今朝も快晴のラスベガス。
空には満月を少し過ぎた朝の月。
今日も朝から(ISC)2 Congressに参加。朝のキーノート、最初は、英国の初代NCSC(National Cyber Security Center)長官のCiaran Martin氏。最近のサイバー攻撃の傾向などについての話など。
いわく、今、我々が相手をしているのは、単なるハッカーや犯罪者というよりは、(R,C,I,NKを名指しして)いくつかの国である・・・・と。ウクライナの例を見ても、実際に戦争が始まる前からサイバーでの攻防が激化しているし、いざ本格的な戦争ともなれば、ハイブリッド戦は基本。RやCは平時でも普通に他国に対して情報操作をしてくるから油断がならない。CやIはスパイ活動、NKは金目当てのサイバー攻撃を普通にやってくる。表に見えない攻撃だけに、これらをどうやって白日の下にさらすかは大きな課題だろう。
二つ目のキーノートは、元潜入捜査官の体験談など。メデジンカルテルによる麻薬取引に関連するマネーロンダリングを暴くために行った潜入捜査は本や映画にもなっているようだが、その人本人の講演ということで、スパイ映画さながらの迫力がある話だった。
キーノートの後、今日はの午前中は、SBOM(ソフトウエアの部品表)関連の話しと、企業のリスク管理の話しなど。SBOMは、ソフトウエアの脆弱性のサプライチェーンを明確にするために米国で鳴り物入りで始まった動きなのだが、なかなかに難渋しているようである。そもそも、それぞれのソフトウエアがどのようなサードパーティーコンポーネントを使っているのかといった情報をメーカーは出したがらないし、NDAを結んで開示させるようなやりかたでは、使う側への情報提供が難しくなってしまう。また、無意識に使われているコンポーネント、たとえばCやC++などの標準ライブラリなどは、使っている環境によって異なるし、変化もする。とくにダイナミックリンクされるライブラリなどは、使用環境によっても変わるのでなかなか一覧化するのは難しい・・・。オープンソースなどサードパーティーのコンポーネントに依存しているケースがほとんどになっている最近のソフトウエアだが、そのアップデートを完成品のベンダーがどこまで責任を持つのかといった点もまだまだ曖昧である。さらなる議論が早急に求められる分野かもしれない。企業のリスク管理の話しは、基本のおさらい・・・というような内容。Risk Management = Future Managementであるという講師の言葉が印象的だった。
昼食をはさんで、メタバース関連の話しとARを使用したIT資産の調査の話しなどを聴いた。最近注目されているメタバースだが、そのルーツは意外と古い。非日常の仮想空間という意味合いでは、80年代のパソコン通信あたりから始まって、セカンドライフあたりで、アバターを利用したモデルが確立する。最近はネットゲームなども多いが、リアルでできない殺し合いや暴力などが野放しになっている物が多くて、今後、こうした仮想世界の秩序をどのように維持していくのかが大きな課題になりそうだ。メタバースでの暴力やハラスメント、ストーカーなど、現実に犯罪なりうるような行為をどう取り締まるのか、取り締まらないのか・・・これは大きなテーマだろうと思う。
ARの話しは、陸軍のIT資産を調査してデータベースを作る際に、実際に現地に行かずに、ARグラスを現場の兵士などにつけさせて、遠隔で指示を出して調査したというもの。コロナのために、現地調査が難しい中で、実際に物を見ながらそれを特定し、指示を出して詳細な状況や機器の型番などを調べるという、極めて現実的な活用法の話である。情報資産の棚卸しは、セキュリティの大きな課題なのだが、多くの拠点をかかえる企業等では、実地調査の代わりの方法として面白いかもしれないと思った。うまくやれば、インシデント対応などでも使えるかもしれない。
最後のセッションは、OTセキュリティの話し。企業IT以外の専用システム、生産のためのシステムやインフラ関連、医療関連などのシステムにおけるセキュリティの問題は頻繁に指摘されるのだが、新たに開発、導入される物はさておき、稼働しているシステムについての対応はなかなか難しいのが現実。いまだ、Windows XP(ならまだしも、Windows95とか・・・)などが現役で動いているシステムも少なくないのだが、昔と違って、これらのシステムも直接、間接にインターネットなどとの関係ができてしまうと、非常に危険なことになってしまう。たとえば、ソフトウエアをアップデートするためにネットからダウンロードして、それをUSBメモリに入れてインストールするといった作業が普通に行われている状況で、脆弱なシステムの存在は大きなリスクだろう。しかし、ソフトウエアを更新しようとすれば、ハードウエアを含めて刷新するしかなく、莫大な投資が必要になるとあっては、簡単には行かない。結局、数年とか、場合によっては10年以上という単位で行われる総入れ替えのタイミングでしか対象ができず、そのタイミングを逃してしまうと、また当分の間、脆弱な状況が続くという状況をなんとかしない限りは、リスクはどんどん大きくなる一方かもしれない。間接的な保護策も考えられるが、OT環境に、通常のIT環境と同じような対策をそのまま導入することは困難な場合が少なくない。抜本的にどうにかするには、そろそろと始まっているメーカーや業界単位の取組を、一気に加速させるしかないのだが、結局、カネを出すのはユーザ企業だから、一緒に意識が変わっていって貰わないと困るわけだ。なかなか、悩ましい話である。こうした、セッションを聴くに付け、簡単に結論が出てこないもどかしさを感じるのである。
そんな感じで今日も終了。宿に帰って一休みしてから、晩飯を食いに出かける。
今日は、ミラクルマイルのモールで店を探すことにした。
ちょっとカジュアルな店でサラダ・・とフィレを食う。軽く・・・と思っていたのだが、なんとなく物足りないので肉を頼んでしまう。
ちょっと食い過ぎたので、腹ごなしがてら少し歩いて帰る。
宿に戻ってから、日本とリモート会議。いやはや、リモート中心の仕事が一般化してしまったおかげで、「高飛び」が「国外逃亡」にならなくなってきた。もれなく仕事が付いてくるのは困ったものだが、まぁ、帰ってからたまった仕事に悪戦苦闘するのとどちらがいいかという究極の選択である。
さて、明日は(ISC)2 Congressの最終日。午前中で終了するのだが、さて、午後はホテルでお仕事の可能性が高い・・・。明後日は(昼間は)オフなので、ダウンタウンにでも行って見ようかと思っている。
コメントする