このブログは「風見鶏」が、日々気づいたこと、思ったこと、したことを気ままに綴る日記です。旧ブログがシステムトラブルのため更新できなくなってしまったため、2023年10月に再構築しました。過去の記事は、こちら から参照できます。なお、ここに書いていることは、あくまで個人的な思いであり、いかなる組織をも代表、代弁するものではありませんし、無関係ですので念のため。 下のバナー画像は季節ごとに変えていますが、ブラウザによってはキャッシュされてしまって変わらないことがあるようです。季節外れの画像が表示されていた場合は、ブラウザのキャッシュをクリアしてみてください。

ISC2 Security Congress Day1

風見鶏 (2023年10月26日 11:35) | コメント(0) | トラックバック(0)

ドタバタな一日から一夜明け、今日からISC2 Security Congress開始。会場のホテルはハロウィーンモードになっている。

だだっ広いホテルの中庭の端にあるコンベンションセンターが今回の会場。

とりあえずのオープニング。ISC2のCEOのセッション。まずは、ISC2の活動の紹介と宣伝。

2023年には世界で550万人のセキュリティ人材が必要になるが、ぜんぜん足りていないとう話。(だから、ISC2が育成に力を貸す・・・という話なのだが)特に、エントリークラスの人材の戦力化や、他分野(IT関連以外の分野)からの人材の移動が必要だと言う。そのため、まずはエントリーレベルの認証資格であるCC(Certified in Cybersecurity)が昨年追加された。彼らが言うように、(本来の)セキュリティ人材が大きく不足しているというのであれば、育成は喫緊の課題だろう。まぁ、日本で言われている人材不足は、それ以前の問題(そもそも、ITの各分野でのセキュリティ意識が極めて低いから、「セキュリティ人材」が余計な仕事を背負わなくてはいけない)だとは思うのだが、であれば、さらに日本は人材育成でも周回遅れになってしまうような気がするのである。ところで、ISC2は、正式には(ISC)2 = International Information System Security Certification Consortium = IISSCC =(ISC)2 :アイエスシースクエア、だと思っていたのだけれど、いつのまにか、アイエスシー「ツー」になっていて、ロゴもISC2に変わっていることに今回気がついた。いつから変わったのか、ISC2のサイトを見たのだが、もう(ISC)2の記述はどこにもない。(なかったことになっている?)、でも、外部ではまだ昔の名称の認識が残っていて、例えばISOでは、協力団体として、こんな感じで旧名称が残っている。謎である。

オープニングのあとのキーノートでは、暗号資産の取引追跡の話があった。ダークウエブでの闇取引に関する捜査機関の暗号資産の取引(マネーロンダリング)追跡は一定の成功を収めている。様々な追跡妨害の技術があるが、その上を行く技法があったり、犯罪者がおかしたちょっとしたミスから追跡されてしまうといったこともあって、少なからず摘発が行われているようだ。

ブレークアウトでは、今回もAI関連のセッションを聴くことにしているのだが、今日聴いたセッションでは、AI開発におけるセキュリティの視点についての話しが興味深かった。いわく、AIに対する脅威には、いくつかの切り口があり、AIそのもの、つまり、その学習データに対する攻撃、学習モデルに対する攻撃、そして、AIを使用するアプリケーションソフトウエアへの攻撃という複数の切り口があるという。最後のものは、従来からのソフトウエアへの攻撃であり、対策もこれまで確立されている手法が応用できるが、先の二つについては、AI(そのアルゴリズムなど)への理解が不可欠で、いわゆるデータサイエンティストのスキルが必要になる。この部分は、一般のセキュリティ専門家ではなかなか取組が難しいのだが、残念なことにデータサイエンティストたちのセキュリティ意識はまだまだ希薄で、課題も多いと言う。(もちろん、後で述べるような研究も進んではいるのだが)AIのセキュリティを考える上で、データサイエンティスト、ソフトウエアエンジニア、システムの運用サイド3者の協力は不可欠だという。AIセキュリティでは、AI固有の問題がクローズアップされがちだが、それをソフトウエアで実現し、応用する以上、従来からの手法が攻撃に使用される可能性は高く、そういう意味では、今のセキュリティ屋の出番も少なからずありそうである。

ちなみに、午後にキーノートでは、AI研究者が登壇して、こうした面での研究が進んでいることをアピールしていた。メディアでは、いまだに数年前のAIが引き起こした問題(差別的な判断など)が引き合いに出されるが、そうした問題は過去の物になりつつあるという。Responsible AI(倫理的、法的な考え方を組み込んだAI)に関する研究の進歩が著しいということのようだ。実際この言葉を検索すると、GoogleやMicrosoftなどが研究を公表している。AIを使っていく上で、こうした状況にも注視していく必要があるだろう。

もう一つのセッションは、「過去のサイバー攻撃事例から学ぶ」という話だったが、「統計マニア」を自称するスピーカーが興味深い統計をいくつか紹介してくれた。

  • (一回の)データ侵害がもたらすコストの世界的な平均は445万ドルである。
  • 67%の侵害は被害者自身ではなく、第三者または攻撃者自身によって公にされている。
  • 8割以上のサイバー攻撃は、組織犯罪者による金銭目的のものである。
  • 74%のデータ漏洩は人的な要因によって発生している。
  • 56%の脆弱性が公表から一週間以内に攻撃されている。(一ヶ月以内のパッチなどと悠長なことは言っていられない)

    • などなど・・・。主な元ネタは、IBMのレポート「データ侵害のコストに関する調査」とRapid7のThe Annual Vulnerability Intelligence Reportらしい。

    その上で、既知の脆弱性への対処を怠ったために侵害を受けたケースが増大しているという。また、二重恐喝の標的型ランサム攻撃などでは、最初の切り口として、ソーシャルエンジニアリングが多用されるという。公開情報等からその企業の役員やIT管理者など権限を有する人の情報を入手し、なりすましてITサポートデスクに連絡して、一時的に多要素認証を無効化させるといったやりかただ。実際に、MGMはその手法でOKTAの認証を破って侵入され、ESXiサーバの脆弱性を悪用されて仮想マシンを暗号化されてしまったという。

    いわく、階層的防御(Defence-in-Depth)は、単に技術的なソリューションを複数使うということではなく、「人」「技術(ソリューション)」「運用(オペレーション)」すべての切り口で考えなければいけないとのこと。ある意味、「あたりまえ」のことなのだが、ともすれば、ベンダーの口車に乗せられて、ソリューションのみにフォーカスしがちな日本企業には耳が痛い話だろう。

    そんな感じでとりあえず聴いていたのだが、流石に眠気に逆らえず、午後の最後のセッションはパスして部屋で昼寝していたら、あっという間に日が暮れてしまった。夜にネットワーキングイベントがダウンタウンで開催されたのだが、面倒になってパスして、ホテルの中で晩飯を食う。この地物のビールはなかなかいける。ロゴがビットコインのロゴに似ていて、昼間の話を思い出した。

    で、メインはやはり「肉」。今回は控えめに、フィレを食う。

    そんな感じの一日。さて、明日は眠気に負けないようにしないとな・・・・

    カテゴリ:

    タグ:

    トラックバック(0)

    トラックバックURL: https://www.kazamidori.jp/MT/mt-tb.cgi/13

    コメントする

    この記事について

    このページは、風見鶏が2023年10月26日 11:35に書いた記事です。

    ひとつ前の記事は「今年最後の高跳び」です。

    次の記事は「ISC2 Security Congress Day2」です。

    最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。