりあえず、無事到着した白浜。一夜明けた2日目。今回、雨続きを覚悟していたのだが、天気は回復しつつある。

今回、会場に近い宿がとれず、マリオットにした。このホテルは初めてだが、まぁ、お値段相当でホテルの部屋や設備はいい感じである。難点を言えば、高台にあること。行きはよいよいで、帰り（だいたい酔っ払っている）に山登りが待っているのがちょっと辛いのだが、まぁ、それはそれで、いい運動になると割り切れば問題無い。

朝は、いつも通り6時台に起きて、温泉に浸かった後に朝食。それから白浜シンポジウムの会場である白浜会館へ向かう。去年まで、会場は隣の田辺市にあるBiG-Uという施設だったのだが、今回から白浜町内の施設に変わった。BiG-Uに比べれば近いのだが、それでも温泉街の中心からはだいぶ遠い。いつもならば、送迎バスを使うのだが、初日に歩いて見て、30分ほどで行けることが分かったので、ちょっと頑張って歩くことにした。片道5000歩弱の道のりである。途中、こんな立派な？ホテルが見えるのだが、昭和のバブリーなころに立てられた御殿で、お値段もそんな感じらしい。

白浜シンポジウムは今年が30周年。こんなパネルも掲示されている。

今年のテーマは「連携」。セキュリティの難局とも言える現代、単独で脅威に立ち向かうことは困難、ということで、民間同士はもちろん、官、学とも互いに連携して・・・という話である。新しい話ではないのだが、これまでも言われながら、成功例は余り多くない。その原因も含めて話そうということだ。しかし、昨今のセキュリティイベントでは、AI噺が殆どになっている中、AIの話は殆ど出てこないのが新鮮というか、それはそれで悪くない。

2日目冒頭の講演で、異なる主体が共同で何かをする場合に、重要なのがモティベーションとインセンティブだという話があった。たとえば、最初、意識（モティベーション）が高い人たちが始めた集まりが、人が変わるにつれて、次第に機能しなくなっていくのは、インセンティブに欠けるからだという。モティベーションを維持するには、ある程度のインセンティブが必要ということだ。官民連携がうまく行かない理由の一つが、民に取ってメリットが少ないことだとすれば、それはインセンティブに欠く連携だろう。産と学、官と学についても同様である。これは、なかなか重要なポイントだと思う。・・・とここまで書いたところで、そろそろホテルを出なければいけない時間になった。続きは帰ってから書くことにしよう。

【空港にて追記】

空港で少し時間があったので追記。

全体的に地味な内容だったので、時々サボりながら参加。その夜は知人に誘われて、こんな感じで旨いものを食う。

その後夜のBoFに行ったのだけど、お目当ての部屋は大入り満員。仕方が無いので撤収する。こんな夜景を見ながらホテルに戻る。

帰りはまた、坂道を汗かきながら上ることになる。で、翌、最終日の朝もいいお天気。

この日は午後の最後のセッションがお目当て。新聞やテレビの記者の目線でのお話し。専門家ではなく、一般の読者、視聴者の目線でセキュリティ問題を掘り下げていく難しさはあるだろう。パネリストたちのモティベーションの高さを感じた。メディアというと、私などにはどちらかと言えばよく分からない世界なのだが、少なくともこうした人たちがいるならば安心な感じがする。こうした人たちが少しでも増えてくれることを祈りたい。

そんな感じで最終日は早めに終了。時間があるので帰りも歩いて帰ることにする。ホテルに帰って、しばらく仕事などして、夕方飯を食いに出る。

いくつか晩飯のお誘いがあったのだが、いずれも遅い時間。腹が減ってそれまで持ちそうになかったので、近くでラーメンなどを食い、その後、近くで0次会と称して集まっていた人たちに合流してしばらく談笑する。

その夜（昨夜）は泊まって、今朝の朝食。

11時にチェックアウト、荷物をホテルに預けてしばらく散策。しかし、暑い。

　・・・・で、そろそろ搭乗時刻が近づいたので、残りは本当に帰ってから・・・・とか言いつつ、機内で追記。（そのあと、帰宅後に画像を含めて再度編集。）

今朝の白良浜では、何やらイベント中。砂と海水だけで造形を作る競技らしい。（「砂祭り」というらしいが）数年ぶりの開催とか。

みていたいのだけど、日陰がなくて暑いので、少し離れたあたりで日陰を見つけて一休み。

それから軽く昼食を食ってホテルに戻り、荷物を受け取ってからタクシーで空港に向かう。

で、この前の部分を書いてから搭乗、離陸してから、この前のバージョンを追記する。追記はiPadを使ったので画像をアップできなかった。なので、今書き直しているところである。

あいにく天気がいまひとつだったのだが、上層と下層の雲の間に富士山は見えた。

午後3時頃に羽田に到着。置いてあった車で、途中買い物をしてから帰宅する。そんな感じで、今年の白浜も全行程を終了である。

先に、Mythosに関して書いたのだが、その後、国からこんなものが発表された。三種の神器の八咫鏡になぞらえるとは、現政権らしい発想なのだが、それはさておき、問題は中身である。ソフトウエア開発企業に対して、脆弱性対策にAIを活用するというのはいい。一方で、インフラ事業者や行政に対しての提言は、従来からの内容の繰り返しで、対AIという意味では具体性を欠くものだ。

つまり、基本的なセキュリティ対策、施策と、そのスキームを再確認せよ、ということなのだが、これでは、これまでの方向で問題無いと受け止められかねない。

なぜ、こういう内容になったのかを考えて見ると、問題は大きくわけて二つある。ひとつは、AI時代においても、攻撃を受ける側がセキュリティのためにすべきことの大枠は変わらないということ。この文書は、すなわち、そういうことを再確認しているにすぎないわけだ。一方で、AIがサイバー攻撃に使用されることで、それぞれの対策の中身は大きく変わるだろう。まず、すべてにおいて、大幅なスピードアップが必要になる。さらには、より技術的に高度かつ動的な対策が必要になる点だ。この理由は先の記事で書いている。しかし、それは、現状でAIが依然として加速度的な進化の途上にあることを考えれば、具体的にどうすべき、というのは難しい。言ったところで、それは現時点でのスナップショットに過ぎず、数ヶ月後には大きく変わっている可能性があるからだ。

実際、我が国に限らず、AIに関しては、各国共に苦労している。そもそも、国としての検討プロセスがAIの進化にまったく追いついていないからだ。たとえば、有識者を集めて半年で結論を出したとして、それを公表するのにまた数ヶ月・・。公表されたころには状況が一変している可能性が高いから、また、やり直しになってしまう。それでも、米国やEUは、多少なりともAIに踏み込もうとしてるように見えるが、我が国政府のこの文書を見る限りにおいては、詳細に踏み込むことを諦めてしまったように見える。それでも、何かを出さないといけないから出した・・・、申し訳ないがそう見えてしまうのだ。具体策が書けないなら、AIに対して、先に書いたようなリスクがある点を明示し、企業みずからが、対策プロセスのスピードアップと高度化を（危機感を持って）進める必要があることを説くべきではなかったのか。そう思うのである。

昨日の白浜シンポの講演でも、AI法制はいまだ基本法レベルに留まっていて、具体的な施策に落とし込めていないという話があったが、これは、まさにそういう理由だし、各国共に苦労している部分だ。しかし、AIの進歩はそれを待ってくれない。であれば、それぞれの組織が、自分で出来ることをどんどん進めていくしかない。インフラや金融、行政といった分野では、国の指針をもとに施策を進めるという文化が根強い。裏を返せば、「国がやれと言うからやった」という受け身の文化である。これからの時代、この形はもう成り立たない。方針が落ちてくるのを待っていたら、それまでの間に侵害を受けてしまう可能性が非常に高いのだ。こうした文化を変えていくことこそ、AI時代のセキュリティに必要なことなのだろう。

最近話題の仕事ねたを少し。米国 Anthropic社のAI、Claude Mythosが、最近ニュースになっている。米国政府を皮切りに、各国、日本などの政府が、「金融機関や重要インフラへの脅威」として、関係機関や企業に対策を促す動きが広がっている。

発端は、Mythos（日経などのメディアはミュトスと呼んでいるが、「ミュ」にはちょっと違和感があるので、私はミトスと呼ぶ）が、これまで発見されていなかった大量の脆弱性を様々なソフトウエアで発見した（と言われている）こと。おそらく、コード解析によるものだと思うのだが、これを皮切りに、大量の脆弱性が短期間に発見され、対応が追いつかなくなる可能性が最も大きな懸念点である。一方、先にダークサイドがこうしたAIを使って脆弱性を見つけ出し、修正前に攻撃を仕掛けてくることも懸念されている。

Anthropic社は、こうした懸念から、Mythosを正規のソフトウエアベンダなど、信頼がおける相手のみに限定公開しているのだが、こうした問題はMythosに限らない。最近Mythosばかりがクローズアップされているのだが、他のAIでも同様のことは可能だし、性能面のギャップもすぐに埋まっていくだろう。こうした大規模な高性能AIばかりでなく、オープンソースのモデルを使った、デスクトップレベルでのAIでも、少し高性能のハードウエア（GPUなど）を使えば、そこそこの性能は出せると、先日のBlackHat Asiaで、元Open AIの研究者が述べていた。つまり、この問題はMythosだけでなく、AI時代の脆弱性管理やシステム防御のあり方そのものに大きな課題を提起していると言えるだろう。

先に述べたように問題はいくつかある。まず、短期的には、Mythosのような高性能AIを使って、ソフトウエアベンダやオープンソースコミュニティー、研究者などが、過去のコードに大量の脆弱性を発見することで、その修正や、運用現場でのパッチ（修正されたソフトウエア）の適用が追いつかなくなることだ。コードの修正は、いっそAIにやらせれば効率が上がるだろうが、パッチの適用は簡単ではない。被害が懸念されるシステムはその多くがミッションクリティカルなシステムで、可用性の要求レベルも高い。パッチがリリースされたからと言って、すぐに停めてインストール、というわけにはいかない。まして、これまでも、パッチによる不具合は頻繁に発生しているから、たとえばバックアップのシステムに適用してきちんと動くかどうか検証する必要がある。大規模なシステムでは、多くの場合このプロセスに数週間から数ヶ月をかけているのが実情だ。

AI時代を念頭におくならば、こうしたプロセスは大幅に短縮する必要がある。こうした脆弱性は、同じようにダークサイドによって発見される可能性が高く、その脆弱性を攻撃するコードもAIに生成させることができるため、多くの脆弱性はパッチリリースと同時かそれ以前に攻撃が始まる「ゼロデイ」脆弱性になる可能性が高い。これが第二の問題だ。この状況は今後しばらくは悪化するだろう。パッチがリリースされてから、それが適用されるまでの期間、システム（特に、外部などから攻撃を受けやすい環境にあるシステム）は攻撃を受けるリスクに晒されることになる。たとえば、パッチの検証から適用までを自動的に行うシステム（これもAIがらみになるだろう）があったとしても、即日適用は難しいだろう。こうしたプロセスにはガバナンス面で、要所要所に必ず人間が介在するように設計されているからだ。AIが十分に信頼出来るようになれば、こうした問題は改善出来るようになるかもしれないが、それにはまだ時間がかかる。当面は、パッチが適用されるまでのあいだ、攻撃の兆候を監視して、防御するという「臨戦態勢」が必要になる。これも、人間がやっていたのでは限界があるから、AIの出番になりそうだ。複数のシステムに大量の脆弱性が存在し、それに対して動的に防御するというのは簡単ではない。まして、攻撃を受ける可能性があるシステムがどこに存在しているのかを十分に把握出来ていなければ、防御すべき対象から漏れるシステムが出る可能性もある。いわゆる攻撃対象領域管理（Attack Surface Management）や脅威暴露管理（Threat Exposure Management）が普段から出来ていないと、対応が難しくなる。

最も深刻な問題は、こうした対処に必要なリソース（特に専門的スキルを含めた人的なリソース）が膨大になることだ。リスクベースで、リソースを優先配分するにしても、おそらく絶対的にリソースが足りなくなり、防御が手薄になるシステムが少なからず生じてしまう。この問題も、おそらくAIに頼って、自動化、効率化することが必須となるだろう。つまり、AI時代には、守る側もAIをフル活用できなければ負けてしまうということなのだ。

つまり、Mythosが提起しているのは、これからのサイバー領域での攻防は、AI対AIの戦いにならざるを得ないという問題なのだと私は考える。セキュリティソリューションベンダもこうしたことを念頭においたシステムを市場に投入してくるだろう。ただ、これは部分的なソリューションで解決できる問題ではなく、防御対象とそのリスクの全体像を把握した上で、すべての対処を最適化するという総合的なソリューションを必要とする。単一のベンダでこうしたソリューションを提供できそうなところは少ない。当然複数のソリューションを組み合わせて構築する必要があるのだが、残念ながらそうした能力を持つSIerも多くないのが現状だ。そういう意味では、当事者であるITユーザ企業自身が、こうした全体像を把握し、大きな絵を描いて、ベンダやSIerに提示出来るだけの能力を獲得しなければ、生き残っていけないと思うのである。一方、こうしたことにあまり時間をかけているわけにはいかない。脅威はそこに迫っているからだ。ショートカットができないなら、正面から全力で取組むしかないだろうと思うのである。

日本政府が金融や重要インフラに対して検討を指示したのは、おそらく米国の影響だろう。一方で、政府が作る検討の場で、こうした問題がどこまで真剣に議論されるのかは注視していかなければいけない。この問題は決して、「お茶にごし」ではすまないからだ。問題の本質をきちんと理解して、対処していかなければ、国の存亡にも係わる事態なのである。

長い目でみれば、この問題は一過性のものかもしれない。いずれ、ソフトウエアやシステムの開発もAIが担うようになり、少なくとも人が作り込むレベルでの脆弱性は排除されてしまうだろうからだ。一方、より高次元のAI同士の戦いは続いていくかもしれない。もしかしたら、もう10年もすればそんな時代になるのだろうか。その時、我々人間はどのように過ごしているのだろう。

さておき、とりあえずの猫分補給から。

カレンダー上のGWも、いつしか過ぎ去り、今日から世間も始動する。もう2日休んでこの週末まで・・という向きもあるのだろうが、とりあえず万人のための「連休」は終わった。（笑）若葉が芽吹いて季節は春から初夏へと移っていく・・・

・・・・はずなのだが、このあたりでは、まだ満開の桜の木があちこちに・・・。

今日は、気温が一気に上がって、昼には25℃近くまで。散歩も日陰を選ばないと暑い位なのだが、そんな中で桜・・・というのも、ちょっと感覚が狂うのである。まぁ、朝から気持ちのいい快晴なので、日陰を歩けば風が心地よい。

お山（浅間山）の雪も、完全に融けて、もう夏の姿だ。

まぁ、初夏の森と、もうしばらく季節外れの桜を楽しみながら歩くとしよう。

ところで、今日もまたこの車を見かけた。あいかわらず、ゆっくり走ったり止まったりを繰り返し、怪しい動きをしている。気持が悪いのが、普通ついているメーカーや車種名のエンブレムがすべて取り外されていること。ぱっと見、メーカーも車種も分からない。何かヤバい臭いがする。流石に一週間近く、うろうろしているのは気持が悪いので、一応、別荘地の管理会社に知らせておいた。何かの調査であれば、管理会社の許可を得ているはずだから、教えて貰えるだろう。

さておき、散歩は続行。今日も午前中に一万歩は超過である。

午後は少し仕事をしていたのだが、足腰に疲れがちょっとたまっている。膝の調子もイマイチなので、温泉に浸かって少しほぐすことにした。で、いつものグリーンプラザホテルの温泉へ。

GW中は混雑で芋洗い状態が予想されたので行かなかったのだが、今日はすっかりガラガラだった。別荘地内には、まだ滞在中の人も多いのだが、ホテルの客はカレンダーどおりが多かったようである。ゆっくりと浸かれたのだが、体重計に乗って愕然とした。これだけ毎日動いているのに、体重が増えていたのである。つまりは、食い過ぎ、飲み過ぎ・・ということか。思った以上に基礎代謝が落ちているのかもしれない。節制せねばぁ・・・・

そんな感じのGW明け。ちょっとギョーカイ的に気になる情報も。マイクロソフトの標準ブラウザであるEdgeが、覚えているサイトのパスワードを起動時にすべて読み込み、平文でメモリ上に置いているらしい。いわゆるパスワードマネージャだが、ディスク上では暗号化してあるパスワードを、常時、暗号化されていない状態でメモリ上に置いているということは、ブラウザのメモリを呼び取る手段があれば、すべてのパスワードを入手できてしまうことになる。これは、マルウエアや侵入者にとって格好の餌食になりかねない問題だ。ちなみに、同じ chromium をベースに作られた Google Chromeは、メモリ上であっても、必要な時以外はパスワードは暗号化されているという。Edgeにたくさんのサイトのパスワードを覚えさせている人は、一旦、すべて消して、別のブラウザを使った方がいいかもしれない。

今日は温泉の後、買い物がてら郵便局へ。仕事の郵便物を出しに行くのと、昨日、不在持ち帰りになった荷物を受け取りに行くためである。昨日は配達が予想されていたので、散歩に出る際に、戸口に置いていくようメモをドアに貼っておいたのだが、持ち帰られてしまった。なんでも、置き配禁止だったらしい。某家電量販店の通販なのだが、このご時世、置き配禁止はないんじゃないかなと思った次第。

そんな感じで、そろそろ社会復帰（笑）である。

昨夜は少し雨が降ったシンガポール。ちょっと雲の多い朝で、路面も濡れている。

今朝は6時20分頃の起床。それから朝飯を食い、出すモノを出し（苦笑）、シャワーを浴びてからホテルを出る。2日目のBHも朝のキーノートから。今朝のキーノートは、元OpenAIのエンジニア。最近のAIの急速な進化についてのお話し。AIの能力はCPU/GPUの性能やパラメータの数の増加に対してリニアではなく、より大きく（スーパーリニアに）増加するため、最近のような能力の向上が実現するのだという。このところ、Mythosが話題をさらっているが、脆弱性の発見や、その攻撃コードの作成は、Mythosのような非常に高い能力を持たなくても可能で、オープンソースのAIモデルを使っても、実用的なレベルで実現できるとのこと。また、複数の異なるモデルで攻撃コードを作らせると、それらは同じにはならず、それぞれ特徴を持ったコードを作るので、どのモデルが優秀かという議論に答えはないという。つまりは、Mythosのような大手の事業者が提供する高い能力を持ったAIの利用を制限したところで、ダークサイドは自前のAIを使って、どんどん脆弱性の発見やその攻撃コードを作れるので、守る側は、その前提で対応を考える必要がありそうだ。

キーノートの後、日本との打ち合わせがあって、次のセッションをパスして対応。日本との時差（1時間）を勘違いして、12時からと思い込んでいた打ち合わせが10時からだと気がついたのが今朝のこと。危なかった・・・。ずっと、昼休みに対応すればいいと思い込んでいた。

打ち合わせの後、午前中にもう1セッション。こちらは最近日本でも話題になっている東南アジアにおける詐欺グループの活動について。カンボジアやフィリピンなどで主に活動しているのは主にC国系の犯罪グループで、様々な手段で人を集めて、詐欺に加担させている。対象となる国の言葉をネイティブに話せる人間を特には誘拐や脅迫と言った手段を使いながら集めているという。C国政府はこうした犯罪グループを認知しながら泳がせていて、時には政治的に利用しているとの指摘もある。もちろん認めはしないだろうが、最低だ。カンボジアなどは、最近摘発を強めているが、ある意味モグラ叩きの様相らしい。従来は電話詐欺が中心だったのだが、最近、マルウエアを使った不正送金なども増えてきているという。これには、C国のMaaS（マルウエア・アズ・ア・サービス）が絡んでいて、犯罪者にサービスを提供して儲けているらしい。放っておくとどんどん凶悪化しそうなので、国際協調で潰したい所だが、政治的に不安定な国もあり、なかなか簡単ではないという話である。

昼飯の後、今日も少し散歩する。まー君（笑）は、今日も元気に水を吐いている。

午後は、AIとMCPの話など。ここで、不覚にも寝落ちしてしまう。時差ぼけがないので、ちょっと油断した。聞き取りにくい英語に頭がついていけなかったようだ。（苦笑）

その後は、AIを使った競技形式のSNS選挙介入のシミュレーションの話。CTFならぬCTN（Capture The Narrative）は仮想の国の選挙を仮定し、二人の候補者とメディア、有権者4000人を主催者側のAIが受け持ち、競技参加者のAIがSNSに介入して、選挙の結果を左右するための工作を行うと言う設定である。支持率の初期値はそれぞれ50％、支持層の中での支持の強さ（確信度）の分布も適切に設定される。実際にやってみると、AIは支持が揺らぎがちな中間層をターゲットにした工作を展開。終盤では、個別の支持工作も行ったと言うから興味深い。SNSには不適切な発言を規制する機能を実装しているが、AIは一部のアカウントに、こうした規制を試すような投稿を行わせて、許容範囲を測るような動きもしたという。実際、選挙介入へのAI利用は現実味を帯びているし、最近の欧州のように、あからさまな選挙介入が日常化しているから、こうしたシミュレーションを繰り返して、対策を考えるのは極めて重要だろう。結果をAIに喰わせて、逆に、工作が疑われるアカウントを特定するといった事も出来るかもしれない。このあたり、状況は切迫しているから対応が急がれる。

最後のセッションは、今回のイベント会場のNOCレポート。セキュリティだから、SOCでは、と思うかもしれないが、NOC（Network Operation Center）とSOC（Security Operation Center）の仕事は、実際には不可分と言える。そういう意味では、SOCをNOCに統合するのは自然な流れだろう。今回のNOCでは、セキュリティアラートのハンドリングから、ケースのオープン、対応の流れの多くをAIで対応させ、AIが判断出来ない部分を人間が対応するという形で、人の負担を大幅に減らすことができたという。サイバー攻撃がAIによって加速されつつある事を考えれば、こうした流れは必然だろう。

そんな感じで、イベントは閉幕。とりあえず、ホテルに戻り、一休みしてから晩飯に出かける。昨日行った店が割と良かったのと、あちこち歩き回るのも面倒だったので、また昨日のベトナム料理店へ行くことにした。で、タイガービールとおつまみから。

のんびり、食い物をつまみながら、ビール二杯でいい感じに酔っ払って、締めは昨日と同じフォー。これが、なかなか美味い。

で、いい感じで暗くなってきたので、酔い覚ましがてら川沿いを歩く。

このまま歩いてマリーナベイの夜景・・とも思ったのだが、蒸し暑さで汗だくになり、断念して折り返す。酔っ払っているので無理は禁物だ。（苦笑）

ホテルまで歩くのはちょっとしんどかったが、とりあえず帰って部屋で涼みながらこれを書いている。さて、明日はチェックアウト時間ギリギリまで引っ張ってから、どこかで時間を潰して、3時過ぎくらいに空港へ向かうつもりだ。フライトは午後6時過ぎ。また、ホーチミンまで飛んで、そこで4時間弱待ってから、成田行きの夜行便に乗る。成田着は日曜の朝だ。久しぶりのシンガポールもあと1日である。

今朝は6時起床。日本とは1時間時差があるので、日本時間的には7時起床である。起きた時にはまだ外は真っ暗。そろそろ7時近くなってようやく外が明るくなってくる。

ホテルのレストランで朝飯（バイキング）を食い、それから地下鉄に乗ってBH　会場のマリーナベイサンズへ。会場の雰囲気は昨年夏のラスベガスをちょっと小さくした感じ。

オープニングキーノートはプライバシーとセキュリティの関係の話。いわく、この二つは同じだというところから始まったので、ちょっと違和感を感じる。でも、言わんとするところはわかる。プライバシー保護に関しては、特に技術面ではセキュリティそのものである。プライバシー侵害の原因の多くがセキュリティ侵害であり、逆に、プライバシー侵害、たとえばアイデンティティの侵害は、セキュリティ侵害の切り口になることも多い。もちろん、プライバシーの概念は個人の尊重であり、哲学的な側面も強いのだが、双方の共通点が非常に多い割りには、プライバシーとセキュリティは、法制度面、行政面、さらには企業での管理を含めて多くが縦割りになっている。これは、ある意味非常に非効率的である。特に行政が相互に歩み寄って共通部分を統合する動きをしなければ、この状況は変わらない。たとえば、企業においてもセキュリティはIT部門、プライバシーは法務や総務という、ある意味水と油な組織が主導していることが多く、本来一元化できる部分がばらばらになる大きな原因となっているのである。そう言う視点から見れば、今日の演者の話もあながち間違いではないだろう。

休憩時間に、この「お約束」の絵を撮影する。サンズから見るとマリーナを挟んだ反対側なので、これはかなりズームした絵である。こちらは、マリーナベイの景色など。

キーノートの後は、個別のセッションを聴講。通信系では、WiFiとBLE関連、DNSへの攻撃などの話、あとはMSのオンプレとクラウド（Azure）のハイブリッド環境への攻撃の話など。変わり種としては、システム内での暗号鍵の「消し忘れ」による漏洩の話など（これは、日本のIISECの人たちの講演）。一日みっちり聴講したのだが、素直な感想としては、時差がない（1時間）だけで、こんなに楽なのか・・・という感激があった。到着翌日の聴講だが、米国とかだと間違いなく午後は寝落ちが発生する。それがないだけずいぶん楽である。そういう意味では、もう少しアジア方面でのイベントに参加してもいいかもしれない。

休憩時間にサンズコンベンションセンターとショッピングモール周辺を散策しながらこんな景色を見て回る。

今日の終了は午後5時。とりあえずホテルに戻って一休みしてから、2ブロックほど歩いて、川沿いのクラークキーまで。今夜の晩飯は、ここのテラスにあるベトナム料理のお店。とりあえず、タイガービールとつまみで脱力する。

ビール2杯でいい感じになり、締めはフォー（ベトナムのスープ麺）。暑い中で食う熱いフォーもなかなかうまい。

気がつけば、あたりも既に暗くなっている。

いい感じでホテルに帰って自販機で水を買おうとしたらなにやら自販機が固まっている。フロントに話して、しばらく後に行ってみたのだが、まだ動かないので、とりあえず近くのコンビニまで行って水など買って帰ってきて、それからこれを書いている。明日も引き続きBH参戦である。

今朝も頑張って6時台に起床。早起きは三文の徳というが、朝飯の準備にIHを使う電気代は午前7時までなら安いという「お得」もある。車の充電を安く上げるため、夜の11時から朝の7時まで料金が安くなるプランを使っているからだ。逆に、昼間は少し割高なのだが、一番電気を食う車と、冬場の凍結防止ヒーターの電気代が安く上がるので助かるのである。さて、今日は朝から快晴。散歩は昨日と同じで朝食前と朝食後、それから午後と3回に分けて歩く。

今朝も3℃くらいまで気温が下がったので、ちょっとひんやりとした空気である。朝飯前の散歩は4000歩ほど。とりあえず、朝の「お山」のご機嫌伺いなど。今日は白煙もなく、ご機嫌はよさそうだ。（笑）

途中、こいつに出会う。茶白の若い猫だが、昨年の今頃は生まれたばかりだった奴だ。まだ警戒心が強く、すぐに逃げてしまうのは残念。

朝飯を食って、片付けをして、食後の運動・・・と、また歩く頃には気温はもう15℃を超えていた。

昨日から、ちょっとAIと遊んでいる。これまでも、ChatGPTにはあれこれ質問をしているのだが、今回はAIエージェントに関してやりとりしてみた。ChatGPTもエージェントモードはあるようなのだが、Claude CoWorkのように、PC側のリソースまで操作はできず、あくまで、クラウド上の仮想環境での操作に留まるとのこと。ローカルとの連携は、こちら側でエージェントを動かす必要があるのだが、あれこれ質問していると、ローカル側のエージェントの例を提示できるという。面白いのは、これまでの質問の傾向から、私が必要としそうなエージェントを推定して提案してきたこと。当然、セキュリティ関係のものも提案に含まれていて、脆弱性の情報を収集して優先順位付けしてレポートするような情報収集エージェントが含まれていた。自分の持っている機器（ソフト、ハード）の情報を喰わせると、それらに関係する脆弱性があった場合に情報を整理してレポートしてくれる仕様だ。ローカルでPythonベースのエージェントを走らせ、JPCERT/CCやその他の情報源から情報を収集、それをChatGPTに分析、整理させて、結果をTeamsなどにレポートする。CISAのKEVの情報を喰わせれば、実際に侵害された実績のある脆弱性の優先度を上げてくれる。Pythonのサンプルコードも作ってくれた。こうした内容を、私の過去の質問傾向から推定して提案してくるとは、ちょっと驚いた。これを実装したら、次のステップとして、SOCライクな仕組みも作れると言うから、思った以上に面白そうだ。ちょっと時間があるときに実際に動かしてみて、動かしながら改良していくのも良さそうだ。加えて今日は、Google Workspaceのエージェント機能を調べてみた。こちらも、クラウド上で、様々なツールを連携させるエージェントを、ほぼノーコードで作ることが出来そうだ。最近、メールの見落としが増えてきているので、返信が必要なメールを見つけて知らせてくれるようなエージェントから作ってみようかと思っている。ToDoとかと連携させるのも面白そうだ。しばらく遊べそうである。

そんなことをした後で、また歩いて、今日も目標は達成。この調子で運動量を稼いでいきたい。

夕方になってちょっと雲が多くなってきた。また天気は下り坂のようで、このところ短い周期で短期が変わっている。気温はだんだん上がって、そろそろ不在時の水抜きも不要になりそうだ。さて、車のタイヤもそろそろ替えようか・・・。季節とともに気分も変えたいところだ。

RSAコンファレンスもいよいよ最終日。今朝もちょっと寝不足気味の7時起き。あれこれしていたら、7時50分前になってしまい、朝飯を食えないことを覚悟しつつ、会場に向かう。

幸いにも8時10分頃到着で、まだ朝飯にはありつけた。そんな感じで最終日がスタートする。今日は、午前中3セッション、午後1セッションのブレークアウトの後、クロージングキーノート。朝一のセッションは、最近流行のAIによるコーディングの話。AI（LLM）はプログラミング言語も一つの言語として取り扱う。基本は、既存のコードの大量学習なのだが、品質がまちまちのコードを学習するので、アウトプットも玉石混交となる。つまりは、脆弱性も普通に含まれてしまうので、きちんとプロンプトで指示をしないと、ろくでもない結果が出てくるよ、という話である。あらかじめ、自分たちのセキュアコーディングルール等を組み込んだプロンプトを与える必要があり、たとえば、会社としてエージェントを入れる場合は、暗黙のシステムプロンプトとして、確実にこうしたルールを喰わせるようにしないといけないという話である。なるほど、今のAIはそうなのかもしれないが、もしかしたら、それも時間の問題かもしれないなと思った。プログラミング専用のAIが最新のベストプラクティスを学習してコードに反映するようなことが、普通になる日がそう遠くない時期にやってくるのかもしれない。今は、人がレビューしないといけないコードも、そのうちレビュー不要になってくるのだろう。もう少し進んで行けば、曖昧な人の指示に対してAIがより具体的な内容を要求し、仕様を自ら明確にしていくというようなことも夢ではない。そうなれば、もうソフトウエア技術者など不要になってしまいそうだ。その結果がユートピアか、ディストピアかは別として、そもそもコンピュータのプログラムを間違いだらけの人間が作っていることに問題があると私は常々思っていたので、ようやくそうした時代が見えてきたような気がする。

その後は、APT関連のマルウエアなどの話と、アウェアネストレーニングの話など。最近日本でも話題になることが多い、セキュリティ意識向上のためのトレーニングなのだが、その効果はあまりかんばしくないようだ。原因は、紋切り型のコンテンツにありそうである。対象者一人一人の状況にあわせて、適切なコンテンツを提供するようなシステム（まさに、AIの出番になりそうだが・・・）がないと、なかなか効果が上がらないという話である。いわゆる標的型メール訓練などがいい例で、結局、ある程度のレベルから向上が見られなくなってしまう。訓練の組み立て方もそうなのだが、結局、最終的には個人の資質に依存してしまうから、どうしても限界はあるのである。どこまでを教育で底上げし、どこから技術的に防御するのか、自組織の人的な面でのリスク評価をもとに、戦略を決める必要があるのだろう。戦略や戦術はその組織の状況によって変わるだろうから、教育を企画する人たちは、もっと頭を使わないといけないと言うことだろう。

そんな感じで、全日程が終わりクロージングのイベントが始まる。

最後のキーノートはXmenなどで有名な俳優のヒュー・トンプソンとのトークショーで盛り上がる。そして、午後3時過ぎにめでたく全体が終了。三々五々の解散である。今日も眠気と格闘した一日だったので、早々にホテルに引き上げて一休みすることにした。

夕方まで一眠りしたあと、午後7時から日本との打ち合わせがあり、8時過ぎに晩飯を食いに出かける。ホテルの近くにちょっと気になるイタメシ屋があり、予約しておいた。狭い店だが、ちょっとカジュアルないい感じの店である。ここで、ワイン、サラダ、パスタの晩飯。

ワインでいい感じになって、ちょっとタガが外れた結果、こんなデザートまで手を出してしまう。

帰国直後に定期診察があるので、検査結果の悪化がちょっと心配だが、しばし忘れることにする。（苦笑）とりあえず、店を出た後で、言い訳程度の歩数稼ぎ。

とりあえず、今回の主目的は完了。明日は一日フリーなので、また市街の散策でもしようかと思っている。明後日の昼の便で、ミネアポリスへ飛んで一泊、日曜の羽田行きで、日本には月曜帰国の予定である。

今朝も7時起きで、朝のサンフランシスコ。いまいち寝た気がしないのだが、とりあえず会場へ向かう。

今日も終日缶詰での聴講。最初の話は、K-12という米国の幼稚園から高校までの一貫教育プログラムの学校の多くにシステムを提供している企業が10代のハッカーによって侵害を受け、大量の個人情報を流出させたという話。独占に近い形でシステムを提供している会社のセキュリティがお粗末だとこうなるという、サードパーティーリスクの典型例として紹介された。こうした状況は学校だけでなく、中小企業や医療機関などでも見られる。小数の専業サービス事業者に多くの企業が依存しているが、そのセキュリティは意外に脆かったりする。こうした中小企業等が、事業者を見極めることはなかなか難しいから、政府や自治体等が主導して安全対策をしてほしいところだが、なかなかそれもスピード感がない。むしろ、業界で協力して対策を推進する方が速そうだという話である。

その他には、最近話題になることが多い、AIが他のシステムと連携するために使うMCPという通信プロトコルのセキュリティの話などを聞いた。いまいち、実際にどう連携するのかが見えていないので、これはもう少しMCPそのものを勉強した方がよさそうだ。

今日も、時差ぼけというか睡眠不足の影響で、昼前後から頻繁に寝落ちするようになってしまい、ちょっと難儀する。調子が戻ってきたのは、午後の2つめの講演あたり。いわゆる「ゼロトラスト」がバズワード化する中で、取組で行き詰まってしまう組織が結構多いと言う話。そもそも、そのコンセプトやアーキテクチャの基本的な指針と、ベンダ、ユーザ企業それぞれの考え方が微妙に異なり、手を着けたはいいが、コストがかかりすぎたり、運用が難しくなって行き詰まってしまうケースである。同床異夢というか、とりわけベンダが我田引水的に都合のいい解釈を打ち出してくるので、それにユーザが振り回されるケースが多い。結局、自分の組織になにが必要なのか、つまりどのようなリスクに対応しないといけないのかを正しく把握して、その上で、原則に基づいて、自分たちに適した実装を考えるというのが基本となる。取り組む主体となる組織自身が基本的な考え方を理解し、自らのリスクを把握した上で進めていく必要があるので、それなりに覚悟がいる。そうでないと、結局ベンダのいいなりにならざるを得ず、お高いソリューションを入れたあげくに運用が回らないという悲惨な結果に陥りかねないわけだ。これは、私も以前から感じていたことなのだが、今日の話をきいて、ちょっとすっきりした。

そんな感じで、今日もクロージングになる。クロージングの冒頭、ベンダ系の講演が二つあったのだが、面白かったのは、それぞれ言うことが対立していたこと。片や、状況の可視化が重要で、それにより説明責任が満たされるといい、もう一方は、可視化するだけでは不十分、実際に行動に結びつけられることが重要だというのが面白い。暗黙のルールとして、キーノート講演はソリューション色を出さないことになっているから、概念的な話になるのだが、最終的に我田引水したいので、力点の置き場所が異なってくるのである。先に書いたゼロトラストの混乱も、こうしたことが原因で起きていそうだ。

その後、ジャーナリストの対談形式の講演があったのだが、残念ながら眠気に負けてしまい、あまり覚えていない。

そんな感じで、二日目も午後5時頃に無事？終了。ホテルに帰ってシャワーを浴び、晩飯を食いにでかける。今夜は、ホテルの近くで見かけた小さな寿司屋に行った。昨夜行こうとしたら、かなり混雑していたので諦めたのだが、今日は比較的時間が早かったこともあって、入ることができた。で、こんな感じの晩飯。

味噌汁はちゃんと出汁が利いていて悪くない。寿司も悪くないのだが、ネタに比べてシャリがいまいちなのは、こちらの寿司屋の共通点だろうか。もうひとつの寿司屋に比べると、少し上の感じはするのだが、値段はこちらのほうが高いので、どっこい・・かもしれない。でも、結構流行っていて、私が食べ終わる頃には行列が出来ていた。まぁ、小さな店なのでそうなるのかもしれないが・・・。

時間が早くてまだ明るいので、酔い覚ましに周囲を一周する。帰りに薬局系のコンビニに寄って、買い物ついでに胃薬を調達。胸焼けがするので、Anti Acidの看板の下にある薬を適当に買ってきたのだが、後でよく見たら実は便秘薬だったというオチ。まぁ、昼夜逆転でお通じもいまいちなので、よしとする。（笑）

そんな感じで、サンフランシスコも既に5日目が終わってしまった。明日はRSAも最終日。明後日金曜は一日フリーなので、また市内散策でもせいようかと思っている。

今日からRSA Conferenceの本番。昨夜もいまいち熟睡できず、ちょっと睡眠不足気味で起床。とりあえず会場へ向い、用意されてた朝飯を食って一息。それからトラックセッションを2つ。最近流行のAIエージェントを組み込んだブラウザで発生しうる問題とか。ブラウザ単独では、たとえば、あるサイト（ドメイン）から別のサイト（ドメイン）に対するスクリプトなどの操作は禁止されていて、不正サイトを経由した、正規サイトへの侵害は防止されているのだが、AIエージェントはブラウザのすべてのタブやウインドウにアクセス出来るため、問題が生じる。たとえば、特定のサイトを参照して、その指示に従って、別のサイトを操作するとか、メールの指示に従って特定のサイトを操作するとかの指示をした場合、不正サイトやフィッシングメールの指示に従って、不正な動作を強要されてしまう可能性がある。ブラウザから見るとAIエージェントはユーザと同等なので、こうしたことが発生するのである。実際、現状ではユーザを騙すよりも、エージェントを騙す方が簡単なようだ。エージェント自体が、そうした攻撃に対して耐性をつけないといけないという話である。

次に聞いたのが、エストニアの電子政府などの話。IT利用の「超」先進国として名前が挙がることも多いエストニアだが、そうなるまでには、第二次大戦に遡る複雑な歴史がある。旧ソ連崩壊後に独立した後も、ロシアを含め、大国の影響下にあり、地政学に翻弄される中で、独立を確保するために選んだのが、政府の電子化なのである。インターネット上に政府を置くという革新的な試みは、今のところ大きな成功を収めている。ただ、小国ならではの小回りが利く部分も大きいようで、同じ事を別の国が（たとえば日本だが・・）がする上でのハードルは高そうだ。よく、政府の高官や政治家が視察と称してエストニアに行くのだが、こうした本質を見切れているかどうかは、かなり怪しい。

その後、全体のキーノート講演があり、これが実質的なオープニングとなる。

昼食をはさんで、午後も講演をいくつか。ランサム関連の講演では、この5年ほどの間の（企業ななどを対象とした）ランサム攻撃の被害の傾向やその対策の基本を聞く。もはや高度な標的型攻撃と化したランサム攻撃に対応するためには、守る側もかなりの覚悟が必要になる。近年大きな被害に遭った組織を見ても、そのほとんどが比較的高いレベルでセキュリティ対策を講じているわけで、それらのスキを突いた攻撃で侵害されているわけだ。実際、多くがEDRのような最新のソリューションを導入していたり、多要素認証を利用していたにもかかわらず・・・である。ただ、これらのソリューションもきちんと監視、管理しないと抜け道が生じる。実際、そうした抜け道を狙われて被害に遭っているケースがほとんどだ。最近話題になっている日本企業にしてもしかりである。「ゼロトラスト」を口実にソリューションを売り込むベンダも多いのだが、皮肉にも「ゼロトラスト」の原則に従えば、こうしたソリューションを盲信してはいけないのである。きちんと役目を果たしているかどうか、不断にチェックすることが重要だ。

今日最後のキーノート講演は、有名ベンダのトップによる講演。Splunkの講演は、あまり商業色のない内容。最近のSOCに対する考え方などだが、実際に、攻撃が高度化し、発見が難しくなっている中でSOCの重要性はこれまでに増して高まっている。しかも、攻撃側がAIなどを活用してスピードを上げている中で、それを受けて守る側も、攻撃の発見の高度化や、対応の自動化によるスピードアップが必須となってくるから、なかなか大変な時代になったなと思うのである。

今日の日程は午後5時前に終了。午後になってから時差ぼけによる眠気が酷かったので、とりあえずホテルに戻って一眠りする。

今日は夜の7時から1時間ほど、日本との打ち合わせがあり、その後、晩飯。今日は、ホテル近くの寿司屋に行こうと思ったのだが、なにやら混雑しているようだったので、先日行った和食（寿司）店に行き、寿司ではなく、ラーメンと餃子などを注文する。このお店、寿司は結構まともなので、今日はそれ以外のメニューを・・と思ったのだが、とんこつラーメンも結構うまかった。一昨日行ったラーメン屋より、だいぶマシな味である。サッポロの中瓶を2本あけて、いい感じのほろ酔い。夜になって外は少し冷えてきたが、酔い覚ましには悪くない。そんな感じで今日も終了。明日はRSAの中日である。時差ぼけが改善していることを願おう。

時差ぼけで悶々とした夜を過ごし、今朝は7時前に起床。買ってあった朝食のパンとサラダを食ってから、ホテルを後にする。今朝も快晴のサンフランシスコ。

ホテルから会場までは徒歩で20分前後。今日はRSAのプレイベントとして行われたCSA Summitに参加する。

クラウドセキュリティの団体であるCSA (Cloud Security Alliance）だが、最近はAIセキュリティに傾倒している。流石に、CSAのままではアレだと思ったのか、近々CSAIというAI専門の団体を立ち上げるらしい。ちょっと流行に流されすぎな感じもするのだが、実際、セキュリティ業界、というかIT業界全体がAIに傾いているのだから、それも仕方が無いのかもしれない。

今日の講演内容も、ほぼAI一色なのだが、冒頭のセッションはちょっと違っていた。セキュリティと言えば、「リスク」への対策が主題なのだが、組織の中で、セキュリティの施策を推し進めていくためには経営層の理解とサポートが必要である。セキュリティ対策に予算をつけて貰うためには、「リスク」ばかりを強調してもダメだ、という基本的な話である。会社のビジネス（つまりは利益の拡大）に責任を持つ経営層から見ればコストはできるだけ抑えたい。カネを使うならば、それは利益を得るための投資でないといけないから、リスクよりも、セキュリティ対策を行う事のメリット（つまりそれが利益に貢献すること）を強調しないと、予算をつけて貰えないぞ、という話である。セキュリティ対策の準備は平時に行わないといけないが、日本でも、経営層がカネを出すのは、多くの場合サイバー攻撃などで一度痛い目に遭ってからである。つまりは、経営層にとってネガティブなコストであるわけで、平時から予算を確保しようと思うと、「対策しないと、こんな怖いことが・・・」と訴えるよりは、「対策によって、競合他社に対して優位に立てることで、ビジネス機会を拡大・・」というようなストーリーが必要だ。だから、今日からのRSAでは、そう言う視点で考えて見てほしいという話である。私は、日本と違い、米国ではずっと以前からこうした考え方は普通だと思っていたのだが、敢えて、今こんな話が出てくるということは、改めて、こうしたことを言わなければいけない状況が生じてきたと言うことなのかもしれない。経営層も、セキュリティを担う人たちも代替わりし、新しい人たちが増える中で、こうした問題に突き当たる人たちが増えてきたということなのだろうか。もしかしたら、旧来からの対策がある程度一巡して、これから、たとえばAIなどに伴う新たな対策を積み上げていかなければいけないという次のステップのための再確認というような意味もあるのかもしれないなと思う。まぁ、そうだとすれば、日本の場合、周回遅れという話なのだが・・・。

さておき、AIに戻れば、その登場によってセキュリティの世界も大きく変化しつつある。こうした技術に最初に飛びつくのはダークサイドである。結果として攻撃のスピードが格段にアップするので、守る側もAIを使わないと追いつかない状況が生じる。待ったなしの対策が必要になるので、必要な予算の確保は喫緊の課題だということだ。

そういう意味では、今回のRSA全体を通じても、これは重要なテーマだろう。そんなことを考えながら聞いていたのだが、今回のCSAサミットはなんと朝の8時半から午後2時半まで休憩無しのぶっ通し。せめて昼休憩ぐらいは入れればいいと思ったのだが、ネタが多すぎて休憩時間を入れる余裕がないという事のようだ。トイレに行くのも、講演の途中に行かないといけないので、流石にこれはちょっと無茶である。おまけに時差ぼけのせいで、だんだん辛くなってくる。昼頃には頻繁に落ちるようになってしまったので、ちょっと外に出て目を覚ます。外は気持ちのいい天気なのだが、会場の東西をつなぐ通路の上でカモメやハトが日光浴をしている。あまり穏やかでない話を聞いている中では、のどかな雰囲気が癒やしだ。

そんな感じで、CSA Summitを最後まで聞いてから、ちょっと外に出たら、AI搭載のロボットのデモをやっていて、人だかりができていた。

ここに来て、ロボも鉄腕アトムに一歩近づいたわけで、昭和の頃に描いた21世紀像に少し近づいてきたようだ。

夕方は、日本から来ているお客さんと展示会場で待ち合わせて、少し会場巡りをする。

こちらも、昨年以上にAIブームである。AIという言葉のないブースを捜す方が難しい。まさに猫も杓子も・・といった感じなのだが、今の状況を考えれば当然なのかもしれない。

で、その後、少し離れたレストラン（ステーキハウス）で会食。これまで何度も行っている店なのだが、うまいステーキが食える。

で、こんなステーキを食いながら談笑。

しかし、この店、なかなかの人気で大混雑。年々、混雑が激しくなっているようで、隙間なくテーブルがおかれて、会話も難しいほどに賑やかになってしまったのは、ちょっと辛い。来年は（もう来る気でいるのだが）もう少し静かな店を選んだ方がいいかもしれない。

そんな感じで初日は終了。ユニオンスクエアの夜景を見ながらホテルに戻り、一眠りしてからこれを書いている。さて、明日からRSAの本番である。

現代の企業の多くは、様々な形で他の企業に依存している。たとえば、資源から最終製品まで一貫して製造できる企業は皆無であり、様々な部品や中間製品を、その供給元の企業に依存している。たとえば自動車では、いわゆる完成車メーカー（業界ではOEMと呼ぶ）は、部品の大部分を外部に依存していて、ある意味、組み立てを行うだけの会社である。製造業だけではない。ソフトウエアにおいても、すべてのコンポーネントを自社で開発している企業は非常に少ない。多くが、様々な商用、オープンソースのコンポーネント（部品）やフレームワークを利用して開発されている。単に、部品、原料の供給だけではない。これらや完成品の流通に関わる運送業や倉庫、卸といった企業にも、多くの企業が深く依存しているのである。

こうした繋がりが、一般に言われるサプライチェーンだ。近年、サプライチェーンに関連する問題は、様々な形で社会に影響している。たとえば、数年前、中堅の自動車部品メーカーがサイバー攻撃を受けて出荷を停止したことで、そこから部品の供給を受けている完成車メーカーが生産停止を余儀なくされた。最近では、大手の通販系企業がサイバー攻撃を受けたことで、その企業に商品の配送を委託していた複数の企業が注文を停止するなどの影響が出ている。近年、サイバー攻撃がクローズアップされるが、自然災害や事故を原因とするサプライチェーンの停止や滞留は古くから発生している。また、サプライチェーンが国際化する中で地政学的な影響も、無視出来なくなっている。直近の例を挙げれば、某国による稀少資源の輸出規制や中東での戦争による石油の価格上昇などがある。某国（笑）のT王陛下による関税騒ぎもまた、広い意味で、サプライチェーンを阻害している。

こうした問題を緩和するために、供給網の分散、冗長化などの対策が叫ばれているのだが、当然コストがかかるので、熾烈な競争に晒されている企業にとって簡単ではない。IT製品、とりわけソフトウエアに至っては、部品の供給元すら十分に把握出来ていない状況がある。製造業では、製品を構成する部品表（BOM）の管理は古くから行われている。これは、部品ひとつひとつの原価が利益に大きく影響するからである。一方、ソフトウエアの多くが、オープンソースなどの無償コンポーネントを基盤として作られており、こうした原価管理の必要が無い。従って、そもそも部品表を作って管理しようというモティベーションが働かないのである。それに加えて、物理的な部品は供給元が製造を中止すれば、新たに調達できなくなるが、ソフトウエアのコードは、いつまでも使うことができる。つまり、サプライチェーン問題をあまり意識する必要がなかったわけだ。しかし、こうした古いコードをいつまでも使っていると、思わぬ問題を生じることがある。いわゆる「脆弱性」である。企業やオープンソースコミュニティーなどが、サポートしているソフトウエア（コンポーネント）は、こうした脆弱性の修正とアップデートの提供が行われる。こうした修正版を適用している限り、脆弱性を攻撃され、侵害される可能性は低い。しかし、もはやサポートされなくなった古いコードを使い続けていたり、修正版の適用を行わなかったりすれば、最終的な製品が攻撃対象になる可能性が生じる。実際、こうした「部品」が原因で生じた脆弱性を攻撃された例は少なくないのである。しかし、サポート切れや脆弱なコンポーネントを排除しようとしても、それを使用していることがきちんと把握され、管理されていなければ不可能である。つまりソフトウエアにも部品表（SBOM）が必要になるわけだ。とりわけ重要な用途で使われるソフトウエアについては、SBOMを整備することが極めて重要となる。ただ、これも簡単ではない。最終製品で使われているコンポーネントが、複数の異なる供給元からの（サブ）コンポーネントで構成されていることが多いからである。こうした繋がりをすべて明確にすることは非常に難しい。SBOMそのものの標準的なフレームワークを確立し、すべてのサプライチェーンがそれを採用しない限りは、困難な状況が続くのではないかと危惧するのだ。

さて、こうした問題は、関係者の努力に委ねるとして、より危険な「悪意」を持ったサプライチェーンへの攻撃について考えて見よう。たとえば、部品の供給元に対して、なんらかの妨害工作を行い、供給を止めるといった攻撃は比較的容易に想像できる。それが物理的な手段であれ、サイバー攻撃であれ、供給元の業務を止めればいいからだ。しかし、より悪質な攻撃も考えられる。供給元の内部に入り込んで、その製品に影響を与える攻撃である。たとえば、特定の部品を劣化させたり、ある条件化で機能しなくなるように加工してしまうような話である。部品の加工に使用する工作機のプログラムやデータの改ざんも考えられる。たとえば、自動車の部品ならば、数年以内に、それが原因の事故が多発するといった状況が生じる可能性がある。最近の車は高度に電子化されており、多数の電子コンポーネントが使用されている。もし、これらが供給過程で不正に操作されたならば、たとえば、攻撃者の指令で、特定の車の特定の機能を動作不全にするといったことも可能になるかもしれない。ソフトウエアに至っては、さらに危険である。実際、数年前、某国のソフトウエアベンダーが侵入を受け、改ざんされたソフトウエアがオンラインアップデートを介して多数の利用者に配信され、大きな問題となった事件があった。この場合は、最終製品だったが、これが、サードパーティー製のコンポーネントだったら、事態はさらに深刻化しただろう。安全や人命、社会の基盤に関わる製品やソフトウエアについては、悪意を持って、こうした改ざんが発生する可能性に注意する必要がある。スパイ映画ではないが、企業に自ら潜入して不正を働いたり、担当者を買収、恐喝して不正な操作をさせるといったことも現実に危惧されるからだ。とりわけ、国家間の競争や紛争などに際しては、こうしたことも想定されるべきだろう。いざ紛争となった場合に備えて、平時からこうした活動が行われている可能性も否定できないからである。

攻撃の対象は、供給元だけではない。たとえば、物流、倉庫などの企業も攻撃対象になり得る。実際に、最近、中東で紛争に絡んでいる某国は、彼らが「テロリスト」と呼ぶ集団が利用している通信機器の流通過程に入り込み、機器に遠隔操作可能な爆薬を仕掛け、これにより多数の「テロリスト」を殺害している。この国の情報機関は、様々な企業等にも入り込み、日常的に情報収集を行っているという。また、これも、とあるコンファレンスで聞いた話だが、別の某国の情報機関や捜査機関は、捜査対象の組織が使用する通信機器や情報機器の流通過程で、監視のためのバックドアを仕掛けることがあるという。疑心暗鬼になる必要もないが、たとえば、国際的な紛争に巻き込まれた、もしくは巻き込まれる可能性が高い場合には、こうしたことも想定しておくべきだろう。こうした活動は平時に行われることが多い。既に、仕掛けができあがっている可能性も否定できないのだから・・・。だからどうする・・・という一般解が出せないのが辛いのだが、少なくとも安全保障に関わる人たちは、こうしたことを強く意識すべきだろうと思うのである。

またまた本業ネタなのだが、今回は最近（悪い意味で）話題に上がることが多いVPNについてである。VPN（Virtual Private Network : 仮想私設網）とは、インターネットのような公衆ネットワーク上で、専用線による直接接続に近い情報保護を実現する接続方式で、その基本は暗号技術による通信内容の秘匿と改ざん防止である。一般にインターネットVPNと呼ばれているものには、たとえば企業ネットワークの拠点間を専用線イメージで接続する拠点間VPNと、在宅勤務や出張時、社外からPC等のモバイル機器を社内ネットワークに接続するためのモバイルVPNの２種類がある。

VPNを使うことにより、情報の秘密が保証されないインターネットを使いながら、重要な情報を含む通信が行えるため、高価な専用線接続の代替として普及してきた。モバイル機器の接続は、以前は電話回線などを使用したダイヤルアップ接続が中心だったが、通信速度が低速な上に通話料金がかさむことなどから、近年はほぼすべてVPNに移行したと言っていいだろう。

安全な接続・・・とはいえ、問題がないわけではない。インターネットを使う以上、企業ネットワーク間接続やモバイル接続を行うためには、VPN装置という機器をインターネットに接続する必要がある。VPN装置を経由する通信は暗号化され安全が確保されるが、VPN装置そのものはインターネットからアクセスが可能でなければならない。つまり、その時点でインターネット側から機器が攻撃される可能性を排除出来ないことになる。たとえば、企業の拠点間など、それぞれのIPアドレス（インターネット上の番地に相当するもの）が決まっている場合は、それ以外からの通信を排除できるが、どこからでも接続する必要があるモバイルVPNの場合、その制限は難しい。しかし、VPN接続は機器にアクセスが出来れば誰でも可能な訳ではなく、認証という関門が存在する。モバイルVPNの場合は一般のサービス同様にユーザIDとパスワードが使用されることが多い。電子証明書のようなより強固な認証方式や、最近ネットサービスでもよく使われる多要素認証など、侵害されにくい認証方式も多用されるようになっている。

こうしたVPNを侵害するには、大きく二つの方法がある。入り口の関門である「認証」を破るか、VPN装置の欠陥（いわゆる「脆弱性」）を悪用して機器へのアクセスを確保するかのいずれかになる。「認証」には二種類あり、VPN接続を行う（つまり企業ネットワークに入る）ための認証と、もうひとつは機器そのものの管理機能にアクセスするための認証である。拠点間VPNでIPアドレスにより接続が制限されているケースでは、前者は困難と言える。また、管理機能へのアクセスも通常は企業内部のネットワークのみからしかアクセスを許可しないよう設定するため、困難となる。一方、モバイルVPNの場合、前者の認証にはインターネット上から誰でもアクセスが可能なため、他のインターネットサービス同様にパスワードの推測やリスト型攻撃、あるいはフィッシングによるID,パスワードの窃取など、様々なタイプの攻撃が可能になる。これを防ぐには、企業が発行する電子証明書による認証や、ワンタイムパスワードなど追加の認証方式を併用する「多要素認証」を行うのが一般的だ。これも完全ではないが、安直なパスワード設定やパスワードの漏洩に対する有効な保護策となる。後者については、拠点間VPN同様に、企業内からのみアクセスを許可することが一般的だ。脆弱性については、その内容に依存するが、基本は、それが公表された時点で早期に修正版のソフトウエアを導入することだろう。遅くとも１ヶ月以内には修正版を導入したい。（早い場合は、公表時に既に攻撃が始まっているケースもあるが、現実的に更新作業は様々な事情からある程度時間がかかるため、「遅くとも」と言っている。もちろん早いに越したことはない）

これらの対策（IPアドレスによる制限、多要素認証の導入など）は、企業でVPNを使う上での基本中の基本と言えるだろう。

さて、ここからが本題である。実は近年大きな話題になっている有名企業や医療機関などを標的とした「ランサム攻撃」（いわゆる身代金要求型のサイバー攻撃）事例の多くで、このVPN装置を経由した企業ネットワークへの侵入が切り口になっているのである。企業の中には、被害を受けた後にVPNを廃止したところもある。そんなことから、我々のギョーカイの中でも、VPN悪者論が広がりつつあるのだ。VPNにかわるソリューションを売り込もうとする向きもある。しかし、こうした侵害の多くで、先に述べたようなVPN装置の管理が適切に行われていなかった事実にはあまり触れていない。たとえば、１年以上前に明らかになっていた装置（のソフトウエア）の脆弱性を放置していたために、それを攻撃されたケースや、多要素認証を行っていなかったために、漏洩したパスワードを悪用されたケース、本来、機器の保守目的で設置していたVPN装置で、アクセス元を限定出来るにもかかわらず、それを怠っていたケースなどなど、ちょっと信じられない状況がそこにある。少なくとも、私が知る限りでは、VPNを切り口とした侵害では、こうした管理上の問題が必ず存在するのである。

特に罪深いのは、一般企業のVPN導入をサポートしたITベンダである。VPN装置などのネットワーク装置の導入から運用までをアウトソースしている一般企業、組織は少なくない。こうした企業は、顧客から見れば「プロ」なのだから、先に書いたような対策は確実に行うことが出来るはずだ。ところが・・である。実際、行っておらず、悲惨な結果を招いた事例が枚挙にいとまもないのである。いまや、ITのあらゆる分野で、「セキュリティ」は基本的な事項だ。たとえば、ネットワークの専門技術者であれば、ネットワーク関連のセキュリティ知識は不可欠な基礎知識である。侵害された機器を運用、管理していた企業は猛省すべきだ。にもかかわらず、一部ではVPNそのものが悪のように言われていることは、まことに腹立たしい。もし、そんな企業がVPNに代わるソリューションなどを売っていたとしたら、それは酷いマッチポンプだと思うのである。

もちろん、より安全で管理も容易なソリューションそのものを否定するつもりはない。だが、たとえ新しいソリューションを入れても、その管理が杜撰ならば、また同じ事が起きると思うのである。ユーザ側も、もうすこしITベンダを見る目を養った方がいいかもしれない。最低限行うべき事項が行われているかどうかをしっかりとチェックすることが重要だ。運用を「丸投げ」できても、責任は「丸投げ」できないことに気付くべきだろうと思うのである。

たまには本業にからめて、少し真面目なことも書いてみようと思い立った。最近、巷（業界界隈）で耳にすることが多い「ゼロトラスト」という言葉についてである。まず、最初に少し否定的な意見を述べるならば、少なくとも日本では、この言葉はもはやバズワードでしかないと私は考えている。

同じようにバズワード・・・というか、非常に危険な言葉として「性悪説」（のセキュリティ）が挙げられるだろう。この二つは、最近、一部のメディアなどで、重ねた形で扱われている。いわゆる「ゼロトラスト＝性悪説」論である。そもそも、セキュリティの世界に「性悪説」なる悪語がはびこるようになったきっかけは、とある大手のIT企業で内部犯行による大量の個人情報漏洩が発覚した時だと記憶している。経営者が記者会見で「これまでは【性善説】でやっていたが、これからは【性悪説】でセキュリティを考える」などと述べた以降、特に経営層の間でこの言葉が流行り始めた。そもそも、性善説や性悪説という言葉は、孟子や荀子といった中国の哲学者が言った、奥深い意味を持つ言葉なのだが、その本質を考えず、単に「人の善意を（無条件に）信じる」とか「人は本質的に悪だから信じてはいけない」といった短絡的な意味で捉えてしまっているところに問題がある。そもそも性善説は人を無条件に信じろとは言っていないし、人の善の側面を強化するための「導き」つまり教育の必要性と言ったことにも言及している。この言葉を（セキュリティなどの面で）否定的に捉えている人たちは、短絡的に「性善説」＝「善意の盲信」だと思っているようである。だいたい、会社にしろ、社会にしろ、それを構成する人の善意なしでは決して成り立たない。「善良な管理者」無しでは、多くの契約は成り立たないのも衆知の事実だ。それを根底から否定するような言葉は、百害あって一利無しだと思うのである。「悪意」は確かに存在するし、それに備えることは必要だが、それを善意の否定にすり替えてはいけないのだ。

そもそも、昔からセキュリティの世界では、信頼するためには相応の理由が必要だったはずだ。また、それが裏切られる事態も想定して、様々なベストプラクティスが作られてきた。先の経営者氏の発言は、ある意味、「性善説」＝「善意」を言い訳にして、本来あるべきセキュリティ対策が行われていなかったことを正当化（もしくは弁解）しているに過ぎないと思うのだ。だから、最近でもこの言葉を聞く度に私は血圧が上がるのである。

で、話をゼロトラストに戻そう。ゼロトラストの原則は一般に「信頼するな、常に検証せよ」（Do not trust,always verify)と言われる。この言葉が、先の性悪説の誤解と結びついて、「ゼロトラスト＝性悪説」論が出てきたのはある意味必然かもしれない。ただ、このゼロトラストの定義は、単純化されすぎている。もう少し補足するならば「暗黙に信頼せず（もしくは信頼し続けず）適切なタイミングで（再）検証せよ」ということなのだろうと思う。そもそも、これがどうして「ゼロ」トラストという言葉になってしまったのか、ちょっと恨めしく思っているのだが、さておき、これが「新しい考え方」なのかと言えば、私はそうではないと思う。そもそも、昔からセキュリティの世界では「暗黙の信頼」などと言う言葉は存在しない。相応の（検証された）理由があって、初めて信頼が成り立つはずだ。今の対策がもし、そうでなかったとしたら、それは単なる「手抜き」に過ぎないと思うのである。そういう意味で（少なくともバズワード化してしまった）ゼロトラスト論は、「なにを今更・・」と切って捨てたくなるのだ。

さておき、その一方で、ゼロトラストに関しては世界的に様々な取組がある。米国の政府系機関からも、関連して様々なドキュメントが出されている。そこには少なくともバズワードとしての「ゼロトラスト」とは違う「本質」が存在するはずだ。そう思って、いくつかの文書を紐解いてみた。

NIST SP800-207（Zero Trust Architecture）では、ゼロトラストを以下のように定義している。

ゼロトラストは、侵害されたと見なされるネットワーク環境下において、情報システムおよびサービスに対する正確かつ最小権限の要求単位アクセス決定を適用する際の不確実性を最小化するために設計された一連の概念と考え方を提供する。

この定義は、かなり技術的なものだ。ポイントは「侵害されたと見なされるネットワーク環境下」という言葉である。つまり、直接的に脅威に晒されているネットワーク環境、たとえばインターネットは言うに及ばず、既に侵入されてしまった内部ネットワークなどを前提とした対策の考え方だということになる。巷で言われる「ファイアウォールは死んだ」（内部ネットワークも安全ではない）というのは、マルウエアや脆弱性など様々な切り口での「侵入成功」を仮定して、セキュリティ対策を考えるゼロトラストの一面を（過度に？）強調したものだと言える。一方で、これは、ゼロトラスト以前によく言われてきた「事故前提」のセキュリティ対策にも通ずるところがある。こうした事故（侵入成功）前提でのセキュリティ対策は、たとえばCSF（Cyber Security Framework）における、「発見」「対処」フェーズに重点を置かざるを得ないものになる。一旦侵入されてしまえば、「早期発見」「早期対処」「拡大防止」が特に重要となる。一方で、予防対策も既に侵害が発生した前提で、ネットワーク上での不正な活動や横展開を防止する目的で再構成されなければならない。これらを確実かつ迅速に行うことを目的として「ゼロトラストアーキテクチャ」は考えられなければいけない。SP800-207では、ゼロトラストの実装について、以下の「7つの原理」を挙げている。

1. すべてのデータソースとコンピューティングサービスはリソースと見なされる。

2. ネットワーク上の位置に関係なく、すべての通信は保護される。

3. 個々の企業リソースへのアクセスはセッション単位で許可される。

4. リソースへのアクセスは動的ポリシーによって決定される。

5. 企業は所有および関連するすべての資産の完全性とセキュリティ態勢を監視・測定する。

6. すべてのリソース認証と認可は動的に行われ、アクセス許可前に厳格に実施される。

7. 企業は資産、ネットワークインフラ、通信の現状に関する可能な限りの情報を収集し、セキュリティ態勢の改善に活用する。

これらの「原理」は、すべて、これまで行われてきた様々なセキュリティ対策に対して、脅威や状況の変化に対しての迅速な対応（変化、再構成）を求めているのだと私は思う。基本的な対策の道具立ては大きく変わらない。だが、（既に侵害が発生し）変化している状況を早期に発見し、それに対して迅速に対応し、必要に応じてポリシーの見直し等を行う事が求められるのである。

一方、こうしたゼロトラストアーキテクチャの導入には様々な課題がある。既存の組織が導入するには多くの障害があり、段階的な導入がかかせない。ゼロトラストは特定のソリューション導入では完結しない。むしろ、特定のソリューションに依存しすぎず、必要があれば、より良いソリューションに置き換えることを前提に、それを容易に実現出来るアーキテクチャの確立というのが完成形なのだと私は考える。状況に変化があり、対応する必要が生じた時に、それに適するソリューションがあった場合に、それを（セキュリティシステム全体への影響を最小限にして）速やかに導入できるような（少なくとも技術的な）枠組みを考えておくことこそ重要なのだろうと思うのである。

CISAのZerotrust Maturity Modelでは、ゼロトラストを考えるために、セキュリティ対策を5つの柱に分類している。

ゼロトラスト：5つの柱
・アイデンティティ
・デバイス
・ネットワーク
・アプリケーションとワークロード
・データ

これらのそれぞれについて、以下の4段階の成熟度が定義されている。

ゼロトラスト成熟度
レベル1．従来型セキュリティ
レベル2．ZT初期実装
レベル3．ZT高度実装
レベル4．最適化されたZT実装

見るとわかるように、従来型の（脅威の変化に余り融通がきかない）セキュリティから、段階的にゼロトラストに移行していく道筋が示されている。レベル4の「最適化された」とは、脅威の変化に対して最も迅速に対応出来る、ゼロトラストの完成形である。このドキュメントでは、それぞれの柱ごとに、各成熟度の段階での実装指針が示されているのだが、成熟度が上がるにつれて、「動的」「自動化」「統合」といった言葉が増え、変化への追従速度や「発見」から「対処」の自動化による迅速化などが要求される。

こうした文書から見えてくるのは、ゼロトラストが、「変化していく脅威への追従速度」を重視しているということだ。たとえば、認証といった切り口では、認証を通過したユーザの挙動をモニタリングし、ハイリスクな挙動があれば、その時点で再認証や追加認証を要求するというようなやり方である。私はこれが「ゼロトラスト」の本質だろうと思っている。たとえば、マルウエア対策の切り口では、ウイルス対策ソフトを入り口の関門として、それを通過した後も挙動をモニタし、不審な動きがあれば検知し、必要があれば自動的にブロック、無害化出来るEDRのようなソリューションが、その道具立てになる。一方で、こうしたソリューションは単なる道具に過ぎない。セキュリティ対策、とりわけソリューションの導入にはコストがかかる。現実問題として、最適なソリューションを入れられないことも少なくない。だが、こうしたゼロトラストの本質を認識し、たとえば、既存の枠組みの中でポリシー変更等によって次善の策を講じることも可能だろう。また適切なリスク評価のもとで、ハイリスクの部分により多くのリソースや資金を配分するというリスクベースの考え方は、ゼロトラストの実装において特に重要となると私は考えるのである。

昨年、とある海外コンファレンスで、ハワイにある医療NPOが、限られた資金のもとで、ゼロトラストを実装した経験を聞いた。行われた実装は、まさにゼロトラストの本質を捉えたものだった。ゼロトラストとは、脅威や状況の変化に対して組織のセキュリティを柔軟かつ迅速に対応させる（セキュリティのアジリティー向上の）ための考え方である。これが、私の出した結論だ。

昨日、今日と引き続きISC2 Security Congress 2025に参加。昨日は不覚にも朝寝坊して朝食とキーノートをミスるという失態。目覚ましをかけ忘れたのが失敗。仕方が無いので、シャワーを浴びてから、次のセッションへ向かう。

午前の最初のブレークアウトは、ランサムウエアのインシデント対応の話。参加者に対処を尋ねながら進めるという方法は私が某セミナーでやったのと似ている。ただ、前提となるランサムウエアは従来型の暗号化だけを行うタイプで横展開もなし。感染経路がメールという設定。これは、ちょっと物足りない。よくある二重恐喝型で、VPNサーバ経由とか、ADを介して横展開するとかの設定がほしかった。午前の二つ目はAIを使った攻撃に対してゼロトラストの考え方で対処するという話。サイバーキルチェーンの各ステップにおけるAIの使われ方のパターンに対してゼロトラストを基本とした対策がどのように効果をもたらすかという流れでの話だが、これは1時間ではなかなか難しい。守る側もAIを上手く使わないと追いつかないよ、という話なのだがもう少し具体論が欲しかった。

で、昼飯を喰い、午後のタウンホールをパスして部屋で寝ていたら、また熟睡してしまう。結局、その日の午後のセッションは最後のひとつを途中から聞いただけ。CPE的にはゼロになってしまったのがもったいない。午後の最後のセッションは無線系の攻撃に関するもの。最近、この種のセッションは減っているのだが、スピーカーがそっち系のベンダーな人だったこともあって、いくつかの典型的な攻撃手法を紹介してくれた。興味深かったのは、クレデンシャルを盗めても表玄関は多要素認証で守られているので、隣のビルから無線LANにアクセスして内部から攻めるという手法。無線LANの認証が同じクレデンシャルだったらアウトである。そこは、証明書などでデバイスを縛ってほしいところだが、そうした実装ができていない組織も少なくない。他にも、ドローンに偽APを積んで飛ばすとか、普通に出来そうだから怖い。無線系のセキュリティはもう一度、ゼロトラストベースで見直すべきだろう。

夜は展示会場でレセプション。晩飯代を浮かす。（笑）いや、このところ円安が酷いので晩飯代もバカにならないのである。

で、今朝は同じ轍を踏まぬように目覚ましをかけて寝たのだが、夜中にちょっといやな夢を見て、結局、目覚ましの前に起床。とりあえず会場で朝飯を食う。

今日が最終日。今夜はダウンタウンに移動するので、朝のうちにチェックアウトし荷物をクロークに預けてから午前中の講演を聴く。

朝のキーノートは元ワシントンポスト紙の記者で調査ジャーナリストな人の講演。ジャーナリストとして見てきた様々な事件を引き合いに出しながら、AIの登場が今後そうした攻撃、インシデントをどのように変えていくだろうかという話。内容が盛りだくさんでちょっとついていくのが大変だったので、後で録画でも見て、もう一度おさらいしたいところだ。（ハイブリッド開催なので、後で録画が公開されることを期待しよう。）午前中にブレークアウトセッションが二つあり、それで閉会となる。最初のセッションは、APT関連。最近のAPT（つまり、どこかの国の政府の息がかかったハッカー集団）の動向や使われる技術について簡潔にまとめてくれていた。対策の切り口も述べられていたが、要するに手強い相手には臨機応変かつ階層的に対処せよ・・ということにほかならないような気がした。（苦笑）少なくとも弱点があれば必ず狙われるから、どうやって弱点、つまりAttack Surfaceを小さくするかを考え、加えて抜けてきた攻撃をどのように見つけて対処するかということなのだが、これも一筋縄ではいかない。攻撃に要する時間もどんどん短くなっているので、対処もリアルタイムで行わないと間に合わない。AIを応用したソリューションは有望だが、それをうまく使いこなす技量が必要だろう。相手に応じたシナリオを用意して、演習を繰り返すしかなさそうだ。

最後のセッションは、ハワイのNPO法人が少ないリソースと予算で、どのようにゼロトラストを実装したかという話。これは非常に興味深い。日本では「ゼロトラスト」が完全にバズワード化していて、「ゼロトラスト」＝「お高いソリューションの導入」みたいになってしまっているのだけど、本来「ゼロトラスト」はセキュリティの戦略であって製品やソリューションはその助けにしかならない。逆に、そうしたソリューションなしでも、ゼロトラストをベースにしたセキュリティは構築できる。徹底したクラウド化（オンプレのサーバ廃止）で運用を簡素化しつつ、要所要所で必要なセキュリティを構築するという非常に興味深い話だった。

そんな感じでイベントは終了。ダウンタウンのホテルのチェックインまで時間があるので、しばらく歩いたり、ロビーで座ったりして時間を潰す。午後2時半にUberでダウンタウンのホテルへ。幸い部屋に入れたので、ちょっと昼寝して、日が傾いた頃に街に出てみた。

前回来た時は風邪をこじらせて殆ど出歩けなかったので、とりあえず晩飯の場所を探しながら、メインストリートであるブロードウェイを歩いてみた。通り沿いは店から聞こえるバンドの音楽で溢れている。まさに、アメリカンな雰囲気。ニューオーリンズなどとはまた違った空気である。店もカジュアルな感じが多く、食い物も結構ジャンクな感じである。なかなかいい感じの店がなくてしばらく歩き回る。空にはこんな感じの半月。

ここで落ち着いた感じの店を探すのは難しそうなので、とりあえず、あまり騒がしくなさそうな店を探すことにする。

結局、バンドのライブがない店を探して入り、こんなものを喰う。いやはや、まさにアメリカンなジャンクフードである。

本当はステーキとか喰いたかったのだけど、残念ながら選択肢は限られていて、結果、これが一番マシなチョイスだった次第。流石に全部は食い切れず、ポテトは大半を残す事になった。まぁ、それもアメリカである。しかし、今頃になってちょっと胸焼けしている。明日はもうちょっとマシな食い物が食える店を探そう。

日が暮れると一気に気温が下がる。どちらかというと南寄りの地域なのだが、この時間で気温は10℃。昼間も20℃を切っていたから上着がないと寒い。とりあえずフリースを一枚羽織ってどうにか・・という感じである。一昨年みたいに風邪をひくと最悪なので気をつけよう。

そんな感じで明日は一日フリー。天気も良さそうなので、少しナッシュビルを散策してみようと思っている。

昨夜は11時半過ぎにホテルに到着。即沈没して一夜明け・・・。今日からISC2 Security Congress 2025に参加である。会場は一昨年と同じホテル。中に大きなアトリウムがある。時期的にはまったく同じなのだけれど、今回は気が早いクリスマスの飾り付け。前回は時期的にハロウィーンモードだったのだが、なぜだろうか。

こちらが会場のコンベンションセンター。とりあえず、早朝にバッジをピックアップして、会場で朝食。一度部屋に戻って8時前に再度会場へ向かい、オープニングと最初のキーノートを聴く。

スピーカーはGoogleな人。Googleの巨大かつ複雑なシステムのセキュリティをどのように維持しているかという話。創業時から屋上屋を重ねるように拡大したシステムのバラバラなセキュリティを統合した苦労話など。そのキーワードは「工業化」。すべてのネットワーク、システム基盤、アプリケーションについて、必要なセキュリティ要素を規格化（部品化）して、機械的に組み込む事で、システムが巨大化しても追随できるセキュリティを実現したとか。そうすることで、最新のセキュリティをシステムを大変更することなく導入できるようにもなったと言う。しかし、言うは易しで、そうした根本的な発想の転換はGoogleだから出来たような気もする。工業化という言葉は、前世紀に某通産省が唱えて大失敗した「ソフトウエアの工業化」を思い出させるのだが、重要な部分をコンポーネント化しつつ、上物も含めて常に最新の技術を取り込んで行くスピード（アジリティー）をさらに上げようという発想は当時は全くなかった話だ。アジリティーを損なわず、かつスケーラブルなセキュリティを実現する、というある意味理想的な形だから、本当にそうなっているのだとしたら、その発想と実現した技術力を賞賛すべきだろう。

そこから、午前中にブレークアウトセッションをふたつ。ランサム攻撃のような会社を揺るがすインシデント対応に何故失敗するのか、という話とか、SOCのあり方を考え直す話とか。会社の業務が止まってしまうようなワーストケースのシナリオを前提にきちんと机上演習をやって問題点を洗い出せ・・・という話なのだが、それもセキュリティ部門だけでなく、全社的な枠組みでやらないと意味が無い。実際、そうした事態でセキュリティ部門ができることなんか、ごく僅かだ。全社を挙げて対処する練習をしておかないと、重大なインシデントに直面した際に身動きが取れなくなる。しかし、そもそも縦割りのきつい会社には難しい。旧態依然たる日本の大企業には特に難しいのだが、このところ頻発しているランサムによる業務停止が長引く原因はまさにそのあたりにあるから、そろそろ皆気がついてもよさそうなところだが・・・。「うちは大丈夫」なんて言える会社はないのだから、万一の場合に備えて全社対応の演習を、トップダウンで考えるべき時代なのだろうと思う。そういう事態を想像できない（したくない）経営者にはそろそろご退場願いたいところである。

昼飯を挟んで午後もいくつかのセッションを聴いたのだが、次第に眠気がきつくなってくる。昼休みと、午後の展示会見学時間は部屋に戻って仮眠する。会場から部屋までそこそこ距離があるので、今日はそれだけで軽く1万歩を越えた。（笑）夕方は、ナッシュビルのダウンタウンで交流イベントがあったのだが、夜に日本との打ち合わせがあったのでパスしてホテルで晩飯。

日が暮れたアトリウムはイルミネーションが綺麗だ。晩飯はとりあえず肉。（笑）

で、部屋に戻って1時間ほど日本とリモート会議。例によってどこに居ようが関係ない。（苦笑）こちらの午後9時は日本の午前11時（翌日）である。流石に、午後の打ち合わせはきついので、午前中にリスケして貰った。そんな感じのナッシュビル初日（昨日はノーカンで）、明日も引き続きコンファレンス参加である。

BH2日目は、また朝のキーノートから始まる。会場のアリーナは、こんな感じでちょっと不気味な雰囲気。大音響の音楽がかかっていて、なんとなく落ち着かない。

昨日の混雑に嫌気して、今日はホテルで朝食をとってから会場へ向かった。しかし、今日の混雑はそれほどではなく、私と同じ事を考えた人も多かったのかもしれない。

キーノートはどこかで見た人・・と思ったら、昨年秋のISC2 Congressでも喋っていた、元NY Times記者の女性。メディアという、外側の世界から見たサイバー攻撃の変遷の話も、昨年とよく似た内容だった。同じラスベガスなのでちょっとデジャブである。

二日目は、物理系のインパクトがある話をいくつか。一つはEVチャージャーで火災を起こすというコンセプト実証の話。EVチャージャーにはリモコン機能があるものが多く、こうした機能など（の脆弱性）を経由してコントローラのCPUを乗っ取られた場合、火災を起こすことが出来るかどうか、という実証をした話である。ただ、これはコントローラそのものを乗っ取ったのではなく、本来ソフトウエアでコントロールされる制御信号に物理的に異常な信号を与えて、その結果、過電流による火災を生じるかどうかという実験を複数のメーカーのコントローラに対して行ったものである。充電の電流制御は、パルス状の電流の幅を変えることで行っていて、このパルスを作る元になる信号をCPUが発生させている。この信号に細工してパルス幅が100％、つまり電流が流れっぱなしの状況をつくってどうなるかを検証するという実験なのだが、ほぼすべてのメーカーの機種で、充電機と車を繋ぐケーブルが発火した。中には充電コントローラ本体が発火したものもあって、火災を起こすことができるということが実証された形だ。実際にコントローラを乗っ取れるかどうかは脆弱性次第だが、もしそれが出来れば外部から火災を発生させることが出来るということである。問題は、電流制御をソフトウエアのみに頼っていて、電気的に過電流を防ぐ回路が組み込まれていないという点である。コストを下げるためだろうが、こうした物理的な制御をソフトウエアで行う場合、ソフトウエアの異常で事故が発生することを防ぐ物理的な仕掛けが必要なのである。ちなみに、うちの車もオプションでWiFi経由のリモコンを装着できるのだが、そうした不安もあって、取り付けていない。今回の実験対象はサードパーティー製の充電コントローラなのだが、自動車メーカーの純正品にはこうした問題がないことを祈りたい。

もう一つは、車のECUの誤動作を検証する話。車にはECUと呼ばれるマイコンユニットが複数組み込まれている。多いものでは100個単位で組み込まれていて、車内ネットワーク（CAN)で通信、連携しながら動いている。たとえば、窓の開け閉めからブレーキ、パワステ、エンジンとあらゆる機構の制御にそれぞれ専用のECUがある。特に、車の重要な制御に係るECUが誤動作すると致命的な影響を与えかねない上に、車にはエンジンを始め、様々なノイズ源があって、ECUにとっては厳しい環境である。ECUは、自動車メーカー本体（いわゆるOEM）ではなく、電装品メーカーが作っていることが多いのだが、多くのECUでは、様々なノイズや電磁波、宇宙線といった外的要因で誤動作が起きるのを防ぐために、複数のCPUコアで同じ計算を時間差で行い、それを比較するというような安全策が講じられている。実験は、電源を瞬間的に断続する（グリッチを発生させる）ことで、この仕組みに影響を与えることができるかどうかを試すというものである。影響を与えることができれば、たとえば条件分岐などの処理に対して異常を発生させることができる。ECUモジュールにはデバッグ用の回路が組み込まれているが、通常はパスコードでロックされている。実験は、複数のメーカーのECUに対してランダムなパスコードを与えながら、そのタイミングでグリッチを発生させ、デバッグモードに落とすことができるかどうかを試すという内容である。デバッグモードに落とすことが出来れば、ファームウエアの書き換えといったことが可能になり、ECUを物理的に侵害できる。結果は多くのECUモジュールで数時間～数日程度の間にデバッグモードに落とすことが出来たという。これが出来ると、悪意を持って改ざんされたファームエアを車に組み込んで、様々なことが可能になる。たとえば、要人の車に不正なファームウエアを仕掛けて事故を発生させるといったスパイ映画まがいのことも可能になるかもしれない。ただちに一般市民の安全に直結しないまでも、自動車メーカーやECUのメーカーは対処すべき問題だろう。

それ以外には、携帯電話ネットワークに接続されたIoT機器を物理的に乗っ取って、攻撃の踏み台として悪用する話とか、様々な（クラウド）アプリケーションが行う通信の特徴をAIに学習させ、正常な通信を偽装したマルウエアの通信などを検出するといった話などを聞いた。

最後にクロージングのパネルがあったのだが、なんとなく雑談っぽい感じだったので途中で抜けてホテルに戻った。疲れたので少し横になってから、日本とのリモート会議を1時間ほどやって、その後飯を食いに外に出る。

さて、どこへ行こうと考えたあげくに、バスに乗って少し北の方にある、以前行ったことがある寿司屋に行くことにした。

しかし、行って見たら、もう閉めるところだと言う。時間的にはまだ午後9時前。不夜城のベガスにしては早すぎる。仕方が無いので同じモールにあるイタメシ屋でこんなものを喰う。

これは、結構うまかった。しかし、寿司を食えなかったのは残念。この寿司屋は、まともな和食を出すので気に入っていた。寿司だけでなく、天ぷらなどもからっと上がっていてなかなかいい。しかし、そんな早い時間に閉めてしまうとは、客が減っているのだろうか。聞けば、この国の現「国王陛下」のめちゃくちゃで、反感を持った国外からの観光客が激減しているとのこと。あるメディアは「閑古鳥」などと表現していたが、それはメディア流の「大袈裟」としても、たしかに以前に比べて人が減っている感じはする。ネバダはたしか、紅組が勝った州なのだが、思わぬしっぺ返しを食った形である。

そんなことを考えながら宿に戻る。さておき、今夜は満月のよう。いい感じの月が空にかかっている。まだ時間的には10時前だが、たしかに人が少ない感じがして、ちょっと寂しい。

さて、今回の主目的は今日で終了。明日、明後日はちょっと遊ぶつもりである。

今日は朝からBlack Hatに参加。8時過ぎにホテルを出て、会場のマンダレイ・ベイホテルまで歩く。会場に着いたら入り口で長蛇の列につかまる。キーノート会場に入る前の朝食待ちである。こんなことなら、先に飯を食ってくるんだったと思いつつ、コンチネンタルな朝食をゲットしてキーノート会場のアリーナへ。会場はほぼ満席。久しぶりに参加したBHだが、やはり人気は高い。初日のキーノートはMicco Hypponen氏。話はマルウエアの歴史。私のような年寄りには懐かしい話である。しかし、会場にいる人たちで、こうした話をリアルで知っている人は何人いるのだろう・・と少し遠い目になる。

キーノートの後、最初に聞いたのは、Windowsのイベントログの仕組みに介入してEDRを回避する話。WindowsにはETW（Event Tracing for Windows）という仕組みがあって、これを介して、アプリケーションがリアルタイムにイベントログを生成、取得できる。最近のEDRなどイベントログ監視を行うアプリケーションの多くがこの仕組みを使っているらしい。カーネルレベルで直接コードを組み込むよりも安定性に優れ、パフォーマンスも確保出来るということなのだが、これに、色々と問題があって、ゴニョゴニョすると、EDRなどイベントを読み込むシステムに悪影響を与えることが出来ると言う話である。問題のいくつかは既にマイクロソフトによって修正されているようだが、依然としていくつか悪用可能な問題が残っているという。悪用はさておき、ETWそのものは面白そうなので、そのうち時間をとって遊んでみようと思う。

次に聞いたのがApple AirPlayの脆弱性に対する攻撃の話。AirPlayそのものだけでなく、デバイスをAirPlayに対応させるためのSDKにも問題があり、それを悪用してサードパーティーのデバイスを攻撃するといった話である。スマートスピーカーの攻撃デモを見せてくれたのだが、こうした脆弱なデバイスが更新されないままに使われている状況はちょっと寒い。いわゆるIoTの世界では、ファームウエアのアップデートが難しいデバイスがまだ多く存在する。機器のメーカーからすれば、逆にサードパーティーであるAppleから提供されたSDKに脆弱性があるという、いわばサプライチェーン問題になるわけだから、さらに問題は複雑だろう。様々なデバイスが繋がる時代にあって、脆弱性対策の難しさを実感させられる内容である。

昼食の後、眠気がきつくなってきたので、一旦ホテルに戻り、午後の最初のセッションをパスして昼寝する。それから会場に戻って聞いたのが、フィッシングメール訓練の有効性検証の話。端的に言えば、メール訓練はほとんど効果が無いから、もっと違うところに金を使おうという結論。いわく、誰も科学的に効果を検証しないままに、訓練が広く行われるようになっている点が問題だとのこと。実際、訓練（に加えて、関連する教育）を受けた人とそうでない人の差は僅か1.7%に留まると言うから、これが事実ならば、やり方を見直す必要がありそうだ。ちょっと極論に聞こえるのだが、論文もあるようなので、一度ゆっくり読んでみようと思う。たしかに、猫も杓子も「メール訓練」に走っている現状はちょっと問題かもしれない。効果測定もそうだが、使うメールの難易度設定や、啓発のための教育プログラムの選択が十分慎重に行われているとは言いがたい。詐欺と同じで、プロを相手に素人が対抗するにも限界がある。もちろん、手口を学習することで、ある程度耐性はつくが、それもあるレベルまでで、それ以上のレベルを一般のユーザに求めてはいけないだろうと思うのである。訓練は無意味とまでは言わないが、限界があることは間違いない。その限界を見極めつつ、限界を超えた攻撃に（組織として）どう対処するのかを合わせて考えることが重要なのだろうと思うのである。

もう一つ興味深かったのは、Googleの人たちが、フォレンジックにAIを使う話をしていたこと。Sec-Geminiというセキュリティに特化したAIを使い、GCPのディスクイメージからツールを使って抽出したアーティファクトを分析させるという話である。こうした作業は大量のログやデータと格闘することになるのだが、そこにAIを上手く使えれば、技術者の負担を大きく軽減できる。実際、彼らの実験では、ある程度分析の方向性を与えてやることで、エキスパートの作業と遜色ない結果を得られるとのことである。さらに興味深いのは、細かな方向性を示さなくても、かなりいい結果を出してくれるとのこと。しかも、これらの作業をさせるための費用（利用料）は極めて安いという話だから、実用化が待ち遠しい。現在テスト段階で、テスターも募集中とのことである。ちなみに、Geminiは日本語読みだとジェミニになるが、英語（米語）読みだとジェミナイとなるようである。

最後にもうひとつ、某東方大陸国家によるファイアウォール攻撃キャンペーンの話を聞いたのだが、ちょっと眠気がきつくなって落ちてしまった。後で資料を読んで復習しておこう。

そんな感じで初日は終了。一旦ホテルに戻って一休み。

休憩時間とかに中途半端にあれこれ喰ってしまったので、あまり腹も減っていないのだが、飯を食わないと夜中に腹が減っても辛いので、とりあえず食いに出ることにする。

結局、「軽い物」という選択肢で行く店は決まってしまい、いつものBubba Gumpでいつものサラダなどを喰うことになった。

サラダと言ってもアメリカンサイズなので、これもちょっと食い過ぎである。腹ごなしがてら、ぼちぼち歩いてホテルに戻る。

ホテルに戻った時点で今日の歩数は1万9千歩あまり。ちょっと歩きすぎである。カロリー消費よりも腰痛悪化などのリスクがあるので、歩きすぎには注意しないといけない。（苦笑）

そんな感じのBH初日。とりあえずホテルのカジノで「ツキの女神様」に少しお布施をしてから部屋に戻ってこれを書いている。明日もまた終日BH聴講の予定だ。

とりあえずの横浜復帰。こんな「お山」も久しぶり。

とりあえず、早起き、朝方パターンは続いていて、朝の散歩も朝食を挟んで2回のパターン。雨さえ降っていなければ・・・の日和見ではあるのだけれど・・。そう言えば、近所の「お猫さん」像が、メイド服姿になっている。このパターンは初めて。（笑）

で、今回、月曜日に戻ってきて、水曜日はCSAジャパンのイベントに久しぶりのリアル参加。そして、木曜から南紀白浜へ飛ぶ。まずは、羽田へ。横着して車で行くつもりだったのだが、駐車場が満車っぽいので、急遽、電車で行くことにする。とりあえず駅までで一汗。

羽田は年に一回、白浜イベントでしか来ない第1ターミナル。当然ながら赤色の航空会社的にはド平民な私なので、航空会社のラウンジには入れず、カード会社のラウンジでお茶を濁す。

去年は参加出来なかったので二年ぶりのイベント。朝一の便は4時起きしないといけないから、寝坊して乗り過ごす危険があるので、昼前の2便。例年なら、この便も某イベント関係者でほぼ埋まる。万一何かあったら、日本のサイバーセキュリティへのダメージは計り知れない・・という便なのだが、今年は半分くらいが一般の観光客。理由は簡単で、近々中国に帰ってしまうパンダを一目見ようという人たちが殺到しているからである。あおりで飛行機が取れなかった関係者も少なくなかったようだ。まぁ、本来、この便にスーツを着た人が多数乗っていることのほうが不思議なリゾート路線なのである。ということで、とりあえず無事に白浜入りして3日間のイベント参加である。何度も来ていると、昼間の講演よりは夜のイベントの方が楽しくなる、通称「温泉シンポジウム」。初日は夜のウエルカムレセプションのあと、こんな夕景（夜景）を見ながら宿に帰る。時間はもう午後8時近いのだが、まだうっすらと空が明るい

翌2日目は朝から快晴。とりあえず、6時起きで一風呂浴びてから、朝食を食い、腹ごなしに海辺を散歩する。

で、こちらがイベント会場。

今回は「アイデンティティ」がテーマ。いや、なんとなくテーマが抽象的すぎていまいちピンとこない。正直言うと、結局全体として何が言いたかったのか、いまいちピンとこなかった。「デジタル」でのアイデンティティというとIDとパスワードなどを思い浮かべがちだが、そうではなく、利用者を特定可能な「属性」の集合であるという話。ただ、これも抽象的で、いまいちとらえどころがない。結局の所、ID/パスワードはもうそろそろやめて、違う本人確認（認証）方式を・・・ということに帰結されそうなのだが、概念を広げ過ぎてピンボケになってしまっている印象がある。そういう意味で、なんとなく消化不良感が残った。

一方で街はというと、パンダ一色である。パンダ目当てで大量の観光客が押し寄せて賑やかだ。昨日の午後でイベントは終了し、多くの参加者は昨日のうちに帰ってしまったのだが、昨日の夕方の飛行機が取れなかった私はもう一泊して、今日の昼過ぎの便で帰ることに。とりあえず、今朝も6時起きして朝風呂、朝飯。

朝飯はバイキングなのだが、カレーがあったのでついつい喰ってしまうなど。結果的にちょっと食い過ぎ。それから、こんなものを土産に調達。さすがに混雑の中、実物を見に行く根性はなかったので。

で、腹ごなしにまた浜辺を散歩。道沿いにはそろそろ紫陽花が花をつけ始めている。

日曜とあって、浜辺には結構人が出ている。少し風があるので、白波が砕けている。

人が多いと思ったら、今日は飛行機のアクロバット飛行があるらしい。なので、10時にホテルをチェックアウトしてから、また浜辺に出て、11時の開始を待つ。

飛行機は一機だけで、15分くらいで終わったので、ちょっと物足りない感じだったが、とりあえず話のネタにはなる。まだ時間があったので、バスで少し離れた「三段壁」へ。

そこから、さらにバスで空港へ。空港行きバスがこの三段壁経由なので、ここで待って乗ったのだが、時刻表上は三段壁行きの一部が空港まで行く形になっていて、三段壁から空港までの料金は350円ほどと書かれていたのだが、乗ったバスは何やら空港行き専用っぽい感じ。で、料金も700円取られた。なんとなく欺された感じなのだが、もしかしたら乗るバスを間違えたのかもしれない。とりあえず、12時半頃に空港到着。飛行機の到着を待つ。

とりあえず飛行機は定刻出発。和歌山の海岸線を眼下に一路、羽田へ。

フライトは特に大きな問題無く、小一時間でこんな景色を見ながら羽田に到着。空域混雑の影響で、外房方面に大回りさせられた結果、到着は15分ほど遅れたが、急ぐ旅でもなく問題なし。着陸は22。混雑と視界不良のためか、都内に入り込んだ形での長めのアプリローチ。

とりあえず無事に羽田到着。

そんな感じで、帰りも羽田から京急。帰宅したのは午後４時過ぎである。荷物を背負って歩き回ったので結構疲れた。腹が減ったので勢いで晩飯を食い過ぎてしまい、ちょっと胃がもたれている。これをやるから・・・・と、まぁ、今日は言うまい。明日からまた節制しよう。

連日20℃越えの今週。月曜はちょっとぐずついた天気だったが、昨日は気持ちのいい快晴。

昨日は少し寝坊したが、それでも７時過ぎに起床。このところ早起きモードなので、朝飯前と朝飯後にそれぞれ散歩をしている。朝飯前の散歩は、朝食の野菜煮込みを作っている時間つぶし、朝食後の散歩は食後血糖値を抑える（苦笑）ためである。

浅間山の雪もほとんど消えた。

青空の下の散歩は、やはり気持ちがいい。おのずと歩数も伸びる。昨日は食後の散歩までで6000歩、今日は7000歩を超えた。

昨日に比べて今日は少し薄雲がかかっているが、日差しは届いて暖かい。これを書いている昼前の段階で気温も18℃を越えている。

ところで、これを書く前にちょっと貴重な体験（苦笑）をした。このブログに画像ファイルを一括でアップロードするため、WinSCPというオープンソースのツールを使っている。今日は起動した際にアップデート通知が出たので、クリックしてダウンロードサイトに飛んだ。オープンソースのツールなので、維持するために寄付を募っているのだが、寄付する人は小数のようで、サイトには広告がベタベタ貼られていて、それを収入源にしているようだ。広告はランダムに表示されるのだが、今日の広告はちょっと紛らわしい奴で、「続行するにはこちら」というボタンがついている。実は、クリックしなくてもダウンロードができるのだが、ついついクリックしてしまうと、広告主のサイトに飛ばされることになる。で、今日はその結果として画面がロックされ、でかでかと警告表示とメッセージ音声がでて、「ウイルス感染しているので、ただちにサポートに連絡を」となった。これは、典型的なサポート詐欺サイトである。実際にウイルス感染などはしておらず、ブラウザを操作してPCがロックしたように見せているだけなのだが、知らない人だと焦って書かれている先に電話してしまい、詐欺に遭うことになる。PCを再起動してしまうのが最も手っ取り早い（メッセージではデータが壊れるので絶対再起動するなと言うのだが、大嘘である。ただ、例えば作業途中の文書ファイルやブラウザ以外に開いているアプリケーションがある場合は、作業中のデータが失われてしまう可能性があるので注意が必要だ）。ブラウザはフルスクリーンモードになっているので、エスケープキーで通常のウインドウモードにしてから×ボタンで閉じてしまえばいい。それが出来なければ、CTRL+ALT+DELで割り込んで、タスクマネージャを使ってブラウザを停止させる。それから作業中のアプリデータを保存し、念のためPCを再起動すると良い。通常の再起動が出来ないようならCTRL+ALT+DELで割り込みをかけると、画面の端に電源スイッチマークが出るので、それをクリックして「再起動」すればいいのである。再起動を妨げているプログラムがあれば、「強制的にシャットダウン」してしまう。多くの場合、これで問題は解決するのだけれど、再起動後に、ウイルス対策ソフト（市販もしくは、Windows付属のDefnderなど）でスキャンしておけば安心だろう。それでも動きがおかしくなるようならば、よく分かっている人に相談してみることだ。

こうした広告は、広告事業者がクッキーという仕組みを使って、利用者を特定して、その人のアクセス傾向に応じた広告を表示することから「ターゲティング広告」とも呼ばれている。特定の製品等のサイトを閲覧したら、それ以降、無関係なサイトでも、その製品の広告が表示されるようになったという経験を持っている人も多いだろう。これは、そういう仕組みなのである。今回の広告事業者はgoogleなのだが、事業者の審査にもかかわらず、こうした不審な広告が紛れ込んでしまうことも少なくないようだ。通常、バナーとして表示されている広告をクリックしなければ、こうしたことは発生しないのだが、あの手この手でクリックさせようとするのが、最近の広告全般の傾向である。また、広告を掲載しているサイトが広告収入を確実にするために、一旦広告を見ないと先に進めないような仕組みを作っている場合も多く、運悪く「踏んで」しまうこともある。びっくりするだろうが慌てず対処したい。警察庁のサイトが参考に出来るので、不安な人は見るといいだろう。

RSA３日目の昨日は朝から連続５コマのトラックセッション。West keynteはクロージングまでないので、ある意味、一番充実している一日のはずだったのだが、朝飯を確保するために早起きしたら、容赦なく眠気が襲ってくる事態に・・・。なかなか厳しい一日になってしまった。印象に残っていたのは、脆弱性の修正情報をLLMで集めるという話。オープンソースのコンポーネントの中には、脆弱性の修正が他の更新にまざって行われてしまうものも少なくないという話で、その更新が脆弱性の更新を含んでいると判断しにくい場合があるという。そうしたものをすべて把握してタイムリーにパッチを当てることが難しい場合が少なくないので、開発元のサイトやGitHubをAIに監視させて、脆弱性の対応が含まれていそうなものをAIに判断させて情報収集させようという話である。そのためのLLMモデルを開発して公開しているらしい。パッチ管理にAIを使うというのはアリだと思うのだが、どうせなら、自組織のもろもろの事情を考慮の上、優先順位付けとか作業スケジュールを作ってくれるところまで行けば、かなり役に立つと思うのだが・・・。

午後３時過ぎから盛大なクロージングがあって、今年のRSAは無事に終了。その夜はまた寿司を食いに行く。前日の肉が結構重かったので、ラーメンか寿司か悩んだ末に寿司にした。

で、今日は一日フリー。夜の便でLAに移動し、明日の午前の羽田行きに乗る予定なので、昼間はすることがない。まぁ、天気もいいのでホテルを１１時前にチェックアウトして、また海沿いに出てみることにする。

ケーブルカーが結構混んでいたので、また、路面電車にすることにして、待ち時間に電停４つくらい分を歩く。お天気は快晴。ピア２７の客船ターミナルには、また別の豪華客船が停泊中。

で、またピア３９あたりをぶらぶら歩いて時間つぶし。

こいつらは相変わらず臭い。今日は風が強いので遠くまで臭いが飛ばされてくる。

強い北風のせいで日陰に入ると結構寒い。RSAのウインドブレーカーを捨てずに持ってくればよかったと後悔する。

時間が余りまくっているので、久しぶりにベイクルーズの船に乗ってみることにした。

初日にアルカトラズへ行ったのだが、その時の船は単に往復だったし、天気もあまり良くなかった。で、今日は天気がいいので期待したのだが・・・。

天気はいいのだが、冷たい北風のせいで、外の席は凍えそうである。向かい風になる行きはとくに最悪で、身体が冷え切ってしまった。

ゴールデンゲートブリッジをくぐって折り返して戻ってくるのだが、帰りは追い風なので多少はマシ。でも、行きで身体が冷え切ってしまっているので、やはり寒い。

海側から見たピア２７の客船など。

雲か霧かよくわからないが、ゴールデンゲートブリッジのタワーの先端にかぶっている。この景色は初めて見る。

帰りはアルカトラズをぐるっと回って港に戻る。

船を下りてまた少し歩いていたら小腹が空いたので、またピア３９のBubba Gumpに行ってクラムチャウダーとサラダ（＋コロナ１本）を注文する。今日は手が回っていないのか、注文を取りに来るのが遅くて、ちょっとイライラ。でもまぁ、時間は余っているので問題はなし。腹も膨れたので、またぼちぼちフィッシャーマンズワーフを歩いてケーブルカー乗り場まで。

ケーブルカーも結構混雑していて３０分以上待つことになったが、これも問題なし。

ホテルに戻って預けてあったスーツケースを回収し、Uberで空港に向かう。結局空港に着いたのは午後５時過ぎで、いい時間になってしまった。それでも、LA行きの便は８時台なので、まだラウンジでゆっくりできる。

そんなわけで、現在ラウンジでこれを書いている。あと１５分ほどで搭乗。そろそろゲートに向かうとしよう。

RSAコンファレンス2日目。二度寝には気をつけようと思っていたのだが、二度寝どころか、今朝は起きることすら出来ず、結局、また朝食と朝一のセッションを逃してしまう。

今日の最初のセッションは、CISOになった人が、最初の3ヶ月をどう過ごすべきかというセッション。日本ではちょっと聴けないセッションなので聴いてみた。

要約すれば、最初の3ヶ月の間に、CISOとしての自分の足場を確実なものにしろという話。まずは、自分が新米CISOである前提で、スタッフや経営陣とのコミュニケーションを深めつつ、自社の現状を整理して課題を把握しろという話である。何かを変えるのはそれからでも遅くないし、焦って成果を出そうとすると失敗するぞ、という話である。やはり、CISOという仕事に気負ってしまう人が多いのだろうが、まずはしっかりと地に足を付けて・・・という基本的な話である。

それから午前中のキーノートを聴く。メインの登壇者はこの人。

元NBAのスーパースターで、現在は実業家の"マジック"ジョンソン氏である。ちょっとしたサプライズで会場は大盛り上がり。ビジネスの世界に入ってからの話はなかなか興味深いものだった。

昼休みにまた少し展示会場を歩く。これは会場の片隅にあるSOC。

午後はAIの話とレッドチームの話など。AIの話はどちらかと言えば基本的なもの。AIのデメリットや課題、メリットなどを整理したもので、具体的な話はあまりない。・・・というか具体的な話が出そうなセッションは、既に満席になっていて、空席待ちの長蛇の列が出来ている状況なので、いたしかたない。

レッドチーミングの話は、いかに対策が手薄な所を狙うかという例として、社員の自宅住所をLinkedInなどで調べ、会社の人事部門などを装って、特別表彰的なメッセージとAmazonのギフトカード贈呈のQRコードを手紙で送りつけるという話である。当然QRコードに含まれたURLはフィッシングサイトである。自宅でのアクセスは私物のスマホなどで行うので防御が手薄になる。とりあえず、会社のID,パスワードとワンタイムパスワードを入力させ、リアルタイムで認証を横取りしたあとで、本物のAmazonギフトカードのサイトに飛ばす。実際、50ドルの本物のギフトカードを入手できるので、疑われる可能性は低い。50ドルは攻撃者の負担だが、会社のアカウントを盗めるので、安いものである。しかし、この種の攻撃は、フィッシングだという種明かしの後でも、ひっかかる社員が後を絶たないというから根が深い。

最後のキーノートが終わったのが４時過ぎ。それから一旦宿に戻って一休みし、それから夜の会食に出かける。相手は仕事先の人たち。ちょっと早く着いたので、周辺を少し歩いて時間つぶし。

お店は、サンフランシスコに来ると一度は行く肉屋さんである。

ちょっと値が張るのだが、うまい肉が食えるので、お気に入りなのである。お腹いっぱい、ほろ酔いになって、いい感じで今日を締めくくる。

８時前でもまだ明るい夏時間のサンフランシスコ。少し冷えてきた風がかえって心地よい。ぶらぶらと歩いて、コンビニに寄り、買い物をしてから宿に戻る。

そんな感じで２日目も終了。明日は最終日。寝坊しないように今夜は早めに寝よう。

今日も朝から気温はぐんぐん上昇。24.6℃と夏日目前となった。下界ではあちこちで真夏日も出て、季節外れの暑さになったようだ。浅間山の雪もだんだん少なくなって、黒い部分が増えている。

ポロシャツ一枚で歩いていても、ちょっと暑いくらいで、腕まくりして歩く。まだ花粉症は油断ならないし、厄介な黄砂も飛んでいるようなので、マスクをして歩くのだが、これがまた汗をかいて暑い。もうそろそろスギの時期は終わってヒノキに移りつつあるはずだが、とりあえずは来週くらいまでマスクと薬は続けようと思っている。

別荘地の木々はまだ冬モードだが、そろそろ葉をつけ始めた木もあって、緑が広がるのも時間の問題だろう。

買い物に行くあたりの道沿いの桜がそろそろ開花し始めていて、もう一度お花見が楽しめそうだ。これは嬬恋村役場の桜。

昨日はここまで咲いていなかったと思うのだが、この様子だと満開になるのも時間の問題だろう。で、今日はコメリに行って、花の苗を買ってきた。毎年、駐車場の脇に花を植えているのだが、今年もまた植えた。

この作業は結構きつくて、腰が痛くなった。疲れたのでちょっと昼寝などする。ところで、今週ニュースになった、某ISPの情報漏洩事件。公式な発表はないが、巷では使われていた他社製のメールシステムのゼロデイ脆弱性が原因ではないかとのニュースが出ている。昨年8月に侵入され、以後、今月に発見されるまで潜伏しながら活動していたようなので、最悪の場合、発表されたような顧客情報の漏洩が発生することになる。これは、まだ可能性の範囲なのだが、今後の調査で実際に漏洩が起きたかどうかについても明らかになるのだろう。この会社はセキュリティ面では業界をリードしていると考えられていた会社で、相応の対策や監視等も行っていたようだが、ゼロデイ攻撃の場合、その兆候を発見できなければ侵入されてしまうことになる。しかし、この兆候を発見するというのは簡単ではない。また、半年以上発見されずに潜伏していたというのだから、相当慎重に活動していたようにも思える。そういうことを考えれば、かなり手強い相手に狙われたと考えていいのだろうが、実際どうだったのかは今後の調査を待たなければならないだろう。侵入経路や、侵入後発見に時間がかかった理由、発見されたきっかけなど、調査内容が明らかになれば、同様の攻撃に対しての備えを強化出来るだろうから、調査報告に期待したいところだ。

少し昼寝したあと、夕方にまた散歩をする。道すがら、こいつを見かけた。

下界の猫に比べればマシなのだろうが、これから毛玉にとっては暑さが辛い季節になってくる。寒暖差が激しくて、人も体調管理が大変な時期だ。まだ冬毛の猫にとっても、この暑さは厳しいだろうな。さて、そんな感じで一日が終わる。明日は、また少し桜でも見に行こうか。

今朝も快晴のラスベガス。あっという間の７日間、今日が最終日。

ISC2 Security Congressも今日が最終日。とりあえず、８時前に会場に入って朝飯の後、最後のキーノートを聴く。今日のスピーカーは、元ニューヨークタイムズのサイバー担当。メディアの目を通して見た、この１０年ほどのサイバー攻撃の変遷についての話。いわゆるAPT的な脅威に加え、近年、犯罪組織が本格的に金儲けを始めたことで、状況が大きく変わったというのは、皆が認識するところ。一方で、APTはさらに先鋭化し、ウクライナや中東での表に出ないサイバー戦は激しさを増している。加えて、いわゆる情報操作、偽情報の流布といった活動が日常化していて、単に選挙だからという一過性のものではなく、周到に世論を誘導したり、分断を煽ったりすることは、常に行われている。平時において、むしろ怖いのはそちらの方かもしれない。ある意味、いわゆる「民主主義」の弱点を巧妙にに突いた攻撃である。こうした攻撃への対処は、とりわけ民主国家では難しい。たとえば、Xとイーロンマスクのように、言論の自由を盾に規制を拒否する者への対処は容易ではないからだ。しかし、自由と放任は違う、というのは昔からの命題である。自由を享受するためには、自ら自由を守るために責任を果たす必要がある。言論にしても、それに責任を持つことが求められるし、嘘は許されない。我々は、もう一度そのあたりをよく考えて行動する必要があるのだろう。

キーノートの後は、ブレークアウトセッションが２つあって、それでイベントは終了となる。一つ目の話は、グローバル企業でITとOTをあわせてリスク管理する方法論について。ITに重きを置いたISO27001のようなフレームワークはOTには適用しにくい。ISA/IEC64223がOTに適用できる主要なフレームワークになる。そもそも、ITとOTでは、文化が大きく異なる。そうしたことを理解しながら、会社全体のビジネスリスクとしてサイバーリスクを管理していくことは簡単ではない。加えて多くの国にまたがる企業では、その地域ごとの法制度、規制に対するコンプライアンスを意識する必要がある。こうしたことを考慮すると、既存のフレームワークを包含、統合したような独自のフレームワーク作りが不可欠になる。実際に、紹介された例ではまさにそのようなことをしているのだが、これは簡単なことではない。ただ、自分たちが依存できるフレームワークを見つけることは極めて重要だ。既存のフレームワークを基本に据えつつも、自分たちのビジネスや文化に合わない部分には修正を加えることは行っていい（行うべき）ことだろうと思う。このセッションは、そうした事例の紹介として、興味深いものだった。

最後のセッションは、「心理的に脆弱なユーザの特定」というものである。終了間際のセッションにもかかわらず、多くの参加者があったのは、皆、こうした問題に関心があるからだろう。（出展、根拠は不明だが）たとえば、フィッシングなどでは、８％の脆弱なユーザがインシデント全体の８０％を引き起こしているとのこと。いわゆる「欺されやすい」とか「性格的に慎重さを欠く」ユーザということだろうか。たとえばフィッシングシミュレーション訓練とか、啓発教育といったことは多くの組織で行われているが、そうした教育の効果が上がらないユーザは存在する。改善が難しいのであれば、そうした対象への警戒を強化したり、場合によっては行動を制限するといった対応が必要になるかもしれない。もちろん、行きすぎれば差別に繋がるから慎重に行う必要がある。こうしたユーザを特定する方法として、たとえば中程度の難度の訓練メールを４回ほど投げて、そのクリック数でクラス分けするといったような方法が紹介されていた。思うに、特に脆弱なユーザを把握しておくことは重要だ。たとえば、インシデントの兆候が見られた場合に、判断の参考にできるだろう。ただ、それを持って本人の評価を行うことは避けた方がいい。評価はあくまで、本来の業務のパフォーマンスを元に行われるべきだし、仕事熱心な故にクリック率が上がるといったことも、可能性としては考えられるからだ。もちろん、テストの結果は全体的な傾向とともに本人には知らせるべきだし、それによって本人の問題意識を引き出すこともできるだろう。そのことと業務上の評価はわけて考えた方がいいと思うのである。可能であれば、仕事上のパフォーマンスや様々な属性等との相関を調べてみることで、問題の本質を見極められるかもしれない。そう言う意味では、こうしたテストは、全体的な傾向を洗い出すための一つの切り口に過ぎないということなのだろう。

そんな感じで、イベントは終了。クロージングセレモニーもなく、三々五々の解散である。ちょっと眠気がきつくなってきたので、今日もホテルに戻って２時間ほど仮眠する。夕方に街に出て少し散歩。今日はベネチアンのカナルショップスモールへ行って見た。ラスベガスに多い、偽物の空があるモールなのだが、ベネチアンホテルのモールだけあって、ベネチア風に運河が流れていて、ゴンドラが浮かんでいる。

しばらく中を歩いてから表に出る。気温はそれほど高くなく、半袖短パンで暑くもなく寒くもなく、ちょうどいい感じだ。

最終日の夜は「肉」と決めていたので、アウトバックに入ってサラダと肉で晩飯。

店を出たらすっかり日も暮れて、夜景を見ながらしばらく腹ごなしに歩く。

今夜の月は満月直前。少し薄雲がかかっているが、いい月夜である。

ホテルの周辺をしばらくあるいて、少し歩数を稼ぐ。今日はあまり歩いていなかったので、少し頑張って、一万歩越えを目指す。

そんな感じで最終日も暮れた。明日は４時起きしてホテルをチェックアウトし、空港へ向かう。６時過ぎの便でロサンゼルスへ飛び、そこから羽田行きに乗り継ぐ予定だ。

今朝も快晴のラスベガス。７時に目覚ましをかけていたのだが、二度寝してしまい、慌てて会場に向かう。

慌てたのはキーノートに間に合わないことよりも、朝飯をくいそびれる（苦笑）ことだったりするのだが、とりあえず片付けられてしまう前に到着して、急いでかきこむ。しかし、そのせいで、バッジスキャンのスタッフが引き上げてしまって、キーノートはCPE（CISSPの継続教育ポイント）なしになってしまった。まぁ、自業自得なのだが・・・・。

今朝のキーノートは、セキュリティチームのメンタルヘルスのお話し。忙しい上に一旦インシデントが発生すると大きなプレッシャーがかかるセキュリティチームにとってメンタルの維持は重要な課題。とりわけリーダーは自分だけでなく、チーム全体にも気を配らなければならない。こうしたチームでのケアはなにもセキュリティに限ったことではない。従って、その方法論も一般的な仕事の上でのメンタルヘルスの維持と同じ切り口になる。ストレスの軽減には睡眠が一番なのだが、現代人にとって安眠の維持は簡単ではない。安眠グッズ市場は巨大化の一途だが、安眠グッズや薬もさることながら、寝る前に気持を落ち着かせることが一番のようだ。ベッドに入っても寝付けない時は、思い切って起きて、少し身体を動かしたり、気持を落ち着けてから寝るといい、というアドバイスである。

今日は、最初にゼロトラスト関連のセッションを聴く。日本では完全にバズワードと化してしまっている「ゼロトラスト」だが、その基本的な考え方をもう一度押さえ直しておく。「誰も（何も）信用しない」のがゼロトラストではなく、「根拠を持って信用する」＝「暗黙に信用しない」というのが本来の意味だ。「性悪説」なんていう馬鹿げた言葉を使う輩も少なくないのだが、本質的に違う。セキュリティ境界についても同様だ。「境界防御は死んだ」的なことを吹聴するベンダがいるが、境界防御は依然として有効だし意味がある。但し、すべての防御を境界に頼るのではなく、その限界を見極めて、必要な対策を講じようということなのである。すべての対策をエンドポイントで行うのでは無駄が多い。境界防御とエンドポイント防御を適切に組み合わせることが重要なのだ。そういう真っ当なゼロトラスト論は、なかなか日本では聴くことができないから、こういう話を聴くと、ちょっとホッとするのである。

今日はちょっと睡眠不足で辛くなってきたので、昼食をパスして、昼休みはホテルに帰って少し昼寝した。おかげで、午後はだいぶ楽になった。

午後に聴いたのが、「AIの導入を経営層にかけあう際のポイント」についてのセッション。そもそも、こういうセッションのニーズがあるということは、セキュリティチームが積極的にAIを取り込もうとしていることの現れでもある。内容は一般的な経営層へのプレゼンテクニックなのだが、専門的な言葉は出来るだけ避けて、ビジネスとの整合に重点を置き、AIの利点とリスクを明らかにした上で、リスクは必ず対策も含めて提案しろ、というような話である。

合間のコーヒーブレークで展示会場へ行ったら、こんな囲いが用意されている。なんだろうと思っていたら、なんと仔犬とのふれあいコーナーだった。

やがて、仔犬が放されて、囲いの中に入ることができるようになったのだが、順番待ちの長い列が出来た。今朝のキーノートではないが、皆、癒やしを求めているようだ。

今日最後のセッションは、脅威モデリングの話。リスク評価やセキュリティ対策を考える上で、その前提となる脅威を明らかにすることは極めて重要だ。昨今の脅威は多様化、複雑化しているので、全方位的に対策を考えようとすると、労力やコストが馬鹿にならない。限られた予算や人員で対処するためには優先度を決めて対策を考えないといけないのだが、その前提となるリスク評価の第一段階として、どのような脅威を前提にするかということが大きな課題になる。自分たちのビジネス）や資産）が、どのような理由で、どのような相手に狙われ、攻撃がどのような切り口で行われるのかを出来るだけ明らかにして、可能性が高い脅威への対策の優先度を上げることが重要になる。これが脅威モデリングなのだが、まず、自分たちの持つ財産に高い価値を見いだすような相手や、自分たちのビジネス、活動、サービスが阻害されることで得をする相手などを念頭にそうした攻撃の対象となる資産と、相手を洗い出す。このあたりは、どちらかといえばビジネスや安全保障の視点が必要になる。次に、それらの相手が使うであろう攻撃手法を想定し、それらに対する対策を考えることになる。このあたりは、フレームワークとして、Mitre Att@ckなどが使える。こういうプロセスをきちんと話してくれるセッションはありがたい。これまで自分流で整理してきたものを再確認し、必要な修正を加えることができるからだ。この種の話は日本ではほとんど聴くことが出来ない。私が海外の、特にマネジメント系主体のコンファレンスに参加する大きな目的にもなっている。

さて、今日のセッションが終わった後、展示会場でレセプションが開かれた。今夜はここで飲み食いして晩飯の代わりにする。（笑）正直、街で晩飯を食うと出費が馬鹿にならないのである。まともなレストランだと$150～$200ほど、昨日や一昨日行ったBubba Gumpでのスープとサラダ（＋ビール）で、$50～$60、今のレートで日本円に換算するのが怖いような金額である。まぁ、そのあたりを気にしていたら海外など来られないから、とりあえず目をつぶってはいるが、あとでカードの請求を見て、目を白黒させるのである。

ここでもわんこたちは大人気。ふれあいコーナーにはまた長い列ができていた。

そんな感じで、とりあえず腹もふくれたので、ほろ酔い加減で会場をあとにした。空には、だいぶ満月に近づいた月。

ベガスの夜は、今日もも賑やかだ。

明日は午前中でコンファレンスが終わる。そのあとどうしようか、まだ考えていないのだが、明後日は４時起きで帰途に就くので、もう少し遊びたいなと思っている。

今日からISC2 Security Congress 2024が始まった。今朝は７時起きで、ちょっと睡眠不足。とりあえず、大通りを挟んで向かい側の会場（シーザースパレスホテル）に行き、コンファレンスの参加者向けの朝食を食う。

オープニングに続いてキーノートはAI関連。どちらかというと、AIの現状での問題点を列挙したような内容が多かったのだが、スタンスは一応、「使う」前提。まぁ、今のAIは確かに問題が多いのだが、解決は時間の問題かもしれない。変化のスピードが速いので、今回聞いた問題が半年後、どこまで残っているか・・・というようなことになりかねない。そう言う意味では、タイムリーに最新の情報を追いかけ続けていないと状況を見誤りそうだ。とりわけ、動きが遅い規制当局や行政がこのスピードについてこられないと、問題がこじれそうである。そんなことを考えながら聞いていた。

そのあとは、セキュリティの定量的評価の考え方とか、医療関連へのランサムウエア攻撃の話とか。たとえば救急車の管理システムや、医療機関は言うに及ばず、医療保険会社のシステムが止まっても、人の命にかかわる事がある。地域の医療全体を維持するための危機管理は、個別の機関や企業だけではなく、その地域全体での連携を考えないとダメだろうという話である。そのあと聴いたAIに必要なスキルを考えるセッションで、「AIを使うために必要なスキルは、それを適用する仕事固有のスキルを抜きには語れない」という話には強く同意した。もちろん、今のAIは完璧とは言いかねるから、きちんとアウトプットをレビューできるスキルが必須なのだが、将来、AIがより完璧に近くなった時、今度はAIのアウトプットを理解できるだけの業務スキルが必要になる。いずれにせよ、AIは道具である以上、使う側が、その仕事の知識や経験を持っている必要があるということだ。まぁ、仕事を完全に任せてしまえるほど完璧なAIができれば別だが、もしかしたらそれもそう遠くないのかもしれない。そうなった時に、さて、人は自分の価値をどこに見いだすのだろうか。しばらくは、「専門家」としてのAIを活用するジェネラリストとして、AIがカバー出来ないより大きな絵を描く仕事があるだろう。まぁ、それもそのうちに・・・、と考えると少し暗くなるのでやめておくことにする。（苦笑）

午後に聴いたサプライチェーン関係の話は、ごく基本的な内容で、基礎のおさらいをした感じ。このあたりから眠気がきつくなって、英語が右耳から左耳に抜けて行くようになってくる。最後のキーノートに至っては、ちょっと厳しい状態になってしまった。例のブルースクリーン問題などを引き合いに、単一ベンダに偏るリスクを強調していたようだが、反面、マルチベンダーは運用コストがはねあがる。ユーザサイドの視点で見れば、コストは大きな問題だから、どうバランスを取るのかが問題だろうなと思うのである。

どうにか、５時半まで、すべてのセッションを聴いてから宿に戻り、晩飯を食いに出る。ちょっと未練がましく西の空を眺めるが、今日も彗星の影すら見えず。しかたがないので、また月などを撮影する。月もだんだん満ちてきた。

さて、何を喰おうかと、少し思案しながら歩く。

ベラジオホテルやプラネットハリウッドのモールなどを歩いて見たが、結局、昨日と同じBubba Gumpに落ち着いた。サラダの選択肢が少ないので、昨日と同じサラダ。今夜はスープを南部風のガンボにしてみた。今夜は少し人が多くて、大通り沿いはかなり混雑している。こんな風景を見ながらホテルに戻って、一休みしてからこれを書いている。

明日も一日、コンファレンスである。

この三連休、土曜と日曜はあいにくの天気。それでも昨日、秋分の日の振り替え休日は、朝から青空が広がった。

その分、気温は一気に下がって、室内でも20℃を切るようになって、もう半袖は無理。半袖どころか、薄手の長袖でも、ちょっとすーすーする。

外は、さらに寒くて、頑張って歩かないと寒いくらい。秋を通り越して、一気に冬の入り口まで来た感じである。9月も下旬。まぁ、これが例年の状態なのかもしれないが、変化が急すぎて身体がついていかないので、風邪とかひかないように気をつけないといけない。

まぁ、寒いのを除けば、青空の下の散歩は気持ちがいい。浅間山もすっきり全部見えるのはいい。

連休で遊びに来ている人たちも、どうにか最終日は晴れて、楽しめそうだ。まぁ、半居住状態の私には連休は混雑するから辛いのだが・・・。そんな感じで久しぶりに朝の散歩も気合が入るのである。

昨日は、午後になってまたちょっと不安定な空模様になり、夜は雨がぱらついた。一夜明けた今日も、いまひとついすっきりしない天気。気温もさらに下がって、外は朝8時頃でこの気温である。

散歩に出かけたら、少し雨が降ってきたので、早めに切り上げて帰る。連休明けの今日は、午前中2件、午後3件の打ち合わせがあって大忙し。気がついたらもうあたりが暗くなっている。そういえば、昨日、少し時間があったので、以前一度立ち上げたものの、不調で停止していた攻撃監視用のハニーポット（攻撃対象を装ってサイバー攻撃を受け、その状況を監視するためのツール：クマ寄せの蜜壺にちなんだ名前）を再構築してみた。T-Potという複数のハニーポットをパッケージにしたようなオープンソースのシステムなのだが、これがなかなかよく出来ていて、kibanaを使ったダッシュボードは、様々な状況をうまく可視化してくれる。スキャンや攻撃の状況をリアルタイムにマップで表示してくれるので、見ているだけでも結構楽しい。（もちろん侵害されないという前提なのだが・・・（笑））時折、特定の国のIPアドレスから集中的な攻撃が発生するのは、ある意味日常茶飯事なのだが、それが見えていると、守る側としては気持ちが引き締まるのである。こうした攻撃は、その多くがいわゆる踏み台からのものなので、発信元の国に実際の攻撃者がいないことのほうが多い。多いのが、東欧圏のルーマニアやブルガリアあたり、欧州ではフランスあたり、米国からもかなりの数が来る。ブラジルからは、DoS攻撃とおぼしきものが集中的に飛んで来るのだが、どうやら元凶はマルウエア感染（いわゆるボット）のようだ。リアルでキナくさくなっているロシア方面とか中東方面からの攻撃はほとんどないのだが、まぁ、特にそういう状況化で、自国から直接何かをするというリスクはとらないだろうなと思いつつ、もしかしたら、全パワーを実際の敵国に振り向けているのかもしれないな、などと妄想している。

さておき、夜になってまた冷えてきた。足元が寒いので、小さなパネルヒーターを引っ張り出したのだが、これ以上冷えるようだと、本格的に暖房器具を出してこないといけなくなりそうだ。明後日くらいに一度横浜に戻ろうと思っているのだが、次に来る時には、そろそろ冬物を用意しないといけないかもしれない。

オースティンに入って３日目、そしてGRC Conferenceの二日目である。昨夜はノドの状態が少し悪化。鼻づまりも出て、なかなか眠れず。例によって夏風邪をもらってしまったらしい。今朝は７時過ぎに起床して８時前に宿を出た。

朝のキーノートは元NSAで、アクティブディフェンスに携わっていた女性。最近日本でも話題に上がる能動的サイバー防御なのだが、こちらは先制攻撃を躊躇せずにかけていくので、本質的に異なる。平時は主に情報戦であり、敵は中国、ロシア、イラン、北朝鮮といったあたり。中でも節操がない北朝鮮は頭痛の種だったらしい。金目当ての金融機関や暗号資産への攻撃は有名である。そうした国を相手に回すのだから、こちらもそれなりの人材を揃えないといけない。しかし、そういう連中に限って、組織の枠に押し込めるのは難しい。そんな「ヲタク」たちを管理するのも仕事だったらしい。出勤してきたら、ますシャワーを浴びさせるとか、結構笑える。そんな感じで、結構生々し話を聴くことができた。実際、きれい事は通用しない世界のようである。日本の国家機関では、まず無理な形だろう。

昨日は途中でちょっとサボってしまったのだが、今日はとりあえずフルで会場に詰めて話を聴いた。今年もＡＩ系のセッションが多いのだが、去年に比べると、より具体的な応用例が覆うなっているように思える。やはり、彼らはＡＩを使いこなせるかどうか（使えるかどうかをみきわめることが、自分たちの命運を分けると考えているようだ。

今日の最後は「ゼロトラスト」の実装に関する話。この言葉が単なるバズワードと化してしまっている日本ではなかなか聴けない話だが、マイクロソフトのオンプレ、クラウドのソリューションを使った実装がの話がなかなか面白かった。実際、MS365やDefender関連のサービスは私も少し使ってみてはいるのだが、全体を俯瞰してみると、必要な機能がひととおおり揃っていて、それを一元管理出来る枠組みがあるのがなかなかすごいのである。まぁ、例によって独禁法の訴訟とか起こされそうな懸念はあるのだが、そもそもセキュリティ対策の多くはＯＳなどのプラッタフォーマーが実装すべきものである。彼らが当初、それをサボっていたから、アンチウイルス業界みたいなものができあがってしまったわけだ。マイクロソフトの動きを見ていると、そうした状況を巻き戻そうとしているようにも見えるのだが、今となっては軋轢を生むことは必至だろう。さておき、使う側からすれば、ワンストップですべて揃うのは魅力的である。

そんな感じで今日は終わって、宿に帰る途中、薬局によってコロナの検査キットを買ってきた。たぶん風邪だと思うもものの、一応確認しておかないと、帰国後に面倒だ。ということで、宿に帰って早速検査する。

結果は、見ての通りの「シロ」判定。まずは、これでひと安心である。とりあえず腹も空いたのでホテルのロビーにあるバーで軽く食事をする。

テキサス地物のＩＰＡと白ワインなどを飲みながら、クラブケーキを食って今日の晩飯は終わり。

さて、明日はGRCの最終日。午前中にクロージングのキーノートがあって、それで終わりである。天気が良くて体調がよければ、午後から少し市内を散策してみようかと思っている。そんな感じで、今回の高飛びも大詰めである。

今日はDEFCON最終日。昨夜からちょっとノドの調子が良くなかったのだが、今朝起きたら、声がかすれている。なぜか、このところアメリカでたちの悪い風邪を貰って帰ることが多いので、ちょっと嫌な感じである。とりあえず、様子見で、ホテルをチェック疎し、荷物を預けてから、少し遅めに会場へ。

今日も、相変わらずの暑さ。一方、会場の中は寒いくらい。たぶん、これが風邪をひいた理由だろう。昨日、一昨日と会場では上着を一枚はおっていたのだが、下は短パンのままだったので、それが悪かったのかもしれない。

今日は昼過ぎでほぼ終わりになってしまうので、Windowsに不正なドライバを組み込む話を聴いて、今回のDEFCONは終了となる。小腹が空いたので軽い物を食いながら、会場で少し時間調整。会場からみた、The Sphereが面白い。

午後2時前に会場を出て、また融けそうになりながら、モノレールの駅まで歩く。

この景色を見るのはまた少し先になりそう。10月にまた来るのだが、イベント会場がシーザースパレスなので、ここまでは来ないだろう。1月のCESにも久しぶりに来たいのだけど、来たら、そのときはまたここに来ることにんなる。

さて、あとは、ホテルに預けた荷物を受け取って、空港へ向かうだけなのだが、とりあえず、ホテル近くのコンビニ薬局でマスクを調達。念のため4しておくことにする。コロンの検査キットも欲しかったのだが、売っていなかったのであきらめた。まぁ、熱もないしいめのところノドの痛みだけなので・・・。

午後3時半に予約してあったUberで空港へ。セキュリティもそれほど混んでおらず、30分ほどでゲートについてしまったので、しばらく時間を潰す。残念ながら、ラスベガス空港にデルタのラウンジはないのである。こんなメジャーな観光地なのだから早くいいのだが・・・。オースティン（テキサス）行きの搭乗は定刻に始まったが、荷物の積み込みに手間取って出発が遅れ、さらに、離陸待ちの行列に捕まって、また時間を食う。トータルで30分以上遅れてラスベガスを離陸した。

夕方の3時間弱のフライトなので、晩飯が出る。キノコのラビオリである。デザートのチョコケーキがめちゃくちゃ甘かったのだが、思わず完食してしまった。（血糖値が・・・・）

こんなことをしている間にオースティンに到着。タイムゾーンが西海岸（太平洋時間）から中部時間に変わるので、2時間余計に時計が進む。到着したら、午後11時前になっていた。とりあえず、ホテルまでUberで移動して、今日はこここまで。このホテル、同じ系列のホテルはアムステルダムで泊まったことがある。部屋は狭くて日本のビジネスホテルくらいだが、綺麗な部屋でベッドは広い。値段も安め。部屋のあれこれをタブレットでコントロールできるのが面白い。

さて、明日からはISACAのGRC Conferenceである。

今朝も快晴のラスベガス。DEFCON2日目は、ちょっと遅れて参戦。

今朝も朝から熱波のラスベガス。モノレールを降りてから、会場までの炎天下を歩く間に身体がこんがりと焼き上がってしまいそうである。

とりあえず、今日はこんな話などを聴く。

バッファオーバフローなどのバイナリレベルの攻撃と、OSレベルでの対策とその回避策の変遷をまとめたセッション。バッファオーバフロー対策としてのDEP（データ実行防御）あたりから始まって、ASLRや最近のプロセスレベルの実行制限手法までの流れと、その回避策との間の戦いを解説したもので、ここ20年から25年ほどの流れを知るにはいいセッションだったと思う。様々な対策がとられて、（もちろんそれを有効に使えている前提で）バイナリレベルの攻撃の難度は極めて高くなったが、それでも全く不可能になった訳ではない。対策の裏を掻くような攻撃を思い付く頭のいい奴らは少なからずいるし、なによりそういう連中が作った攻撃コードが売り買いされて広く流通してしまうのだから、こうした追いかけっこは、まだ当分続くのだろう。

こういう話を聴いていると、最近そのような世界から遠ざかっていることを実感する。OSのコードを一生懸命読んでいた時代にはもう戻れないが、たまにはこういう刺激があってもいいなと思うのである。

DEFCONはそうしたコンピュータの攻撃手法だけでなく、伝統的に、物理的な攻撃手法やソーシャルエンジニアリングも取り扱うイベントだ。この「ロックピッキング村」では、様々な鍵開け技術に関する実演やコンテスト、講演などが行われている。

今日も午後はちょっと眠気がきつくなってきたので、早々に撤収を決め込んだのだが、会場からモノレール駅までの歩道はヒーターのように焼けていて、下から火であぶられているような感じである。上からは日差し、前からは熱風、下からは熱気と赤外線で、まるでオーブンのなかで焼かれている感じである。そんななかを歩いていて不思議と汗をかかない。たぶん、水分がすぐに蒸発してしまうからだろう。逆に建物に入った瞬間に汗が吹き出してくるのである。

例によって宿に帰って、しばらく昼寝をする。それから、また夕方に食事をかねて出かけたのだが、この時間でも路面からの熱気はものすごい。

少し大気が不安定化しているのか、入道雲や、変わった形の雲が浮かんでいる。この雲はまるで人の顔のようだ。

今日も移動はモノレールを使って、フラミンゴあたりまで行って見た。観覧車に続くフラミンゴ脇の路地は所々にミストが吹き出しているので、ちょとだけ涼しい感じ。シーフード系とかの店を探しながら歩いたのだが、目に付くのはステーキハウスとか重たいものばかり。できるだけ、ホテルなど施設の中を抜けて歩くのだが、外に出ると、暑さでくらくらする。ミラージュの前辺りまで歩いて、そこから道の反対側へ折り返す。ちなみに、ミラージュは工事中、なにやら取り壊しているような雰囲気で、名物の「火山」がどうなるのかちょっと気になるところだ。

そこから、シーザースパレスの脇のフォーラムモールに入って、そのなかでレストランを探す。入ったところの3階に寿司屋があったので、とりあえず入ってみた。前菜に野菜天ぷらの盛り合わせと一番搾りをたのむ。

天ぷらは、いい感じでからっと揚がっていて、合格点。さて、寿司は？と、ちょっと高い方の盛り合わせを注文してみた。

これも悪くない。少なくとも食べていて違和感がない、ちゃんとした寿司である。（米国の寿司屋では重要なポイント（笑））これならば、また来てもいいなと思いつつ店を出た。ラスベガスは10月にまた来る予定なのだが、その時にまた来てみるのもいいいかもしれない。そこからフォーラムモールの中を歩いてシーザースパレスに抜ける。

シーザースパレスから外に出てみると、あたりはだいぶ暗くなって、気温も多少下がった感じになっていた。

さて、どうしようか・・・と思ったのだが、今回バスの乗車券は買っていない。モノレールの駅は遠いので、いつもの噴水ショーや夜景を見ながら、ぼちぼち歩いて帰ることにした。

ホテルまで帰ってきた頃にはすっかり日が暮れて暗くなっていた。歩数は今日も2万歩越え。流石に疲れたので、売店で水と一緒にアイスクリームを買ってしまう。まぁ、これだけ運動したのだから、ご褒美があってもいい。（笑）

さて、明日はDEFCON最終日。朝ホテルをチェックアウトしてから荷物を預けて会場に向かい、3時頃には戻ってきて空港へ。夕方の便で、次の目的地、テキサスのオースティンへ向かう予定である。

梅雨明け宣言から、さらに気温が上がった横浜方面。エアコンがきいた室内から出ようという気がまったくしない不健康な生活である。

外をあるいていると、くらくらしてしまうので、散歩に出ても長くは続かない。一方で、エアコンが効いた室内にこもっていると、いつまでたっても暑さに身体が慣れないという悪循環である。

そんなわけで、日曜日にはまた別宅へ避難することにした。しかし、移動途中、埼玉県、群馬県内は38℃、横川SAでも35℃、軽井沢でも30℃となかなか気温が下がらない。別宅周辺でも昼間は30℃近くまで上がって、部屋の中はかなり暑い。エアコンがないので、扇風機でしのいでいる。夜になると、ぐっと気温が下がるのだが、日が昇るとどんどん気温が上がるという繰り返しである。

去年も夏場はそれなりに気温が上がったのだけれど、今年はさらに暑い。風があまりないのも一因かもしれない。

下界の猫たちに比べればマシかもしれないが、こいつら毛玉には辛い季節だろう。

このあたりにも結構猫がいるのだが、警戒心が強くてなかなか近づけない。一匹くらいは手懐けたいところなのだが、なかなかうまくいかないのである。

昼間暑いと、夕方から夜にかけて雨になったりする。昨日は一日中、オンラインのセミナー講師で、結構疲れたのだが、昼間は扇風機全開。カメラにうつらない下の方は、当然、短パンである。午後5時に終わった直後に、ざっと雨が降り出した。雨は夜～朝にかけて断続的に降って、9時頃には一旦上がったのだが、天気予報によれば、これから一週間くらいは不安定な天気が続くようである。

そう言えば、先週発生した世界的なWindowsブルースクリーン騒ぎ（死のブルースクリーン：Blue Screen of Death/BSODなどと呼ばれている奴）。CrowdStrike社のセキュリティソフトが原因ということだが、航空会社などが大きな影響を受けて、まだ後遺症が残っている。さて、この後始末がどのようになるのかが気になるところだが、品質管理の問題だけに矮小化しない方がいいのかもしれない。ソフトウエアのバグをゼロにすることは困難な一方で、セキュリティソフトのような高い権限で動くソフトウエアの不具合は、今回のようにシステム全体の停止を招く場合がある。ソフトウエアのベンダーに一義的な責任があるものの、万一このような不具合が発生した場合に、OS側での保護策も考えておくべきだろう。たとえば、不具合の原因になったソフトウエアを自動的にパージするような仕組みである。マイクロソフトでも、Officeなどのサードパーティープラグインが悪さをすると、停止させてしまうような機能は（あまり評判はよくないが・・・）実装されている。OSレベルとなると、簡単には行かなさそうだが、全体が影響を受けるという点では、むしろ、こちらの方が重要かもしれない。マイクロソフト（に限らず、すべてのOSベンダー）は、こうした高い権限をサードパーティーに開放することの是非と、開放する場合の保護策を再考してほしいと思うのである。今回はバグのようだが、たとえば内部者の悪意や、ソフトウエアベンダーが侵害を受けたケース等、より深刻な事態も想定できるからだ。

さて、今日は一日、別宅まわりのあれこれ。雨のあいまに周囲の草刈りなど。運動不足解消のため、夕方、小一時間歩いて、どうにか今日は一万歩を達成した。雨が降ったり暑かったりで、このところ運動量がかなり下がっているので、要注意である。さて、そんな感じで、しばらく別宅避暑モードが続く。

今朝は青空が見えるものの、かなり冷え込んで小雪が舞う状況。

一昨日は終日オンラインセミナーで講師を務めたのだが、テーマはインシデント対応。マルウエア感染とかWeb改ざんとか、いくつかのシナリオをもとに状況設定して参加者に対応を問い、解説して、次の状況設定・・・という感じで、ちょっと演習っぽい感じのシミュレーションである。対応を問うのは、Webベースのアンケートシステム（MS Forms）を活用したのだけれど、これはなかなか使える。リアルタイムで回答を表示しながら進めていけるのが面白い。段階的に事態を進展させながら進めていくのだが、ゆっくりと解説していると、結構時間がかかる。前回は時間オーバーで二つ目のシナリオがほとんどできなかったのだが、今回は午前中から一部始めたのでどうにかうまく終わることができた。まだまだ改善点はあるので次回はもう少し中身をブラッシュアップしたいところだ。ちなみに、参加者を変えて、年内にあと2回やる予定である。

昨日は打ち合わせが3つ。あとは書き物仕事をする。そろそろ温泉が恋しくなったので、さて、どこへ行こうか思案していたのだが、結局行きそびれて、初めて別宅の風呂を稼働する。先日掃除などをすませていたので、既に使える状態になっていたのだが、実際使って見ると、大きな問題は無い。シャワーの温度調整（お湯と水の混ぜ具合）がかなりシビアだったのだが、これはお湯の温度を湯船用に高くしたままだったからで、お湯を張ってしまえば、あとはシャワーで使える温度に設定してしまえば問題なさそうだ。これから寒くなる冬場、出不精になりそうなので、別宅の風呂は有り難い。

今日は打ち合わせが昼前に一件あっただけで、あとは資料作りに充てる。このところ暖房をかけっぱなしなので、灯油の消費量がかなり激しい。この前20リッターポリタンク2本分を買ってきたのに、既に一本を使い切ってしまい、今日、また一本買ってきた。一週間で2本軽く消費する感じである。これは、買い出し帰りに見た浅間山。もうすっかり雪化粧が定着している。

帰って、また書き物をしていたら、もう日が暮れた。どんどん日が短くなっていく。既に午後5時で真っ暗。冬至まで一月を切ったから、これからが一番夜が長い時期である。冬至と言えば明日からもう12月・・・あっという間に今年も師走に突入である。夕方の買い物から帰ってきたら、車の外気温計が氷点下になっていた。試しに温度計付きの時計を玄関のベランダに置いておいたら、9時半過ぎにマイナス3℃である。

空にはかけ始めた月が冷たく光っている。

今夜はかなり冷えそうだ。水道の凍結防止ヒーターを入れて、室温が下がりすぎないように、夜通し弱く暖房を入れておくことにしよう。この時期としては、これが普通なのだろうが、今年は異常に暖かい状態が続いただけに、身体が慣れるまで風邪など引かないように気をつけたいところである。

いよいよ最終日。朝、ホテルをチェックアウトし、荷物を持って会場へ。会場で荷物を預けて朝食を取り、それから朝のキーノートへ。キーノートはソーシャルエンジニアリングの話。実際、サイバー攻撃の切り口の9割が「人」（ヒューマンファクター）だという最近、「将を射んと欲すれば・・」ではないが、「先ず人を・」ということらしい。話者はそのスジの有名人らしいのだが、いやはやめちゃくちゃ早口なうえに、ちょっとアクセントが違っていて、なかなか聞き取れない。大筋で言っていることは分かるが、細部が聞き取れないので、ちょっと厳しかった。こころの中で、「いやいや、あなたがどれだけ優秀なソーシャルエンジニアだったとしても、私は絶対に欺されない自信があるぞ。だって、あなたが言っていることが聞き取れないのだがら・・・」などとうそぶいてみたり。

それから、ブレークアウトで、ダークウエブの話とか、またAI関連の話とか。ダークウェブの話は、これまでだいたい聴いたような話のおさらい。AIについては、AIの問題点とそれに関連した規制の話など。規制に関していえば、EUが prescriptive な、つまり、出来るだけあらかじめ細部を決めようとする方向なのに対し、USは、どちらかといえば descriptive な、つまり、まずは大きな方向性を決めようという方法で、かなり違いがあるとのこと。EUは、家電製品やIT機器等に適用されているCEマークのようなものを考えているようで、認証の基準としては、現在最終ドラフトが検討されているISO/IEC42001が、ひとつの候補のようだ。いずれにせよ、こうしたルール作りは、現実の技術の進歩に比べて5年ほど遅れているのではないかとの話だった。我が国の政府も、国際的なルール作りを主導したいと鼻息だけは荒いが、さて、先行しつつあるEUやUSを相手に、その両方の考え方の違いを調整して主導出来るだけの力が日本にあるとは正直思えない。結局、両にらみで動きがとれなくなり、国内の法整備が遅れる・・・なんてことにならなければいいのだが。

クロージングのキーノートは、タイの洞窟で遭難した子供たちの救助に携わったオーストラリアの医師の話。水が流れ込んで洞窟の奥に取り残された子供たちを救出する一部始終を語ってくれた。一刻を争う中で、二次被害を避けつつ救助を進めるプロセスは、インシデント対応などにも通じるものがある。様々な国の人たちが集まった混成チームのなかでも、きちんとコミュニケーションが維持されていたのが驚きだ。そういう意味でも非常に興味深い講演だった。

さて、そんな感じでイベントは終了。二時半にUberを予約してあったので、それでダウンタウンのホテルに移動することにしていたのだが、このあたりからちょっと体調が悪化する。朝から、少し風邪っぽい感じではあったのだが、ここにきて少し熱も出てきたようだ。ダウンタウンのホテルに移ってからも、調子は良くならず、薬を飲んで早めに寝ることにした。

今朝になって、状況は多少改善したかに見えたのだが、少し動くとまた熱が上がるといった感じで、結局、今日も夕方まで部屋で寝ていた次第。それほど高熱でもないので、普通の風邪だろうと思うのだが、会場の部屋のエアコンが効きすぎていたのが災いしたかもしれない。夕方になって、多少マシになったので、少し街に出てみた

メインストリートのブロードウエイあたりは、多くの人でごったがえしている。流石に人気の観光地。道沿いの店からは大音響の音楽。ニューオーリンズあたりとはまたちがった、極めてアメリカンな雰囲気の街である。

人混みを歩いていたらまた少し具合が悪くなってきたので、さっさと撤収することにした。帰りがけにコンビニで、また風邪薬を調達。ホテルの売店でフルーツを買って、それと、朝の残りのラップで晩飯にする。

さて、明日は朝4時起きでホテルを出て、空港に向かう。7時過ぎの便でアトランタへ飛んで、そこで羽田行きに乗り継ぐ予定である。さて、今夜は早めに寝て、明日に備えよう。

イベント2日目の朝。ホテルのアトリウム。

会場で朝食をとったあと、キーノート会場へ。

今朝のキーノートもAI関連。昔から、考えるだけで何かが出来る魔法のようなものは想像されてきたのだけれど、いわゆるBrain-Machineインターフェイスが、AIの進化で、いよいよ現実のものになりつつある。動作や思考、感覚に伴う脳波パターンを学習させることで、脳波から、その時の動作や見聞きしたこと、さらには考えた事まで再現することが、実際に出来るようになっているのである。たとえば、考えるだけでPCを操作することや、思い描いたイメージを画像化することが実験レベルで可能になっている。電車やバス、トラックなどの運転手や飛行機の操縦士の脳波をモニターすることで、疲労や集中力の欠如を検知して、事故防止に役立てる研究もそろそろ実用の域に入り始めている。脳波を検知するデバイスも、イヤホンくらいのものが実用化されつつある。夢の世界はもうすぐ・・・ということなのだが、困った問題も発生する。会社や政府といった第三者に「思考」をモニターされてしまう可能性だ。会社がこれを使って、社員の仕事への集中度とかをモニターするようになったらどうだろう。強権国家が国民にセンサーを付けさせて、政策に反対する考えを持った国民を監視するような世界はどうだろうか。これはいわゆる「ディストピア」である。内心の自由がなくなってしまうことは、想像するだに恐ろしい。そんな世界が間近に迫っているから、AIの使い方をきちんと考えて、コンセンサスを作り、必要に応じて規制を設けるといった動きを今すぐにでも始めないといけないね。というのが、この講演の趣旨である。なかなか、考えさせられる内容だ。SFで描かれてきた世界がもうそこまで来ているのだとしたら、うかうかしてはいられないだろう。こうした技術の恩恵を最大限に受けつつ、デメリットや悪用を防いでいく方策を考えなければいけない。

今日のブレークアウトセッションは、ちょっとハズレが多かった。「トップから始めるセキュリティ文化」というセッションを聴いたら、「文化」の中身がほとんど出てこず、語り尽くされている「セキュリティにどうトップを巻き込むか」という話しに終始していたり、「クラウド時代のSOC活用とインシデント対応」という話を聴いたら、なにやら語り尽くされたクラウド利用の考え方についての抽象論ばかりで、具体的な話は、最後のQ&Aで少し出てきたくらいだったり・・。レッドチーム立ち上げの話は悪くなかったが、この話を一時間でまとめるのは難しそうだ。

唯一面白かったのが、ウクライナとロシアのサイバー戦争に関する話だった。クリミア併合の頃から、ロシアにサイバー攻撃を受け続けてきたウクライナが、今回の戦争でサイバーでも非常に善戦している話は、メディアなどでも伝えられているが、実際は相当に泥臭い戦いになっているようである。ロシアのプロパガンダサイトや主要なセクターのサイトの（使える）脆弱性の発見と提供をボランティアに呼びかけたり、攻撃コード（Exploit）の提供を呼びかけたり、自国の情報が漏れるきっかけになるような、国内のオープンなWebカメラの発見と情報提供を呼びかけたり、まさに総力戦の様相を呈している。さて、我が国でも政府はサイバー防衛の重要性を強調してはいるが、実際、紛争が起きた際に有効に機能する部隊を作れるかどうか、また、ウクライナのように、なりふり構わず、民間有志の支援を求められるかどうか、そうした有志の力を最大限に活用できる「司令塔」を構築できるかどうか・・・、これは大きな課題かもしれない。平時にはなかなか具体的に語りにくい内容だが、平時のうちに固めておくことが必要だろう。ウクライナにしても、クリミア紛争で痛い目を見ていなかったら、今回、ここまで善戦はできなかっただろうから、その教訓は活かしたいところである。

そんな感じで今日も暮れ・・・夕方には飲み物と軽食が展示会場で振る舞われたのだが、混雑していたので、コロナ一本だけ飲んで退散した。

暗くなったアトリウム、ハロウィーンモードなので、ちょっと不気味な雰囲気である。部屋に戻って少し横になり、それから晩飯を食いにでかける。晩飯のスタートは昨日と同じ地物のビール。

メニューに巻き物があったので「うなぎロール」を頼んでみた。アボカドが入っていて、カリフォルニアロールのウナギ版といったところ。

そんな感じでちょっとまったり、景色をながめたり・・・。

で、メインはサーモンである。昨日はは肉だったので、今日は魚にした。

それからほろ酔い加減で、アトリウムを歩いて部屋に戻って、これを書いている。

さて、明日は最終日。イベントは昼過ぎまでだが、朝のうちにチェックアウトしないといけない。終了後はダウンタウンに移動して、明日、明後日はナッシュビルのダウンタウンに泊まる。明後日土曜日はオフなので、ナッシュビルの街を歩いてみる予定だ。

ドタバタな一日から一夜明け、今日からISC2 Security Congress開始。会場のホテルはハロウィーンモードになっている。

だだっ広いホテルの中庭の端にあるコンベンションセンターが今回の会場。

とりあえずのオープニング。ISC2のCEOのセッション。まずは、ISC2の活動の紹介と宣伝。

2023年には世界で550万人のセキュリティ人材が必要になるが、ぜんぜん足りていないとう話。（だから、ISC2が育成に力を貸す・・・という話なのだが）特に、エントリークラスの人材の戦力化や、他分野（IT関連以外の分野）からの人材の移動が必要だと言う。そのため、まずはエントリーレベルの認証資格であるCC(Certified in Cybersecurity）が昨年追加された。彼らが言うように、（本来の）セキュリティ人材が大きく不足しているというのであれば、育成は喫緊の課題だろう。まぁ、日本で言われている人材不足は、それ以前の問題（そもそも、ITの各分野でのセキュリティ意識が極めて低いから、「セキュリティ人材」が余計な仕事を背負わなくてはいけない）だとは思うのだが、であれば、さらに日本は人材育成でも周回遅れになってしまうような気がするのである。ところで、ISC2は、正式には(ISC)2 = International Information System Security Certification Consortium = IISSCC =(ISC)2 ：アイエスシースクエア、だと思っていたのだけれど、いつのまにか、アイエスシー「ツー」になっていて、ロゴもISC2に変わっていることに今回気がついた。いつから変わったのか、ISC2のサイトを見たのだが、もう(ISC)2の記述はどこにもない。（なかったことになっている？）、でも、外部ではまだ昔の名称の認識が残っていて、例えばISOでは、協力団体として、こんな感じで旧名称が残っている。謎である。

オープニングのあとのキーノートでは、暗号資産の取引追跡の話があった。ダークウエブでの闇取引に関する捜査機関の暗号資産の取引（マネーロンダリング）追跡は一定の成功を収めている。様々な追跡妨害の技術があるが、その上を行く技法があったり、犯罪者がおかしたちょっとしたミスから追跡されてしまうといったこともあって、少なからず摘発が行われているようだ。

ブレークアウトでは、今回もAI関連のセッションを聴くことにしているのだが、今日聴いたセッションでは、AI開発におけるセキュリティの視点についての話しが興味深かった。いわく、AIに対する脅威には、いくつかの切り口があり、AIそのもの、つまり、その学習データに対する攻撃、学習モデルに対する攻撃、そして、AIを使用するアプリケーションソフトウエアへの攻撃という複数の切り口があるという。最後のものは、従来からのソフトウエアへの攻撃であり、対策もこれまで確立されている手法が応用できるが、先の二つについては、AI（そのアルゴリズムなど）への理解が不可欠で、いわゆるデータサイエンティストのスキルが必要になる。この部分は、一般のセキュリティ専門家ではなかなか取組が難しいのだが、残念なことにデータサイエンティストたちのセキュリティ意識はまだまだ希薄で、課題も多いと言う。（もちろん、後で述べるような研究も進んではいるのだが）AIのセキュリティを考える上で、データサイエンティスト、ソフトウエアエンジニア、システムの運用サイド3者の協力は不可欠だという。AIセキュリティでは、AI固有の問題がクローズアップされがちだが、それをソフトウエアで実現し、応用する以上、従来からの手法が攻撃に使用される可能性は高く、そういう意味では、今のセキュリティ屋の出番も少なからずありそうである。

ちなみに、午後にキーノートでは、AI研究者が登壇して、こうした面での研究が進んでいることをアピールしていた。メディアでは、いまだに数年前のAIが引き起こした問題（差別的な判断など）が引き合いに出されるが、そうした問題は過去の物になりつつあるという。Responsible AI（倫理的、法的な考え方を組み込んだAI)に関する研究の進歩が著しいということのようだ。実際この言葉を検索すると、GoogleやMicrosoftなどが研究を公表している。AIを使っていく上で、こうした状況にも注視していく必要があるだろう。

もう一つのセッションは、「過去のサイバー攻撃事例から学ぶ」という話だったが、「統計マニア」を自称するスピーカーが興味深い統計をいくつか紹介してくれた。

などなど・・・。主な元ネタは、IBMのレポート「データ侵害のコストに関する調査」とRapid7のThe Annual Vulnerability Intelligence Reportらしい。

その上で、既知の脆弱性への対処を怠ったために侵害を受けたケースが増大しているという。また、二重恐喝の標的型ランサム攻撃などでは、最初の切り口として、ソーシャルエンジニアリングが多用されるという。公開情報等からその企業の役員やIT管理者など権限を有する人の情報を入手し、なりすましてITサポートデスクに連絡して、一時的に多要素認証を無効化させるといったやりかただ。実際に、MGMはその手法でOKTAの認証を破って侵入され、ESXiサーバの脆弱性を悪用されて仮想マシンを暗号化されてしまったという。

いわく、階層的防御（Defence-in-Depth）は、単に技術的なソリューションを複数使うということではなく、「人」「技術（ソリューション）」「運用（オペレーション）」すべての切り口で考えなければいけないとのこと。ある意味、「あたりまえ」のことなのだが、ともすれば、ベンダーの口車に乗せられて、ソリューションのみにフォーカスしがちな日本企業には耳が痛い話だろう。

そんな感じでとりあえず聴いていたのだが、流石に眠気に逆らえず、午後の最後のセッションはパスして部屋で昼寝していたら、あっという間に日が暮れてしまった。夜にネットワーキングイベントがダウンタウンで開催されたのだが、面倒になってパスして、ホテルの中で晩飯を食う。この地物のビールはなかなかいける。ロゴがビットコインのロゴに似ていて、昼間の話を思い出した。

で、メインはやはり「肉」。今回は控えめに、フィレを食う。

そんな感じの一日。さて、明日は眠気に負けないようにしないとな・・・・