今朝も快晴のラスベガス。7時に目覚ましをかけていたのだが、二度寝してしまい、慌てて会場に向かう。
慌てたのはキーノートに間に合わないことよりも、朝飯をくいそびれる(苦笑)ことだったりするのだが、とりあえず片付けられてしまう前に到着して、急いでかきこむ。しかし、そのせいで、バッジスキャンのスタッフが引き上げてしまって、キーノートはCPE(CISSPの継続教育ポイント)なしになってしまった。まぁ、自業自得なのだが・・・・。
今朝のキーノートは、セキュリティチームのメンタルヘルスのお話し。忙しい上に一旦インシデントが発生すると大きなプレッシャーがかかるセキュリティチームにとってメンタルの維持は重要な課題。とりわけリーダーは自分だけでなく、チーム全体にも気を配らなければならない。こうしたチームでのケアはなにもセキュリティに限ったことではない。従って、その方法論も一般的な仕事の上でのメンタルヘルスの維持と同じ切り口になる。ストレスの軽減には睡眠が一番なのだが、現代人にとって安眠の維持は簡単ではない。安眠グッズ市場は巨大化の一途だが、安眠グッズや薬もさることながら、寝る前に気持を落ち着かせることが一番のようだ。ベッドに入っても寝付けない時は、思い切って起きて、少し身体を動かしたり、気持を落ち着けてから寝るといい、というアドバイスである。
今日は、最初にゼロトラスト関連のセッションを聴く。日本では完全にバズワードと化してしまっている「ゼロトラスト」だが、その基本的な考え方をもう一度押さえ直しておく。「誰も(何も)信用しない」のがゼロトラストではなく、「根拠を持って信用する」=「暗黙に信用しない」というのが本来の意味だ。「性悪説」なんていう馬鹿げた言葉を使う輩も少なくないのだが、本質的に違う。セキュリティ境界についても同様だ。「境界防御は死んだ」的なことを吹聴するベンダがいるが、境界防御は依然として有効だし意味がある。但し、すべての防御を境界に頼るのではなく、その限界を見極めて、必要な対策を講じようということなのである。すべての対策をエンドポイントで行うのでは無駄が多い。境界防御とエンドポイント防御を適切に組み合わせることが重要なのだ。そういう真っ当なゼロトラスト論は、なかなか日本では聴くことができないから、こういう話を聴くと、ちょっとホッとするのである。
今日はちょっと睡眠不足で辛くなってきたので、昼食をパスして、昼休みはホテルに帰って少し昼寝した。おかげで、午後はだいぶ楽になった。
午後に聴いたのが、「AIの導入を経営層にかけあう際のポイント」についてのセッション。そもそも、こういうセッションのニーズがあるということは、セキュリティチームが積極的にAIを取り込もうとしていることの現れでもある。内容は一般的な経営層へのプレゼンテクニックなのだが、専門的な言葉は出来るだけ避けて、ビジネスとの整合に重点を置き、AIの利点とリスクを明らかにした上で、リスクは必ず対策も含めて提案しろ、というような話である。
合間のコーヒーブレークで展示会場へ行ったら、こんな囲いが用意されている。なんだろうと思っていたら、なんと仔犬とのふれあいコーナーだった。
やがて、仔犬が放されて、囲いの中に入ることができるようになったのだが、順番待ちの長い列が出来た。今朝のキーノートではないが、皆、癒やしを求めているようだ。
今日最後のセッションは、脅威モデリングの話。リスク評価やセキュリティ対策を考える上で、その前提となる脅威を明らかにすることは極めて重要だ。昨今の脅威は多様化、複雑化しているので、全方位的に対策を考えようとすると、労力やコストが馬鹿にならない。限られた予算や人員で対処するためには優先度を決めて対策を考えないといけないのだが、その前提となるリスク評価の第一段階として、どのような脅威を前提にするかということが大きな課題になる。自分たちのビジネス)や資産)が、どのような理由で、どのような相手に狙われ、攻撃がどのような切り口で行われるのかを出来るだけ明らかにして、可能性が高い脅威への対策の優先度を上げることが重要になる。これが脅威モデリングなのだが、まず、自分たちの持つ財産に高い価値を見いだすような相手や、自分たちのビジネス、活動、サービスが阻害されることで得をする相手などを念頭にそうした攻撃の対象となる資産と、相手を洗い出す。このあたりは、どちらかといえばビジネスや安全保障の視点が必要になる。次に、それらの相手が使うであろう攻撃手法を想定し、それらに対する対策を考えることになる。このあたりは、フレームワークとして、Mitre Att@ckなどが使える。こういうプロセスをきちんと話してくれるセッションはありがたい。これまで自分流で整理してきたものを再確認し、必要な修正を加えることができるからだ。この種の話は日本ではほとんど聴くことが出来ない。私が海外の、特にマネジメント系主体のコンファレンスに参加する大きな目的にもなっている。
さて、今日のセッションが終わった後、展示会場でレセプションが開かれた。今夜はここで飲み食いして晩飯の代わりにする。(笑)正直、街で晩飯を食うと出費が馬鹿にならないのである。まともなレストランだと$150~$200ほど、昨日や一昨日行ったBubba Gumpでのスープとサラダ(+ビール)で、$50~$60、今のレートで日本円に換算するのが怖いような金額である。まぁ、そのあたりを気にしていたら海外など来られないから、とりあえず目をつぶってはいるが、あとでカードの請求を見て、目を白黒させるのである。
ここでもわんこたちは大人気。ふれあいコーナーにはまた長い列ができていた。
そんな感じで、とりあえず腹もふくれたので、ほろ酔い加減で会場をあとにした。空には、だいぶ満月に近づいた月。
ベガスの夜は、今日もも賑やかだ。
明日は午前中でコンファレンスが終わる。そのあとどうしようか、まだ考えていないのだが、明後日は4時起きで帰途に就くので、もう少し遊びたいなと思っている。
コメントする