さて、いよいよ翌日(日曜)からは、セキュリティイベントが始まる。朝一番にホテルをチェックアウトして次の滞在先、イベント会場隣のDisney Swanにタクシーで移動する。イベントの最初は、CSA Summitである。Cloud Security Alliance(CSA)は今年で10周年を迎えるクラウドセキュリティの団体。私も日本支部(Chapter)の一員として、この数年活動してきた。米国ではRSA Conferenceと(ISC)2 CongressでSummitと呼ばれる1日のイベントを開催している。
活動開始当初は「クラウド」という新しい流れの中でセキュリティの考え方の変化に対応したい人たちの関心を集め、こうしたイベントは立ち見が出るほどの盛況だったのだが、このところ次第に参加者が減ってきている感が否めない。それだけ「クラウド」が一般化し、ITインフラとして定着した裏返しなのだろうと私は思うのだが、CSA自体も、これからの方向性を模索している・・・というのが実情のようだ。実際、クラウドにからめて、モバイルやIoT、ブロックチェーンといったテーマを積極的に取り上げているのだが、その分、フォーカスがボケてきている感は否めない。クラウドがインフラとして定着することで、クラウドセキュリティのカバー範囲は劇的に広がる。それと同時に、それは「クラウド」というよりも、個々の分野のセキュリティという色彩が濃くなっていく。この団体にとっても、ここしばらくは、存在意義をかけた試行錯誤が続いていきそうだ。
ただ、広い目で見れば新しいテーマに事欠かない。たとえば、このセッションでは、ブロックチェーンの様々な用途が示された。オープンなID管理への応用などは数年前から提唱されているが、CISSPやCISAといったCPE(継続教育ポイント)を必要とする資格のCPE管理をブロックチェーンでやろうというような発想は面白い。複数の資格を横断した管理も可能になりそうだ。こうした技術の多くが、現時点ではオープンなクラウドプラットフォームを前提としている。ただ、ブロックチェーンのような、いわゆるP2P技術に根ざした考え方は、これまでクラウドプロバイダーが主張してきた「クラウド集中」型の考え方とは一線を画している。むしろ、また「分散」の方向へと舵を切るもののように思えるのである。「集中」と「分散」は何度も繰り返す。結局、最後は両方を組み合わせた階層的な考え方に落ち着いていくのだろうと思うのだ。IoTで言われているように、クラウド、フォグ、エッジという三つの階層がそれぞれ連携してシステムを作り上げていくのである。
そう言う意味では、少し試行錯誤的な感じも覚えたイベントだった。ただ、「クラウド」が一般化し、その言葉が特別な意味を失ったとしても、ここまでCSAが作り上げてきた考え方は根底に生きていくはずだ。地味ではあるが、そうした部分に存在意義を見いだして行くのも一つの形だろうと思うのである。
さて、翌日、月曜日からはいよいよ本番の(ISC)2 Congressの開幕である。オープニングのキーノートは、「ハドソン川の奇跡」の機長。ある意味、究極の危機管理である。
これまで報道やドキュメンタリーで、その対処や判断過程などは知られては居るが、実際に本人の口から出る言葉には重みがある。彼は、自分が「幸運」だったと言う。それは、彼自身の実感だろう。だが、その幸運を引き寄せたのは彼自身の冷静な判断だ。ただ一つの間違いを犯さなかったとしても、最終的に負けることはある。それが「不運」というやつだ。しかし、どれだけ「幸運」に恵まれようとも、それを活かせなければ、結局負けなのである。危機管理とは、幸運を逃さず、「不運」に際しても、被害を最小限にとどめるためのものなのだ。
初日は、サプライチェーンリスク関連のセッションや、IoT関連のセッションなどを中心に聞いた。サプライチェーンリスクマネジメントは、米国企業にとって、最大の関心事の一つになっている。だが、サプライチェーンを管理する作業の多くは地道なものだ。とりわけ多くの関連企業をかかえる巨大企業では、いかにしてその労力を軽減するかが大きな課題になっている。こうした部分に、多くのビジネスチャンスがあるのだろうと思うのである。
早めの現地入りのおかげか、それとも前日のドタバタのせいか、眠気に襲われることも無く初日を終えた。とりあえず、こんな感じで一日を締めくくる。
夜になっても、湿気が多くて生暖かい風が吹いている。もう10月の終わりだというのに、流石にフロリダだ。
翌日のキーノートは、ベストセラーになった「スマートフォンとサヨナラする方法」の著者であるキャサリン・プライス氏。この講演はなかなか面白かった。
スマホ依存は、それが脳内のドーパミンの分泌を活性化することによって発生する。たばこや麻薬などと同じような作用だ。米国でも、特に若者のスマホ依存は深刻なようで、このキーノートの前に話したCyber Safty Programの教育を子供たちに提供している団体の代表によれば、小中学生にはインターネットとの安全な接し方を教えるが、高校生に対しては、少し、ネットから距離を置いて見ることを勧めるようなプログラムを用意しているのだという。スマホの画面の派手な色使いはドーパミンの分泌を促進する。アイコンの表示される様々な「通知」は、それを確認することをせきたてる。スマホを取り上げられた人の多くが隔絶感から来る不安を覚えるのはこのためなのだという。スマホのすべてが悪と言うわけでは無いが、ワーク・ライフ・バランスならぬ、スクリーン・ライフ・バランスが重要だと言う。たまには一週間ぐらいスマホから離れた生活をしてみると、世界が変わるというのだ。家族とゆっくり話をする時間等の貴重さが分かるというのである。私も同居する家族が居ればそうするかもしないと思ったが、いかんせん独り者にとってはネットは生命線なのである。それでも、たまにはスマホの電源を切ってみるのも悪くないかもしれない。ちなみに、無意識にスマホに手を伸ばしたとき、ちょっと間を置いて、「目的は何か」「なぜ、今なのか」「他に方法はないのか」を考えるといいと言う。たしかに、以外と意味も無く手を伸ばしている時があるから、これはいい方法かも知れないと思った。
この日は、またサプライチェーンマネジメント系のセッションやクラウド、ダークウエブ、そして、セキュリティイベントについての統計的な異常値分析手法などのセッションを聴いた。最近やっているポートスキャン観測にこうした異常値分析手法が応用出来ないか、ぼちぼち考えて見ようかと思っている。その日の夕方は、前々日の迷子原因解明をかねて、ちょっと周辺のボードウォークを歩いて見た。
とりあえずの夕涼みの後、その夜は肉を食う。たまには、肉を食って元気をつけたいところだ。
その夜はなぜかあまりよく眠れず、ちょっと睡眠不足気味。朝もちょっと寝坊して起床した。
その日はAI関連や、組み込みOSの脆弱性の話、Threat Intelligence系の話、インシデント対応系の話などあれこれ聞いて回った。AIについては、その応用に際して、GDPRに関連した制約がかなり問題になりそうな雰囲気だ。特に個人情報を扱うAIにおいては、その判断根拠などの説明責任をどう担保するかや、要求された場合にその個人の情報のみを確実に削除できるか、といったあたりに技術的な困難がありそうである。
クロージングは、元海兵隊の退役提督閣下のご講演。ビン・ラディン討伐などを指揮した指揮官である。海兵隊のハードな訓練やビン・ラディン討伐作戦などを紹介しながらも、人との関わりの重要性を説いていた。典型的な軍人さんらしい感じの講演。さて、昨今の大統領閣下のご発言をどう思っているのかはちょっと聞いてみたかったが・・・。米国では、こうした軍人、特に命を張って戦争に行って来た軍人に対しては特段の敬意を払う文化が定着している。戦争そのものの是非は様々な議論があるが、少なくともこうした敬意は必要だろう。現代のシビリアンコントロール下では、戦争の責任は軍人よりむしろ政治家が負うべきところが大きいからである。
さて、そんな感じで全日程は終了。その夜は、懇親会でこんな場所へ。
ここもディズニー系の施設の一角にある場所だが、この場所を借り切っての懇親会である。
さて、こういう場所に来ると一人は結構辛い。バーとかで、一人っぽい奴を捕まえて話しをするといいのだが、なかなか話が持たない。かといって日本人を見つけて群れるのは、ちょっと避けたいところである。とりあえず、旧知のCSA関係者(今は(ISC)2の幹部をやっている)としばらく話をして、それからちょっとぶらぶら。
脇にある建物へ行ったら、そこではカラオケをやっていた。しばらく様子を見ていたのだが、酒のせいもあってちょっとむずむずしてしまいリクエスト。流石に英語の歌はレパートリーが少ない。とりあえず、S&GのAmericaをリクエストしてみたのだが、用意が無いというので、Mrs Robbinson に変えて見たらこれが大失敗。ちょっと無残なことになってしまう。まぁ、これもご愛敬なのだが、ちょっと面白くない。しばらくは、周囲と一緒に盛り上がりつつ、リベンジのチャンスを狙う。
そろそろ時間も残り少なくなってきたころに、タイミングを見計らってリクエストしたのが、日本でも十八番にしているMy Wayである。で、これは大成功。やんやの喝采を浴びることになった。これはアメリカでも通用するようだ。
懇親会場からホテルに戻るバスの中で、Frank(シナトラ)と声をかけられて、ちょっといい気分になってしまった。
そんな感じで予定はすべて終了。翌早朝にホテルを後にするのである。
コメントする