イベントの最近の記事

とりあえずの横浜復帰。こんな「お山」も久しぶり。

とりあえず、早起き、朝方パターンは続いていて、朝の散歩も朝食を挟んで2回のパターン。雨さえ降っていなければ・・・の日和見ではあるのだけれど・・。そう言えば、近所の「お猫さん」像が、メイド服姿になっている。このパターンは初めて。（笑）

で、今回、月曜日に戻ってきて、水曜日はCSAジャパンのイベントに久しぶりのリアル参加。そして、木曜から南紀白浜へ飛ぶ。まずは、羽田へ。横着して車で行くつもりだったのだが、駐車場が満車っぽいので、急遽、電車で行くことにする。とりあえず駅までで一汗。

羽田は年に一回、白浜イベントでしか来ない第1ターミナル。当然ながら赤色の航空会社的にはド平民な私なので、航空会社のラウンジには入れず、カード会社のラウンジでお茶を濁す。

去年は参加出来なかったので二年ぶりのイベント。朝一の便は4時起きしないといけないから、寝坊して乗り過ごす危険があるので、昼前の2便。例年なら、この便も某イベント関係者でほぼ埋まる。万一何かあったら、日本のサイバーセキュリティへのダメージは計り知れない・・という便なのだが、今年は半分くらいが一般の観光客。理由は簡単で、近々中国に帰ってしまうパンダを一目見ようという人たちが殺到しているからである。あおりで飛行機が取れなかった関係者も少なくなかったようだ。まぁ、本来、この便にスーツを着た人が多数乗っていることのほうが不思議なリゾート路線なのである。ということで、とりあえず無事に白浜入りして3日間のイベント参加である。何度も来ていると、昼間の講演よりは夜のイベントの方が楽しくなる、通称「温泉シンポジウム」。初日は夜のウエルカムレセプションのあと、こんな夕景（夜景）を見ながら宿に帰る。時間はもう午後8時近いのだが、まだうっすらと空が明るい

翌2日目は朝から快晴。とりあえず、6時起きで一風呂浴びてから、朝食を食い、腹ごなしに海辺を散歩する。

で、こちらがイベント会場。

今回は「アイデンティティ」がテーマ。いや、なんとなくテーマが抽象的すぎていまいちピンとこない。正直言うと、結局全体として何が言いたかったのか、いまいちピンとこなかった。「デジタル」でのアイデンティティというとIDとパスワードなどを思い浮かべがちだが、そうではなく、利用者を特定可能な「属性」の集合であるという話。ただ、これも抽象的で、いまいちとらえどころがない。結局の所、ID/パスワードはもうそろそろやめて、違う本人確認（認証）方式を・・・ということに帰結されそうなのだが、概念を広げ過ぎてピンボケになってしまっている印象がある。そういう意味で、なんとなく消化不良感が残った。

一方で街はというと、パンダ一色である。パンダ目当てで大量の観光客が押し寄せて賑やかだ。昨日の午後でイベントは終了し、多くの参加者は昨日のうちに帰ってしまったのだが、昨日の夕方の飛行機が取れなかった私はもう一泊して、今日の昼過ぎの便で帰ることに。とりあえず、今朝も6時起きして朝風呂、朝飯。

朝飯はバイキングなのだが、カレーがあったのでついつい喰ってしまうなど。結果的にちょっと食い過ぎ。それから、こんなものを土産に調達。さすがに混雑の中、実物を見に行く根性はなかったので。

で、腹ごなしにまた浜辺を散歩。道沿いにはそろそろ紫陽花が花をつけ始めている。

日曜とあって、浜辺には結構人が出ている。少し風があるので、白波が砕けている。

人が多いと思ったら、今日は飛行機のアクロバット飛行があるらしい。なので、10時にホテルをチェックアウトしてから、また浜辺に出て、11時の開始を待つ。

飛行機は一機だけで、15分くらいで終わったので、ちょっと物足りない感じだったが、とりあえず話のネタにはなる。まだ時間があったので、バスで少し離れた「三段壁」へ。

そこから、さらにバスで空港へ。空港行きバスがこの三段壁経由なので、ここで待って乗ったのだが、時刻表上は三段壁行きの一部が空港まで行く形になっていて、三段壁から空港までの料金は350円ほどと書かれていたのだが、乗ったバスは何やら空港行き専用っぽい感じ。で、料金も700円取られた。なんとなく欺された感じなのだが、もしかしたら乗るバスを間違えたのかもしれない。とりあえず、12時半頃に空港到着。飛行機の到着を待つ。

とりあえず飛行機は定刻出発。和歌山の海岸線を眼下に一路、羽田へ。

フライトは特に大きな問題無く、小一時間でこんな景色を見ながら羽田に到着。空域混雑の影響で、外房方面に大回りさせられた結果、到着は15分ほど遅れたが、急ぐ旅でもなく問題なし。着陸は22。混雑と視界不良のためか、都内に入り込んだ形での長めのアプリローチ。

とりあえず無事に羽田到着。

そんな感じで、帰りも羽田から京急。帰宅したのは午後４時過ぎである。荷物を背負って歩き回ったので結構疲れた。腹が減ったので勢いで晩飯を食い過ぎてしまい、ちょっと胃がもたれている。これをやるから・・・・と、まぁ、今日は言うまい。明日からまた節制しよう。

RSA３日目の昨日は朝から連続５コマのトラックセッション。West keynteはクロージングまでないので、ある意味、一番充実している一日のはずだったのだが、朝飯を確保するために早起きしたら、容赦なく眠気が襲ってくる事態に・・・。なかなか厳しい一日になってしまった。印象に残っていたのは、脆弱性の修正情報をLLMで集めるという話。オープンソースのコンポーネントの中には、脆弱性の修正が他の更新にまざって行われてしまうものも少なくないという話で、その更新が脆弱性の更新を含んでいると判断しにくい場合があるという。そうしたものをすべて把握してタイムリーにパッチを当てることが難しい場合が少なくないので、開発元のサイトやGitHubをAIに監視させて、脆弱性の対応が含まれていそうなものをAIに判断させて情報収集させようという話である。そのためのLLMモデルを開発して公開しているらしい。パッチ管理にAIを使うというのはアリだと思うのだが、どうせなら、自組織のもろもろの事情を考慮の上、優先順位付けとか作業スケジュールを作ってくれるところまで行けば、かなり役に立つと思うのだが・・・。

午後３時過ぎから盛大なクロージングがあって、今年のRSAは無事に終了。その夜はまた寿司を食いに行く。前日の肉が結構重かったので、ラーメンか寿司か悩んだ末に寿司にした。

で、今日は一日フリー。夜の便でLAに移動し、明日の午前の羽田行きに乗る予定なので、昼間はすることがない。まぁ、天気もいいのでホテルを１１時前にチェックアウトして、また海沿いに出てみることにする。

ケーブルカーが結構混んでいたので、また、路面電車にすることにして、待ち時間に電停４つくらい分を歩く。お天気は快晴。ピア２７の客船ターミナルには、また別の豪華客船が停泊中。

で、またピア３９あたりをぶらぶら歩いて時間つぶし。

こいつらは相変わらず臭い。今日は風が強いので遠くまで臭いが飛ばされてくる。

強い北風のせいで日陰に入ると結構寒い。RSAのウインドブレーカーを捨てずに持ってくればよかったと後悔する。

時間が余りまくっているので、久しぶりにベイクルーズの船に乗ってみることにした。

初日にアルカトラズへ行ったのだが、その時の船は単に往復だったし、天気もあまり良くなかった。で、今日は天気がいいので期待したのだが・・・。

天気はいいのだが、冷たい北風のせいで、外の席は凍えそうである。向かい風になる行きはとくに最悪で、身体が冷え切ってしまった。

ゴールデンゲートブリッジをくぐって折り返して戻ってくるのだが、帰りは追い風なので多少はマシ。でも、行きで身体が冷え切ってしまっているので、やはり寒い。

海側から見たピア２７の客船など。

雲か霧かよくわからないが、ゴールデンゲートブリッジのタワーの先端にかぶっている。この景色は初めて見る。

帰りはアルカトラズをぐるっと回って港に戻る。

船を下りてまた少し歩いていたら小腹が空いたので、またピア３９のBubba Gumpに行ってクラムチャウダーとサラダ（＋コロナ１本）を注文する。今日は手が回っていないのか、注文を取りに来るのが遅くて、ちょっとイライラ。でもまぁ、時間は余っているので問題はなし。腹も膨れたので、またぼちぼちフィッシャーマンズワーフを歩いてケーブルカー乗り場まで。

ケーブルカーも結構混雑していて３０分以上待つことになったが、これも問題なし。

ホテルに戻って預けてあったスーツケースを回収し、Uberで空港に向かう。結局空港に着いたのは午後５時過ぎで、いい時間になってしまった。それでも、LA行きの便は８時台なので、まだラウンジでゆっくりできる。

そんなわけで、現在ラウンジでこれを書いている。あと１５分ほどで搭乗。そろそろゲートに向かうとしよう。

RSAコンファレンス2日目。二度寝には気をつけようと思っていたのだが、二度寝どころか、今朝は起きることすら出来ず、結局、また朝食と朝一のセッションを逃してしまう。

今日の最初のセッションは、CISOになった人が、最初の3ヶ月をどう過ごすべきかというセッション。日本ではちょっと聴けないセッションなので聴いてみた。

要約すれば、最初の3ヶ月の間に、CISOとしての自分の足場を確実なものにしろという話。まずは、自分が新米CISOである前提で、スタッフや経営陣とのコミュニケーションを深めつつ、自社の現状を整理して課題を把握しろという話である。何かを変えるのはそれからでも遅くないし、焦って成果を出そうとすると失敗するぞ、という話である。やはり、CISOという仕事に気負ってしまう人が多いのだろうが、まずはしっかりと地に足を付けて・・・という基本的な話である。

それから午前中のキーノートを聴く。メインの登壇者はこの人。

元NBAのスーパースターで、現在は実業家の"マジック"ジョンソン氏である。ちょっとしたサプライズで会場は大盛り上がり。ビジネスの世界に入ってからの話はなかなか興味深いものだった。

昼休みにまた少し展示会場を歩く。これは会場の片隅にあるSOC。

午後はAIの話とレッドチームの話など。AIの話はどちらかと言えば基本的なもの。AIのデメリットや課題、メリットなどを整理したもので、具体的な話はあまりない。・・・というか具体的な話が出そうなセッションは、既に満席になっていて、空席待ちの長蛇の列が出来ている状況なので、いたしかたない。

レッドチーミングの話は、いかに対策が手薄な所を狙うかという例として、社員の自宅住所をLinkedInなどで調べ、会社の人事部門などを装って、特別表彰的なメッセージとAmazonのギフトカード贈呈のQRコードを手紙で送りつけるという話である。当然QRコードに含まれたURLはフィッシングサイトである。自宅でのアクセスは私物のスマホなどで行うので防御が手薄になる。とりあえず、会社のID,パスワードとワンタイムパスワードを入力させ、リアルタイムで認証を横取りしたあとで、本物のAmazonギフトカードのサイトに飛ばす。実際、50ドルの本物のギフトカードを入手できるので、疑われる可能性は低い。50ドルは攻撃者の負担だが、会社のアカウントを盗めるので、安いものである。しかし、この種の攻撃は、フィッシングだという種明かしの後でも、ひっかかる社員が後を絶たないというから根が深い。

最後のキーノートが終わったのが４時過ぎ。それから一旦宿に戻って一休みし、それから夜の会食に出かける。相手は仕事先の人たち。ちょっと早く着いたので、周辺を少し歩いて時間つぶし。

お店は、サンフランシスコに来ると一度は行く肉屋さんである。

ちょっと値が張るのだが、うまい肉が食えるので、お気に入りなのである。お腹いっぱい、ほろ酔いになって、いい感じで今日を締めくくる。

８時前でもまだ明るい夏時間のサンフランシスコ。少し冷えてきた風がかえって心地よい。ぶらぶらと歩いて、コンビニに寄り、買い物をしてから宿に戻る。

そんな感じで２日目も終了。明日は最終日。寝坊しないように今夜は早めに寝よう。

昨日から一連のRSAイベント開始。最初はプレイベントのCSA Summitから。

クラウドセキュリティのイベントなのだが、いきなりこれ。

実際、講演の半分がAI関連。まぁ、AI基盤の多くがクラウドであることを考えれば、かすっていなくはないのだが、IoTやゼロトラストあたりから、こういう新しいネタを好んで取り込んでいるCSAである。ちなみに、RSAの本番でもAI関連のキーノートやらトラックセッションが幅をきかせている。一昨年辺りからこうした傾向が顕著になっているのだが、今年は実用レベルの話がほとんど。セキュリティの世界でもAIをどう使ってくかというのが大きな課題になりつつある。こうした新しい技術は、多くの場合、「脅威」サイドが先行する。「防御」側は必死でそれについていかなくてはいけないので、そうしたことがコンファレンスにも反映される。初期のクラウド同様、「使うか使わないか」の議論から「どう使うか」という議論への移行は待ったなしなのである。CSAの創設者である Jim Reavisいわく、この状況はクラウドと同じで、CSAとして積極的に取り組んでいくべき分野なのだとか。まぁ、分からないでもない。CSAに片棒を担いでいる身として、興味はあるのだが、まずはどう使うかをあれこれ考えて見たいところだ。

昨日の夕方には展示会場もオープンして、Welcome Receptionが開かれる。とりあえず、軽く食い物を腹に入れつつビール片手にすこし会場をまわってみる。こちらも、AIが大はやり。猫も杓子も・・・という感じである。とりあえず、晩飯代を浮かして宿に帰る。今朝はうっかり二度寝してしまい、会場の朝食と最初のセッションを逃す。今日からRSAの本番なのだが、まだ時差ぼけが改善せず、次第に英語が頭をすり抜けはじめ、気がつくと意識が飛んでいる・・という状況がしばしば。困ったものである。とりあえず、なんとか一日を終えて、夕方宿に帰り、それから晩飯を食いに、またケーブルカーで海沿いまで。

明日の夜は会食でステーキハウスに行く予定なので、今日はシーフード系で軽くすませることにした。で、いつものBubba Gumpである。

晩飯を食い終わって、そろそろ午後7時半くらい。でも、まだ外は十分に明るい。

ほろ酔い加減で風に当たりながら、ケーブルカー乗り場へと歩く。

ケーブルカー乗り場は空いていたが、ケーブルカーがなかなか発車せず、30分以上待たされてしまった。

で、宿に帰ってこれを書いている。そう言えば、今日の講演で、インシデント対応にAIを使うという話があった。侵害を受けた際、攻撃者の動きをAIで予測して手を打つことで、仕事への影響を最小限にしながら対応ができるというのだが、コンセプトはわかるものの、はたしてそううまく行くのかちょっと疑問が湧く。結局、モグラ叩きになって、ネットワークを一度停めた方が早い・・・なんてことになれば本末転倒である。少なくとも人がAIのアドバイスを受けながら動くのでは、対応が遅れてしまいそうだから、少なくとも対処も含めた自動化が必要だろう。たとえば、SIEMとXDRの両方をAIに任せて対応させるような形だが、そんなソリューションがあったとして正しく機能するかどうかをどのように検証したらいいのだろうか。机上演習的なシナリオをいくつか用意して、シミュレーションをするという形しかなさそうだが、実際のインシデント対応では、その組織のビジネスや業務の重要度、優先度などの要素も加味しなくてはいけない。AIがそこまで見てくれることが理想だが、そのためにはそうした情報をAIに学習させる必要がある。つまり、ユーザごとにカスタマイズが必須になるだろうから、これまた簡単な話ではなさそうだ。ただ、攻めてくる側がAIを使った自動化を進めてくるのであれば、受ける側も同じ事を考えざるを得ない。近い将来、インシデント対応（の少なくとも技術的な部分）はAIに委ねなければいけなくなるのかもしれない。

さて、明日は2日目。寝坊しないようにしなくては・・・・

今朝はちょっと寝坊。時差ぼけで体内時計が狂っているので、いくらでも寝られそうな感じだが、頑張って一旦8時頃に起床。朝飯を食って、特にすることもなく、またゴロゴロして昼頃まで。これはいかんと外に出て、とりあえずバッジをもらいに、RSAコンファレンスの会場（モスコーンコンベンションセンター）へ向かう。

そう言えば、昨日から頻繁に見かけるこれ。

見ると、運転手がいない・・・。某中華系検索系グループ企業の自動運転タクシーである。どこへ行っても数分に一台はみかけるから、いったい何台走っているのだろう。実証実験中のようだが、特に問題なく走っているようだ。この車は米国系だが、この分野では某東方大陸系国家も幅をきかせている。体制の良し悪しはさておき、こうした技術を国を挙げて開発している某国。巨大IT企業が資金力にものを言わせて失敗を恐れず開発を進める米国。規制しても、関税をかけても、結局は自国で競争できる技術を持たなければ勝てないということなのだろう。開発のスピードも含め、我が国や業界は根本的に考え方を改める必要がありそうだ。

会場の入り口には金属探知機とX線検査機があって、ものものしい感じになっている。とりあえず、バッジとバッグを受け取って、それからまた、ぶらぶらとマーケットストリート方面へ歩く。

ここで、路面電車に乗って、また海沿いへ向かう。

昨日も来たピア39。今日は日差しがあって、昨日ほど寒くない。土曜日なので、なかなかの人出になっている。

昨日はアルカトラズを歩き回って腹が減ったので、ここで昼飯を喰ったのだが、今日はそれほど腹も減っていなかったので、とりあえず歩いて回る。見ると、ここにもRSACの看板。この街で開催される最大級のイベントの一つなので、あちこちに歓迎の看板やら、スポンサーの広告が見られる。

しかし人が多い。昨日の3倍、いや4倍ほど人がいて、ちょっと疲れる。とりあえず、海沿いでこんな景色などを見ながら一休み。

アザラシやトドの大群もいつもどおり。

ピア39からフィッシャーマンズワーフに向けて歩くが、やはり人が多い。

そこからさらにハイドストリートのケーブルカー乗り場を目指す。ケーブルカー乗り場の脇にある「アルゴノート」ホテル。「冒険者」という名前が港のホテルらしい。

ケーブルカーは思ったほど混んではいなかったものの、それでも2台待ち。とりあえず、ユニオンスクエアまで乗って、また少し散策する。

いいかげん歩き疲れて宿に戻り、昼寝する。それから、コンファレンスの参加セッション選びなど。やはり、セキュリティの世界でもAIの応用が進みつつあるのだが、めぼしいセッションは既に多くが満席。完全に出遅れた感じで、関心の高さがうかがえる。

6時過ぎに晩飯へ。外に出たら小雨になっている。まぁ、傘を差すほどの雨でもないので、濡れて歩く。今日は、少し歩いたところにある日本食のお店へ。定番のビール、枝豆、寿司＋刺身を注文。

初めての店で、なかなかチャレンジングな選択なのだが、食べた感じ、特に違和感はなかった。麦酒大瓶2本でいい気分になる。

そんな感じのサンフラン2日目。明日、もう一日フリーなのだが、どうするかは天気を見て決めよう。

今朝も快晴のラスベガス。あっという間の７日間、今日が最終日。

ISC2 Security Congressも今日が最終日。とりあえず、８時前に会場に入って朝飯の後、最後のキーノートを聴く。今日のスピーカーは、元ニューヨークタイムズのサイバー担当。メディアの目を通して見た、この１０年ほどのサイバー攻撃の変遷についての話。いわゆるAPT的な脅威に加え、近年、犯罪組織が本格的に金儲けを始めたことで、状況が大きく変わったというのは、皆が認識するところ。一方で、APTはさらに先鋭化し、ウクライナや中東での表に出ないサイバー戦は激しさを増している。加えて、いわゆる情報操作、偽情報の流布といった活動が日常化していて、単に選挙だからという一過性のものではなく、周到に世論を誘導したり、分断を煽ったりすることは、常に行われている。平時において、むしろ怖いのはそちらの方かもしれない。ある意味、いわゆる「民主主義」の弱点を巧妙にに突いた攻撃である。こうした攻撃への対処は、とりわけ民主国家では難しい。たとえば、Xとイーロンマスクのように、言論の自由を盾に規制を拒否する者への対処は容易ではないからだ。しかし、自由と放任は違う、というのは昔からの命題である。自由を享受するためには、自ら自由を守るために責任を果たす必要がある。言論にしても、それに責任を持つことが求められるし、嘘は許されない。我々は、もう一度そのあたりをよく考えて行動する必要があるのだろう。

キーノートの後は、ブレークアウトセッションが２つあって、それでイベントは終了となる。一つ目の話は、グローバル企業でITとOTをあわせてリスク管理する方法論について。ITに重きを置いたISO27001のようなフレームワークはOTには適用しにくい。ISA/IEC64223がOTに適用できる主要なフレームワークになる。そもそも、ITとOTでは、文化が大きく異なる。そうしたことを理解しながら、会社全体のビジネスリスクとしてサイバーリスクを管理していくことは簡単ではない。加えて多くの国にまたがる企業では、その地域ごとの法制度、規制に対するコンプライアンスを意識する必要がある。こうしたことを考慮すると、既存のフレームワークを包含、統合したような独自のフレームワーク作りが不可欠になる。実際に、紹介された例ではまさにそのようなことをしているのだが、これは簡単なことではない。ただ、自分たちが依存できるフレームワークを見つけることは極めて重要だ。既存のフレームワークを基本に据えつつも、自分たちのビジネスや文化に合わない部分には修正を加えることは行っていい（行うべき）ことだろうと思う。このセッションは、そうした事例の紹介として、興味深いものだった。

最後のセッションは、「心理的に脆弱なユーザの特定」というものである。終了間際のセッションにもかかわらず、多くの参加者があったのは、皆、こうした問題に関心があるからだろう。（出展、根拠は不明だが）たとえば、フィッシングなどでは、８％の脆弱なユーザがインシデント全体の８０％を引き起こしているとのこと。いわゆる「欺されやすい」とか「性格的に慎重さを欠く」ユーザということだろうか。たとえばフィッシングシミュレーション訓練とか、啓発教育といったことは多くの組織で行われているが、そうした教育の効果が上がらないユーザは存在する。改善が難しいのであれば、そうした対象への警戒を強化したり、場合によっては行動を制限するといった対応が必要になるかもしれない。もちろん、行きすぎれば差別に繋がるから慎重に行う必要がある。こうしたユーザを特定する方法として、たとえば中程度の難度の訓練メールを４回ほど投げて、そのクリック数でクラス分けするといったような方法が紹介されていた。思うに、特に脆弱なユーザを把握しておくことは重要だ。たとえば、インシデントの兆候が見られた場合に、判断の参考にできるだろう。ただ、それを持って本人の評価を行うことは避けた方がいい。評価はあくまで、本来の業務のパフォーマンスを元に行われるべきだし、仕事熱心な故にクリック率が上がるといったことも、可能性としては考えられるからだ。もちろん、テストの結果は全体的な傾向とともに本人には知らせるべきだし、それによって本人の問題意識を引き出すこともできるだろう。そのことと業務上の評価はわけて考えた方がいいと思うのである。可能であれば、仕事上のパフォーマンスや様々な属性等との相関を調べてみることで、問題の本質を見極められるかもしれない。そう言う意味では、こうしたテストは、全体的な傾向を洗い出すための一つの切り口に過ぎないということなのだろう。

そんな感じで、イベントは終了。クロージングセレモニーもなく、三々五々の解散である。ちょっと眠気がきつくなってきたので、今日もホテルに戻って２時間ほど仮眠する。夕方に街に出て少し散歩。今日はベネチアンのカナルショップスモールへ行って見た。ラスベガスに多い、偽物の空があるモールなのだが、ベネチアンホテルのモールだけあって、ベネチア風に運河が流れていて、ゴンドラが浮かんでいる。

しばらく中を歩いてから表に出る。気温はそれほど高くなく、半袖短パンで暑くもなく寒くもなく、ちょうどいい感じだ。

最終日の夜は「肉」と決めていたので、アウトバックに入ってサラダと肉で晩飯。

店を出たらすっかり日も暮れて、夜景を見ながらしばらく腹ごなしに歩く。

今夜の月は満月直前。少し薄雲がかかっているが、いい月夜である。

ホテルの周辺をしばらくあるいて、少し歩数を稼ぐ。今日はあまり歩いていなかったので、少し頑張って、一万歩越えを目指す。

そんな感じで最終日も暮れた。明日は４時起きしてホテルをチェックアウトし、空港へ向かう。６時過ぎの便でロサンゼルスへ飛び、そこから羽田行きに乗り継ぐ予定だ。

今朝も快晴のラスベガス。７時に目覚ましをかけていたのだが、二度寝してしまい、慌てて会場に向かう。

慌てたのはキーノートに間に合わないことよりも、朝飯をくいそびれる（苦笑）ことだったりするのだが、とりあえず片付けられてしまう前に到着して、急いでかきこむ。しかし、そのせいで、バッジスキャンのスタッフが引き上げてしまって、キーノートはCPE（CISSPの継続教育ポイント）なしになってしまった。まぁ、自業自得なのだが・・・・。

今朝のキーノートは、セキュリティチームのメンタルヘルスのお話し。忙しい上に一旦インシデントが発生すると大きなプレッシャーがかかるセキュリティチームにとってメンタルの維持は重要な課題。とりわけリーダーは自分だけでなく、チーム全体にも気を配らなければならない。こうしたチームでのケアはなにもセキュリティに限ったことではない。従って、その方法論も一般的な仕事の上でのメンタルヘルスの維持と同じ切り口になる。ストレスの軽減には睡眠が一番なのだが、現代人にとって安眠の維持は簡単ではない。安眠グッズ市場は巨大化の一途だが、安眠グッズや薬もさることながら、寝る前に気持を落ち着かせることが一番のようだ。ベッドに入っても寝付けない時は、思い切って起きて、少し身体を動かしたり、気持を落ち着けてから寝るといい、というアドバイスである。

今日は、最初にゼロトラスト関連のセッションを聴く。日本では完全にバズワードと化してしまっている「ゼロトラスト」だが、その基本的な考え方をもう一度押さえ直しておく。「誰も（何も）信用しない」のがゼロトラストではなく、「根拠を持って信用する」＝「暗黙に信用しない」というのが本来の意味だ。「性悪説」なんていう馬鹿げた言葉を使う輩も少なくないのだが、本質的に違う。セキュリティ境界についても同様だ。「境界防御は死んだ」的なことを吹聴するベンダがいるが、境界防御は依然として有効だし意味がある。但し、すべての防御を境界に頼るのではなく、その限界を見極めて、必要な対策を講じようということなのである。すべての対策をエンドポイントで行うのでは無駄が多い。境界防御とエンドポイント防御を適切に組み合わせることが重要なのだ。そういう真っ当なゼロトラスト論は、なかなか日本では聴くことができないから、こういう話を聴くと、ちょっとホッとするのである。

今日はちょっと睡眠不足で辛くなってきたので、昼食をパスして、昼休みはホテルに帰って少し昼寝した。おかげで、午後はだいぶ楽になった。

午後に聴いたのが、「AIの導入を経営層にかけあう際のポイント」についてのセッション。そもそも、こういうセッションのニーズがあるということは、セキュリティチームが積極的にAIを取り込もうとしていることの現れでもある。内容は一般的な経営層へのプレゼンテクニックなのだが、専門的な言葉は出来るだけ避けて、ビジネスとの整合に重点を置き、AIの利点とリスクを明らかにした上で、リスクは必ず対策も含めて提案しろ、というような話である。

合間のコーヒーブレークで展示会場へ行ったら、こんな囲いが用意されている。なんだろうと思っていたら、なんと仔犬とのふれあいコーナーだった。

やがて、仔犬が放されて、囲いの中に入ることができるようになったのだが、順番待ちの長い列が出来た。今朝のキーノートではないが、皆、癒やしを求めているようだ。

今日最後のセッションは、脅威モデリングの話。リスク評価やセキュリティ対策を考える上で、その前提となる脅威を明らかにすることは極めて重要だ。昨今の脅威は多様化、複雑化しているので、全方位的に対策を考えようとすると、労力やコストが馬鹿にならない。限られた予算や人員で対処するためには優先度を決めて対策を考えないといけないのだが、その前提となるリスク評価の第一段階として、どのような脅威を前提にするかということが大きな課題になる。自分たちのビジネス）や資産）が、どのような理由で、どのような相手に狙われ、攻撃がどのような切り口で行われるのかを出来るだけ明らかにして、可能性が高い脅威への対策の優先度を上げることが重要になる。これが脅威モデリングなのだが、まず、自分たちの持つ財産に高い価値を見いだすような相手や、自分たちのビジネス、活動、サービスが阻害されることで得をする相手などを念頭にそうした攻撃の対象となる資産と、相手を洗い出す。このあたりは、どちらかといえばビジネスや安全保障の視点が必要になる。次に、それらの相手が使うであろう攻撃手法を想定し、それらに対する対策を考えることになる。このあたりは、フレームワークとして、Mitre Att@ckなどが使える。こういうプロセスをきちんと話してくれるセッションはありがたい。これまで自分流で整理してきたものを再確認し、必要な修正を加えることができるからだ。この種の話は日本ではほとんど聴くことが出来ない。私が海外の、特にマネジメント系主体のコンファレンスに参加する大きな目的にもなっている。

さて、今日のセッションが終わった後、展示会場でレセプションが開かれた。今夜はここで飲み食いして晩飯の代わりにする。（笑）正直、街で晩飯を食うと出費が馬鹿にならないのである。まともなレストランだと$150～$200ほど、昨日や一昨日行ったBubba Gumpでのスープとサラダ（＋ビール）で、$50～$60、今のレートで日本円に換算するのが怖いような金額である。まぁ、そのあたりを気にしていたら海外など来られないから、とりあえず目をつぶってはいるが、あとでカードの請求を見て、目を白黒させるのである。

ここでもわんこたちは大人気。ふれあいコーナーにはまた長い列ができていた。

そんな感じで、とりあえず腹もふくれたので、ほろ酔い加減で会場をあとにした。空には、だいぶ満月に近づいた月。

ベガスの夜は、今日もも賑やかだ。

明日は午前中でコンファレンスが終わる。そのあとどうしようか、まだ考えていないのだが、明後日は４時起きで帰途に就くので、もう少し遊びたいなと思っている。

今日からISC2 Security Congress 2024が始まった。今朝は７時起きで、ちょっと睡眠不足。とりあえず、大通りを挟んで向かい側の会場（シーザースパレスホテル）に行き、コンファレンスの参加者向けの朝食を食う。

オープニングに続いてキーノートはAI関連。どちらかというと、AIの現状での問題点を列挙したような内容が多かったのだが、スタンスは一応、「使う」前提。まぁ、今のAIは確かに問題が多いのだが、解決は時間の問題かもしれない。変化のスピードが速いので、今回聞いた問題が半年後、どこまで残っているか・・・というようなことになりかねない。そう言う意味では、タイムリーに最新の情報を追いかけ続けていないと状況を見誤りそうだ。とりわけ、動きが遅い規制当局や行政がこのスピードについてこられないと、問題がこじれそうである。そんなことを考えながら聞いていた。

そのあとは、セキュリティの定量的評価の考え方とか、医療関連へのランサムウエア攻撃の話とか。たとえば救急車の管理システムや、医療機関は言うに及ばず、医療保険会社のシステムが止まっても、人の命にかかわる事がある。地域の医療全体を維持するための危機管理は、個別の機関や企業だけではなく、その地域全体での連携を考えないとダメだろうという話である。そのあと聴いたAIに必要なスキルを考えるセッションで、「AIを使うために必要なスキルは、それを適用する仕事固有のスキルを抜きには語れない」という話には強く同意した。もちろん、今のAIは完璧とは言いかねるから、きちんとアウトプットをレビューできるスキルが必須なのだが、将来、AIがより完璧に近くなった時、今度はAIのアウトプットを理解できるだけの業務スキルが必要になる。いずれにせよ、AIは道具である以上、使う側が、その仕事の知識や経験を持っている必要があるということだ。まぁ、仕事を完全に任せてしまえるほど完璧なAIができれば別だが、もしかしたらそれもそう遠くないのかもしれない。そうなった時に、さて、人は自分の価値をどこに見いだすのだろうか。しばらくは、「専門家」としてのAIを活用するジェネラリストとして、AIがカバー出来ないより大きな絵を描く仕事があるだろう。まぁ、それもそのうちに・・・、と考えると少し暗くなるのでやめておくことにする。（苦笑）

午後に聴いたサプライチェーン関係の話は、ごく基本的な内容で、基礎のおさらいをした感じ。このあたりから眠気がきつくなって、英語が右耳から左耳に抜けて行くようになってくる。最後のキーノートに至っては、ちょっと厳しい状態になってしまった。例のブルースクリーン問題などを引き合いに、単一ベンダに偏るリスクを強調していたようだが、反面、マルチベンダーは運用コストがはねあがる。ユーザサイドの視点で見れば、コストは大きな問題だから、どうバランスを取るのかが問題だろうなと思うのである。

どうにか、５時半まで、すべてのセッションを聴いてから宿に戻り、晩飯を食いに出る。ちょっと未練がましく西の空を眺めるが、今日も彗星の影すら見えず。しかたがないので、また月などを撮影する。月もだんだん満ちてきた。

さて、何を喰おうかと、少し思案しながら歩く。

ベラジオホテルやプラネットハリウッドのモールなどを歩いて見たが、結局、昨日と同じBubba Gumpに落ち着いた。サラダの選択肢が少ないので、昨日と同じサラダ。今夜はスープを南部風のガンボにしてみた。今夜は少し人が多くて、大通り沿いはかなり混雑している。こんな風景を見ながらホテルに戻って、一休みしてからこれを書いている。

明日も一日、コンファレンスである。

オースティンに入って３日目、そしてGRC Conferenceの二日目である。昨夜はノドの状態が少し悪化。鼻づまりも出て、なかなか眠れず。例によって夏風邪をもらってしまったらしい。今朝は７時過ぎに起床して８時前に宿を出た。

朝のキーノートは元NSAで、アクティブディフェンスに携わっていた女性。最近日本でも話題に上がる能動的サイバー防御なのだが、こちらは先制攻撃を躊躇せずにかけていくので、本質的に異なる。平時は主に情報戦であり、敵は中国、ロシア、イラン、北朝鮮といったあたり。中でも節操がない北朝鮮は頭痛の種だったらしい。金目当ての金融機関や暗号資産への攻撃は有名である。そうした国を相手に回すのだから、こちらもそれなりの人材を揃えないといけない。しかし、そういう連中に限って、組織の枠に押し込めるのは難しい。そんな「ヲタク」たちを管理するのも仕事だったらしい。出勤してきたら、ますシャワーを浴びさせるとか、結構笑える。そんな感じで、結構生々し話を聴くことができた。実際、きれい事は通用しない世界のようである。日本の国家機関では、まず無理な形だろう。

昨日は途中でちょっとサボってしまったのだが、今日はとりあえずフルで会場に詰めて話を聴いた。今年もＡＩ系のセッションが多いのだが、去年に比べると、より具体的な応用例が覆うなっているように思える。やはり、彼らはＡＩを使いこなせるかどうか（使えるかどうかをみきわめることが、自分たちの命運を分けると考えているようだ。

今日の最後は「ゼロトラスト」の実装に関する話。この言葉が単なるバズワードと化してしまっている日本ではなかなか聴けない話だが、マイクロソフトのオンプレ、クラウドのソリューションを使った実装がの話がなかなか面白かった。実際、MS365やDefender関連のサービスは私も少し使ってみてはいるのだが、全体を俯瞰してみると、必要な機能がひととおおり揃っていて、それを一元管理出来る枠組みがあるのがなかなかすごいのである。まぁ、例によって独禁法の訴訟とか起こされそうな懸念はあるのだが、そもそもセキュリティ対策の多くはＯＳなどのプラッタフォーマーが実装すべきものである。彼らが当初、それをサボっていたから、アンチウイルス業界みたいなものができあがってしまったわけだ。マイクロソフトの動きを見ていると、そうした状況を巻き戻そうとしているようにも見えるのだが、今となっては軋轢を生むことは必至だろう。さておき、使う側からすれば、ワンストップですべて揃うのは魅力的である。

そんな感じで今日は終わって、宿に帰る途中、薬局によってコロナの検査キットを買ってきた。たぶん風邪だと思うもものの、一応確認しておかないと、帰国後に面倒だ。ということで、宿に帰って早速検査する。

結果は、見ての通りの「シロ」判定。まずは、これでひと安心である。とりあえず腹も空いたのでホテルのロビーにあるバーで軽く食事をする。

テキサス地物のＩＰＡと白ワインなどを飲みながら、クラブケーキを食って今日の晩飯は終わり。

さて、明日はGRCの最終日。午前中にクロージングのキーノートがあって、それで終わりである。天気が良くて体調がよければ、午後から少し市内を散策してみようかと思っている。そんな感じで、今回の高飛びも大詰めである。

オースティンの一夜が明け、今日からISACAのGRC Conferenceに参加する。米国中部時間帯では、西の方に位置するからか、午前6時はまだ真っ暗で、7時になってようやく明るくなる。その分、夜は遅くまで明るいので、ちょっと感覚が狂ってしまう。昨夜はあまりよく眠れず、ノドの調子も最悪。売店で水を買うのにも難儀する始末。困ったものである。とりあえず、7時過ぎに宿を出て2ブロックほど先にある会場のJWマリオットへ。道沿いにはこんなものが・・・。

女性がショットガンとかをぶっ放すシーンは西部劇などでよく見るのだが、大砲は・・・。なかなかの肝っ玉ばーちゃんである。オースティンはテキサスの州都。この通りの突き当たりは州議会の議事堂である。

オースティンはこれが3回目。ダウンタウンは2回目である。今回の会場は、前回来た時にISC2（当時はまだ (ISC)2だった）Congressが開かれた場所である。歩いていたら、リスをみかけた。

こんなあたりもアメリカの街らしい。野鳥も多くて、人がいても逃げようとしない。まぁ、したたかに大都市で生きているという感じだろう。

今年も、冒頭のキーノートから、AIねたである。これからAIはどうなっていくかという話なのだが、なかなか面白かった。ISACAは、IT系のガバナンスや監査といった部分にフォーカスした団体なのだが、そうした分野でも既にAIの応用は始まっている。こちらの人たちの感覚は、むしろ積極的に使っていこうとしているように見える。だから、こうしたコンファレンスでも、「使う」というスタンスでの話が目立つのである。実際、AIの応用は様々な分野に恩恵をもたらしつつある。特に科学や医薬分野では、AIによって大きな変化がもたらされようとしており、それは、人の幸福にも結びつく。一方で、人の社会は変化を余儀なくされるだろう。産業革命以降、人の暮らしや社会を大きく変えてしまうような発明はいくつもあった。蒸気機関から始まって、自動車、電気、電話、コンピュータ、インターネット・・・。これらによって、これまでの暮らし方が大きく変わってしまった人たちも多い。当然、抵抗や軋轢も大きくなる。しかし、こうしたテクノロジーはどれだけ抵抗しようと、一度動き出すと止めることは難しい、なぜなら、こうした技術は新しい可能性を人々や企業にもたらすからである。一度それを知ってしまった人たちは後戻りができない。結果的に、どんどん広がってしまうのである。当然仕事を失う人も出るし、既得権を失う企業もある。規制を求め声は、主にこういうところから出てくる。そういう意味では政治家だってそうだろう。しかし、流れを止めることは出来ない。一つの国が規制に走っても、他の国が突っ走れば、結果的に突っ走った方が優位にたつことになる。とすれば、国や政治家がすべきことは、そうした技術の利用を進めつつ、悪影響を緩和することだ。あらたな技術でなくなる仕事があるならば、今後必要となる新たな仕事を作り出し、仕事を失う人たちが無理なくその仕事につけるように支援することだ。ただ、AIは、これまでの技術とはちょっとレベルが違う。単純労働だけでなく、ある程度知的な仕事も肩代わりしてしまうからだ。リスキリングという言葉が流行なのだが、AIを念頭に置いたリスキリングは簡単ではない。AIを使いこなす・・・と言っても、そもそもAIを使いこなすべき目的を考えつく発想が必要になる。こうした発想は一朝一夕で身につく物ではないだろうから、それこそ、教育のあり方からして変えていかなければいけない。ただ、そんな時間的猶予はなさそうだ。AIはどんどん進化している。AIの能力を示す指標であるパラメータ数はここ数年で指数関数的に増えていて、近いうちに、より汎用的で推論能力を持ったAGI（Artificial General Intelligence）が実現しそうだ。そうなると、AI自身が自分自身を進化させることが出来るようになり、進化はさらに加速するだろう。（但し、今のままの莫大な電力消費量だと限界が見えるので、もう一段技術的な進化は必要だ。しかし、それもAIが自己解決するかもしれないのだが・・・）いわゆる「技術的特異点」のような、その先どうなっていくか予想もつかない転換点は、意外と早く来てしまうのかもしれない。そうなった時にAIとどう向き合っていくのか、どう共存していくのか、そろそろ真剣に考える時が来ているのかもしれない。話を聴いていて、そんなことを思った。

午前中のセッションが終わった後、一度ホテルに戻って昼寝をし、午後からまたいくつかセッションを聴いて、夕方のウェルカムパーティーに少し出て、晩飯代を浮かせて帰ってきた。ホテル周辺でよさげなスケーキハウスをいくつか見かけたので、明日か明後日の夜は肉を食いに行くことにしよう。