気温1℃の今朝、ちょっとゆっくり家を出て、九段下に向かう。
今日は終日、NICTの情報通信セキュリティシンポジウム。最初の講演はCSAのMarlin。CCMをはじめとするCSAの取り組みを紹介。CSAの取り組みは少しずつつまみ食い的に見てきたものの、ざっとまとまって説明してくれたので、全体のつながりがよくわかってよかった。GRC(ガバナンス・リスク・コンプライアンス)の視点でのクラウドプロバイダのステータスをリアルタイムでユーザのGRCマネジメントシステムにつなげ、ユーザ側でサプライチェーンを含めたコンプライアンスやリスクの状況を常時モニタできるような仕組みを目指している。実際、米国ではSOX法施行前後から、こうしたGRCマネジメントシステムを使う動きが出てきている。私も、以前つきあっていたベンチャーをスピンアウトした人が会社をおこしてそういう製品を作っているのを知っている。今日のMarlinの話でも、懐かしい名前がちらっと出てきた。当時、紹介されて、なかなか面白い考え方だと思ったものの、日本ではこれを使い切れる会社はないだろうと思って店ざらしにしていたのだが、いまや米国ではそこそこ知られた名前になっている。一方、日本はというと、依然としてたぶんこれを使い切れる会社はないかもしれないという状態。今日の講演後の質問とそれに、ちょっとあきれながら答えたMarlinの姿が象徴的。こうしたリスクやコンプライアンス状況のステータスを機械的にモニタできれば、なにも紙ベースの書類や、直接監査は必要あるまい・・・、そんな非効率な・・・といいたげなMarlinだった。このあたりは、日本とは大きな感覚のずれが生じているようだ。
NICTの中尾さんは私もよく知っている。ITU-Tでのクラウドセキュリティに関する標準化の状況についての話。実は、中尾さん、ISOのほうでも、同じような活動をしているのだけど、今日はNICT(つまりは、MIC系)なので、ITU-T側にフォーカスしたんだろうか・・・。ISO側では、Marlinとも顔見知りのようだけど。
あとは午後の某氏の刺激的なお話。アノニマスあたりよりも、もっと最後の標的型攻撃のあたりをみっちりとやってほしかったのだけれど、こちらは喋れないことも多かったのだろうかな。派手に煽ったわりには、核心部分はうまくモザイクを入れてた感じがするのは気のせい?。
あとは、いつものNICTER噺とか・・・・。研究としては興味深いのだが、実際に、これを実用化しようとすると、まだまだ課題は多いのかもしれない。講演でも触れられていたが、実際もうパッシブモニタリングの限界は見えてきている。必要な技術だが、さらに別の切り口からの技術も必要だ。たとえば、OSレベルでPC同士がP2Pネットワークを作って互いに情報を交換しつつ、マルウエアの早期警戒網を作る・・・とか。まぁ、これができるのはシアトルの某M社くらいだろうが、逆にあの会社には是非チャレンジしてほしいなと思う。マルウエア対策は本来OSベンダの責任だし。
てなことをしてたら、もう夕刻。某所からの夕日。
ちょっと見たら虹色の雲。ほんのしばらくしか見えていなかったけど、見られたのはラッキー。
今週もこれでおしまい。明日は、午後から自宅のフレッツ光Next工事。新サーバの構築もやらないと・・・・。さっきからFreeBSD9.0のダウンロードをやっているのだけど、ftpが、防火壁のアンチウイルスのせいか、やたらと遅い。ISOファイルの中身まで見ているからだろう。OSインストールのあとの諸々が面倒。Perlのパッケージとか、MySQLとか、Apache, sendmail, bindの最新版とか、MovableTypeの最新版と、現サーバのデータ移行とか・・・・。日曜中に終わるかどうかが不安だ。
さて、今夜はダウンロードで終わりそうな感じだし、いまのうちにのんびりしとこう。
コメントする