サイバーセキュリティの最近の記事

今朝も頑張って6時台に起床。早起きは三文の徳というが、朝飯の準備にIHを使う電気代は午前7時までなら安いという「お得」もある。車の充電を安く上げるため、夜の11時から朝の7時まで料金が安くなるプランを使っているからだ。逆に、昼間は少し割高なのだが、一番電気を食う車と、冬場の凍結防止ヒーターの電気代が安く上がるので助かるのである。さて、今日は朝から快晴。散歩は昨日と同じで朝食前と朝食後、それから午後と3回に分けて歩く。

今朝も3℃くらいまで気温が下がったので、ちょっとひんやりとした空気である。朝飯前の散歩は4000歩ほど。とりあえず、朝の「お山」のご機嫌伺いなど。今日は白煙もなく、ご機嫌はよさそうだ。（笑）

途中、こいつに出会う。茶白の若い猫だが、昨年の今頃は生まれたばかりだった奴だ。まだ警戒心が強く、すぐに逃げてしまうのは残念。

朝飯を食って、片付けをして、食後の運動・・・と、また歩く頃には気温はもう15℃を超えていた。

昨日から、ちょっとAIと遊んでいる。これまでも、ChatGPTにはあれこれ質問をしているのだが、今回はAIエージェントに関してやりとりしてみた。ChatGPTもエージェントモードはあるようなのだが、Claude CoWorkのように、PC側のリソースまで操作はできず、あくまで、クラウド上の仮想環境での操作に留まるとのこと。ローカルとの連携は、こちら側でエージェントを動かす必要があるのだが、あれこれ質問していると、ローカル側のエージェントの例を提示できるという。面白いのは、これまでの質問の傾向から、私が必要としそうなエージェントを推定して提案してきたこと。当然、セキュリティ関係のものも提案に含まれていて、脆弱性の情報を収集して優先順位付けしてレポートするような情報収集エージェントが含まれていた。自分の持っている機器（ソフト、ハード）の情報を喰わせると、それらに関係する脆弱性があった場合に情報を整理してレポートしてくれる仕様だ。ローカルでPythonベースのエージェントを走らせ、JPCERT/CCやその他の情報源から情報を収集、それをChatGPTに分析、整理させて、結果をTeamsなどにレポートする。CISAのKEVの情報を喰わせれば、実際に侵害された実績のある脆弱性の優先度を上げてくれる。Pythonのサンプルコードも作ってくれた。こうした内容を、私の過去の質問傾向から推定して提案してくるとは、ちょっと驚いた。これを実装したら、次のステップとして、SOCライクな仕組みも作れると言うから、思った以上に面白そうだ。ちょっと時間があるときに実際に動かしてみて、動かしながら改良していくのも良さそうだ。加えて今日は、Google Workspaceのエージェント機能を調べてみた。こちらも、クラウド上で、様々なツールを連携させるエージェントを、ほぼノーコードで作ることが出来そうだ。最近、メールの見落としが増えてきているので、返信が必要なメールを見つけて知らせてくれるようなエージェントから作ってみようかと思っている。ToDoとかと連携させるのも面白そうだ。しばらく遊べそうである。

そんなことをした後で、また歩いて、今日も目標は達成。この調子で運動量を稼いでいきたい。

夕方になってちょっと雲が多くなってきた。また天気は下り坂のようで、このところ短い周期で短期が変わっている。気温はだんだん上がって、そろそろ不在時の水抜きも不要になりそうだ。さて、車のタイヤもそろそろ替えようか・・・。季節とともに気分も変えたいところだ。

RSAコンファレンスもいよいよ最終日。今朝もちょっと寝不足気味の7時起き。あれこれしていたら、7時50分前になってしまい、朝飯を食えないことを覚悟しつつ、会場に向かう。

幸いにも8時10分頃到着で、まだ朝飯にはありつけた。そんな感じで最終日がスタートする。今日は、午前中3セッション、午後1セッションのブレークアウトの後、クロージングキーノート。朝一のセッションは、最近流行のAIによるコーディングの話。AI（LLM）はプログラミング言語も一つの言語として取り扱う。基本は、既存のコードの大量学習なのだが、品質がまちまちのコードを学習するので、アウトプットも玉石混交となる。つまりは、脆弱性も普通に含まれてしまうので、きちんとプロンプトで指示をしないと、ろくでもない結果が出てくるよ、という話である。あらかじめ、自分たちのセキュアコーディングルール等を組み込んだプロンプトを与える必要があり、たとえば、会社としてエージェントを入れる場合は、暗黙のシステムプロンプトとして、確実にこうしたルールを喰わせるようにしないといけないという話である。なるほど、今のAIはそうなのかもしれないが、もしかしたら、それも時間の問題かもしれないなと思った。プログラミング専用のAIが最新のベストプラクティスを学習してコードに反映するようなことが、普通になる日がそう遠くない時期にやってくるのかもしれない。今は、人がレビューしないといけないコードも、そのうちレビュー不要になってくるのだろう。もう少し進んで行けば、曖昧な人の指示に対してAIがより具体的な内容を要求し、仕様を自ら明確にしていくというようなことも夢ではない。そうなれば、もうソフトウエア技術者など不要になってしまいそうだ。その結果がユートピアか、ディストピアかは別として、そもそもコンピュータのプログラムを間違いだらけの人間が作っていることに問題があると私は常々思っていたので、ようやくそうした時代が見えてきたような気がする。

その後は、APT関連のマルウエアなどの話と、アウェアネストレーニングの話など。最近日本でも話題になることが多い、セキュリティ意識向上のためのトレーニングなのだが、その効果はあまりかんばしくないようだ。原因は、紋切り型のコンテンツにありそうである。対象者一人一人の状況にあわせて、適切なコンテンツを提供するようなシステム（まさに、AIの出番になりそうだが・・・）がないと、なかなか効果が上がらないという話である。いわゆる標的型メール訓練などがいい例で、結局、ある程度のレベルから向上が見られなくなってしまう。訓練の組み立て方もそうなのだが、結局、最終的には個人の資質に依存してしまうから、どうしても限界はあるのである。どこまでを教育で底上げし、どこから技術的に防御するのか、自組織の人的な面でのリスク評価をもとに、戦略を決める必要があるのだろう。戦略や戦術はその組織の状況によって変わるだろうから、教育を企画する人たちは、もっと頭を使わないといけないと言うことだろう。

そんな感じで、全日程が終わりクロージングのイベントが始まる。

最後のキーノートはXmenなどで有名な俳優のヒュー・トンプソンとのトークショーで盛り上がる。そして、午後3時過ぎにめでたく全体が終了。三々五々の解散である。今日も眠気と格闘した一日だったので、早々にホテルに引き上げて一休みすることにした。

夕方まで一眠りしたあと、午後7時から日本との打ち合わせがあり、8時過ぎに晩飯を食いに出かける。ホテルの近くにちょっと気になるイタメシ屋があり、予約しておいた。狭い店だが、ちょっとカジュアルないい感じの店である。ここで、ワイン、サラダ、パスタの晩飯。

ワインでいい感じになって、ちょっとタガが外れた結果、こんなデザートまで手を出してしまう。

帰国直後に定期診察があるので、検査結果の悪化がちょっと心配だが、しばし忘れることにする。（苦笑）とりあえず、店を出た後で、言い訳程度の歩数稼ぎ。

とりあえず、今回の主目的は完了。明日は一日フリーなので、また市街の散策でもしようかと思っている。明後日の昼の便で、ミネアポリスへ飛んで一泊、日曜の羽田行きで、日本には月曜帰国の予定である。

今朝も7時起きで、朝のサンフランシスコ。いまいち寝た気がしないのだが、とりあえず会場へ向かう。

今日も終日缶詰での聴講。最初の話は、K-12という米国の幼稚園から高校までの一貫教育プログラムの学校の多くにシステムを提供している企業が10代のハッカーによって侵害を受け、大量の個人情報を流出させたという話。独占に近い形でシステムを提供している会社のセキュリティがお粗末だとこうなるという、サードパーティーリスクの典型例として紹介された。こうした状況は学校だけでなく、中小企業や医療機関などでも見られる。小数の専業サービス事業者に多くの企業が依存しているが、そのセキュリティは意外に脆かったりする。こうした中小企業等が、事業者を見極めることはなかなか難しいから、政府や自治体等が主導して安全対策をしてほしいところだが、なかなかそれもスピード感がない。むしろ、業界で協力して対策を推進する方が速そうだという話である。

その他には、最近話題になることが多い、AIが他のシステムと連携するために使うMCPという通信プロトコルのセキュリティの話などを聞いた。いまいち、実際にどう連携するのかが見えていないので、これはもう少しMCPそのものを勉強した方がよさそうだ。

今日も、時差ぼけというか睡眠不足の影響で、昼前後から頻繁に寝落ちするようになってしまい、ちょっと難儀する。調子が戻ってきたのは、午後の2つめの講演あたり。いわゆる「ゼロトラスト」がバズワード化する中で、取組で行き詰まってしまう組織が結構多いと言う話。そもそも、そのコンセプトやアーキテクチャの基本的な指針と、ベンダ、ユーザ企業それぞれの考え方が微妙に異なり、手を着けたはいいが、コストがかかりすぎたり、運用が難しくなって行き詰まってしまうケースである。同床異夢というか、とりわけベンダが我田引水的に都合のいい解釈を打ち出してくるので、それにユーザが振り回されるケースが多い。結局、自分の組織になにが必要なのか、つまりどのようなリスクに対応しないといけないのかを正しく把握して、その上で、原則に基づいて、自分たちに適した実装を考えるというのが基本となる。取り組む主体となる組織自身が基本的な考え方を理解し、自らのリスクを把握した上で進めていく必要があるので、それなりに覚悟がいる。そうでないと、結局ベンダのいいなりにならざるを得ず、お高いソリューションを入れたあげくに運用が回らないという悲惨な結果に陥りかねないわけだ。これは、私も以前から感じていたことなのだが、今日の話をきいて、ちょっとすっきりした。

そんな感じで、今日もクロージングになる。クロージングの冒頭、ベンダ系の講演が二つあったのだが、面白かったのは、それぞれ言うことが対立していたこと。片や、状況の可視化が重要で、それにより説明責任が満たされるといい、もう一方は、可視化するだけでは不十分、実際に行動に結びつけられることが重要だというのが面白い。暗黙のルールとして、キーノート講演はソリューション色を出さないことになっているから、概念的な話になるのだが、最終的に我田引水したいので、力点の置き場所が異なってくるのである。先に書いたゼロトラストの混乱も、こうしたことが原因で起きていそうだ。

その後、ジャーナリストの対談形式の講演があったのだが、残念ながら眠気に負けてしまい、あまり覚えていない。

そんな感じで、二日目も午後5時頃に無事？終了。ホテルに帰ってシャワーを浴び、晩飯を食いにでかける。今夜は、ホテルの近くで見かけた小さな寿司屋に行った。昨夜行こうとしたら、かなり混雑していたので諦めたのだが、今日は比較的時間が早かったこともあって、入ることができた。で、こんな感じの晩飯。

味噌汁はちゃんと出汁が利いていて悪くない。寿司も悪くないのだが、ネタに比べてシャリがいまいちなのは、こちらの寿司屋の共通点だろうか。もうひとつの寿司屋に比べると、少し上の感じはするのだが、値段はこちらのほうが高いので、どっこい・・かもしれない。でも、結構流行っていて、私が食べ終わる頃には行列が出来ていた。まぁ、小さな店なのでそうなるのかもしれないが・・・。

時間が早くてまだ明るいので、酔い覚ましに周囲を一周する。帰りに薬局系のコンビニに寄って、買い物ついでに胃薬を調達。胸焼けがするので、Anti Acidの看板の下にある薬を適当に買ってきたのだが、後でよく見たら実は便秘薬だったというオチ。まぁ、昼夜逆転でお通じもいまいちなので、よしとする。（笑）

そんな感じで、サンフランシスコも既に5日目が終わってしまった。明日はRSAも最終日。明後日金曜は一日フリーなので、また市内散策でもせいようかと思っている。

今日からRSA Conferenceの本番。昨夜もいまいち熟睡できず、ちょっと睡眠不足気味で起床。とりあえず会場へ向い、用意されてた朝飯を食って一息。それからトラックセッションを2つ。最近流行のAIエージェントを組み込んだブラウザで発生しうる問題とか。ブラウザ単独では、たとえば、あるサイト（ドメイン）から別のサイト（ドメイン）に対するスクリプトなどの操作は禁止されていて、不正サイトを経由した、正規サイトへの侵害は防止されているのだが、AIエージェントはブラウザのすべてのタブやウインドウにアクセス出来るため、問題が生じる。たとえば、特定のサイトを参照して、その指示に従って、別のサイトを操作するとか、メールの指示に従って特定のサイトを操作するとかの指示をした場合、不正サイトやフィッシングメールの指示に従って、不正な動作を強要されてしまう可能性がある。ブラウザから見るとAIエージェントはユーザと同等なので、こうしたことが発生するのである。実際、現状ではユーザを騙すよりも、エージェントを騙す方が簡単なようだ。エージェント自体が、そうした攻撃に対して耐性をつけないといけないという話である。

次に聞いたのが、エストニアの電子政府などの話。IT利用の「超」先進国として名前が挙がることも多いエストニアだが、そうなるまでには、第二次大戦に遡る複雑な歴史がある。旧ソ連崩壊後に独立した後も、ロシアを含め、大国の影響下にあり、地政学に翻弄される中で、独立を確保するために選んだのが、政府の電子化なのである。インターネット上に政府を置くという革新的な試みは、今のところ大きな成功を収めている。ただ、小国ならではの小回りが利く部分も大きいようで、同じ事を別の国が（たとえば日本だが・・）がする上でのハードルは高そうだ。よく、政府の高官や政治家が視察と称してエストニアに行くのだが、こうした本質を見切れているかどうかは、かなり怪しい。

その後、全体のキーノート講演があり、これが実質的なオープニングとなる。

昼食をはさんで、午後も講演をいくつか。ランサム関連の講演では、この5年ほどの間の（企業ななどを対象とした）ランサム攻撃の被害の傾向やその対策の基本を聞く。もはや高度な標的型攻撃と化したランサム攻撃に対応するためには、守る側もかなりの覚悟が必要になる。近年大きな被害に遭った組織を見ても、そのほとんどが比較的高いレベルでセキュリティ対策を講じているわけで、それらのスキを突いた攻撃で侵害されているわけだ。実際、多くがEDRのような最新のソリューションを導入していたり、多要素認証を利用していたにもかかわらず・・・である。ただ、これらのソリューションもきちんと監視、管理しないと抜け道が生じる。実際、そうした抜け道を狙われて被害に遭っているケースがほとんどだ。最近話題になっている日本企業にしてもしかりである。「ゼロトラスト」を口実にソリューションを売り込むベンダも多いのだが、皮肉にも「ゼロトラスト」の原則に従えば、こうしたソリューションを盲信してはいけないのである。きちんと役目を果たしているかどうか、不断にチェックすることが重要だ。

今日最後のキーノート講演は、有名ベンダのトップによる講演。Splunkの講演は、あまり商業色のない内容。最近のSOCに対する考え方などだが、実際に、攻撃が高度化し、発見が難しくなっている中でSOCの重要性はこれまでに増して高まっている。しかも、攻撃側がAIなどを活用してスピードを上げている中で、それを受けて守る側も、攻撃の発見の高度化や、対応の自動化によるスピードアップが必須となってくるから、なかなか大変な時代になったなと思うのである。

今日の日程は午後5時前に終了。午後になってから時差ぼけによる眠気が酷かったので、とりあえずホテルに戻って一眠りする。

今日は夜の7時から1時間ほど、日本との打ち合わせがあり、その後、晩飯。今日は、ホテル近くの寿司屋に行こうと思ったのだが、なにやら混雑しているようだったので、先日行った和食（寿司）店に行き、寿司ではなく、ラーメンと餃子などを注文する。このお店、寿司は結構まともなので、今日はそれ以外のメニューを・・と思ったのだが、とんこつラーメンも結構うまかった。一昨日行ったラーメン屋より、だいぶマシな味である。サッポロの中瓶を2本あけて、いい感じのほろ酔い。夜になって外は少し冷えてきたが、酔い覚ましには悪くない。そんな感じで今日も終了。明日はRSAの中日である。時差ぼけが改善していることを願おう。

時差ぼけで悶々とした夜を過ごし、今朝は7時前に起床。買ってあった朝食のパンとサラダを食ってから、ホテルを後にする。今朝も快晴のサンフランシスコ。

ホテルから会場までは徒歩で20分前後。今日はRSAのプレイベントとして行われたCSA Summitに参加する。

クラウドセキュリティの団体であるCSA (Cloud Security Alliance）だが、最近はAIセキュリティに傾倒している。流石に、CSAのままではアレだと思ったのか、近々CSAIというAI専門の団体を立ち上げるらしい。ちょっと流行に流されすぎな感じもするのだが、実際、セキュリティ業界、というかIT業界全体がAIに傾いているのだから、それも仕方が無いのかもしれない。

今日の講演内容も、ほぼAI一色なのだが、冒頭のセッションはちょっと違っていた。セキュリティと言えば、「リスク」への対策が主題なのだが、組織の中で、セキュリティの施策を推し進めていくためには経営層の理解とサポートが必要である。セキュリティ対策に予算をつけて貰うためには、「リスク」ばかりを強調してもダメだ、という基本的な話である。会社のビジネス（つまりは利益の拡大）に責任を持つ経営層から見ればコストはできるだけ抑えたい。カネを使うならば、それは利益を得るための投資でないといけないから、リスクよりも、セキュリティ対策を行う事のメリット（つまりそれが利益に貢献すること）を強調しないと、予算をつけて貰えないぞ、という話である。セキュリティ対策の準備は平時に行わないといけないが、日本でも、経営層がカネを出すのは、多くの場合サイバー攻撃などで一度痛い目に遭ってからである。つまりは、経営層にとってネガティブなコストであるわけで、平時から予算を確保しようと思うと、「対策しないと、こんな怖いことが・・・」と訴えるよりは、「対策によって、競合他社に対して優位に立てることで、ビジネス機会を拡大・・」というようなストーリーが必要だ。だから、今日からのRSAでは、そう言う視点で考えて見てほしいという話である。私は、日本と違い、米国ではずっと以前からこうした考え方は普通だと思っていたのだが、敢えて、今こんな話が出てくるということは、改めて、こうしたことを言わなければいけない状況が生じてきたと言うことなのかもしれない。経営層も、セキュリティを担う人たちも代替わりし、新しい人たちが増える中で、こうした問題に突き当たる人たちが増えてきたということなのだろうか。もしかしたら、旧来からの対策がある程度一巡して、これから、たとえばAIなどに伴う新たな対策を積み上げていかなければいけないという次のステップのための再確認というような意味もあるのかもしれないなと思う。まぁ、そうだとすれば、日本の場合、周回遅れという話なのだが・・・。

さておき、AIに戻れば、その登場によってセキュリティの世界も大きく変化しつつある。こうした技術に最初に飛びつくのはダークサイドである。結果として攻撃のスピードが格段にアップするので、守る側もAIを使わないと追いつかない状況が生じる。待ったなしの対策が必要になるので、必要な予算の確保は喫緊の課題だということだ。

そういう意味では、今回のRSA全体を通じても、これは重要なテーマだろう。そんなことを考えながら聞いていたのだが、今回のCSAサミットはなんと朝の8時半から午後2時半まで休憩無しのぶっ通し。せめて昼休憩ぐらいは入れればいいと思ったのだが、ネタが多すぎて休憩時間を入れる余裕がないという事のようだ。トイレに行くのも、講演の途中に行かないといけないので、流石にこれはちょっと無茶である。おまけに時差ぼけのせいで、だんだん辛くなってくる。昼頃には頻繁に落ちるようになってしまったので、ちょっと外に出て目を覚ます。外は気持ちのいい天気なのだが、会場の東西をつなぐ通路の上でカモメやハトが日光浴をしている。あまり穏やかでない話を聞いている中では、のどかな雰囲気が癒やしだ。

そんな感じで、CSA Summitを最後まで聞いてから、ちょっと外に出たら、AI搭載のロボットのデモをやっていて、人だかりができていた。

ここに来て、ロボも鉄腕アトムに一歩近づいたわけで、昭和の頃に描いた21世紀像に少し近づいてきたようだ。

夕方は、日本から来ているお客さんと展示会場で待ち合わせて、少し会場巡りをする。

こちらも、昨年以上にAIブームである。AIという言葉のないブースを捜す方が難しい。まさに猫も杓子も・・といった感じなのだが、今の状況を考えれば当然なのかもしれない。

で、その後、少し離れたレストラン（ステーキハウス）で会食。これまで何度も行っている店なのだが、うまいステーキが食える。

で、こんなステーキを食いながら談笑。

しかし、この店、なかなかの人気で大混雑。年々、混雑が激しくなっているようで、隙間なくテーブルがおかれて、会話も難しいほどに賑やかになってしまったのは、ちょっと辛い。来年は（もう来る気でいるのだが）もう少し静かな店を選んだ方がいいかもしれない。

そんな感じで初日は終了。ユニオンスクエアの夜景を見ながらホテルに戻り、一眠りしてからこれを書いている。さて、明日からRSAの本番である。

現代の企業の多くは、様々な形で他の企業に依存している。たとえば、資源から最終製品まで一貫して製造できる企業は皆無であり、様々な部品や中間製品を、その供給元の企業に依存している。たとえば自動車では、いわゆる完成車メーカー（業界ではOEMと呼ぶ）は、部品の大部分を外部に依存していて、ある意味、組み立てを行うだけの会社である。製造業だけではない。ソフトウエアにおいても、すべてのコンポーネントを自社で開発している企業は非常に少ない。多くが、様々な商用、オープンソースのコンポーネント（部品）やフレームワークを利用して開発されている。単に、部品、原料の供給だけではない。これらや完成品の流通に関わる運送業や倉庫、卸といった企業にも、多くの企業が深く依存しているのである。

こうした繋がりが、一般に言われるサプライチェーンだ。近年、サプライチェーンに関連する問題は、様々な形で社会に影響している。たとえば、数年前、中堅の自動車部品メーカーがサイバー攻撃を受けて出荷を停止したことで、そこから部品の供給を受けている完成車メーカーが生産停止を余儀なくされた。最近では、大手の通販系企業がサイバー攻撃を受けたことで、その企業に商品の配送を委託していた複数の企業が注文を停止するなどの影響が出ている。近年、サイバー攻撃がクローズアップされるが、自然災害や事故を原因とするサプライチェーンの停止や滞留は古くから発生している。また、サプライチェーンが国際化する中で地政学的な影響も、無視出来なくなっている。直近の例を挙げれば、某国による稀少資源の輸出規制や中東での戦争による石油の価格上昇などがある。某国（笑）のT王陛下による関税騒ぎもまた、広い意味で、サプライチェーンを阻害している。

こうした問題を緩和するために、供給網の分散、冗長化などの対策が叫ばれているのだが、当然コストがかかるので、熾烈な競争に晒されている企業にとって簡単ではない。IT製品、とりわけソフトウエアに至っては、部品の供給元すら十分に把握出来ていない状況がある。製造業では、製品を構成する部品表（BOM）の管理は古くから行われている。これは、部品ひとつひとつの原価が利益に大きく影響するからである。一方、ソフトウエアの多くが、オープンソースなどの無償コンポーネントを基盤として作られており、こうした原価管理の必要が無い。従って、そもそも部品表を作って管理しようというモティベーションが働かないのである。それに加えて、物理的な部品は供給元が製造を中止すれば、新たに調達できなくなるが、ソフトウエアのコードは、いつまでも使うことができる。つまり、サプライチェーン問題をあまり意識する必要がなかったわけだ。しかし、こうした古いコードをいつまでも使っていると、思わぬ問題を生じることがある。いわゆる「脆弱性」である。企業やオープンソースコミュニティーなどが、サポートしているソフトウエア（コンポーネント）は、こうした脆弱性の修正とアップデートの提供が行われる。こうした修正版を適用している限り、脆弱性を攻撃され、侵害される可能性は低い。しかし、もはやサポートされなくなった古いコードを使い続けていたり、修正版の適用を行わなかったりすれば、最終的な製品が攻撃対象になる可能性が生じる。実際、こうした「部品」が原因で生じた脆弱性を攻撃された例は少なくないのである。しかし、サポート切れや脆弱なコンポーネントを排除しようとしても、それを使用していることがきちんと把握され、管理されていなければ不可能である。つまりソフトウエアにも部品表（SBOM）が必要になるわけだ。とりわけ重要な用途で使われるソフトウエアについては、SBOMを整備することが極めて重要となる。ただ、これも簡単ではない。最終製品で使われているコンポーネントが、複数の異なる供給元からの（サブ）コンポーネントで構成されていることが多いからである。こうした繋がりをすべて明確にすることは非常に難しい。SBOMそのものの標準的なフレームワークを確立し、すべてのサプライチェーンがそれを採用しない限りは、困難な状況が続くのではないかと危惧するのだ。

さて、こうした問題は、関係者の努力に委ねるとして、より危険な「悪意」を持ったサプライチェーンへの攻撃について考えて見よう。たとえば、部品の供給元に対して、なんらかの妨害工作を行い、供給を止めるといった攻撃は比較的容易に想像できる。それが物理的な手段であれ、サイバー攻撃であれ、供給元の業務を止めればいいからだ。しかし、より悪質な攻撃も考えられる。供給元の内部に入り込んで、その製品に影響を与える攻撃である。たとえば、特定の部品を劣化させたり、ある条件化で機能しなくなるように加工してしまうような話である。部品の加工に使用する工作機のプログラムやデータの改ざんも考えられる。たとえば、自動車の部品ならば、数年以内に、それが原因の事故が多発するといった状況が生じる可能性がある。最近の車は高度に電子化されており、多数の電子コンポーネントが使用されている。もし、これらが供給過程で不正に操作されたならば、たとえば、攻撃者の指令で、特定の車の特定の機能を動作不全にするといったことも可能になるかもしれない。ソフトウエアに至っては、さらに危険である。実際、数年前、某国のソフトウエアベンダーが侵入を受け、改ざんされたソフトウエアがオンラインアップデートを介して多数の利用者に配信され、大きな問題となった事件があった。この場合は、最終製品だったが、これが、サードパーティー製のコンポーネントだったら、事態はさらに深刻化しただろう。安全や人命、社会の基盤に関わる製品やソフトウエアについては、悪意を持って、こうした改ざんが発生する可能性に注意する必要がある。スパイ映画ではないが、企業に自ら潜入して不正を働いたり、担当者を買収、恐喝して不正な操作をさせるといったことも現実に危惧されるからだ。とりわけ、国家間の競争や紛争などに際しては、こうしたことも想定されるべきだろう。いざ紛争となった場合に備えて、平時からこうした活動が行われている可能性も否定できないからである。

攻撃の対象は、供給元だけではない。たとえば、物流、倉庫などの企業も攻撃対象になり得る。実際に、最近、中東で紛争に絡んでいる某国は、彼らが「テロリスト」と呼ぶ集団が利用している通信機器の流通過程に入り込み、機器に遠隔操作可能な爆薬を仕掛け、これにより多数の「テロリスト」を殺害している。この国の情報機関は、様々な企業等にも入り込み、日常的に情報収集を行っているという。また、これも、とあるコンファレンスで聞いた話だが、別の某国の情報機関や捜査機関は、捜査対象の組織が使用する通信機器や情報機器の流通過程で、監視のためのバックドアを仕掛けることがあるという。疑心暗鬼になる必要もないが、たとえば、国際的な紛争に巻き込まれた、もしくは巻き込まれる可能性が高い場合には、こうしたことも想定しておくべきだろう。こうした活動は平時に行われることが多い。既に、仕掛けができあがっている可能性も否定できないのだから・・・。だからどうする・・・という一般解が出せないのが辛いのだが、少なくとも安全保障に関わる人たちは、こうしたことを強く意識すべきだろうと思うのである。

またまた本業ネタなのだが、今回は最近（悪い意味で）話題に上がることが多いVPNについてである。VPN（Virtual Private Network : 仮想私設網）とは、インターネットのような公衆ネットワーク上で、専用線による直接接続に近い情報保護を実現する接続方式で、その基本は暗号技術による通信内容の秘匿と改ざん防止である。一般にインターネットVPNと呼ばれているものには、たとえば企業ネットワークの拠点間を専用線イメージで接続する拠点間VPNと、在宅勤務や出張時、社外からPC等のモバイル機器を社内ネットワークに接続するためのモバイルVPNの２種類がある。

VPNを使うことにより、情報の秘密が保証されないインターネットを使いながら、重要な情報を含む通信が行えるため、高価な専用線接続の代替として普及してきた。モバイル機器の接続は、以前は電話回線などを使用したダイヤルアップ接続が中心だったが、通信速度が低速な上に通話料金がかさむことなどから、近年はほぼすべてVPNに移行したと言っていいだろう。

安全な接続・・・とはいえ、問題がないわけではない。インターネットを使う以上、企業ネットワーク間接続やモバイル接続を行うためには、VPN装置という機器をインターネットに接続する必要がある。VPN装置を経由する通信は暗号化され安全が確保されるが、VPN装置そのものはインターネットからアクセスが可能でなければならない。つまり、その時点でインターネット側から機器が攻撃される可能性を排除出来ないことになる。たとえば、企業の拠点間など、それぞれのIPアドレス（インターネット上の番地に相当するもの）が決まっている場合は、それ以外からの通信を排除できるが、どこからでも接続する必要があるモバイルVPNの場合、その制限は難しい。しかし、VPN接続は機器にアクセスが出来れば誰でも可能な訳ではなく、認証という関門が存在する。モバイルVPNの場合は一般のサービス同様にユーザIDとパスワードが使用されることが多い。電子証明書のようなより強固な認証方式や、最近ネットサービスでもよく使われる多要素認証など、侵害されにくい認証方式も多用されるようになっている。

こうしたVPNを侵害するには、大きく二つの方法がある。入り口の関門である「認証」を破るか、VPN装置の欠陥（いわゆる「脆弱性」）を悪用して機器へのアクセスを確保するかのいずれかになる。「認証」には二種類あり、VPN接続を行う（つまり企業ネットワークに入る）ための認証と、もうひとつは機器そのものの管理機能にアクセスするための認証である。拠点間VPNでIPアドレスにより接続が制限されているケースでは、前者は困難と言える。また、管理機能へのアクセスも通常は企業内部のネットワークのみからしかアクセスを許可しないよう設定するため、困難となる。一方、モバイルVPNの場合、前者の認証にはインターネット上から誰でもアクセスが可能なため、他のインターネットサービス同様にパスワードの推測やリスト型攻撃、あるいはフィッシングによるID,パスワードの窃取など、様々なタイプの攻撃が可能になる。これを防ぐには、企業が発行する電子証明書による認証や、ワンタイムパスワードなど追加の認証方式を併用する「多要素認証」を行うのが一般的だ。これも完全ではないが、安直なパスワード設定やパスワードの漏洩に対する有効な保護策となる。後者については、拠点間VPN同様に、企業内からのみアクセスを許可することが一般的だ。脆弱性については、その内容に依存するが、基本は、それが公表された時点で早期に修正版のソフトウエアを導入することだろう。遅くとも１ヶ月以内には修正版を導入したい。（早い場合は、公表時に既に攻撃が始まっているケースもあるが、現実的に更新作業は様々な事情からある程度時間がかかるため、「遅くとも」と言っている。もちろん早いに越したことはない）

これらの対策（IPアドレスによる制限、多要素認証の導入など）は、企業でVPNを使う上での基本中の基本と言えるだろう。

さて、ここからが本題である。実は近年大きな話題になっている有名企業や医療機関などを標的とした「ランサム攻撃」（いわゆる身代金要求型のサイバー攻撃）事例の多くで、このVPN装置を経由した企業ネットワークへの侵入が切り口になっているのである。企業の中には、被害を受けた後にVPNを廃止したところもある。そんなことから、我々のギョーカイの中でも、VPN悪者論が広がりつつあるのだ。VPNにかわるソリューションを売り込もうとする向きもある。しかし、こうした侵害の多くで、先に述べたようなVPN装置の管理が適切に行われていなかった事実にはあまり触れていない。たとえば、１年以上前に明らかになっていた装置（のソフトウエア）の脆弱性を放置していたために、それを攻撃されたケースや、多要素認証を行っていなかったために、漏洩したパスワードを悪用されたケース、本来、機器の保守目的で設置していたVPN装置で、アクセス元を限定出来るにもかかわらず、それを怠っていたケースなどなど、ちょっと信じられない状況がそこにある。少なくとも、私が知る限りでは、VPNを切り口とした侵害では、こうした管理上の問題が必ず存在するのである。

特に罪深いのは、一般企業のVPN導入をサポートしたITベンダである。VPN装置などのネットワーク装置の導入から運用までをアウトソースしている一般企業、組織は少なくない。こうした企業は、顧客から見れば「プロ」なのだから、先に書いたような対策は確実に行うことが出来るはずだ。ところが・・である。実際、行っておらず、悲惨な結果を招いた事例が枚挙にいとまもないのである。いまや、ITのあらゆる分野で、「セキュリティ」は基本的な事項だ。たとえば、ネットワークの専門技術者であれば、ネットワーク関連のセキュリティ知識は不可欠な基礎知識である。侵害された機器を運用、管理していた企業は猛省すべきだ。にもかかわらず、一部ではVPNそのものが悪のように言われていることは、まことに腹立たしい。もし、そんな企業がVPNに代わるソリューションなどを売っていたとしたら、それは酷いマッチポンプだと思うのである。

もちろん、より安全で管理も容易なソリューションそのものを否定するつもりはない。だが、たとえ新しいソリューションを入れても、その管理が杜撰ならば、また同じ事が起きると思うのである。ユーザ側も、もうすこしITベンダを見る目を養った方がいいかもしれない。最低限行うべき事項が行われているかどうかをしっかりとチェックすることが重要だ。運用を「丸投げ」できても、責任は「丸投げ」できないことに気付くべきだろうと思うのである。

たまには本業にからめて、少し真面目なことも書いてみようと思い立った。最近、巷（業界界隈）で耳にすることが多い「ゼロトラスト」という言葉についてである。まず、最初に少し否定的な意見を述べるならば、少なくとも日本では、この言葉はもはやバズワードでしかないと私は考えている。

同じようにバズワード・・・というか、非常に危険な言葉として「性悪説」（のセキュリティ）が挙げられるだろう。この二つは、最近、一部のメディアなどで、重ねた形で扱われている。いわゆる「ゼロトラスト＝性悪説」論である。そもそも、セキュリティの世界に「性悪説」なる悪語がはびこるようになったきっかけは、とある大手のIT企業で内部犯行による大量の個人情報漏洩が発覚した時だと記憶している。経営者が記者会見で「これまでは【性善説】でやっていたが、これからは【性悪説】でセキュリティを考える」などと述べた以降、特に経営層の間でこの言葉が流行り始めた。そもそも、性善説や性悪説という言葉は、孟子や荀子といった中国の哲学者が言った、奥深い意味を持つ言葉なのだが、その本質を考えず、単に「人の善意を（無条件に）信じる」とか「人は本質的に悪だから信じてはいけない」といった短絡的な意味で捉えてしまっているところに問題がある。そもそも性善説は人を無条件に信じろとは言っていないし、人の善の側面を強化するための「導き」つまり教育の必要性と言ったことにも言及している。この言葉を（セキュリティなどの面で）否定的に捉えている人たちは、短絡的に「性善説」＝「善意の盲信」だと思っているようである。だいたい、会社にしろ、社会にしろ、それを構成する人の善意なしでは決して成り立たない。「善良な管理者」無しでは、多くの契約は成り立たないのも衆知の事実だ。それを根底から否定するような言葉は、百害あって一利無しだと思うのである。「悪意」は確かに存在するし、それに備えることは必要だが、それを善意の否定にすり替えてはいけないのだ。

そもそも、昔からセキュリティの世界では、信頼するためには相応の理由が必要だったはずだ。また、それが裏切られる事態も想定して、様々なベストプラクティスが作られてきた。先の経営者氏の発言は、ある意味、「性善説」＝「善意」を言い訳にして、本来あるべきセキュリティ対策が行われていなかったことを正当化（もしくは弁解）しているに過ぎないと思うのだ。だから、最近でもこの言葉を聞く度に私は血圧が上がるのである。

で、話をゼロトラストに戻そう。ゼロトラストの原則は一般に「信頼するな、常に検証せよ」（Do not trust,always verify)と言われる。この言葉が、先の性悪説の誤解と結びついて、「ゼロトラスト＝性悪説」論が出てきたのはある意味必然かもしれない。ただ、このゼロトラストの定義は、単純化されすぎている。もう少し補足するならば「暗黙に信頼せず（もしくは信頼し続けず）適切なタイミングで（再）検証せよ」ということなのだろうと思う。そもそも、これがどうして「ゼロ」トラストという言葉になってしまったのか、ちょっと恨めしく思っているのだが、さておき、これが「新しい考え方」なのかと言えば、私はそうではないと思う。そもそも、昔からセキュリティの世界では「暗黙の信頼」などと言う言葉は存在しない。相応の（検証された）理由があって、初めて信頼が成り立つはずだ。今の対策がもし、そうでなかったとしたら、それは単なる「手抜き」に過ぎないと思うのである。そういう意味で（少なくともバズワード化してしまった）ゼロトラスト論は、「なにを今更・・」と切って捨てたくなるのだ。

さておき、その一方で、ゼロトラストに関しては世界的に様々な取組がある。米国の政府系機関からも、関連して様々なドキュメントが出されている。そこには少なくともバズワードとしての「ゼロトラスト」とは違う「本質」が存在するはずだ。そう思って、いくつかの文書を紐解いてみた。

NIST SP800-207（Zero Trust Architecture）では、ゼロトラストを以下のように定義している。

ゼロトラストは、侵害されたと見なされるネットワーク環境下において、情報システムおよびサービスに対する正確かつ最小権限の要求単位アクセス決定を適用する際の不確実性を最小化するために設計された一連の概念と考え方を提供する。

この定義は、かなり技術的なものだ。ポイントは「侵害されたと見なされるネットワーク環境下」という言葉である。つまり、直接的に脅威に晒されているネットワーク環境、たとえばインターネットは言うに及ばず、既に侵入されてしまった内部ネットワークなどを前提とした対策の考え方だということになる。巷で言われる「ファイアウォールは死んだ」（内部ネットワークも安全ではない）というのは、マルウエアや脆弱性など様々な切り口での「侵入成功」を仮定して、セキュリティ対策を考えるゼロトラストの一面を（過度に？）強調したものだと言える。一方で、これは、ゼロトラスト以前によく言われてきた「事故前提」のセキュリティ対策にも通ずるところがある。こうした事故（侵入成功）前提でのセキュリティ対策は、たとえばCSF（Cyber Security Framework）における、「発見」「対処」フェーズに重点を置かざるを得ないものになる。一旦侵入されてしまえば、「早期発見」「早期対処」「拡大防止」が特に重要となる。一方で、予防対策も既に侵害が発生した前提で、ネットワーク上での不正な活動や横展開を防止する目的で再構成されなければならない。これらを確実かつ迅速に行うことを目的として「ゼロトラストアーキテクチャ」は考えられなければいけない。SP800-207では、ゼロトラストの実装について、以下の「7つの原理」を挙げている。

1. すべてのデータソースとコンピューティングサービスはリソースと見なされる。

2. ネットワーク上の位置に関係なく、すべての通信は保護される。

3. 個々の企業リソースへのアクセスはセッション単位で許可される。

4. リソースへのアクセスは動的ポリシーによって決定される。

5. 企業は所有および関連するすべての資産の完全性とセキュリティ態勢を監視・測定する。

6. すべてのリソース認証と認可は動的に行われ、アクセス許可前に厳格に実施される。

7. 企業は資産、ネットワークインフラ、通信の現状に関する可能な限りの情報を収集し、セキュリティ態勢の改善に活用する。

これらの「原理」は、すべて、これまで行われてきた様々なセキュリティ対策に対して、脅威や状況の変化に対しての迅速な対応（変化、再構成）を求めているのだと私は思う。基本的な対策の道具立ては大きく変わらない。だが、（既に侵害が発生し）変化している状況を早期に発見し、それに対して迅速に対応し、必要に応じてポリシーの見直し等を行う事が求められるのである。

一方、こうしたゼロトラストアーキテクチャの導入には様々な課題がある。既存の組織が導入するには多くの障害があり、段階的な導入がかかせない。ゼロトラストは特定のソリューション導入では完結しない。むしろ、特定のソリューションに依存しすぎず、必要があれば、より良いソリューションに置き換えることを前提に、それを容易に実現出来るアーキテクチャの確立というのが完成形なのだと私は考える。状況に変化があり、対応する必要が生じた時に、それに適するソリューションがあった場合に、それを（セキュリティシステム全体への影響を最小限にして）速やかに導入できるような（少なくとも技術的な）枠組みを考えておくことこそ重要なのだろうと思うのである。

CISAのZerotrust Maturity Modelでは、ゼロトラストを考えるために、セキュリティ対策を5つの柱に分類している。

ゼロトラスト：5つの柱
・アイデンティティ
・デバイス
・ネットワーク
・アプリケーションとワークロード
・データ

これらのそれぞれについて、以下の4段階の成熟度が定義されている。

ゼロトラスト成熟度
レベル1．従来型セキュリティ
レベル2．ZT初期実装
レベル3．ZT高度実装
レベル4．最適化されたZT実装

見るとわかるように、従来型の（脅威の変化に余り融通がきかない）セキュリティから、段階的にゼロトラストに移行していく道筋が示されている。レベル4の「最適化された」とは、脅威の変化に対して最も迅速に対応出来る、ゼロトラストの完成形である。このドキュメントでは、それぞれの柱ごとに、各成熟度の段階での実装指針が示されているのだが、成熟度が上がるにつれて、「動的」「自動化」「統合」といった言葉が増え、変化への追従速度や「発見」から「対処」の自動化による迅速化などが要求される。

こうした文書から見えてくるのは、ゼロトラストが、「変化していく脅威への追従速度」を重視しているということだ。たとえば、認証といった切り口では、認証を通過したユーザの挙動をモニタリングし、ハイリスクな挙動があれば、その時点で再認証や追加認証を要求するというようなやり方である。私はこれが「ゼロトラスト」の本質だろうと思っている。たとえば、マルウエア対策の切り口では、ウイルス対策ソフトを入り口の関門として、それを通過した後も挙動をモニタし、不審な動きがあれば検知し、必要があれば自動的にブロック、無害化出来るEDRのようなソリューションが、その道具立てになる。一方で、こうしたソリューションは単なる道具に過ぎない。セキュリティ対策、とりわけソリューションの導入にはコストがかかる。現実問題として、最適なソリューションを入れられないことも少なくない。だが、こうしたゼロトラストの本質を認識し、たとえば、既存の枠組みの中でポリシー変更等によって次善の策を講じることも可能だろう。また適切なリスク評価のもとで、ハイリスクの部分により多くのリソースや資金を配分するというリスクベースの考え方は、ゼロトラストの実装において特に重要となると私は考えるのである。

昨年、とある海外コンファレンスで、ハワイにある医療NPOが、限られた資金のもとで、ゼロトラストを実装した経験を聞いた。行われた実装は、まさにゼロトラストの本質を捉えたものだった。ゼロトラストとは、脅威や状況の変化に対して組織のセキュリティを柔軟かつ迅速に対応させる（セキュリティのアジリティー向上の）ための考え方である。これが、私の出した結論だ。

昨日、今日と引き続きISC2 Security Congress 2025に参加。昨日は不覚にも朝寝坊して朝食とキーノートをミスるという失態。目覚ましをかけ忘れたのが失敗。仕方が無いので、シャワーを浴びてから、次のセッションへ向かう。

午前の最初のブレークアウトは、ランサムウエアのインシデント対応の話。参加者に対処を尋ねながら進めるという方法は私が某セミナーでやったのと似ている。ただ、前提となるランサムウエアは従来型の暗号化だけを行うタイプで横展開もなし。感染経路がメールという設定。これは、ちょっと物足りない。よくある二重恐喝型で、VPNサーバ経由とか、ADを介して横展開するとかの設定がほしかった。午前の二つ目はAIを使った攻撃に対してゼロトラストの考え方で対処するという話。サイバーキルチェーンの各ステップにおけるAIの使われ方のパターンに対してゼロトラストを基本とした対策がどのように効果をもたらすかという流れでの話だが、これは1時間ではなかなか難しい。守る側もAIを上手く使わないと追いつかないよ、という話なのだがもう少し具体論が欲しかった。

で、昼飯を喰い、午後のタウンホールをパスして部屋で寝ていたら、また熟睡してしまう。結局、その日の午後のセッションは最後のひとつを途中から聞いただけ。CPE的にはゼロになってしまったのがもったいない。午後の最後のセッションは無線系の攻撃に関するもの。最近、この種のセッションは減っているのだが、スピーカーがそっち系のベンダーな人だったこともあって、いくつかの典型的な攻撃手法を紹介してくれた。興味深かったのは、クレデンシャルを盗めても表玄関は多要素認証で守られているので、隣のビルから無線LANにアクセスして内部から攻めるという手法。無線LANの認証が同じクレデンシャルだったらアウトである。そこは、証明書などでデバイスを縛ってほしいところだが、そうした実装ができていない組織も少なくない。他にも、ドローンに偽APを積んで飛ばすとか、普通に出来そうだから怖い。無線系のセキュリティはもう一度、ゼロトラストベースで見直すべきだろう。

夜は展示会場でレセプション。晩飯代を浮かす。（笑）いや、このところ円安が酷いので晩飯代もバカにならないのである。

で、今朝は同じ轍を踏まぬように目覚ましをかけて寝たのだが、夜中にちょっといやな夢を見て、結局、目覚ましの前に起床。とりあえず会場で朝飯を食う。

今日が最終日。今夜はダウンタウンに移動するので、朝のうちにチェックアウトし荷物をクロークに預けてから午前中の講演を聴く。

朝のキーノートは元ワシントンポスト紙の記者で調査ジャーナリストな人の講演。ジャーナリストとして見てきた様々な事件を引き合いに出しながら、AIの登場が今後そうした攻撃、インシデントをどのように変えていくだろうかという話。内容が盛りだくさんでちょっとついていくのが大変だったので、後で録画でも見て、もう一度おさらいしたいところだ。（ハイブリッド開催なので、後で録画が公開されることを期待しよう。）午前中にブレークアウトセッションが二つあり、それで閉会となる。最初のセッションは、APT関連。最近のAPT（つまり、どこかの国の政府の息がかかったハッカー集団）の動向や使われる技術について簡潔にまとめてくれていた。対策の切り口も述べられていたが、要するに手強い相手には臨機応変かつ階層的に対処せよ・・ということにほかならないような気がした。（苦笑）少なくとも弱点があれば必ず狙われるから、どうやって弱点、つまりAttack Surfaceを小さくするかを考え、加えて抜けてきた攻撃をどのように見つけて対処するかということなのだが、これも一筋縄ではいかない。攻撃に要する時間もどんどん短くなっているので、対処もリアルタイムで行わないと間に合わない。AIを応用したソリューションは有望だが、それをうまく使いこなす技量が必要だろう。相手に応じたシナリオを用意して、演習を繰り返すしかなさそうだ。

最後のセッションは、ハワイのNPO法人が少ないリソースと予算で、どのようにゼロトラストを実装したかという話。これは非常に興味深い。日本では「ゼロトラスト」が完全にバズワード化していて、「ゼロトラスト」＝「お高いソリューションの導入」みたいになってしまっているのだけど、本来「ゼロトラスト」はセキュリティの戦略であって製品やソリューションはその助けにしかならない。逆に、そうしたソリューションなしでも、ゼロトラストをベースにしたセキュリティは構築できる。徹底したクラウド化（オンプレのサーバ廃止）で運用を簡素化しつつ、要所要所で必要なセキュリティを構築するという非常に興味深い話だった。

そんな感じでイベントは終了。ダウンタウンのホテルのチェックインまで時間があるので、しばらく歩いたり、ロビーで座ったりして時間を潰す。午後2時半にUberでダウンタウンのホテルへ。幸い部屋に入れたので、ちょっと昼寝して、日が傾いた頃に街に出てみた。

前回来た時は風邪をこじらせて殆ど出歩けなかったので、とりあえず晩飯の場所を探しながら、メインストリートであるブロードウェイを歩いてみた。通り沿いは店から聞こえるバンドの音楽で溢れている。まさに、アメリカンな雰囲気。ニューオーリンズなどとはまた違った空気である。店もカジュアルな感じが多く、食い物も結構ジャンクな感じである。なかなかいい感じの店がなくてしばらく歩き回る。空にはこんな感じの半月。

ここで落ち着いた感じの店を探すのは難しそうなので、とりあえず、あまり騒がしくなさそうな店を探すことにする。

結局、バンドのライブがない店を探して入り、こんなものを喰う。いやはや、まさにアメリカンなジャンクフードである。

本当はステーキとか喰いたかったのだけど、残念ながら選択肢は限られていて、結果、これが一番マシなチョイスだった次第。流石に全部は食い切れず、ポテトは大半を残す事になった。まぁ、それもアメリカである。しかし、今頃になってちょっと胸焼けしている。明日はもうちょっとマシな食い物が食える店を探そう。

日が暮れると一気に気温が下がる。どちらかというと南寄りの地域なのだが、この時間で気温は10℃。昼間も20℃を切っていたから上着がないと寒い。とりあえずフリースを一枚羽織ってどうにか・・という感じである。一昨年みたいに風邪をひくと最悪なので気をつけよう。

そんな感じで明日は一日フリー。天気も良さそうなので、少しナッシュビルを散策してみようと思っている。

昨夜は11時半過ぎにホテルに到着。即沈没して一夜明け・・・。今日からISC2 Security Congress 2025に参加である。会場は一昨年と同じホテル。中に大きなアトリウムがある。時期的にはまったく同じなのだけれど、今回は気が早いクリスマスの飾り付け。前回は時期的にハロウィーンモードだったのだが、なぜだろうか。

こちらが会場のコンベンションセンター。とりあえず、早朝にバッジをピックアップして、会場で朝食。一度部屋に戻って8時前に再度会場へ向かい、オープニングと最初のキーノートを聴く。

スピーカーはGoogleな人。Googleの巨大かつ複雑なシステムのセキュリティをどのように維持しているかという話。創業時から屋上屋を重ねるように拡大したシステムのバラバラなセキュリティを統合した苦労話など。そのキーワードは「工業化」。すべてのネットワーク、システム基盤、アプリケーションについて、必要なセキュリティ要素を規格化（部品化）して、機械的に組み込む事で、システムが巨大化しても追随できるセキュリティを実現したとか。そうすることで、最新のセキュリティをシステムを大変更することなく導入できるようにもなったと言う。しかし、言うは易しで、そうした根本的な発想の転換はGoogleだから出来たような気もする。工業化という言葉は、前世紀に某通産省が唱えて大失敗した「ソフトウエアの工業化」を思い出させるのだが、重要な部分をコンポーネント化しつつ、上物も含めて常に最新の技術を取り込んで行くスピード（アジリティー）をさらに上げようという発想は当時は全くなかった話だ。アジリティーを損なわず、かつスケーラブルなセキュリティを実現する、というある意味理想的な形だから、本当にそうなっているのだとしたら、その発想と実現した技術力を賞賛すべきだろう。

そこから、午前中にブレークアウトセッションをふたつ。ランサム攻撃のような会社を揺るがすインシデント対応に何故失敗するのか、という話とか、SOCのあり方を考え直す話とか。会社の業務が止まってしまうようなワーストケースのシナリオを前提にきちんと机上演習をやって問題点を洗い出せ・・・という話なのだが、それもセキュリティ部門だけでなく、全社的な枠組みでやらないと意味が無い。実際、そうした事態でセキュリティ部門ができることなんか、ごく僅かだ。全社を挙げて対処する練習をしておかないと、重大なインシデントに直面した際に身動きが取れなくなる。しかし、そもそも縦割りのきつい会社には難しい。旧態依然たる日本の大企業には特に難しいのだが、このところ頻発しているランサムによる業務停止が長引く原因はまさにそのあたりにあるから、そろそろ皆気がついてもよさそうなところだが・・・。「うちは大丈夫」なんて言える会社はないのだから、万一の場合に備えて全社対応の演習を、トップダウンで考えるべき時代なのだろうと思う。そういう事態を想像できない（したくない）経営者にはそろそろご退場願いたいところである。

昼飯を挟んで午後もいくつかのセッションを聴いたのだが、次第に眠気がきつくなってくる。昼休みと、午後の展示会見学時間は部屋に戻って仮眠する。会場から部屋までそこそこ距離があるので、今日はそれだけで軽く1万歩を越えた。（笑）夕方は、ナッシュビルのダウンタウンで交流イベントがあったのだが、夜に日本との打ち合わせがあったのでパスしてホテルで晩飯。

日が暮れたアトリウムはイルミネーションが綺麗だ。晩飯はとりあえず肉。（笑）

で、部屋に戻って1時間ほど日本とリモート会議。例によってどこに居ようが関係ない。（苦笑）こちらの午後9時は日本の午前11時（翌日）である。流石に、午後の打ち合わせはきついので、午前中にリスケして貰った。そんな感じのナッシュビル初日（昨日はノーカンで）、明日も引き続きコンファレンス参加である。