このブログは「風見鶏」が、日々気づいたこと、思ったこと、したことを気ままに綴る日記です。旧ブログがシステムトラブルのため更新できなくなってしまったため、2023年10月に再構築しました。過去の記事は、こちら から参照できます。なお、ここに書いていることは、あくまで個人的な思いであり、いかなる組織をも代表、代弁するものではありませんし、無関係ですので念のため。 下のバナー画像は季節ごとに変えていますが、ブラウザによってはキャッシュされてしまって変わらないことがあるようです。季節外れの画像が表示されていた場合は、ブラウザのキャッシュをクリアしてみてください。

イベントの最近の記事

オースティンに入って3日目、そしてGRC Conferenceの二日目である。昨夜はノドの状態が少し悪化。鼻づまりも出て、なかなか眠れず。例によって夏風邪をもらってしまったらしい。今朝は7時過ぎに起床して8時前に宿を出た。

朝のキーノートは元NSAで、アクティブディフェンスに携わっていた女性。最近日本でも話題に上がる能動的サイバー防御なのだが、こちらは先制攻撃を躊躇せずにかけていくので、本質的に異なる。平時は主に情報戦であり、敵は中国、ロシア、イラン、北朝鮮といったあたり。中でも節操がない北朝鮮は頭痛の種だったらしい。金目当ての金融機関や暗号資産への攻撃は有名である。そうした国を相手に回すのだから、こちらもそれなりの人材を揃えないといけない。しかし、そういう連中に限って、組織の枠に押し込めるのは難しい。そんな「ヲタク」たちを管理するのも仕事だったらしい。出勤してきたら、ますシャワーを浴びさせるとか、結構笑える。そんな感じで、結構生々し話を聴くことができた。実際、きれい事は通用しない世界のようである。日本の国家機関では、まず無理な形だろう。

昨日は途中でちょっとサボってしまったのだが、今日はとりあえずフルで会場に詰めて話を聴いた。今年もAI系のセッションが多いのだが、去年に比べると、より具体的な応用例が覆うなっているように思える。やはり、彼らはAIを使いこなせるかどうか(使えるかどうかをみきわめることが、自分たちの命運を分けると考えているようだ。

今日の最後は「ゼロトラスト」の実装に関する話。この言葉が単なるバズワードと化してしまっている日本ではなかなか聴けない話だが、マイクロソフトのオンプレ、クラウドのソリューションを使った実装がの話がなかなか面白かった。実際、MS365やDefender関連のサービスは私も少し使ってみてはいるのだが、全体を俯瞰してみると、必要な機能がひととおおり揃っていて、それを一元管理出来る枠組みがあるのがなかなかすごいのである。まぁ、例によって独禁法の訴訟とか起こされそうな懸念はあるのだが、そもそもセキュリティ対策の多くはOSなどのプラッタフォーマーが実装すべきものである。彼らが当初、それをサボっていたから、アンチウイルス業界みたいなものができあがってしまったわけだ。マイクロソフトの動きを見ていると、そうした状況を巻き戻そうとしているようにも見えるのだが、今となっては軋轢を生むことは必至だろう。さておき、使う側からすれば、ワンストップですべて揃うのは魅力的である。

そんな感じで今日は終わって、宿に帰る途中、薬局によってコロナの検査キットを買ってきた。たぶん風邪だと思うもものの、一応確認しておかないと、帰国後に面倒だ。ということで、宿に帰って早速検査する。

結果は、見ての通りの「シロ」判定。まずは、これでひと安心である。とりあえず腹も空いたのでホテルのロビーにあるバーで軽く食事をする。

テキサス地物のIPAと白ワインなどを飲みながら、クラブケーキを食って今日の晩飯は終わり。

さて、明日はGRCの最終日。午前中にクロージングのキーノートがあって、それで終わりである。天気が良くて体調がよければ、午後から少し市内を散策してみようかと思っている。そんな感じで、今回の高飛びも大詰めである。

オースティンの一夜が明け、今日からISACAのGRC Conferenceに参加する。米国中部時間帯では、西の方に位置するからか、午前6時はまだ真っ暗で、7時になってようやく明るくなる。その分、夜は遅くまで明るいので、ちょっと感覚が狂ってしまう。昨夜はあまりよく眠れず、ノドの調子も最悪。売店で水を買うのにも難儀する始末。困ったものである。とりあえず、7時過ぎに宿を出て2ブロックほど先にある会場のJWマリオットへ。道沿いにはこんなものが・・・。

女性がショットガンとかをぶっ放すシーンは西部劇などでよく見るのだが、大砲は・・・。なかなかの肝っ玉ばーちゃんである。オースティンはテキサスの州都。この通りの突き当たりは州議会の議事堂である。

オースティンはこれが3回目。ダウンタウンは2回目である。今回の会場は、前回来た時にISC2(当時はまだ (ISC)2だった)Congressが開かれた場所である。歩いていたら、リスをみかけた。

こんなあたりもアメリカの街らしい。野鳥も多くて、人がいても逃げようとしない。まぁ、したたかに大都市で生きているという感じだろう。

今年も、冒頭のキーノートから、AIねたである。これからAIはどうなっていくかという話なのだが、なかなか面白かった。ISACAは、IT系のガバナンスや監査といった部分にフォーカスした団体なのだが、そうした分野でも既にAIの応用は始まっている。こちらの人たちの感覚は、むしろ積極的に使っていこうとしているように見える。だから、こうしたコンファレンスでも、「使う」というスタンスでの話が目立つのである。実際、AIの応用は様々な分野に恩恵をもたらしつつある。特に科学や医薬分野では、AIによって大きな変化がもたらされようとしており、それは、人の幸福にも結びつく。一方で、人の社会は変化を余儀なくされるだろう。産業革命以降、人の暮らしや社会を大きく変えてしまうような発明はいくつもあった。蒸気機関から始まって、自動車、電気、電話、コンピュータ、インターネット・・・。これらによって、これまでの暮らし方が大きく変わってしまった人たちも多い。当然、抵抗や軋轢も大きくなる。しかし、こうしたテクノロジーはどれだけ抵抗しようと、一度動き出すと止めることは難しい、なぜなら、こうした技術は新しい可能性を人々や企業にもたらすからである。一度それを知ってしまった人たちは後戻りができない。結果的に、どんどん広がってしまうのである。当然仕事を失う人も出るし、既得権を失う企業もある。規制を求め声は、主にこういうところから出てくる。そういう意味では政治家だってそうだろう。しかし、流れを止めることは出来ない。一つの国が規制に走っても、他の国が突っ走れば、結果的に突っ走った方が優位にたつことになる。とすれば、国や政治家がすべきことは、そうした技術の利用を進めつつ、悪影響を緩和することだ。あらたな技術でなくなる仕事があるならば、今後必要となる新たな仕事を作り出し、仕事を失う人たちが無理なくその仕事につけるように支援することだ。ただ、AIは、これまでの技術とはちょっとレベルが違う。単純労働だけでなく、ある程度知的な仕事も肩代わりしてしまうからだ。リスキリングという言葉が流行なのだが、AIを念頭に置いたリスキリングは簡単ではない。AIを使いこなす・・・と言っても、そもそもAIを使いこなすべき目的を考えつく発想が必要になる。こうした発想は一朝一夕で身につく物ではないだろうから、それこそ、教育のあり方からして変えていかなければいけない。ただ、そんな時間的猶予はなさそうだ。AIはどんどん進化している。AIの能力を示す指標であるパラメータ数はここ数年で指数関数的に増えていて、近いうちに、より汎用的で推論能力を持ったAGI(Artificial General Intelligence)が実現しそうだ。そうなると、AI自身が自分自身を進化させることが出来るようになり、進化はさらに加速するだろう。(但し、今のままの莫大な電力消費量だと限界が見えるので、もう一段技術的な進化は必要だ。しかし、それもAIが自己解決するかもしれないのだが・・・)いわゆる「技術的特異点」のような、その先どうなっていくか予想もつかない転換点は、意外と早く来てしまうのかもしれない。そうなった時にAIとどう向き合っていくのか、どう共存していくのか、そろそろ真剣に考える時が来ているのかもしれない。話を聴いていて、そんなことを思った。

午前中のセッションが終わった後、一度ホテルに戻って昼寝をし、午後からまたいくつかセッションを聴いて、夕方のウェルカムパーティーに少し出て、晩飯代を浮かせて帰ってきた。ホテル周辺でよさげなスケーキハウスをいくつか見かけたので、明日か明後日の夜は肉を食いに行くことにしよう。

今日はDEFCON最終日。昨夜からちょっとノドの調子が良くなかったのだが、今朝起きたら、声がかすれている。なぜか、このところアメリカでたちの悪い風邪を貰って帰ることが多いので、ちょっと嫌な感じである。とりあえず、様子見で、ホテルをチェック疎し、荷物を預けてから、少し遅めに会場へ。

今日も、相変わらずの暑さ。一方、会場の中は寒いくらい。たぶん、これが風邪をひいた理由だろう。昨日、一昨日と会場では上着を一枚はおっていたのだが、下は短パンのままだったので、それが悪かったのかもしれない。

今日は昼過ぎでほぼ終わりになってしまうので、Windowsに不正なドライバを組み込む話を聴いて、今回のDEFCONは終了となる。小腹が空いたので軽い物を食いながら、会場で少し時間調整。会場からみた、The Sphereが面白い。

午後2時前に会場を出て、また融けそうになりながら、モノレールの駅まで歩く。

この景色を見るのはまた少し先になりそう。10月にまた来るのだが、イベント会場がシーザースパレスなので、ここまでは来ないだろう。1月のCESにも久しぶりに来たいのだけど、来たら、そのときはまたここに来ることにんなる。

さて、あとは、ホテルに預けた荷物を受け取って、空港へ向かうだけなのだが、とりあえず、ホテル近くのコンビニ薬局でマスクを調達。念のため4しておくことにする。コロンの検査キットも欲しかったのだが、売っていなかったのであきらめた。まぁ、熱もないしいめのところノドの痛みだけなので・・・。

午後3時半に予約してあったUberで空港へ。セキュリティもそれほど混んでおらず、30分ほどでゲートについてしまったので、しばらく時間を潰す。残念ながら、ラスベガス空港にデルタのラウンジはないのである。こんなメジャーな観光地なのだから早くいいのだが・・・。オースティン(テキサス)行きの搭乗は定刻に始まったが、荷物の積み込みに手間取って出発が遅れ、さらに、離陸待ちの行列に捕まって、また時間を食う。トータルで30分以上遅れてラスベガスを離陸した。

夕方の3時間弱のフライトなので、晩飯が出る。キノコのラビオリである。デザートのチョコケーキがめちゃくちゃ甘かったのだが、思わず完食してしまった。(血糖値が・・・・)

こんなことをしている間にオースティンに到着。タイムゾーンが西海岸(太平洋時間)から中部時間に変わるので、2時間余計に時計が進む。到着したら、午後11時前になっていた。とりあえず、ホテルまでUberで移動して、今日はこここまで。このホテル、同じ系列のホテルはアムステルダムで泊まったことがある。部屋は狭くて日本のビジネスホテルくらいだが、綺麗な部屋でベッドは広い。値段も安め。部屋のあれこれをタブレットでコントロールできるのが面白い。

さて、明日からはISACAのGRC Conferenceである。

今朝も快晴のラスベガス。DEFCON2日目は、ちょっと遅れて参戦。

今朝も朝から熱波のラスベガス。モノレールを降りてから、会場までの炎天下を歩く間に身体がこんがりと焼き上がってしまいそうである。

とりあえず、今日はこんな話などを聴く。

バッファオーバフローなどのバイナリレベルの攻撃と、OSレベルでの対策とその回避策の変遷をまとめたセッション。バッファオーバフロー対策としてのDEP(データ実行防御)あたりから始まって、ASLRや最近のプロセスレベルの実行制限手法までの流れと、その回避策との間の戦いを解説したもので、ここ20年から25年ほどの流れを知るにはいいセッションだったと思う。様々な対策がとられて、(もちろんそれを有効に使えている前提で)バイナリレベルの攻撃の難度は極めて高くなったが、それでも全く不可能になった訳ではない。対策の裏を掻くような攻撃を思い付く頭のいい奴らは少なからずいるし、なによりそういう連中が作った攻撃コードが売り買いされて広く流通してしまうのだから、こうした追いかけっこは、まだ当分続くのだろう。

こういう話を聴いていると、最近そのような世界から遠ざかっていることを実感する。OSのコードを一生懸命読んでいた時代にはもう戻れないが、たまにはこういう刺激があってもいいなと思うのである。

DEFCONはそうしたコンピュータの攻撃手法だけでなく、伝統的に、物理的な攻撃手法やソーシャルエンジニアリングも取り扱うイベントだ。この「ロックピッキング村」では、様々な鍵開け技術に関する実演やコンテスト、講演などが行われている。

今日も午後はちょっと眠気がきつくなってきたので、早々に撤収を決め込んだのだが、会場からモノレール駅までの歩道はヒーターのように焼けていて、下から火であぶられているような感じである。上からは日差し、前からは熱風、下からは熱気と赤外線で、まるでオーブンのなかで焼かれている感じである。そんななかを歩いていて不思議と汗をかかない。たぶん、水分がすぐに蒸発してしまうからだろう。逆に建物に入った瞬間に汗が吹き出してくるのである。

例によって宿に帰って、しばらく昼寝をする。それから、また夕方に食事をかねて出かけたのだが、この時間でも路面からの熱気はものすごい。

少し大気が不安定化しているのか、入道雲や、変わった形の雲が浮かんでいる。この雲はまるで人の顔のようだ。

今日も移動はモノレールを使って、フラミンゴあたりまで行って見た。観覧車に続くフラミンゴ脇の路地は所々にミストが吹き出しているので、ちょとだけ涼しい感じ。シーフード系とかの店を探しながら歩いたのだが、目に付くのはステーキハウスとか重たいものばかり。できるだけ、ホテルなど施設の中を抜けて歩くのだが、外に出ると、暑さでくらくらする。ミラージュの前辺りまで歩いて、そこから道の反対側へ折り返す。ちなみに、ミラージュは工事中、なにやら取り壊しているような雰囲気で、名物の「火山」がどうなるのかちょっと気になるところだ。

そこから、シーザースパレスの脇のフォーラムモールに入って、そのなかでレストランを探す。入ったところの3階に寿司屋があったので、とりあえず入ってみた。前菜に野菜天ぷらの盛り合わせと一番搾りをたのむ。

天ぷらは、いい感じでからっと揚がっていて、合格点。さて、寿司は?と、ちょっと高い方の盛り合わせを注文してみた。

これも悪くない。少なくとも食べていて違和感がない、ちゃんとした寿司である。(米国の寿司屋では重要なポイント(笑))これならば、また来てもいいなと思いつつ店を出た。ラスベガスは10月にまた来る予定なのだが、その時にまた来てみるのもいいいかもしれない。そこからフォーラムモールの中を歩いてシーザースパレスに抜ける。

シーザースパレスから外に出てみると、あたりはだいぶ暗くなって、気温も多少下がった感じになっていた。

さて、どうしようか・・・と思ったのだが、今回バスの乗車券は買っていない。モノレールの駅は遠いので、いつもの噴水ショーや夜景を見ながら、ぼちぼち歩いて帰ることにした。

ホテルまで帰ってきた頃にはすっかり日が暮れて暗くなっていた。歩数は今日も2万歩越え。流石に疲れたので、売店で水と一緒にアイスクリームを買ってしまう。まぁ、これだけ運動したのだから、ご褒美があってもいい。(笑)

さて、明日はDEFCON最終日。朝ホテルをチェックアウトしてから荷物を預けて会場に向かい、3時頃には戻ってきて空港へ。夕方の便で、次の目的地、テキサスのオースティンへ向かう予定である。

DEFCON初日

| コメント(0) | トラックバック(0)

今日からDEFCON開始。とりあえず、朝7時半に起床して朝飯を食い、ホテルを出る。今日は昨日にもまして暑い。朝からサウナの中にいるような感じである。

出る前に日本のニュースを見たら、今度は神奈川で地震。とりあえず、自宅のシステムの無事を確認。横浜は震度3位だった模様でひと安心。南海トラフとは無関係とはいえ、こう地震が続くと疑心暗鬼になってしまう。大地震の前は、内陸でも地震が頻発するなんて話も聞いたことはあるのだが、メカニズムとか解明されているわけではないので、とりあえず気にはとめつつ、万が一何かあったときの対処を再確認する、というのが正しい対応なのだろう。そういう意味では、これもリスク管理。サイバー攻撃も同じで、最近、ランサム攻撃の被害が大きくなりはじめて、慌てている経営者もいるようだが、結局の所、地道な対策を重ねつつ、適宜見直しを行っていくしかないのである。

DEFCONは、いつも参加しているコンファレンスとは異なり、ディープな世界の話や、技術的にとんがった人たちの話が多い。今日の最初は、ランサムウエア攻撃のグループと「お友達」になった話とか。残念なことに、会場の音響が悪くてエコーがかかったような状態で、あまりよく聞き取れなかった。資料を見ている限りでは、潜入捜査的なことを個人でやった感じのようだが、相手が犯罪集団だけに、報復を受けたりしないのだろうかと心配してしまった。

次に聞いたのは、AWSで、他のテナントのリソースにアクセスする方法の話など。ロールの権限を委譲する仕組みの欠陥をついた方法のようで、既に修正済みの話ではあるが、そんな方法を見つけ出すのもすごい。そういう意味では、こちらもそう。Androidのジェイルブレーク、つまりroot権限を奪取する方法なのだが、攻撃対象はGPUのドライバーとのこと。共有メモリの Use after Free 脆弱性を利用した方法らしい。

さて、このあたりから、ちょっと時差ぼけの影響が出てきて、時々意識が途切れてしまう。結構辛くなってきたので、今日はこのくらいで終わりにして、ホテルに戻ることにした。

会場は冷房が効いていて寒いくらいだったので、上着を一枚羽織っていたのだが、外に出たら、今度はいきなりオーブンに放り込まれたような感じである。日差しは強くて、焼けるようだし、下からは路面の熱が上がってきて、吹く風も熱風。こんがり焼かれてしまいそうな暑さで、モノレールの駅までたどりつけるかどうか、ちょっと不安になった。

とりあえず、ホテルには無事戻れたので、ちょっと昼寝をする。例によって熟睡してしまい、気がついたらもう5時過ぎになっていた。

さて、晩飯をどうしよう、と考えたのだが、ホテルに戻った時に腹が減っていて、サンドイッチを一個喰ってしまったので、あまり重たい物は食べられそうにない。とりあえず、少し歩いて考えようとホテルを出たのだが、日が傾いたのに、まだオーブンのような暑さが続いていて、歩くのは危険な感じ。

結局、またモノレールに乗って一駅だけ移動し、そこからホテルや施設の中のモールをすこし歩いて、大通り沿いへ出る。ちょうど Parisホテルのあたりで、こんなエッフェル塔もどき。そう言えば、まだオリンピックの最中だったことを思い出す。

やっぱり暑いので、また近くのモールに入って少し歩いたのだが、結局よさげな店(というか、軽い物が食える店)が見つからず、昨日と同じBubba Gumpへ行くことにした。

結局、昨日と同じようなメニューを注文し、コロナ2本でいい感じになって、店を出る頃には、日も沈んで、多少・・・だが暑さもマシになっていた。下からの熱気はあまり変わらないが、直射日光がなくなった分、多少ましである。去年、もう2週間ほど後に来たときは、ここまで暑くはなかったのだが、今年はこれまで経験した中でも一番の暑さかもしれない。

帰りは、道沿いを歩いて、ホテル近くまで戻った頃には、すっかり暗くなっていた。

NewYork NewYorkホテルの前の自由の女神像とか、MGMホテルの前のライオン像とか、このあたりの名物を見ながらホテルに帰る。

結局、気がついてみれば、今日の歩数は2万歩を超えていた。途中昼寝しているからか、それほど疲れた感じもないのだが、とりあえず、摂取した分は消費しないといけない。(苦笑)

さて、明日もそんな感じでDEFCON参加の予定である。

未明のサプライズ

| コメント(0) | トラックバック(0)

時差ぼけで、いまひとつ熟睡できない状態で、午後4時前に目が覚めて、ふとスマホをみたら、南海トラフ地震注意情報というのが目に飛び込んできた。宮崎方面(日向灘)で大きな地震があって、それが南海トラフ地震の震源域に重なるため、巨大地震誘発の可能性が「普段より高まった」ということらしい。この警報レベルが設定されて以来初めての発令らしい。あくまで可能性が高まった(と言っても数百回に1回程度の可能性)ということらしい。慌てふためく必要はなさそうだが、こればかりは無事を祈るしかなさそうだ。

なんとなく寝足りない状態で、8時過ぎまでゴロゴロしてから、朝飯を食い、10時過ぎに外に出たら、やはり暑い。薄雲があって日差しは多少弱いのだが、それでも強烈な暖房に包まれたような感じだ。

とりあえず、MGMホテル裏の駅まで歩いて、モノレールでラスベガスコンベンションセンター(LVCC)へ向かう。

ここが今年のDEFCON会場。西館は新しくできた建物で、もともとDEFCONの会場にも使われたことがあるRivieraというホテルが立っていたあたりを再開発して作られた。以前からある北館、南館からは離れているので、モノレールからが近いか、メインストリートのバス停からが近いのか微妙なところだ。今回、モノレールの4日チケットを買ったのだけれど、むしろバスの方がよかったかもしれない。ただ、バスは混雑するのと時間が読めないので、多少歩いてもモノレールはよさそうである。

本番は明日からで、今日は一部のプレイベントのみだが、それでも結構人がいる。とりあえず、今日のうちにバッジを入手しておくために来た人も多いようだ。で、これが今年のバッジ。ねこバッジなのがいい。中身はシングルボードコンピュータ(ラズパイ)で、クラシックな感じのゲームが組み込まれている。LEDがついていて、明るさや色を変えることができる。ソフトウエアがいじれれば、自分で改造も可能なのだが、残念ながら環境がないので、帰ったら時間を見つけてチャレンジしてみよう。(と言いながら、毎回、帰ったら放置されてしまうのだけれど・・・・)

会場からは、ラスベガスの新名所であるスフィア(球体)が見える。中はホールになっていて、コンサートなども開かれるようだ。

しばらく会場で涼んでから、またモノレールで宿に帰ることにする。気温は一段と高くなっているのだが、冷え切った館内から外に出ても眼鏡が曇らない。日本だと一瞬で曇るのだが、さすがに湿気のない砂漠地帯である。

宿に帰って、そのまま昼寝モードへ・・・。ちょっと昼寝のつもりが、結構寝てしまい、気がついたらもう夕方近くになっている。そこからちょっとバッジの情報等を調べていたのだが、結局、しっかりと環境を整えないと改造は難しそうなので、やっぱり諦めることにして、また日が暮れた頃に晩飯にでかける。

この自由の女神像は、お隣のホテルのもの。

昨日はがっつりと肉を喰ったので、今夜は軽く・・・ということで、毎回行くBubba Gumpでサラダ(エビ入り)とした。クラムチャウダーとコロナもあわせて・・・。

最後にラズベリーティーを頼んだら、めちゃくちゃ甘かった。血糖値が気になる(笑)ので、半分くらいでやめておくことにした。それからほろ酔い加減で歩いてホテルに戻る。結局、今日は良く歩いて1万5千歩超。なかなかいい運動をしたのだが、そのぶん結構疲れた、

西の空低くにこんな月。

部屋に戻る前に、ちょっとツキの女神様にお布施を渡し(笑)部屋に戻ってこれを書いている。そんな感じで、今日はおしまい。明日からDEFCON本番である。

いよいよ最終日。朝、ホテルをチェックアウトし、荷物を持って会場へ。会場で荷物を預けて朝食を取り、それから朝のキーノートへ。キーノートはソーシャルエンジニアリングの話。実際、サイバー攻撃の切り口の9割が「人」(ヒューマンファクター)だという最近、「将を射んと欲すれば・・」ではないが、「先ず人を・」ということらしい。話者はそのスジの有名人らしいのだが、いやはやめちゃくちゃ早口なうえに、ちょっとアクセントが違っていて、なかなか聞き取れない。大筋で言っていることは分かるが、細部が聞き取れないので、ちょっと厳しかった。こころの中で、「いやいや、あなたがどれだけ優秀なソーシャルエンジニアだったとしても、私は絶対に欺されない自信があるぞ。だって、あなたが言っていることが聞き取れないのだがら・・・」などとうそぶいてみたり。

それから、ブレークアウトで、ダークウエブの話とか、またAI関連の話とか。ダークウェブの話は、これまでだいたい聴いたような話のおさらい。AIについては、AIの問題点とそれに関連した規制の話など。規制に関していえば、EUが prescriptive な、つまり、出来るだけあらかじめ細部を決めようとする方向なのに対し、USは、どちらかといえば descriptive な、つまり、まずは大きな方向性を決めようという方法で、かなり違いがあるとのこと。EUは、家電製品やIT機器等に適用されているCEマークのようなものを考えているようで、認証の基準としては、現在最終ドラフトが検討されているISO/IEC42001が、ひとつの候補のようだ。いずれにせよ、こうしたルール作りは、現実の技術の進歩に比べて5年ほど遅れているのではないかとの話だった。我が国の政府も、国際的なルール作りを主導したいと鼻息だけは荒いが、さて、先行しつつあるEUやUSを相手に、その両方の考え方の違いを調整して主導出来るだけの力が日本にあるとは正直思えない。結局、両にらみで動きがとれなくなり、国内の法整備が遅れる・・・なんてことにならなければいいのだが。

クロージングのキーノートは、タイの洞窟で遭難した子供たちの救助に携わったオーストラリアの医師の話。水が流れ込んで洞窟の奥に取り残された子供たちを救出する一部始終を語ってくれた。一刻を争う中で、二次被害を避けつつ救助を進めるプロセスは、インシデント対応などにも通じるものがある。様々な国の人たちが集まった混成チームのなかでも、きちんとコミュニケーションが維持されていたのが驚きだ。そういう意味でも非常に興味深い講演だった。

さて、そんな感じでイベントは終了。二時半にUberを予約してあったので、それでダウンタウンのホテルに移動することにしていたのだが、このあたりからちょっと体調が悪化する。朝から、少し風邪っぽい感じではあったのだが、ここにきて少し熱も出てきたようだ。ダウンタウンのホテルに移ってからも、調子は良くならず、薬を飲んで早めに寝ることにした。

今朝になって、状況は多少改善したかに見えたのだが、少し動くとまた熱が上がるといった感じで、結局、今日も夕方まで部屋で寝ていた次第。それほど高熱でもないので、普通の風邪だろうと思うのだが、会場の部屋のエアコンが効きすぎていたのが災いしたかもしれない。夕方になって、多少マシになったので、少し街に出てみた

メインストリートのブロードウエイあたりは、多くの人でごったがえしている。流石に人気の観光地。道沿いの店からは大音響の音楽。ニューオーリンズあたりとはまたちがった、極めてアメリカンな雰囲気の街である。

人混みを歩いていたらまた少し具合が悪くなってきたので、さっさと撤収することにした。帰りがけにコンビニで、また風邪薬を調達。ホテルの売店でフルーツを買って、それと、朝の残りのラップで晩飯にする。

さて、明日は朝4時起きでホテルを出て、空港に向かう。7時過ぎの便でアトランタへ飛んで、そこで羽田行きに乗り継ぐ予定である。さて、今夜は早めに寝て、明日に備えよう。

ISC2 Security Congress Day2

| コメント(0) | トラックバック(0)

イベント2日目の朝。ホテルのアトリウム。

会場で朝食をとったあと、キーノート会場へ。

今朝のキーノートもAI関連。昔から、考えるだけで何かが出来る魔法のようなものは想像されてきたのだけれど、いわゆるBrain-Machineインターフェイスが、AIの進化で、いよいよ現実のものになりつつある。動作や思考、感覚に伴う脳波パターンを学習させることで、脳波から、その時の動作や見聞きしたこと、さらには考えた事まで再現することが、実際に出来るようになっているのである。たとえば、考えるだけでPCを操作することや、思い描いたイメージを画像化することが実験レベルで可能になっている。電車やバス、トラックなどの運転手や飛行機の操縦士の脳波をモニターすることで、疲労や集中力の欠如を検知して、事故防止に役立てる研究もそろそろ実用の域に入り始めている。脳波を検知するデバイスも、イヤホンくらいのものが実用化されつつある。夢の世界はもうすぐ・・・ということなのだが、困った問題も発生する。会社や政府といった第三者に「思考」をモニターされてしまう可能性だ。会社がこれを使って、社員の仕事への集中度とかをモニターするようになったらどうだろう。強権国家が国民にセンサーを付けさせて、政策に反対する考えを持った国民を監視するような世界はどうだろうか。これはいわゆる「ディストピア」である。内心の自由がなくなってしまうことは、想像するだに恐ろしい。そんな世界が間近に迫っているから、AIの使い方をきちんと考えて、コンセンサスを作り、必要に応じて規制を設けるといった動きを今すぐにでも始めないといけないね。というのが、この講演の趣旨である。なかなか、考えさせられる内容だ。SFで描かれてきた世界がもうそこまで来ているのだとしたら、うかうかしてはいられないだろう。こうした技術の恩恵を最大限に受けつつ、デメリットや悪用を防いでいく方策を考えなければいけない。

今日のブレークアウトセッションは、ちょっとハズレが多かった。「トップから始めるセキュリティ文化」というセッションを聴いたら、「文化」の中身がほとんど出てこず、語り尽くされている「セキュリティにどうトップを巻き込むか」という話しに終始していたり、「クラウド時代のSOC活用とインシデント対応」という話を聴いたら、なにやら語り尽くされたクラウド利用の考え方についての抽象論ばかりで、具体的な話は、最後のQ&Aで少し出てきたくらいだったり・・。レッドチーム立ち上げの話は悪くなかったが、この話を一時間でまとめるのは難しそうだ。

唯一面白かったのが、ウクライナとロシアのサイバー戦争に関する話だった。クリミア併合の頃から、ロシアにサイバー攻撃を受け続けてきたウクライナが、今回の戦争でサイバーでも非常に善戦している話は、メディアなどでも伝えられているが、実際は相当に泥臭い戦いになっているようである。ロシアのプロパガンダサイトや主要なセクターのサイトの(使える)脆弱性の発見と提供をボランティアに呼びかけたり、攻撃コード(Exploit)の提供を呼びかけたり、自国の情報が漏れるきっかけになるような、国内のオープンなWebカメラの発見と情報提供を呼びかけたり、まさに総力戦の様相を呈している。さて、我が国でも政府はサイバー防衛の重要性を強調してはいるが、実際、紛争が起きた際に有効に機能する部隊を作れるかどうか、また、ウクライナのように、なりふり構わず、民間有志の支援を求められるかどうか、そうした有志の力を最大限に活用できる「司令塔」を構築できるかどうか・・・、これは大きな課題かもしれない。平時にはなかなか具体的に語りにくい内容だが、平時のうちに固めておくことが必要だろう。ウクライナにしても、クリミア紛争で痛い目を見ていなかったら、今回、ここまで善戦はできなかっただろうから、その教訓は活かしたいところである。

そんな感じで今日も暮れ・・・夕方には飲み物と軽食が展示会場で振る舞われたのだが、混雑していたので、コロナ一本だけ飲んで退散した。

暗くなったアトリウム、ハロウィーンモードなので、ちょっと不気味な雰囲気である。部屋に戻って少し横になり、それから晩飯を食いにでかける。晩飯のスタートは昨日と同じ地物のビール。

メニューに巻き物があったので「うなぎロール」を頼んでみた。アボカドが入っていて、カリフォルニアロールのウナギ版といったところ。

そんな感じでちょっとまったり、景色をながめたり・・・。

で、メインはサーモンである。昨日はは肉だったので、今日は魚にした。

それからほろ酔い加減で、アトリウムを歩いて部屋に戻って、これを書いている。

さて、明日は最終日。イベントは昼過ぎまでだが、朝のうちにチェックアウトしないといけない。終了後はダウンタウンに移動して、明日、明後日はナッシュビルのダウンタウンに泊まる。明後日土曜日はオフなので、ナッシュビルの街を歩いてみる予定だ。

ISC2 Security Congress Day1

| コメント(0) | トラックバック(0)

ドタバタな一日から一夜明け、今日からISC2 Security Congress開始。会場のホテルはハロウィーンモードになっている。

だだっ広いホテルの中庭の端にあるコンベンションセンターが今回の会場。

とりあえずのオープニング。ISC2のCEOのセッション。まずは、ISC2の活動の紹介と宣伝。

2023年には世界で550万人のセキュリティ人材が必要になるが、ぜんぜん足りていないとう話。(だから、ISC2が育成に力を貸す・・・という話なのだが)特に、エントリークラスの人材の戦力化や、他分野(IT関連以外の分野)からの人材の移動が必要だと言う。そのため、まずはエントリーレベルの認証資格であるCC(Certified in Cybersecurity)が昨年追加された。彼らが言うように、(本来の)セキュリティ人材が大きく不足しているというのであれば、育成は喫緊の課題だろう。まぁ、日本で言われている人材不足は、それ以前の問題(そもそも、ITの各分野でのセキュリティ意識が極めて低いから、「セキュリティ人材」が余計な仕事を背負わなくてはいけない)だとは思うのだが、であれば、さらに日本は人材育成でも周回遅れになってしまうような気がするのである。ところで、ISC2は、正式には(ISC)2 = International Information System Security Certification Consortium = IISSCC =(ISC)2 :アイエスシースクエア、だと思っていたのだけれど、いつのまにか、アイエスシー「ツー」になっていて、ロゴもISC2に変わっていることに今回気がついた。いつから変わったのか、ISC2のサイトを見たのだが、もう(ISC)2の記述はどこにもない。(なかったことになっている?)、でも、外部ではまだ昔の名称の認識が残っていて、例えばISOでは、協力団体として、こんな感じで旧名称が残っている。謎である。

オープニングのあとのキーノートでは、暗号資産の取引追跡の話があった。ダークウエブでの闇取引に関する捜査機関の暗号資産の取引(マネーロンダリング)追跡は一定の成功を収めている。様々な追跡妨害の技術があるが、その上を行く技法があったり、犯罪者がおかしたちょっとしたミスから追跡されてしまうといったこともあって、少なからず摘発が行われているようだ。

ブレークアウトでは、今回もAI関連のセッションを聴くことにしているのだが、今日聴いたセッションでは、AI開発におけるセキュリティの視点についての話しが興味深かった。いわく、AIに対する脅威には、いくつかの切り口があり、AIそのもの、つまり、その学習データに対する攻撃、学習モデルに対する攻撃、そして、AIを使用するアプリケーションソフトウエアへの攻撃という複数の切り口があるという。最後のものは、従来からのソフトウエアへの攻撃であり、対策もこれまで確立されている手法が応用できるが、先の二つについては、AI(そのアルゴリズムなど)への理解が不可欠で、いわゆるデータサイエンティストのスキルが必要になる。この部分は、一般のセキュリティ専門家ではなかなか取組が難しいのだが、残念なことにデータサイエンティストたちのセキュリティ意識はまだまだ希薄で、課題も多いと言う。(もちろん、後で述べるような研究も進んではいるのだが)AIのセキュリティを考える上で、データサイエンティスト、ソフトウエアエンジニア、システムの運用サイド3者の協力は不可欠だという。AIセキュリティでは、AI固有の問題がクローズアップされがちだが、それをソフトウエアで実現し、応用する以上、従来からの手法が攻撃に使用される可能性は高く、そういう意味では、今のセキュリティ屋の出番も少なからずありそうである。

ちなみに、午後にキーノートでは、AI研究者が登壇して、こうした面での研究が進んでいることをアピールしていた。メディアでは、いまだに数年前のAIが引き起こした問題(差別的な判断など)が引き合いに出されるが、そうした問題は過去の物になりつつあるという。Responsible AI(倫理的、法的な考え方を組み込んだAI)に関する研究の進歩が著しいということのようだ。実際この言葉を検索すると、GoogleやMicrosoftなどが研究を公表している。AIを使っていく上で、こうした状況にも注視していく必要があるだろう。

もう一つのセッションは、「過去のサイバー攻撃事例から学ぶ」という話だったが、「統計マニア」を自称するスピーカーが興味深い統計をいくつか紹介してくれた。

  • (一回の)データ侵害がもたらすコストの世界的な平均は445万ドルである。
  • 67%の侵害は被害者自身ではなく、第三者または攻撃者自身によって公にされている。
  • 8割以上のサイバー攻撃は、組織犯罪者による金銭目的のものである。
  • 74%のデータ漏洩は人的な要因によって発生している。
  • 56%の脆弱性が公表から一週間以内に攻撃されている。(一ヶ月以内のパッチなどと悠長なことは言っていられない)
  • などなど・・・。主な元ネタは、IBMのレポート「データ侵害のコストに関する調査」とRapid7のThe Annual Vulnerability Intelligence Reportらしい。

    その上で、既知の脆弱性への対処を怠ったために侵害を受けたケースが増大しているという。また、二重恐喝の標的型ランサム攻撃などでは、最初の切り口として、ソーシャルエンジニアリングが多用されるという。公開情報等からその企業の役員やIT管理者など権限を有する人の情報を入手し、なりすましてITサポートデスクに連絡して、一時的に多要素認証を無効化させるといったやりかただ。実際に、MGMはその手法でOKTAの認証を破って侵入され、ESXiサーバの脆弱性を悪用されて仮想マシンを暗号化されてしまったという。

    いわく、階層的防御(Defence-in-Depth)は、単に技術的なソリューションを複数使うということではなく、「人」「技術(ソリューション)」「運用(オペレーション)」すべての切り口で考えなければいけないとのこと。ある意味、「あたりまえ」のことなのだが、ともすれば、ベンダーの口車に乗せられて、ソリューションのみにフォーカスしがちな日本企業には耳が痛い話だろう。

    そんな感じでとりあえず聴いていたのだが、流石に眠気に逆らえず、午後の最後のセッションはパスして部屋で昼寝していたら、あっという間に日が暮れてしまった。夜にネットワーキングイベントがダウンタウンで開催されたのだが、面倒になってパスして、ホテルの中で晩飯を食う。この地物のビールはなかなかいける。ロゴがビットコインのロゴに似ていて、昼間の話を思い出した。

    で、メインはやはり「肉」。今回は控えめに、フィレを食う。

    そんな感じの一日。さて、明日は眠気に負けないようにしないとな・・・・

    このアーカイブについて

    このページには、過去に書かれた記事のうちイベントカテゴリに属しているものが含まれています。

    前のカテゴリはです。

    次のカテゴリはサイバーセキュリティです。

    最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。