このブログは「風見鶏」が、日々気づいたこと、思ったこと、したことを気ままに綴る日記です。旧ブログがシステムトラブルのため更新できなくなってしまったため、2023年10月に再構築しました。過去の記事は、こちら から参照できます。なお、ここに書いていることは、あくまで個人的な思いであり、いかなる組織をも代表、代弁するものではありませんし、無関係ですので念のため。 下のバナー画像は季節ごとに変えていますが、ブラウザによってはキャッシュされてしまって変わらないことがあるようです。季節外れの画像が表示されていた場合は、ブラウザのキャッシュをクリアしてみてください。

サイバーセキュリティの最近の記事

この三連休、土曜と日曜はあいにくの天気。それでも昨日、秋分の日の振り替え休日は、朝から青空が広がった。

その分、気温は一気に下がって、室内でも20℃を切るようになって、もう半袖は無理。半袖どころか、薄手の長袖でも、ちょっとすーすーする。

外は、さらに寒くて、頑張って歩かないと寒いくらい。秋を通り越して、一気に冬の入り口まで来た感じである。9月も下旬。まぁ、これが例年の状態なのかもしれないが、変化が急すぎて身体がついていかないので、風邪とかひかないように気をつけないといけない。

まぁ、寒いのを除けば、青空の下の散歩は気持ちがいい。浅間山もすっきり全部見えるのはいい。

連休で遊びに来ている人たちも、どうにか最終日は晴れて、楽しめそうだ。まぁ、半居住状態の私には連休は混雑するから辛いのだが・・・。そんな感じで久しぶりに朝の散歩も気合が入るのである。

昨日は、午後になってまたちょっと不安定な空模様になり、夜は雨がぱらついた。一夜明けた今日も、いまひとついすっきりしない天気。気温もさらに下がって、外は朝8時頃でこの気温である。

散歩に出かけたら、少し雨が降ってきたので、早めに切り上げて帰る。連休明けの今日は、午前中2件、午後3件の打ち合わせがあって大忙し。気がついたらもうあたりが暗くなっている。そういえば、昨日、少し時間があったので、以前一度立ち上げたものの、不調で停止していた攻撃監視用のハニーポット(攻撃対象を装ってサイバー攻撃を受け、その状況を監視するためのツール:クマ寄せの蜜壺にちなんだ名前)を再構築してみた。T-Potという複数のハニーポットをパッケージにしたようなオープンソースのシステムなのだが、これがなかなかよく出来ていて、kibanaを使ったダッシュボードは、様々な状況をうまく可視化してくれる。スキャンや攻撃の状況をリアルタイムにマップで表示してくれるので、見ているだけでも結構楽しい。(もちろん侵害されないという前提なのだが・・・(笑))時折、特定の国のIPアドレスから集中的な攻撃が発生するのは、ある意味日常茶飯事なのだが、それが見えていると、守る側としては気持ちが引き締まるのである。こうした攻撃は、その多くがいわゆる踏み台からのものなので、発信元の国に実際の攻撃者がいないことのほうが多い。多いのが、東欧圏のルーマニアやブルガリアあたり、欧州ではフランスあたり、米国からもかなりの数が来る。ブラジルからは、DoS攻撃とおぼしきものが集中的に飛んで来るのだが、どうやら元凶はマルウエア感染(いわゆるボット)のようだ。リアルでキナくさくなっているロシア方面とか中東方面からの攻撃はほとんどないのだが、まぁ、特にそういう状況化で、自国から直接何かをするというリスクはとらないだろうなと思いつつ、もしかしたら、全パワーを実際の敵国に振り向けているのかもしれないな、などと妄想している。

さておき、夜になってまた冷えてきた。足元が寒いので、小さなパネルヒーターを引っ張り出したのだが、これ以上冷えるようだと、本格的に暖房器具を出してこないといけなくなりそうだ。明後日くらいに一度横浜に戻ろうと思っているのだが、次に来る時には、そろそろ冬物を用意しないといけないかもしれない。

オースティンに入って3日目、そしてGRC Conferenceの二日目である。昨夜はノドの状態が少し悪化。鼻づまりも出て、なかなか眠れず。例によって夏風邪をもらってしまったらしい。今朝は7時過ぎに起床して8時前に宿を出た。

朝のキーノートは元NSAで、アクティブディフェンスに携わっていた女性。最近日本でも話題に上がる能動的サイバー防御なのだが、こちらは先制攻撃を躊躇せずにかけていくので、本質的に異なる。平時は主に情報戦であり、敵は中国、ロシア、イラン、北朝鮮といったあたり。中でも節操がない北朝鮮は頭痛の種だったらしい。金目当ての金融機関や暗号資産への攻撃は有名である。そうした国を相手に回すのだから、こちらもそれなりの人材を揃えないといけない。しかし、そういう連中に限って、組織の枠に押し込めるのは難しい。そんな「ヲタク」たちを管理するのも仕事だったらしい。出勤してきたら、ますシャワーを浴びさせるとか、結構笑える。そんな感じで、結構生々し話を聴くことができた。実際、きれい事は通用しない世界のようである。日本の国家機関では、まず無理な形だろう。

昨日は途中でちょっとサボってしまったのだが、今日はとりあえずフルで会場に詰めて話を聴いた。今年もAI系のセッションが多いのだが、去年に比べると、より具体的な応用例が覆うなっているように思える。やはり、彼らはAIを使いこなせるかどうか(使えるかどうかをみきわめることが、自分たちの命運を分けると考えているようだ。

今日の最後は「ゼロトラスト」の実装に関する話。この言葉が単なるバズワードと化してしまっている日本ではなかなか聴けない話だが、マイクロソフトのオンプレ、クラウドのソリューションを使った実装がの話がなかなか面白かった。実際、MS365やDefender関連のサービスは私も少し使ってみてはいるのだが、全体を俯瞰してみると、必要な機能がひととおおり揃っていて、それを一元管理出来る枠組みがあるのがなかなかすごいのである。まぁ、例によって独禁法の訴訟とか起こされそうな懸念はあるのだが、そもそもセキュリティ対策の多くはOSなどのプラッタフォーマーが実装すべきものである。彼らが当初、それをサボっていたから、アンチウイルス業界みたいなものができあがってしまったわけだ。マイクロソフトの動きを見ていると、そうした状況を巻き戻そうとしているようにも見えるのだが、今となっては軋轢を生むことは必至だろう。さておき、使う側からすれば、ワンストップですべて揃うのは魅力的である。

そんな感じで今日は終わって、宿に帰る途中、薬局によってコロナの検査キットを買ってきた。たぶん風邪だと思うもものの、一応確認しておかないと、帰国後に面倒だ。ということで、宿に帰って早速検査する。

結果は、見ての通りの「シロ」判定。まずは、これでひと安心である。とりあえず腹も空いたのでホテルのロビーにあるバーで軽く食事をする。

テキサス地物のIPAと白ワインなどを飲みながら、クラブケーキを食って今日の晩飯は終わり。

さて、明日はGRCの最終日。午前中にクロージングのキーノートがあって、それで終わりである。天気が良くて体調がよければ、午後から少し市内を散策してみようかと思っている。そんな感じで、今回の高飛びも大詰めである。

今日はDEFCON最終日。昨夜からちょっとノドの調子が良くなかったのだが、今朝起きたら、声がかすれている。なぜか、このところアメリカでたちの悪い風邪を貰って帰ることが多いので、ちょっと嫌な感じである。とりあえず、様子見で、ホテルをチェック疎し、荷物を預けてから、少し遅めに会場へ。

今日も、相変わらずの暑さ。一方、会場の中は寒いくらい。たぶん、これが風邪をひいた理由だろう。昨日、一昨日と会場では上着を一枚はおっていたのだが、下は短パンのままだったので、それが悪かったのかもしれない。

今日は昼過ぎでほぼ終わりになってしまうので、Windowsに不正なドライバを組み込む話を聴いて、今回のDEFCONは終了となる。小腹が空いたので軽い物を食いながら、会場で少し時間調整。会場からみた、The Sphereが面白い。

午後2時前に会場を出て、また融けそうになりながら、モノレールの駅まで歩く。

この景色を見るのはまた少し先になりそう。10月にまた来るのだが、イベント会場がシーザースパレスなので、ここまでは来ないだろう。1月のCESにも久しぶりに来たいのだけど、来たら、そのときはまたここに来ることにんなる。

さて、あとは、ホテルに預けた荷物を受け取って、空港へ向かうだけなのだが、とりあえず、ホテル近くのコンビニ薬局でマスクを調達。念のため4しておくことにする。コロンの検査キットも欲しかったのだが、売っていなかったのであきらめた。まぁ、熱もないしいめのところノドの痛みだけなので・・・。

午後3時半に予約してあったUberで空港へ。セキュリティもそれほど混んでおらず、30分ほどでゲートについてしまったので、しばらく時間を潰す。残念ながら、ラスベガス空港にデルタのラウンジはないのである。こんなメジャーな観光地なのだから早くいいのだが・・・。オースティン(テキサス)行きの搭乗は定刻に始まったが、荷物の積み込みに手間取って出発が遅れ、さらに、離陸待ちの行列に捕まって、また時間を食う。トータルで30分以上遅れてラスベガスを離陸した。

夕方の3時間弱のフライトなので、晩飯が出る。キノコのラビオリである。デザートのチョコケーキがめちゃくちゃ甘かったのだが、思わず完食してしまった。(血糖値が・・・・)

こんなことをしている間にオースティンに到着。タイムゾーンが西海岸(太平洋時間)から中部時間に変わるので、2時間余計に時計が進む。到着したら、午後11時前になっていた。とりあえず、ホテルまでUberで移動して、今日はこここまで。このホテル、同じ系列のホテルはアムステルダムで泊まったことがある。部屋は狭くて日本のビジネスホテルくらいだが、綺麗な部屋でベッドは広い。値段も安め。部屋のあれこれをタブレットでコントロールできるのが面白い。

さて、明日からはISACAのGRC Conferenceである。

今朝も快晴のラスベガス。DEFCON2日目は、ちょっと遅れて参戦。

今朝も朝から熱波のラスベガス。モノレールを降りてから、会場までの炎天下を歩く間に身体がこんがりと焼き上がってしまいそうである。

とりあえず、今日はこんな話などを聴く。

バッファオーバフローなどのバイナリレベルの攻撃と、OSレベルでの対策とその回避策の変遷をまとめたセッション。バッファオーバフロー対策としてのDEP(データ実行防御)あたりから始まって、ASLRや最近のプロセスレベルの実行制限手法までの流れと、その回避策との間の戦いを解説したもので、ここ20年から25年ほどの流れを知るにはいいセッションだったと思う。様々な対策がとられて、(もちろんそれを有効に使えている前提で)バイナリレベルの攻撃の難度は極めて高くなったが、それでも全く不可能になった訳ではない。対策の裏を掻くような攻撃を思い付く頭のいい奴らは少なからずいるし、なによりそういう連中が作った攻撃コードが売り買いされて広く流通してしまうのだから、こうした追いかけっこは、まだ当分続くのだろう。

こういう話を聴いていると、最近そのような世界から遠ざかっていることを実感する。OSのコードを一生懸命読んでいた時代にはもう戻れないが、たまにはこういう刺激があってもいいなと思うのである。

DEFCONはそうしたコンピュータの攻撃手法だけでなく、伝統的に、物理的な攻撃手法やソーシャルエンジニアリングも取り扱うイベントだ。この「ロックピッキング村」では、様々な鍵開け技術に関する実演やコンテスト、講演などが行われている。

今日も午後はちょっと眠気がきつくなってきたので、早々に撤収を決め込んだのだが、会場からモノレール駅までの歩道はヒーターのように焼けていて、下から火であぶられているような感じである。上からは日差し、前からは熱風、下からは熱気と赤外線で、まるでオーブンのなかで焼かれている感じである。そんななかを歩いていて不思議と汗をかかない。たぶん、水分がすぐに蒸発してしまうからだろう。逆に建物に入った瞬間に汗が吹き出してくるのである。

例によって宿に帰って、しばらく昼寝をする。それから、また夕方に食事をかねて出かけたのだが、この時間でも路面からの熱気はものすごい。

少し大気が不安定化しているのか、入道雲や、変わった形の雲が浮かんでいる。この雲はまるで人の顔のようだ。

今日も移動はモノレールを使って、フラミンゴあたりまで行って見た。観覧車に続くフラミンゴ脇の路地は所々にミストが吹き出しているので、ちょとだけ涼しい感じ。シーフード系とかの店を探しながら歩いたのだが、目に付くのはステーキハウスとか重たいものばかり。できるだけ、ホテルなど施設の中を抜けて歩くのだが、外に出ると、暑さでくらくらする。ミラージュの前辺りまで歩いて、そこから道の反対側へ折り返す。ちなみに、ミラージュは工事中、なにやら取り壊しているような雰囲気で、名物の「火山」がどうなるのかちょっと気になるところだ。

そこから、シーザースパレスの脇のフォーラムモールに入って、そのなかでレストランを探す。入ったところの3階に寿司屋があったので、とりあえず入ってみた。前菜に野菜天ぷらの盛り合わせと一番搾りをたのむ。

天ぷらは、いい感じでからっと揚がっていて、合格点。さて、寿司は?と、ちょっと高い方の盛り合わせを注文してみた。

これも悪くない。少なくとも食べていて違和感がない、ちゃんとした寿司である。(米国の寿司屋では重要なポイント(笑))これならば、また来てもいいなと思いつつ店を出た。ラスベガスは10月にまた来る予定なのだが、その時にまた来てみるのもいいいかもしれない。そこからフォーラムモールの中を歩いてシーザースパレスに抜ける。

シーザースパレスから外に出てみると、あたりはだいぶ暗くなって、気温も多少下がった感じになっていた。

さて、どうしようか・・・と思ったのだが、今回バスの乗車券は買っていない。モノレールの駅は遠いので、いつもの噴水ショーや夜景を見ながら、ぼちぼち歩いて帰ることにした。

ホテルまで帰ってきた頃にはすっかり日が暮れて暗くなっていた。歩数は今日も2万歩越え。流石に疲れたので、売店で水と一緒にアイスクリームを買ってしまう。まぁ、これだけ運動したのだから、ご褒美があってもいい。(笑)

さて、明日はDEFCON最終日。朝ホテルをチェックアウトしてから荷物を預けて会場に向かい、3時頃には戻ってきて空港へ。夕方の便で、次の目的地、テキサスのオースティンへ向かう予定である。

猛暑につき・・・

| コメント(0) | トラックバック(0)

梅雨明け宣言から、さらに気温が上がった横浜方面。エアコンがきいた室内から出ようという気がまったくしない不健康な生活である。

外をあるいていると、くらくらしてしまうので、散歩に出ても長くは続かない。一方で、エアコンが効いた室内にこもっていると、いつまでたっても暑さに身体が慣れないという悪循環である。

そんなわけで、日曜日にはまた別宅へ避難することにした。しかし、移動途中、埼玉県、群馬県内は38℃、横川SAでも35℃、軽井沢でも30℃となかなか気温が下がらない。別宅周辺でも昼間は30℃近くまで上がって、部屋の中はかなり暑い。エアコンがないので、扇風機でしのいでいる。夜になると、ぐっと気温が下がるのだが、日が昇るとどんどん気温が上がるという繰り返しである。

去年も夏場はそれなりに気温が上がったのだけれど、今年はさらに暑い。風があまりないのも一因かもしれない。

下界の猫たちに比べればマシかもしれないが、こいつら毛玉には辛い季節だろう。

このあたりにも結構猫がいるのだが、警戒心が強くてなかなか近づけない。一匹くらいは手懐けたいところなのだが、なかなかうまくいかないのである。

昼間暑いと、夕方から夜にかけて雨になったりする。昨日は一日中、オンラインのセミナー講師で、結構疲れたのだが、昼間は扇風機全開。カメラにうつらない下の方は、当然、短パンである。午後5時に終わった直後に、ざっと雨が降り出した。雨は夜~朝にかけて断続的に降って、9時頃には一旦上がったのだが、天気予報によれば、これから一週間くらいは不安定な天気が続くようである。

そう言えば、先週発生した世界的なWindowsブルースクリーン騒ぎ(死のブルースクリーン:Blue Screen of Death/BSODなどと呼ばれている奴)。CrowdStrike社のセキュリティソフトが原因ということだが、航空会社などが大きな影響を受けて、まだ後遺症が残っている。さて、この後始末がどのようになるのかが気になるところだが、品質管理の問題だけに矮小化しない方がいいのかもしれない。ソフトウエアのバグをゼロにすることは困難な一方で、セキュリティソフトのような高い権限で動くソフトウエアの不具合は、今回のようにシステム全体の停止を招く場合がある。ソフトウエアのベンダーに一義的な責任があるものの、万一このような不具合が発生した場合に、OS側での保護策も考えておくべきだろう。たとえば、不具合の原因になったソフトウエアを自動的にパージするような仕組みである。マイクロソフトでも、Officeなどのサードパーティープラグインが悪さをすると、停止させてしまうような機能は(あまり評判はよくないが・・・)実装されている。OSレベルとなると、簡単には行かなさそうだが、全体が影響を受けるという点では、むしろ、こちらの方が重要かもしれない。マイクロソフト(に限らず、すべてのOSベンダー)は、こうした高い権限をサードパーティーに開放することの是非と、開放する場合の保護策を再考してほしいと思うのである。今回はバグのようだが、たとえば内部者の悪意や、ソフトウエアベンダーが侵害を受けたケース等、より深刻な事態も想定できるからだ。

さて、今日は一日、別宅まわりのあれこれ。雨のあいまに周囲の草刈りなど。運動不足解消のため、夕方、小一時間歩いて、どうにか今日は一万歩を達成した。雨が降ったり暑かったりで、このところ運動量がかなり下がっているので、要注意である。さて、そんな感じで、しばらく別宅避暑モードが続く。

11月最終日の寒波

| コメント(0) | トラックバック(0)

今朝は青空が見えるものの、かなり冷え込んで小雪が舞う状況。

一昨日は終日オンラインセミナーで講師を務めたのだが、テーマはインシデント対応。マルウエア感染とかWeb改ざんとか、いくつかのシナリオをもとに状況設定して参加者に対応を問い、解説して、次の状況設定・・・という感じで、ちょっと演習っぽい感じのシミュレーションである。対応を問うのは、Webベースのアンケートシステム(MS Forms)を活用したのだけれど、これはなかなか使える。リアルタイムで回答を表示しながら進めていけるのが面白い。段階的に事態を進展させながら進めていくのだが、ゆっくりと解説していると、結構時間がかかる。前回は時間オーバーで二つ目のシナリオがほとんどできなかったのだが、今回は午前中から一部始めたのでどうにかうまく終わることができた。まだまだ改善点はあるので次回はもう少し中身をブラッシュアップしたいところだ。ちなみに、参加者を変えて、年内にあと2回やる予定である。

昨日は打ち合わせが3つ。あとは書き物仕事をする。そろそろ温泉が恋しくなったので、さて、どこへ行こうか思案していたのだが、結局行きそびれて、初めて別宅の風呂を稼働する。先日掃除などをすませていたので、既に使える状態になっていたのだが、実際使って見ると、大きな問題は無い。シャワーの温度調整(お湯と水の混ぜ具合)がかなりシビアだったのだが、これはお湯の温度を湯船用に高くしたままだったからで、お湯を張ってしまえば、あとはシャワーで使える温度に設定してしまえば問題なさそうだ。これから寒くなる冬場、出不精になりそうなので、別宅の風呂は有り難い。

今日は打ち合わせが昼前に一件あっただけで、あとは資料作りに充てる。このところ暖房をかけっぱなしなので、灯油の消費量がかなり激しい。この前20リッターポリタンク2本分を買ってきたのに、既に一本を使い切ってしまい、今日、また一本買ってきた。一週間で2本軽く消費する感じである。これは、買い出し帰りに見た浅間山。もうすっかり雪化粧が定着している。

帰って、また書き物をしていたら、もう日が暮れた。どんどん日が短くなっていく。既に午後5時で真っ暗。冬至まで一月を切ったから、これからが一番夜が長い時期である。冬至と言えば明日からもう12月・・・あっという間に今年も師走に突入である。夕方の買い物から帰ってきたら、車の外気温計が氷点下になっていた。試しに温度計付きの時計を玄関のベランダに置いておいたら、9時半過ぎにマイナス3℃である。

空にはかけ始めた月が冷たく光っている。

今夜はかなり冷えそうだ。水道の凍結防止ヒーターを入れて、室温が下がりすぎないように、夜通し弱く暖房を入れておくことにしよう。この時期としては、これが普通なのだろうが、今年は異常に暖かい状態が続いただけに、身体が慣れるまで風邪など引かないように気をつけたいところである。

いよいよ最終日。朝、ホテルをチェックアウトし、荷物を持って会場へ。会場で荷物を預けて朝食を取り、それから朝のキーノートへ。キーノートはソーシャルエンジニアリングの話。実際、サイバー攻撃の切り口の9割が「人」(ヒューマンファクター)だという最近、「将を射んと欲すれば・・」ではないが、「先ず人を・」ということらしい。話者はそのスジの有名人らしいのだが、いやはやめちゃくちゃ早口なうえに、ちょっとアクセントが違っていて、なかなか聞き取れない。大筋で言っていることは分かるが、細部が聞き取れないので、ちょっと厳しかった。こころの中で、「いやいや、あなたがどれだけ優秀なソーシャルエンジニアだったとしても、私は絶対に欺されない自信があるぞ。だって、あなたが言っていることが聞き取れないのだがら・・・」などとうそぶいてみたり。

それから、ブレークアウトで、ダークウエブの話とか、またAI関連の話とか。ダークウェブの話は、これまでだいたい聴いたような話のおさらい。AIについては、AIの問題点とそれに関連した規制の話など。規制に関していえば、EUが prescriptive な、つまり、出来るだけあらかじめ細部を決めようとする方向なのに対し、USは、どちらかといえば descriptive な、つまり、まずは大きな方向性を決めようという方法で、かなり違いがあるとのこと。EUは、家電製品やIT機器等に適用されているCEマークのようなものを考えているようで、認証の基準としては、現在最終ドラフトが検討されているISO/IEC42001が、ひとつの候補のようだ。いずれにせよ、こうしたルール作りは、現実の技術の進歩に比べて5年ほど遅れているのではないかとの話だった。我が国の政府も、国際的なルール作りを主導したいと鼻息だけは荒いが、さて、先行しつつあるEUやUSを相手に、その両方の考え方の違いを調整して主導出来るだけの力が日本にあるとは正直思えない。結局、両にらみで動きがとれなくなり、国内の法整備が遅れる・・・なんてことにならなければいいのだが。

クロージングのキーノートは、タイの洞窟で遭難した子供たちの救助に携わったオーストラリアの医師の話。水が流れ込んで洞窟の奥に取り残された子供たちを救出する一部始終を語ってくれた。一刻を争う中で、二次被害を避けつつ救助を進めるプロセスは、インシデント対応などにも通じるものがある。様々な国の人たちが集まった混成チームのなかでも、きちんとコミュニケーションが維持されていたのが驚きだ。そういう意味でも非常に興味深い講演だった。

さて、そんな感じでイベントは終了。二時半にUberを予約してあったので、それでダウンタウンのホテルに移動することにしていたのだが、このあたりからちょっと体調が悪化する。朝から、少し風邪っぽい感じではあったのだが、ここにきて少し熱も出てきたようだ。ダウンタウンのホテルに移ってからも、調子は良くならず、薬を飲んで早めに寝ることにした。

今朝になって、状況は多少改善したかに見えたのだが、少し動くとまた熱が上がるといった感じで、結局、今日も夕方まで部屋で寝ていた次第。それほど高熱でもないので、普通の風邪だろうと思うのだが、会場の部屋のエアコンが効きすぎていたのが災いしたかもしれない。夕方になって、多少マシになったので、少し街に出てみた

メインストリートのブロードウエイあたりは、多くの人でごったがえしている。流石に人気の観光地。道沿いの店からは大音響の音楽。ニューオーリンズあたりとはまたちがった、極めてアメリカンな雰囲気の街である。

人混みを歩いていたらまた少し具合が悪くなってきたので、さっさと撤収することにした。帰りがけにコンビニで、また風邪薬を調達。ホテルの売店でフルーツを買って、それと、朝の残りのラップで晩飯にする。

さて、明日は朝4時起きでホテルを出て、空港に向かう。7時過ぎの便でアトランタへ飛んで、そこで羽田行きに乗り継ぐ予定である。さて、今夜は早めに寝て、明日に備えよう。

ISC2 Security Congress Day2

| コメント(0) | トラックバック(0)

イベント2日目の朝。ホテルのアトリウム。

会場で朝食をとったあと、キーノート会場へ。

今朝のキーノートもAI関連。昔から、考えるだけで何かが出来る魔法のようなものは想像されてきたのだけれど、いわゆるBrain-Machineインターフェイスが、AIの進化で、いよいよ現実のものになりつつある。動作や思考、感覚に伴う脳波パターンを学習させることで、脳波から、その時の動作や見聞きしたこと、さらには考えた事まで再現することが、実際に出来るようになっているのである。たとえば、考えるだけでPCを操作することや、思い描いたイメージを画像化することが実験レベルで可能になっている。電車やバス、トラックなどの運転手や飛行機の操縦士の脳波をモニターすることで、疲労や集中力の欠如を検知して、事故防止に役立てる研究もそろそろ実用の域に入り始めている。脳波を検知するデバイスも、イヤホンくらいのものが実用化されつつある。夢の世界はもうすぐ・・・ということなのだが、困った問題も発生する。会社や政府といった第三者に「思考」をモニターされてしまう可能性だ。会社がこれを使って、社員の仕事への集中度とかをモニターするようになったらどうだろう。強権国家が国民にセンサーを付けさせて、政策に反対する考えを持った国民を監視するような世界はどうだろうか。これはいわゆる「ディストピア」である。内心の自由がなくなってしまうことは、想像するだに恐ろしい。そんな世界が間近に迫っているから、AIの使い方をきちんと考えて、コンセンサスを作り、必要に応じて規制を設けるといった動きを今すぐにでも始めないといけないね。というのが、この講演の趣旨である。なかなか、考えさせられる内容だ。SFで描かれてきた世界がもうそこまで来ているのだとしたら、うかうかしてはいられないだろう。こうした技術の恩恵を最大限に受けつつ、デメリットや悪用を防いでいく方策を考えなければいけない。

今日のブレークアウトセッションは、ちょっとハズレが多かった。「トップから始めるセキュリティ文化」というセッションを聴いたら、「文化」の中身がほとんど出てこず、語り尽くされている「セキュリティにどうトップを巻き込むか」という話しに終始していたり、「クラウド時代のSOC活用とインシデント対応」という話を聴いたら、なにやら語り尽くされたクラウド利用の考え方についての抽象論ばかりで、具体的な話は、最後のQ&Aで少し出てきたくらいだったり・・。レッドチーム立ち上げの話は悪くなかったが、この話を一時間でまとめるのは難しそうだ。

唯一面白かったのが、ウクライナとロシアのサイバー戦争に関する話だった。クリミア併合の頃から、ロシアにサイバー攻撃を受け続けてきたウクライナが、今回の戦争でサイバーでも非常に善戦している話は、メディアなどでも伝えられているが、実際は相当に泥臭い戦いになっているようである。ロシアのプロパガンダサイトや主要なセクターのサイトの(使える)脆弱性の発見と提供をボランティアに呼びかけたり、攻撃コード(Exploit)の提供を呼びかけたり、自国の情報が漏れるきっかけになるような、国内のオープンなWebカメラの発見と情報提供を呼びかけたり、まさに総力戦の様相を呈している。さて、我が国でも政府はサイバー防衛の重要性を強調してはいるが、実際、紛争が起きた際に有効に機能する部隊を作れるかどうか、また、ウクライナのように、なりふり構わず、民間有志の支援を求められるかどうか、そうした有志の力を最大限に活用できる「司令塔」を構築できるかどうか・・・、これは大きな課題かもしれない。平時にはなかなか具体的に語りにくい内容だが、平時のうちに固めておくことが必要だろう。ウクライナにしても、クリミア紛争で痛い目を見ていなかったら、今回、ここまで善戦はできなかっただろうから、その教訓は活かしたいところである。

そんな感じで今日も暮れ・・・夕方には飲み物と軽食が展示会場で振る舞われたのだが、混雑していたので、コロナ一本だけ飲んで退散した。

暗くなったアトリウム、ハロウィーンモードなので、ちょっと不気味な雰囲気である。部屋に戻って少し横になり、それから晩飯を食いにでかける。晩飯のスタートは昨日と同じ地物のビール。

メニューに巻き物があったので「うなぎロール」を頼んでみた。アボカドが入っていて、カリフォルニアロールのウナギ版といったところ。

そんな感じでちょっとまったり、景色をながめたり・・・。

で、メインはサーモンである。昨日はは肉だったので、今日は魚にした。

それからほろ酔い加減で、アトリウムを歩いて部屋に戻って、これを書いている。

さて、明日は最終日。イベントは昼過ぎまでだが、朝のうちにチェックアウトしないといけない。終了後はダウンタウンに移動して、明日、明後日はナッシュビルのダウンタウンに泊まる。明後日土曜日はオフなので、ナッシュビルの街を歩いてみる予定だ。

ISC2 Security Congress Day1

| コメント(0) | トラックバック(0)

ドタバタな一日から一夜明け、今日からISC2 Security Congress開始。会場のホテルはハロウィーンモードになっている。

だだっ広いホテルの中庭の端にあるコンベンションセンターが今回の会場。

とりあえずのオープニング。ISC2のCEOのセッション。まずは、ISC2の活動の紹介と宣伝。

2023年には世界で550万人のセキュリティ人材が必要になるが、ぜんぜん足りていないとう話。(だから、ISC2が育成に力を貸す・・・という話なのだが)特に、エントリークラスの人材の戦力化や、他分野(IT関連以外の分野)からの人材の移動が必要だと言う。そのため、まずはエントリーレベルの認証資格であるCC(Certified in Cybersecurity)が昨年追加された。彼らが言うように、(本来の)セキュリティ人材が大きく不足しているというのであれば、育成は喫緊の課題だろう。まぁ、日本で言われている人材不足は、それ以前の問題(そもそも、ITの各分野でのセキュリティ意識が極めて低いから、「セキュリティ人材」が余計な仕事を背負わなくてはいけない)だとは思うのだが、であれば、さらに日本は人材育成でも周回遅れになってしまうような気がするのである。ところで、ISC2は、正式には(ISC)2 = International Information System Security Certification Consortium = IISSCC =(ISC)2 :アイエスシースクエア、だと思っていたのだけれど、いつのまにか、アイエスシー「ツー」になっていて、ロゴもISC2に変わっていることに今回気がついた。いつから変わったのか、ISC2のサイトを見たのだが、もう(ISC)2の記述はどこにもない。(なかったことになっている?)、でも、外部ではまだ昔の名称の認識が残っていて、例えばISOでは、協力団体として、こんな感じで旧名称が残っている。謎である。

オープニングのあとのキーノートでは、暗号資産の取引追跡の話があった。ダークウエブでの闇取引に関する捜査機関の暗号資産の取引(マネーロンダリング)追跡は一定の成功を収めている。様々な追跡妨害の技術があるが、その上を行く技法があったり、犯罪者がおかしたちょっとしたミスから追跡されてしまうといったこともあって、少なからず摘発が行われているようだ。

ブレークアウトでは、今回もAI関連のセッションを聴くことにしているのだが、今日聴いたセッションでは、AI開発におけるセキュリティの視点についての話しが興味深かった。いわく、AIに対する脅威には、いくつかの切り口があり、AIそのもの、つまり、その学習データに対する攻撃、学習モデルに対する攻撃、そして、AIを使用するアプリケーションソフトウエアへの攻撃という複数の切り口があるという。最後のものは、従来からのソフトウエアへの攻撃であり、対策もこれまで確立されている手法が応用できるが、先の二つについては、AI(そのアルゴリズムなど)への理解が不可欠で、いわゆるデータサイエンティストのスキルが必要になる。この部分は、一般のセキュリティ専門家ではなかなか取組が難しいのだが、残念なことにデータサイエンティストたちのセキュリティ意識はまだまだ希薄で、課題も多いと言う。(もちろん、後で述べるような研究も進んではいるのだが)AIのセキュリティを考える上で、データサイエンティスト、ソフトウエアエンジニア、システムの運用サイド3者の協力は不可欠だという。AIセキュリティでは、AI固有の問題がクローズアップされがちだが、それをソフトウエアで実現し、応用する以上、従来からの手法が攻撃に使用される可能性は高く、そういう意味では、今のセキュリティ屋の出番も少なからずありそうである。

ちなみに、午後にキーノートでは、AI研究者が登壇して、こうした面での研究が進んでいることをアピールしていた。メディアでは、いまだに数年前のAIが引き起こした問題(差別的な判断など)が引き合いに出されるが、そうした問題は過去の物になりつつあるという。Responsible AI(倫理的、法的な考え方を組み込んだAI)に関する研究の進歩が著しいということのようだ。実際この言葉を検索すると、GoogleやMicrosoftなどが研究を公表している。AIを使っていく上で、こうした状況にも注視していく必要があるだろう。

もう一つのセッションは、「過去のサイバー攻撃事例から学ぶ」という話だったが、「統計マニア」を自称するスピーカーが興味深い統計をいくつか紹介してくれた。

  • (一回の)データ侵害がもたらすコストの世界的な平均は445万ドルである。
  • 67%の侵害は被害者自身ではなく、第三者または攻撃者自身によって公にされている。
  • 8割以上のサイバー攻撃は、組織犯罪者による金銭目的のものである。
  • 74%のデータ漏洩は人的な要因によって発生している。
  • 56%の脆弱性が公表から一週間以内に攻撃されている。(一ヶ月以内のパッチなどと悠長なことは言っていられない)
  • などなど・・・。主な元ネタは、IBMのレポート「データ侵害のコストに関する調査」とRapid7のThe Annual Vulnerability Intelligence Reportらしい。

    その上で、既知の脆弱性への対処を怠ったために侵害を受けたケースが増大しているという。また、二重恐喝の標的型ランサム攻撃などでは、最初の切り口として、ソーシャルエンジニアリングが多用されるという。公開情報等からその企業の役員やIT管理者など権限を有する人の情報を入手し、なりすましてITサポートデスクに連絡して、一時的に多要素認証を無効化させるといったやりかただ。実際に、MGMはその手法でOKTAの認証を破って侵入され、ESXiサーバの脆弱性を悪用されて仮想マシンを暗号化されてしまったという。

    いわく、階層的防御(Defence-in-Depth)は、単に技術的なソリューションを複数使うということではなく、「人」「技術(ソリューション)」「運用(オペレーション)」すべての切り口で考えなければいけないとのこと。ある意味、「あたりまえ」のことなのだが、ともすれば、ベンダーの口車に乗せられて、ソリューションのみにフォーカスしがちな日本企業には耳が痛い話だろう。

    そんな感じでとりあえず聴いていたのだが、流石に眠気に逆らえず、午後の最後のセッションはパスして部屋で昼寝していたら、あっという間に日が暮れてしまった。夜にネットワーキングイベントがダウンタウンで開催されたのだが、面倒になってパスして、ホテルの中で晩飯を食う。この地物のビールはなかなかいける。ロゴがビットコインのロゴに似ていて、昼間の話を思い出した。

    で、メインはやはり「肉」。今回は控えめに、フィレを食う。

    そんな感じの一日。さて、明日は眠気に負けないようにしないとな・・・・

    このアーカイブについて

    このページには、過去に書かれた記事のうちサイバーセキュリティカテゴリに属しているものが含まれています。

    前のカテゴリはイベントです。

    次のカテゴリは高飛びです。

    最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。