昨夜はそれなりに眠れて、朝6時起床。朝飯を食う場所を探してみたのだけど、この周辺は何もない。しかたないので、昨夜晩飯を食ったホテルのレストランで朝飯。オムレツとオレンジジュースですませ、ホテル前のスタバでコーヒーと水を買う。
それから、地下鉄で会場のジョージア・ワールド・コングレス・センター(GWCC)へ移動。毎年の盛大なオープニングセレモニーは、ちょっと出遅れたのでパス。レジストレーションを済ませてからすこし時間をもてあます。
朝一のセッションは、ISC2のBoFセッション。ICSA Labのスピーカー。お題をかいつまんで言えば、昨今の攻撃に対して、最近のセキュリティ製品はどれくらい有効なのか・・・という話なのだが、BoFなので、スピーカーは会場にあれこれ質問を投げかける。しかし、どうも質問がかなり曖昧なもので、答えに困る。ケース・バイ・ケースというのが答えの質問にYES/NOで答えさせられても答えようがない。しかも、手を上げたら、結構、突っ込まれるので、最後の方は手を上げる人間が極端に少なくなった。スピーカー的には自分の仕事にからめて、セキュリティ製品の評価レポートに何を期待するか、ということを引き出したかったようなのだが、ちょっと不発に終わったセッションだった。興味深かったのは、AETという言葉。これは、私は初めて聞いたのだが、Advanced Evasion Techniques (高度な[検知・防御]回避技術)の意味なのだそうだ。これを含めて、APT, AET,ゼロデイ攻撃に対して、昨今のUTMや、SandBox系の製品はどこまで使えるか、という話なのだが、結論ははっきりしていて、使う意味はあるけど、100%信用しちゃいけないし、使い方は、その利用者の環境や守るべきものによって大きく変わる・・ということだ。たぶん、参加者はみんなそれが分かっているので、単純な質問には手を上げづらかったのだろうと思う。スピーカーの質問の意図がよくわからないのが最大の障害だっただろうと思う。これは、BoFをやるときに気をつけたいところである。
午前の2個目のセッションは、医療用機器への攻撃の防御の話。これはなかなか面白かったし、会場からの議論も活発だった。実際、このところ、様々な問題が指摘されている医療機器。どんどんネットワーク化される一方で、セキュリティがあまり考慮されていない点が多く指摘されている。興味深かったのは、米国ではこうした問題への取り組みが、政府、業界でかなり進んできているという点。参加者の多くがヘルスケア領域の人たちだったこともあって、会場の関心もかなり高かった。質問を聞いていても問題意識の高さがうかがえる。IoTなどにもからむ話で、面白かった。間違えば人の命にからむ領域なので、日本での取り組みが気になるところである。実際、医療機関などを受診した際に、置いてあるPCでXPがまだ動いているという状況を最近でもよく目にする。こうしたPCは、電子カルテや、医療用電子機器と繋がっていて、検査データや画像診断のデータなどにアクセスができる。おそらく、保守は一般のITベンダではなく、医療機器メーカーなどがやっているのだろうから、このあたりの企業の意識状況がまだまだ、ということなんだろう。エンドユーザ側にセキュリティを考える人たちがいる米国とは異なり、日本の場合、業者に任せきりの医療機関が多いので、そのあたりが大きな差となって出てくるのだろう。
ランチは大部屋で、いつものように食事前に、ASISの表彰式などがあり、給仕の不手際などもあって、長々とお預けを食らった。まぁ、これはいつものことなのだが・・・。食事の後、ちょっと展示会を歩いて見る。ASISのイベントなので、例によって(物理)セキュリティ装置や、サベイランスカメラなどのソリューションがほとんどを締めている。実際、来るたびに思うのだが、われわれITセキュリティ屋が普通に使っている言葉が、ここに来ると別の意味合いになってしまう。たとえば、「境界防御」は、敷地をフェンスで仕切って監視カメラや警備員を配置することだったり、侵入検知は赤外線センサーとかカメラによる挙動認知・・・といった具合だ。まぁ、どちらかといえば、こちらの世界から拝借した言葉なのだから、いたしかたないのだが。
午後は、"How to hack a bank" という刺激的なタイトルのセッション。さすが、満員御礼で立ち見多数。昔々、銀行間での小切手のやりとりは、実物をトラックで輸送するというものだったが、その後、70年代には、通信回線とコンピュータによるバッチ処理に変わる。この時代の方式であるACH (Automated Clearing House)はいまだに使われているが、その古さ故にセキュリティ上の問題も多い。たとえば、銀行に侵入して、バッチ処理にかかる直前のACHファイルを改ざんしたら・・・という攻撃が、かなりの銀行で成り立つらしい。実際、このセッションのスピーカーの会社は、そうしたペネトレーションテストを請け負っていて、成功率は低くないようだ。旧来から続いている業界は、IT化の過程でも簡単に過去の方法を変えられない。それ故に、ITの進化についていけないという問題がある。ITセキュリティを特定の業界に閉じた形で議論してはいけない、という最大の理由である。ビジネスがその業界に閉じることができなくなっている以上、ITやセキュリティも、業界を横断した知見が必要になるということだ。
さて、立ち見でかなり疲れて、さらに時差ぼけが追い打ちをかけたので、今日は、このへんでトンズラを決め込むことにした。ホテルに戻って、ちょっと仮眠する。
気がついたら、もう6時過ぎになっていた。今夜はWelcome Receptionがあったのだが、めんどくさいのでパスした。ちょっと暗くなってから晩飯を食いに出たのだが、やはり周辺にまともなメシ屋がないので、またホテルのレストランで肉を食うことに。
今日は、ちょっと小雨もぱらつく天気。でも、夕方には少し持ち直してきたので、明日は回復するかもしれない。まだ夏時間なので、この時期、朝は明るくなるのが7時過ぎと遅い。夜はその分7時過ぎまでまだ明るいのだが、日本と対比するとすこし違和感がある。
さて、今夜はゆっくりと寝て、明日は途中で脱落しないようにしよう。
コメントする