イベントの最近の記事

RSAコンファレンスもいよいよ最終日。今朝もちょっと寝不足気味の7時起き。あれこれしていたら、7時50分前になってしまい、朝飯を食えないことを覚悟しつつ、会場に向かう。

幸いにも8時10分頃到着で、まだ朝飯にはありつけた。そんな感じで最終日がスタートする。今日は、午前中3セッション、午後1セッションのブレークアウトの後、クロージングキーノート。朝一のセッションは、最近流行のAIによるコーディングの話。AI（LLM）はプログラミング言語も一つの言語として取り扱う。基本は、既存のコードの大量学習なのだが、品質がまちまちのコードを学習するので、アウトプットも玉石混交となる。つまりは、脆弱性も普通に含まれてしまうので、きちんとプロンプトで指示をしないと、ろくでもない結果が出てくるよ、という話である。あらかじめ、自分たちのセキュアコーディングルール等を組み込んだプロンプトを与える必要があり、たとえば、会社としてエージェントを入れる場合は、暗黙のシステムプロンプトとして、確実にこうしたルールを喰わせるようにしないといけないという話である。なるほど、今のAIはそうなのかもしれないが、もしかしたら、それも時間の問題かもしれないなと思った。プログラミング専用のAIが最新のベストプラクティスを学習してコードに反映するようなことが、普通になる日がそう遠くない時期にやってくるのかもしれない。今は、人がレビューしないといけないコードも、そのうちレビュー不要になってくるのだろう。もう少し進んで行けば、曖昧な人の指示に対してAIがより具体的な内容を要求し、仕様を自ら明確にしていくというようなことも夢ではない。そうなれば、もうソフトウエア技術者など不要になってしまいそうだ。その結果がユートピアか、ディストピアかは別として、そもそもコンピュータのプログラムを間違いだらけの人間が作っていることに問題があると私は常々思っていたので、ようやくそうした時代が見えてきたような気がする。

その後は、APT関連のマルウエアなどの話と、アウェアネストレーニングの話など。最近日本でも話題になることが多い、セキュリティ意識向上のためのトレーニングなのだが、その効果はあまりかんばしくないようだ。原因は、紋切り型のコンテンツにありそうである。対象者一人一人の状況にあわせて、適切なコンテンツを提供するようなシステム（まさに、AIの出番になりそうだが・・・）がないと、なかなか効果が上がらないという話である。いわゆる標的型メール訓練などがいい例で、結局、ある程度のレベルから向上が見られなくなってしまう。訓練の組み立て方もそうなのだが、結局、最終的には個人の資質に依存してしまうから、どうしても限界はあるのである。どこまでを教育で底上げし、どこから技術的に防御するのか、自組織の人的な面でのリスク評価をもとに、戦略を決める必要があるのだろう。戦略や戦術はその組織の状況によって変わるだろうから、教育を企画する人たちは、もっと頭を使わないといけないと言うことだろう。

そんな感じで、全日程が終わりクロージングのイベントが始まる。

最後のキーノートはXmenなどで有名な俳優のヒュー・トンプソンとのトークショーで盛り上がる。そして、午後3時過ぎにめでたく全体が終了。三々五々の解散である。今日も眠気と格闘した一日だったので、早々にホテルに引き上げて一休みすることにした。

夕方まで一眠りしたあと、午後7時から日本との打ち合わせがあり、8時過ぎに晩飯を食いに出かける。ホテルの近くにちょっと気になるイタメシ屋があり、予約しておいた。狭い店だが、ちょっとカジュアルないい感じの店である。ここで、ワイン、サラダ、パスタの晩飯。

ワインでいい感じになって、ちょっとタガが外れた結果、こんなデザートまで手を出してしまう。

帰国直後に定期診察があるので、検査結果の悪化がちょっと心配だが、しばし忘れることにする。（苦笑）とりあえず、店を出た後で、言い訳程度の歩数稼ぎ。

とりあえず、今回の主目的は完了。明日は一日フリーなので、また市街の散策でもしようかと思っている。明後日の昼の便で、ミネアポリスへ飛んで一泊、日曜の羽田行きで、日本には月曜帰国の予定である。

今朝も7時起きで、朝のサンフランシスコ。いまいち寝た気がしないのだが、とりあえず会場へ向かう。

今日も終日缶詰での聴講。最初の話は、K-12という米国の幼稚園から高校までの一貫教育プログラムの学校の多くにシステムを提供している企業が10代のハッカーによって侵害を受け、大量の個人情報を流出させたという話。独占に近い形でシステムを提供している会社のセキュリティがお粗末だとこうなるという、サードパーティーリスクの典型例として紹介された。こうした状況は学校だけでなく、中小企業や医療機関などでも見られる。小数の専業サービス事業者に多くの企業が依存しているが、そのセキュリティは意外に脆かったりする。こうした中小企業等が、事業者を見極めることはなかなか難しいから、政府や自治体等が主導して安全対策をしてほしいところだが、なかなかそれもスピード感がない。むしろ、業界で協力して対策を推進する方が速そうだという話である。

その他には、最近話題になることが多い、AIが他のシステムと連携するために使うMCPという通信プロトコルのセキュリティの話などを聞いた。いまいち、実際にどう連携するのかが見えていないので、これはもう少しMCPそのものを勉強した方がよさそうだ。

今日も、時差ぼけというか睡眠不足の影響で、昼前後から頻繁に寝落ちするようになってしまい、ちょっと難儀する。調子が戻ってきたのは、午後の2つめの講演あたり。いわゆる「ゼロトラスト」がバズワード化する中で、取組で行き詰まってしまう組織が結構多いと言う話。そもそも、そのコンセプトやアーキテクチャの基本的な指針と、ベンダ、ユーザ企業それぞれの考え方が微妙に異なり、手を着けたはいいが、コストがかかりすぎたり、運用が難しくなって行き詰まってしまうケースである。同床異夢というか、とりわけベンダが我田引水的に都合のいい解釈を打ち出してくるので、それにユーザが振り回されるケースが多い。結局、自分の組織になにが必要なのか、つまりどのようなリスクに対応しないといけないのかを正しく把握して、その上で、原則に基づいて、自分たちに適した実装を考えるというのが基本となる。取り組む主体となる組織自身が基本的な考え方を理解し、自らのリスクを把握した上で進めていく必要があるので、それなりに覚悟がいる。そうでないと、結局ベンダのいいなりにならざるを得ず、お高いソリューションを入れたあげくに運用が回らないという悲惨な結果に陥りかねないわけだ。これは、私も以前から感じていたことなのだが、今日の話をきいて、ちょっとすっきりした。

そんな感じで、今日もクロージングになる。クロージングの冒頭、ベンダ系の講演が二つあったのだが、面白かったのは、それぞれ言うことが対立していたこと。片や、状況の可視化が重要で、それにより説明責任が満たされるといい、もう一方は、可視化するだけでは不十分、実際に行動に結びつけられることが重要だというのが面白い。暗黙のルールとして、キーノート講演はソリューション色を出さないことになっているから、概念的な話になるのだが、最終的に我田引水したいので、力点の置き場所が異なってくるのである。先に書いたゼロトラストの混乱も、こうしたことが原因で起きていそうだ。

その後、ジャーナリストの対談形式の講演があったのだが、残念ながら眠気に負けてしまい、あまり覚えていない。

そんな感じで、二日目も午後5時頃に無事？終了。ホテルに帰ってシャワーを浴び、晩飯を食いにでかける。今夜は、ホテルの近くで見かけた小さな寿司屋に行った。昨夜行こうとしたら、かなり混雑していたので諦めたのだが、今日は比較的時間が早かったこともあって、入ることができた。で、こんな感じの晩飯。

味噌汁はちゃんと出汁が利いていて悪くない。寿司も悪くないのだが、ネタに比べてシャリがいまいちなのは、こちらの寿司屋の共通点だろうか。もうひとつの寿司屋に比べると、少し上の感じはするのだが、値段はこちらのほうが高いので、どっこい・・かもしれない。でも、結構流行っていて、私が食べ終わる頃には行列が出来ていた。まぁ、小さな店なのでそうなるのかもしれないが・・・。

時間が早くてまだ明るいので、酔い覚ましに周囲を一周する。帰りに薬局系のコンビニに寄って、買い物ついでに胃薬を調達。胸焼けがするので、Anti Acidの看板の下にある薬を適当に買ってきたのだが、後でよく見たら実は便秘薬だったというオチ。まぁ、昼夜逆転でお通じもいまいちなので、よしとする。（笑）

そんな感じで、サンフランシスコも既に5日目が終わってしまった。明日はRSAも最終日。明後日金曜は一日フリーなので、また市内散策でもせいようかと思っている。

今日からRSA Conferenceの本番。昨夜もいまいち熟睡できず、ちょっと睡眠不足気味で起床。とりあえず会場へ向い、用意されてた朝飯を食って一息。それからトラックセッションを2つ。最近流行のAIエージェントを組み込んだブラウザで発生しうる問題とか。ブラウザ単独では、たとえば、あるサイト（ドメイン）から別のサイト（ドメイン）に対するスクリプトなどの操作は禁止されていて、不正サイトを経由した、正規サイトへの侵害は防止されているのだが、AIエージェントはブラウザのすべてのタブやウインドウにアクセス出来るため、問題が生じる。たとえば、特定のサイトを参照して、その指示に従って、別のサイトを操作するとか、メールの指示に従って特定のサイトを操作するとかの指示をした場合、不正サイトやフィッシングメールの指示に従って、不正な動作を強要されてしまう可能性がある。ブラウザから見るとAIエージェントはユーザと同等なので、こうしたことが発生するのである。実際、現状ではユーザを騙すよりも、エージェントを騙す方が簡単なようだ。エージェント自体が、そうした攻撃に対して耐性をつけないといけないという話である。

次に聞いたのが、エストニアの電子政府などの話。IT利用の「超」先進国として名前が挙がることも多いエストニアだが、そうなるまでには、第二次大戦に遡る複雑な歴史がある。旧ソ連崩壊後に独立した後も、ロシアを含め、大国の影響下にあり、地政学に翻弄される中で、独立を確保するために選んだのが、政府の電子化なのである。インターネット上に政府を置くという革新的な試みは、今のところ大きな成功を収めている。ただ、小国ならではの小回りが利く部分も大きいようで、同じ事を別の国が（たとえば日本だが・・）がする上でのハードルは高そうだ。よく、政府の高官や政治家が視察と称してエストニアに行くのだが、こうした本質を見切れているかどうかは、かなり怪しい。

その後、全体のキーノート講演があり、これが実質的なオープニングとなる。

昼食をはさんで、午後も講演をいくつか。ランサム関連の講演では、この5年ほどの間の（企業ななどを対象とした）ランサム攻撃の被害の傾向やその対策の基本を聞く。もはや高度な標的型攻撃と化したランサム攻撃に対応するためには、守る側もかなりの覚悟が必要になる。近年大きな被害に遭った組織を見ても、そのほとんどが比較的高いレベルでセキュリティ対策を講じているわけで、それらのスキを突いた攻撃で侵害されているわけだ。実際、多くがEDRのような最新のソリューションを導入していたり、多要素認証を利用していたにもかかわらず・・・である。ただ、これらのソリューションもきちんと監視、管理しないと抜け道が生じる。実際、そうした抜け道を狙われて被害に遭っているケースがほとんどだ。最近話題になっている日本企業にしてもしかりである。「ゼロトラスト」を口実にソリューションを売り込むベンダも多いのだが、皮肉にも「ゼロトラスト」の原則に従えば、こうしたソリューションを盲信してはいけないのである。きちんと役目を果たしているかどうか、不断にチェックすることが重要だ。

今日最後のキーノート講演は、有名ベンダのトップによる講演。Splunkの講演は、あまり商業色のない内容。最近のSOCに対する考え方などだが、実際に、攻撃が高度化し、発見が難しくなっている中でSOCの重要性はこれまでに増して高まっている。しかも、攻撃側がAIなどを活用してスピードを上げている中で、それを受けて守る側も、攻撃の発見の高度化や、対応の自動化によるスピードアップが必須となってくるから、なかなか大変な時代になったなと思うのである。

今日の日程は午後5時前に終了。午後になってから時差ぼけによる眠気が酷かったので、とりあえずホテルに戻って一眠りする。

今日は夜の7時から1時間ほど、日本との打ち合わせがあり、その後、晩飯。今日は、ホテル近くの寿司屋に行こうと思ったのだが、なにやら混雑しているようだったので、先日行った和食（寿司）店に行き、寿司ではなく、ラーメンと餃子などを注文する。このお店、寿司は結構まともなので、今日はそれ以外のメニューを・・と思ったのだが、とんこつラーメンも結構うまかった。一昨日行ったラーメン屋より、だいぶマシな味である。サッポロの中瓶を2本あけて、いい感じのほろ酔い。夜になって外は少し冷えてきたが、酔い覚ましには悪くない。そんな感じで今日も終了。明日はRSAの中日である。時差ぼけが改善していることを願おう。

時差ぼけで悶々とした夜を過ごし、今朝は7時前に起床。買ってあった朝食のパンとサラダを食ってから、ホテルを後にする。今朝も快晴のサンフランシスコ。

ホテルから会場までは徒歩で20分前後。今日はRSAのプレイベントとして行われたCSA Summitに参加する。

クラウドセキュリティの団体であるCSA (Cloud Security Alliance）だが、最近はAIセキュリティに傾倒している。流石に、CSAのままではアレだと思ったのか、近々CSAIというAI専門の団体を立ち上げるらしい。ちょっと流行に流されすぎな感じもするのだが、実際、セキュリティ業界、というかIT業界全体がAIに傾いているのだから、それも仕方が無いのかもしれない。

今日の講演内容も、ほぼAI一色なのだが、冒頭のセッションはちょっと違っていた。セキュリティと言えば、「リスク」への対策が主題なのだが、組織の中で、セキュリティの施策を推し進めていくためには経営層の理解とサポートが必要である。セキュリティ対策に予算をつけて貰うためには、「リスク」ばかりを強調してもダメだ、という基本的な話である。会社のビジネス（つまりは利益の拡大）に責任を持つ経営層から見ればコストはできるだけ抑えたい。カネを使うならば、それは利益を得るための投資でないといけないから、リスクよりも、セキュリティ対策を行う事のメリット（つまりそれが利益に貢献すること）を強調しないと、予算をつけて貰えないぞ、という話である。セキュリティ対策の準備は平時に行わないといけないが、日本でも、経営層がカネを出すのは、多くの場合サイバー攻撃などで一度痛い目に遭ってからである。つまりは、経営層にとってネガティブなコストであるわけで、平時から予算を確保しようと思うと、「対策しないと、こんな怖いことが・・・」と訴えるよりは、「対策によって、競合他社に対して優位に立てることで、ビジネス機会を拡大・・」というようなストーリーが必要だ。だから、今日からのRSAでは、そう言う視点で考えて見てほしいという話である。私は、日本と違い、米国ではずっと以前からこうした考え方は普通だと思っていたのだが、敢えて、今こんな話が出てくるということは、改めて、こうしたことを言わなければいけない状況が生じてきたと言うことなのかもしれない。経営層も、セキュリティを担う人たちも代替わりし、新しい人たちが増える中で、こうした問題に突き当たる人たちが増えてきたということなのだろうか。もしかしたら、旧来からの対策がある程度一巡して、これから、たとえばAIなどに伴う新たな対策を積み上げていかなければいけないという次のステップのための再確認というような意味もあるのかもしれないなと思う。まぁ、そうだとすれば、日本の場合、周回遅れという話なのだが・・・。

さておき、AIに戻れば、その登場によってセキュリティの世界も大きく変化しつつある。こうした技術に最初に飛びつくのはダークサイドである。結果として攻撃のスピードが格段にアップするので、守る側もAIを使わないと追いつかない状況が生じる。待ったなしの対策が必要になるので、必要な予算の確保は喫緊の課題だということだ。

そういう意味では、今回のRSA全体を通じても、これは重要なテーマだろう。そんなことを考えながら聞いていたのだが、今回のCSAサミットはなんと朝の8時半から午後2時半まで休憩無しのぶっ通し。せめて昼休憩ぐらいは入れればいいと思ったのだが、ネタが多すぎて休憩時間を入れる余裕がないという事のようだ。トイレに行くのも、講演の途中に行かないといけないので、流石にこれはちょっと無茶である。おまけに時差ぼけのせいで、だんだん辛くなってくる。昼頃には頻繁に落ちるようになってしまったので、ちょっと外に出て目を覚ます。外は気持ちのいい天気なのだが、会場の東西をつなぐ通路の上でカモメやハトが日光浴をしている。あまり穏やかでない話を聞いている中では、のどかな雰囲気が癒やしだ。

そんな感じで、CSA Summitを最後まで聞いてから、ちょっと外に出たら、AI搭載のロボットのデモをやっていて、人だかりができていた。

ここに来て、ロボも鉄腕アトムに一歩近づいたわけで、昭和の頃に描いた21世紀像に少し近づいてきたようだ。

夕方は、日本から来ているお客さんと展示会場で待ち合わせて、少し会場巡りをする。

こちらも、昨年以上にAIブームである。AIという言葉のないブースを捜す方が難しい。まさに猫も杓子も・・といった感じなのだが、今の状況を考えれば当然なのかもしれない。

で、その後、少し離れたレストラン（ステーキハウス）で会食。これまで何度も行っている店なのだが、うまいステーキが食える。

で、こんなステーキを食いながら談笑。

しかし、この店、なかなかの人気で大混雑。年々、混雑が激しくなっているようで、隙間なくテーブルがおかれて、会話も難しいほどに賑やかになってしまったのは、ちょっと辛い。来年は（もう来る気でいるのだが）もう少し静かな店を選んだ方がいいかもしれない。

そんな感じで初日は終了。ユニオンスクエアの夜景を見ながらホテルに戻り、一眠りしてからこれを書いている。さて、明日からRSAの本番である。

この二日ほど、急に暖かくなった日本列島。別宅界隈でもプラス5℃くらいまで気温が上がって、寒さもちょっと一段落。おかげで散歩の歩数も順調に伸びている。

近所の猫たちも、一息ついている感じである。

そんな中、昨日から今日にかけて、ちょっと東京方面へ行って来た。一泊だけなので、車ではなく新幹線を利用。用事は夜なので、午後遅くに軽井沢へ向かう。

で、日が暮れた頃に、こんな辺りへ。久しぶりの新橋である。

用事というのは、某協会（ギョーカイ団体）の25周年記念パーティー。実は昼間に記念講演会とかあったのだけれど、申し込みに出遅れて入れず、とりあえず晩飯だけ食いに（笑）参加することにした次第。

行って見たら、まだ会場には殆ど人がいない。講演会の終了がちょっと遅れていたようで、とりあえずワインなどちびちびやりながら開会を待つことに・・・。

やがて人が集まって開会。最初はいつのもように来賓挨拶。今回は比較的短かった。（笑）とりあえず、飲み食いしながら、昔からの親しい人たちと、しばし談笑。今世紀に入って誕生した某協会もはや四半世紀。皆歳をとるわけだなぁ・・・と感慨にふける。ちなみに、私は設立2年目くらいからの参加である。そんな感じで、やがて腹も膨れたので、少し早めに撤収することにする。最後にカレーを二杯ほど食ったのが余計だった。結構満腹になってしまった。

とりあえず、本宅に戻って一泊。今朝はオンラインの打ち合わせを一件こなしてから、区役所へ行き、期日前投票をする。しかし、今回の選挙はかなり悩ましい。投票したいと思う先がないのである。選挙そのものが降って湧いた上に、なにやらわけのわからん新党とかまでできてしまい、混沌とするなか、下馬評では与党圧勝らしいから、もう、棄権でいいか・・・などと考えたのだが、それも癪に障るので、とりあえす権利は行使することにした次第。結果、選挙区と比例は違う政党を選択するという結論となった。ポピュリズム政党や極右系、宗教がらみの政党には入れたくないということで、どこに入れたかは推して知るべし・・・である。

そんな感じで、また夕方に新幹線で戻ってきた。天気予報によれば、季節外れの暖かさは今日まで。週末はまた強烈な寒波に見舞われるという話なので、別宅にいて屋内を暖めておかないと、またあちこち凍りそうだから不安である。本格的な春までにはまだしばらくかかりそうだ。

ナッシュビルのダウンタウンに宿泊して翌日。朝食をとりにロビーに降りたら、こいつらがいた。

そう言えば今日は10月の最終日。こういう日だった。とりあえず、朝食の後少し時間をおいてから、ナッシュビル散策に出かける。お天気は気持ちのいい快晴。朝の気温は5℃くらいまで下がったようだが、昼間は日差しがあってそれほど寒くない。

繁華街を越えて、ビジネス街方面へ。土曜日なので、このあたりは人も少ない。この通りは昔、印刷屋さんが集まっていたあたりらしい。

通称、プリンター（印刷屋）街。プリンターというと、今ではコンピュータのプリンターを想像してしまうのだが・・・。ビジネス街の先に、博物館や州議会の議事堂などがあり、周囲は公園になっている。

町中の教会の脇にある公園は、こんな感じでお化けに占拠されている。（笑）

このあたりは歴史を感じさせる建物も多い。

結構歩き回ったのだが、見物と同時に別の目的も・・・。ジャンクでない晩飯を食えるレストランやステーキハウス探しである。結果として3軒ほど見つけて、そのうちの一軒をオンラインで予約した。昼前にホテルに戻って、少し昼寝したあとで、夕方近くまで仕事などをする。それからざっとシャワーを浴びて、予約したステーキハウスへ向かう。日が傾いた繁華街はだんだんと人が増え、大音響の音楽が響き始めている。こんな像も音楽の街らしい。

店は、午前中に行ったビジネス街の中にある。周囲には高級ホテルもあって、観光客よりは、どちらかというとビジネス客を対象にした店っぽい感じだ。

これが今夜のお店。

晩飯はサラダと12オンスのフィレ肉。

ジャンクではないが、量は結構アメリカン。サラダは食い切れずに残し、奥にあるまるまると美味そうなパンは持ち帰ったのだが、腹一杯でちょっと始末に困っている。帰りがけ、日も暮れた繁華街の盛り上がりは絶頂に達していて、仮装したグループも多数。ハロウィーンの夜である。

ワインとか飲んで結構酔っ払っていたので、ホテルに帰ってしばらく熟睡。夜中に起きて、これを書いている。明日は昼前にホテルをチェックアウトして空港へ。経由地のアトランタへ飛んで一泊。明後日に帰国便に乗る予定だ。

昨日、今日と引き続きISC2 Security Congress 2025に参加。昨日は不覚にも朝寝坊して朝食とキーノートをミスるという失態。目覚ましをかけ忘れたのが失敗。仕方が無いので、シャワーを浴びてから、次のセッションへ向かう。

午前の最初のブレークアウトは、ランサムウエアのインシデント対応の話。参加者に対処を尋ねながら進めるという方法は私が某セミナーでやったのと似ている。ただ、前提となるランサムウエアは従来型の暗号化だけを行うタイプで横展開もなし。感染経路がメールという設定。これは、ちょっと物足りない。よくある二重恐喝型で、VPNサーバ経由とか、ADを介して横展開するとかの設定がほしかった。午前の二つ目はAIを使った攻撃に対してゼロトラストの考え方で対処するという話。サイバーキルチェーンの各ステップにおけるAIの使われ方のパターンに対してゼロトラストを基本とした対策がどのように効果をもたらすかという流れでの話だが、これは1時間ではなかなか難しい。守る側もAIを上手く使わないと追いつかないよ、という話なのだがもう少し具体論が欲しかった。

で、昼飯を喰い、午後のタウンホールをパスして部屋で寝ていたら、また熟睡してしまう。結局、その日の午後のセッションは最後のひとつを途中から聞いただけ。CPE的にはゼロになってしまったのがもったいない。午後の最後のセッションは無線系の攻撃に関するもの。最近、この種のセッションは減っているのだが、スピーカーがそっち系のベンダーな人だったこともあって、いくつかの典型的な攻撃手法を紹介してくれた。興味深かったのは、クレデンシャルを盗めても表玄関は多要素認証で守られているので、隣のビルから無線LANにアクセスして内部から攻めるという手法。無線LANの認証が同じクレデンシャルだったらアウトである。そこは、証明書などでデバイスを縛ってほしいところだが、そうした実装ができていない組織も少なくない。他にも、ドローンに偽APを積んで飛ばすとか、普通に出来そうだから怖い。無線系のセキュリティはもう一度、ゼロトラストベースで見直すべきだろう。

夜は展示会場でレセプション。晩飯代を浮かす。（笑）いや、このところ円安が酷いので晩飯代もバカにならないのである。

で、今朝は同じ轍を踏まぬように目覚ましをかけて寝たのだが、夜中にちょっといやな夢を見て、結局、目覚ましの前に起床。とりあえず会場で朝飯を食う。

今日が最終日。今夜はダウンタウンに移動するので、朝のうちにチェックアウトし荷物をクロークに預けてから午前中の講演を聴く。

朝のキーノートは元ワシントンポスト紙の記者で調査ジャーナリストな人の講演。ジャーナリストとして見てきた様々な事件を引き合いに出しながら、AIの登場が今後そうした攻撃、インシデントをどのように変えていくだろうかという話。内容が盛りだくさんでちょっとついていくのが大変だったので、後で録画でも見て、もう一度おさらいしたいところだ。（ハイブリッド開催なので、後で録画が公開されることを期待しよう。）午前中にブレークアウトセッションが二つあり、それで閉会となる。最初のセッションは、APT関連。最近のAPT（つまり、どこかの国の政府の息がかかったハッカー集団）の動向や使われる技術について簡潔にまとめてくれていた。対策の切り口も述べられていたが、要するに手強い相手には臨機応変かつ階層的に対処せよ・・ということにほかならないような気がした。（苦笑）少なくとも弱点があれば必ず狙われるから、どうやって弱点、つまりAttack Surfaceを小さくするかを考え、加えて抜けてきた攻撃をどのように見つけて対処するかということなのだが、これも一筋縄ではいかない。攻撃に要する時間もどんどん短くなっているので、対処もリアルタイムで行わないと間に合わない。AIを応用したソリューションは有望だが、それをうまく使いこなす技量が必要だろう。相手に応じたシナリオを用意して、演習を繰り返すしかなさそうだ。

最後のセッションは、ハワイのNPO法人が少ないリソースと予算で、どのようにゼロトラストを実装したかという話。これは非常に興味深い。日本では「ゼロトラスト」が完全にバズワード化していて、「ゼロトラスト」＝「お高いソリューションの導入」みたいになってしまっているのだけど、本来「ゼロトラスト」はセキュリティの戦略であって製品やソリューションはその助けにしかならない。逆に、そうしたソリューションなしでも、ゼロトラストをベースにしたセキュリティは構築できる。徹底したクラウド化（オンプレのサーバ廃止）で運用を簡素化しつつ、要所要所で必要なセキュリティを構築するという非常に興味深い話だった。

そんな感じでイベントは終了。ダウンタウンのホテルのチェックインまで時間があるので、しばらく歩いたり、ロビーで座ったりして時間を潰す。午後2時半にUberでダウンタウンのホテルへ。幸い部屋に入れたので、ちょっと昼寝して、日が傾いた頃に街に出てみた。

前回来た時は風邪をこじらせて殆ど出歩けなかったので、とりあえず晩飯の場所を探しながら、メインストリートであるブロードウェイを歩いてみた。通り沿いは店から聞こえるバンドの音楽で溢れている。まさに、アメリカンな雰囲気。ニューオーリンズなどとはまた違った空気である。店もカジュアルな感じが多く、食い物も結構ジャンクな感じである。なかなかいい感じの店がなくてしばらく歩き回る。空にはこんな感じの半月。

ここで落ち着いた感じの店を探すのは難しそうなので、とりあえず、あまり騒がしくなさそうな店を探すことにする。

結局、バンドのライブがない店を探して入り、こんなものを喰う。いやはや、まさにアメリカンなジャンクフードである。

本当はステーキとか喰いたかったのだけど、残念ながら選択肢は限られていて、結果、これが一番マシなチョイスだった次第。流石に全部は食い切れず、ポテトは大半を残す事になった。まぁ、それもアメリカである。しかし、今頃になってちょっと胸焼けしている。明日はもうちょっとマシな食い物が食える店を探そう。

日が暮れると一気に気温が下がる。どちらかというと南寄りの地域なのだが、この時間で気温は10℃。昼間も20℃を切っていたから上着がないと寒い。とりあえずフリースを一枚羽織ってどうにか・・という感じである。一昨年みたいに風邪をひくと最悪なので気をつけよう。

そんな感じで明日は一日フリー。天気も良さそうなので、少しナッシュビルを散策してみようと思っている。

昨夜は11時半過ぎにホテルに到着。即沈没して一夜明け・・・。今日からISC2 Security Congress 2025に参加である。会場は一昨年と同じホテル。中に大きなアトリウムがある。時期的にはまったく同じなのだけれど、今回は気が早いクリスマスの飾り付け。前回は時期的にハロウィーンモードだったのだが、なぜだろうか。

こちらが会場のコンベンションセンター。とりあえず、早朝にバッジをピックアップして、会場で朝食。一度部屋に戻って8時前に再度会場へ向かい、オープニングと最初のキーノートを聴く。

スピーカーはGoogleな人。Googleの巨大かつ複雑なシステムのセキュリティをどのように維持しているかという話。創業時から屋上屋を重ねるように拡大したシステムのバラバラなセキュリティを統合した苦労話など。そのキーワードは「工業化」。すべてのネットワーク、システム基盤、アプリケーションについて、必要なセキュリティ要素を規格化（部品化）して、機械的に組み込む事で、システムが巨大化しても追随できるセキュリティを実現したとか。そうすることで、最新のセキュリティをシステムを大変更することなく導入できるようにもなったと言う。しかし、言うは易しで、そうした根本的な発想の転換はGoogleだから出来たような気もする。工業化という言葉は、前世紀に某通産省が唱えて大失敗した「ソフトウエアの工業化」を思い出させるのだが、重要な部分をコンポーネント化しつつ、上物も含めて常に最新の技術を取り込んで行くスピード（アジリティー）をさらに上げようという発想は当時は全くなかった話だ。アジリティーを損なわず、かつスケーラブルなセキュリティを実現する、というある意味理想的な形だから、本当にそうなっているのだとしたら、その発想と実現した技術力を賞賛すべきだろう。

そこから、午前中にブレークアウトセッションをふたつ。ランサム攻撃のような会社を揺るがすインシデント対応に何故失敗するのか、という話とか、SOCのあり方を考え直す話とか。会社の業務が止まってしまうようなワーストケースのシナリオを前提にきちんと机上演習をやって問題点を洗い出せ・・・という話なのだが、それもセキュリティ部門だけでなく、全社的な枠組みでやらないと意味が無い。実際、そうした事態でセキュリティ部門ができることなんか、ごく僅かだ。全社を挙げて対処する練習をしておかないと、重大なインシデントに直面した際に身動きが取れなくなる。しかし、そもそも縦割りのきつい会社には難しい。旧態依然たる日本の大企業には特に難しいのだが、このところ頻発しているランサムによる業務停止が長引く原因はまさにそのあたりにあるから、そろそろ皆気がついてもよさそうなところだが・・・。「うちは大丈夫」なんて言える会社はないのだから、万一の場合に備えて全社対応の演習を、トップダウンで考えるべき時代なのだろうと思う。そういう事態を想像できない（したくない）経営者にはそろそろご退場願いたいところである。

昼飯を挟んで午後もいくつかのセッションを聴いたのだが、次第に眠気がきつくなってくる。昼休みと、午後の展示会見学時間は部屋に戻って仮眠する。会場から部屋までそこそこ距離があるので、今日はそれだけで軽く1万歩を越えた。（笑）夕方は、ナッシュビルのダウンタウンで交流イベントがあったのだが、夜に日本との打ち合わせがあったのでパスしてホテルで晩飯。

日が暮れたアトリウムはイルミネーションが綺麗だ。晩飯はとりあえず肉。（笑）

で、部屋に戻って1時間ほど日本とリモート会議。例によってどこに居ようが関係ない。（苦笑）こちらの午後9時は日本の午前11時（翌日）である。流石に、午後の打ち合わせはきついので、午前中にリスケして貰った。そんな感じのナッシュビル初日（昨日はノーカンで）、明日も引き続きコンファレンス参加である。

BH2日目は、また朝のキーノートから始まる。会場のアリーナは、こんな感じでちょっと不気味な雰囲気。大音響の音楽がかかっていて、なんとなく落ち着かない。

昨日の混雑に嫌気して、今日はホテルで朝食をとってから会場へ向かった。しかし、今日の混雑はそれほどではなく、私と同じ事を考えた人も多かったのかもしれない。

キーノートはどこかで見た人・・と思ったら、昨年秋のISC2 Congressでも喋っていた、元NY Times記者の女性。メディアという、外側の世界から見たサイバー攻撃の変遷の話も、昨年とよく似た内容だった。同じラスベガスなのでちょっとデジャブである。

二日目は、物理系のインパクトがある話をいくつか。一つはEVチャージャーで火災を起こすというコンセプト実証の話。EVチャージャーにはリモコン機能があるものが多く、こうした機能など（の脆弱性）を経由してコントローラのCPUを乗っ取られた場合、火災を起こすことが出来るかどうか、という実証をした話である。ただ、これはコントローラそのものを乗っ取ったのではなく、本来ソフトウエアでコントロールされる制御信号に物理的に異常な信号を与えて、その結果、過電流による火災を生じるかどうかという実験を複数のメーカーのコントローラに対して行ったものである。充電の電流制御は、パルス状の電流の幅を変えることで行っていて、このパルスを作る元になる信号をCPUが発生させている。この信号に細工してパルス幅が100％、つまり電流が流れっぱなしの状況をつくってどうなるかを検証するという実験なのだが、ほぼすべてのメーカーの機種で、充電機と車を繋ぐケーブルが発火した。中には充電コントローラ本体が発火したものもあって、火災を起こすことができるということが実証された形だ。実際にコントローラを乗っ取れるかどうかは脆弱性次第だが、もしそれが出来れば外部から火災を発生させることが出来るということである。問題は、電流制御をソフトウエアのみに頼っていて、電気的に過電流を防ぐ回路が組み込まれていないという点である。コストを下げるためだろうが、こうした物理的な制御をソフトウエアで行う場合、ソフトウエアの異常で事故が発生することを防ぐ物理的な仕掛けが必要なのである。ちなみに、うちの車もオプションでWiFi経由のリモコンを装着できるのだが、そうした不安もあって、取り付けていない。今回の実験対象はサードパーティー製の充電コントローラなのだが、自動車メーカーの純正品にはこうした問題がないことを祈りたい。

もう一つは、車のECUの誤動作を検証する話。車にはECUと呼ばれるマイコンユニットが複数組み込まれている。多いものでは100個単位で組み込まれていて、車内ネットワーク（CAN)で通信、連携しながら動いている。たとえば、窓の開け閉めからブレーキ、パワステ、エンジンとあらゆる機構の制御にそれぞれ専用のECUがある。特に、車の重要な制御に係るECUが誤動作すると致命的な影響を与えかねない上に、車にはエンジンを始め、様々なノイズ源があって、ECUにとっては厳しい環境である。ECUは、自動車メーカー本体（いわゆるOEM）ではなく、電装品メーカーが作っていることが多いのだが、多くのECUでは、様々なノイズや電磁波、宇宙線といった外的要因で誤動作が起きるのを防ぐために、複数のCPUコアで同じ計算を時間差で行い、それを比較するというような安全策が講じられている。実験は、電源を瞬間的に断続する（グリッチを発生させる）ことで、この仕組みに影響を与えることができるかどうかを試すというものである。影響を与えることができれば、たとえば条件分岐などの処理に対して異常を発生させることができる。ECUモジュールにはデバッグ用の回路が組み込まれているが、通常はパスコードでロックされている。実験は、複数のメーカーのECUに対してランダムなパスコードを与えながら、そのタイミングでグリッチを発生させ、デバッグモードに落とすことができるかどうかを試すという内容である。デバッグモードに落とすことが出来れば、ファームウエアの書き換えといったことが可能になり、ECUを物理的に侵害できる。結果は多くのECUモジュールで数時間～数日程度の間にデバッグモードに落とすことが出来たという。これが出来ると、悪意を持って改ざんされたファームエアを車に組み込んで、様々なことが可能になる。たとえば、要人の車に不正なファームウエアを仕掛けて事故を発生させるといったスパイ映画まがいのことも可能になるかもしれない。ただちに一般市民の安全に直結しないまでも、自動車メーカーやECUのメーカーは対処すべき問題だろう。

それ以外には、携帯電話ネットワークに接続されたIoT機器を物理的に乗っ取って、攻撃の踏み台として悪用する話とか、様々な（クラウド）アプリケーションが行う通信の特徴をAIに学習させ、正常な通信を偽装したマルウエアの通信などを検出するといった話などを聞いた。

最後にクロージングのパネルがあったのだが、なんとなく雑談っぽい感じだったので途中で抜けてホテルに戻った。疲れたので少し横になってから、日本とのリモート会議を1時間ほどやって、その後飯を食いに外に出る。

さて、どこへ行こうと考えたあげくに、バスに乗って少し北の方にある、以前行ったことがある寿司屋に行くことにした。

しかし、行って見たら、もう閉めるところだと言う。時間的にはまだ午後9時前。不夜城のベガスにしては早すぎる。仕方が無いので同じモールにあるイタメシ屋でこんなものを喰う。

これは、結構うまかった。しかし、寿司を食えなかったのは残念。この寿司屋は、まともな和食を出すので気に入っていた。寿司だけでなく、天ぷらなどもからっと上がっていてなかなかいい。しかし、そんな早い時間に閉めてしまうとは、客が減っているのだろうか。聞けば、この国の現「国王陛下」のめちゃくちゃで、反感を持った国外からの観光客が激減しているとのこと。あるメディアは「閑古鳥」などと表現していたが、それはメディア流の「大袈裟」としても、たしかに以前に比べて人が減っている感じはする。ネバダはたしか、紅組が勝った州なのだが、思わぬしっぺ返しを食った形である。

そんなことを考えながら宿に戻る。さておき、今夜は満月のよう。いい感じの月が空にかかっている。まだ時間的には10時前だが、たしかに人が少ない感じがして、ちょっと寂しい。

さて、今回の主目的は今日で終了。明日、明後日はちょっと遊ぶつもりである。

今日は朝からBlack Hatに参加。8時過ぎにホテルを出て、会場のマンダレイ・ベイホテルまで歩く。会場に着いたら入り口で長蛇の列につかまる。キーノート会場に入る前の朝食待ちである。こんなことなら、先に飯を食ってくるんだったと思いつつ、コンチネンタルな朝食をゲットしてキーノート会場のアリーナへ。会場はほぼ満席。久しぶりに参加したBHだが、やはり人気は高い。初日のキーノートはMicco Hypponen氏。話はマルウエアの歴史。私のような年寄りには懐かしい話である。しかし、会場にいる人たちで、こうした話をリアルで知っている人は何人いるのだろう・・と少し遠い目になる。

キーノートの後、最初に聞いたのは、Windowsのイベントログの仕組みに介入してEDRを回避する話。WindowsにはETW（Event Tracing for Windows）という仕組みがあって、これを介して、アプリケーションがリアルタイムにイベントログを生成、取得できる。最近のEDRなどイベントログ監視を行うアプリケーションの多くがこの仕組みを使っているらしい。カーネルレベルで直接コードを組み込むよりも安定性に優れ、パフォーマンスも確保出来るということなのだが、これに、色々と問題があって、ゴニョゴニョすると、EDRなどイベントを読み込むシステムに悪影響を与えることが出来ると言う話である。問題のいくつかは既にマイクロソフトによって修正されているようだが、依然としていくつか悪用可能な問題が残っているという。悪用はさておき、ETWそのものは面白そうなので、そのうち時間をとって遊んでみようと思う。

次に聞いたのがApple AirPlayの脆弱性に対する攻撃の話。AirPlayそのものだけでなく、デバイスをAirPlayに対応させるためのSDKにも問題があり、それを悪用してサードパーティーのデバイスを攻撃するといった話である。スマートスピーカーの攻撃デモを見せてくれたのだが、こうした脆弱なデバイスが更新されないままに使われている状況はちょっと寒い。いわゆるIoTの世界では、ファームウエアのアップデートが難しいデバイスがまだ多く存在する。機器のメーカーからすれば、逆にサードパーティーであるAppleから提供されたSDKに脆弱性があるという、いわばサプライチェーン問題になるわけだから、さらに問題は複雑だろう。様々なデバイスが繋がる時代にあって、脆弱性対策の難しさを実感させられる内容である。

昼食の後、眠気がきつくなってきたので、一旦ホテルに戻り、午後の最初のセッションをパスして昼寝する。それから会場に戻って聞いたのが、フィッシングメール訓練の有効性検証の話。端的に言えば、メール訓練はほとんど効果が無いから、もっと違うところに金を使おうという結論。いわく、誰も科学的に効果を検証しないままに、訓練が広く行われるようになっている点が問題だとのこと。実際、訓練（に加えて、関連する教育）を受けた人とそうでない人の差は僅か1.7%に留まると言うから、これが事実ならば、やり方を見直す必要がありそうだ。ちょっと極論に聞こえるのだが、論文もあるようなので、一度ゆっくり読んでみようと思う。たしかに、猫も杓子も「メール訓練」に走っている現状はちょっと問題かもしれない。効果測定もそうだが、使うメールの難易度設定や、啓発のための教育プログラムの選択が十分慎重に行われているとは言いがたい。詐欺と同じで、プロを相手に素人が対抗するにも限界がある。もちろん、手口を学習することで、ある程度耐性はつくが、それもあるレベルまでで、それ以上のレベルを一般のユーザに求めてはいけないだろうと思うのである。訓練は無意味とまでは言わないが、限界があることは間違いない。その限界を見極めつつ、限界を超えた攻撃に（組織として）どう対処するのかを合わせて考えることが重要なのだろうと思うのである。

もう一つ興味深かったのは、Googleの人たちが、フォレンジックにAIを使う話をしていたこと。Sec-Geminiというセキュリティに特化したAIを使い、GCPのディスクイメージからツールを使って抽出したアーティファクトを分析させるという話である。こうした作業は大量のログやデータと格闘することになるのだが、そこにAIを上手く使えれば、技術者の負担を大きく軽減できる。実際、彼らの実験では、ある程度分析の方向性を与えてやることで、エキスパートの作業と遜色ない結果を得られるとのことである。さらに興味深いのは、細かな方向性を示さなくても、かなりいい結果を出してくれるとのこと。しかも、これらの作業をさせるための費用（利用料）は極めて安いという話だから、実用化が待ち遠しい。現在テスト段階で、テスターも募集中とのことである。ちなみに、Geminiは日本語読みだとジェミニになるが、英語（米語）読みだとジェミナイとなるようである。

最後にもうひとつ、某東方大陸国家によるファイアウォール攻撃キャンペーンの話を聞いたのだが、ちょっと眠気がきつくなって落ちてしまった。後で資料を読んで復習しておこう。

そんな感じで初日は終了。一旦ホテルに戻って一休み。

休憩時間とかに中途半端にあれこれ喰ってしまったので、あまり腹も減っていないのだが、飯を食わないと夜中に腹が減っても辛いので、とりあえず食いに出ることにする。

結局、「軽い物」という選択肢で行く店は決まってしまい、いつものBubba Gumpでいつものサラダなどを喰うことになった。

サラダと言ってもアメリカンサイズなので、これもちょっと食い過ぎである。腹ごなしがてら、ぼちぼち歩いてホテルに戻る。

ホテルに戻った時点で今日の歩数は1万9千歩あまり。ちょっと歩きすぎである。カロリー消費よりも腰痛悪化などのリスクがあるので、歩きすぎには注意しないといけない。（苦笑）

そんな感じのBH初日。とりあえずホテルのカジノで「ツキの女神様」に少しお布施をしてから部屋に戻ってこれを書いている。明日もまた終日BH聴講の予定だ。