だんだん遅れていく日記書き。いろいろ内容があって、まとめる暇がなかなかとれない。今回は、特に宿がMillbraeであることもあって、ダウンタウンへの行き来に時間がかかる点もちょっと影響している。
この駅は、BARTとCaltrainの接続駅である。朝夕はSFO(サンフランシスコ国際空港)を経由しないBARTの直通電車が走っているので、折り返しの時間が省ける。さて、13日はRSAのプレイベントであるCSA Summitに参加した。クラウドの世界も、いよいよ本格的に大規模な導入が進んで、一気に一般化したのだが、そのぶん課題も色々と出てきているようだ。
ガートナーの予測では、2020年までに大企業の98%がハイブリッド・クラウド化した情報システムを持つだろうとされている。今回のSummitでも、その関連の話題がいくつかあったが、ハイブリッド化することで、オンプレミスとクラウドの境界が曖昧になり、結果として企業ネットワーク全体の境界が崩壊する可能性が高い。クラウドを積極的に利用する方向ならば、これは避けがたいことなので、境界を前提にしないセキュリティを考えなければならないわけだ。
結局、エンドプロテクションが重要になるのだが、その要はセキュリティの基本である、ID管理と認証、そしてアクセス制御である。つまりは、これまで「境界」防御に頼って、あいまいにすませてきたアイデンティティの管理を基本に戻ってきちんとやる必要が生じるという話だ。
一方、ハイブリッド化で企業ネットワークと密に繋がるクラウド事業者側では、別の懸念も浮上する。現在、大手のパブリッククラウド事業者のセキュリティレベルは非常に高い。しかし、ユーザのシステムがそれに直結することで、もしかしたら、ユーザ側がバックドアになるかもしれないという懸念である。これは、今まで議論されてきたのとまったく逆の見方なのが興味深い。結局、繋がるということは、どちらにもリスクが生じるわけだが、多くの(レベルが違う)利用者をかかえる事業者側では、より問題が深刻化する可能性があると言うことだろう。
クラウドのアジリティを最大化するDevOpsへのセキュリティプロセス組み込みを意味する、DevSecOpsの話もいくつか。これは、DevSecOpsにおける、開発者、セキュリティ担当者、運用担当者のそれぞれの分野における必要なスキルレベルを示したチャートである。それぞれ、他の分野の知識や経験が少なからず必要となるのは、開発から運用までを一気通貫にし、問題を速やかに開発(設計)にフィードバックするDevSecOpでは、各担当官のコミュニケーションが最も重要になるからだ。
CSA Summitのスピーカーは招待者を除いて、基本的にスポンサー企業である。なので、人によっては企業宣伝の比率が高くなってしまうのが難点といえば難点。一応、製品・サービス紹介だけはダメよ、というルールはあるようなのだが、つまらないと感じるセッションも若干あるのが残念。以前に比べて、最近特にCSAはその傾向が強まっている。あまり、これが強くなると、自己崩壊に向かう可能性もあるから注意して欲しいところである。
この日は終日、CSA Summitに参加して、夕方からはRSAの展示会場でWelcome Receptionに。展示会場で、軽い食事や酒が出るので晩飯代とカロリー軽減のために顔を出す。北館のロビーには、こんなSOCが・・・。なんとなく、こじんまりとしたブースで、ある意味「見世物小屋」的な雰囲気だ。
使われているのは、当然、RSAのSIEMなどの製品である。Interopのようにあれこれ様々な製品が置かれていると面白いのだが。
とりあえず、食って飲んで、ほろ酔い加減でどこにどんなブースがあるのかだけ見て回る。今年もFBIはこんなブースを出している。面白いのは、FBIグッズ(バッジみたいのとか)をブースで売っているところである。Fed系では、NSAやDHSが、やはりブースを出していた。アメリカのいいところは、こうした政府機関が様々な民間支援プログラムを提供している点である。セキュリティ企業は、ともすれば金の儲かる大企業にフォーカスしたソリューションを提供しがちだ。これは日本でも同様である。なので、そうした網からこぼれてしまう企業や業界に対する支援の意味でも、いい形だろうと思うのである。また、民間企業に対して、政府の技術が利用できる枠組みも用意されている。ちょうど、民間ロケット企業にNASAが技術提供しているのと同じ形である。まぁ、どこかの国ではそういうノウハウも、まるごと民間頼みだから無理だろうな・・・・と、ちょっと自虐的な感覚に陥ってしまった。(苦笑)
そんな感じの月曜日。昨日と今日の話は、帰りの飛行機の中ででも書くことにしようかと・・・。そろそろ荷造りして寝るとしようかな。
コメントする