このブログは「風見鶏」が、日々気づいたこと、思ったこと、したことを気ままに綴る日記です。旧ブログがシステムトラブルのため更新できなくなってしまったため、2023年10月に再構築しました。過去の記事は、こちら から参照できます。なお、ここに書いていることは、あくまで個人的な思いであり、いかなる組織をも代表、代弁するものではありませんし、無関係ですので念のため。 下のバナー画像は季節ごとに変えていますが、ブラウザによってはキャッシュされてしまって変わらないことがあるようです。季節外れの画像が表示されていた場合は、ブラウザのキャッシュをクリアしてみてください。

ベガス最終日

風見鶏 (2024年10月17日 11:55) | コメント(0) | トラックバック(0)

今朝も快晴のラスベガス。あっという間の7日間、今日が最終日。

ISC2 Security Congressも今日が最終日。とりあえず、8時前に会場に入って朝飯の後、最後のキーノートを聴く。今日のスピーカーは、元ニューヨークタイムズのサイバー担当。メディアの目を通して見た、この10年ほどのサイバー攻撃の変遷についての話。いわゆるAPT的な脅威に加え、近年、犯罪組織が本格的に金儲けを始めたことで、状況が大きく変わったというのは、皆が認識するところ。一方で、APTはさらに先鋭化し、ウクライナや中東での表に出ないサイバー戦は激しさを増している。加えて、いわゆる情報操作、偽情報の流布といった活動が日常化していて、単に選挙だからという一過性のものではなく、周到に世論を誘導したり、分断を煽ったりすることは、常に行われている。平時において、むしろ怖いのはそちらの方かもしれない。ある意味、いわゆる「民主主義」の弱点を巧妙にに突いた攻撃である。こうした攻撃への対処は、とりわけ民主国家では難しい。たとえば、Xとイーロンマスクのように、言論の自由を盾に規制を拒否する者への対処は容易ではないからだ。しかし、自由と放任は違う、というのは昔からの命題である。自由を享受するためには、自ら自由を守るために責任を果たす必要がある。言論にしても、それに責任を持つことが求められるし、嘘は許されない。我々は、もう一度そのあたりをよく考えて行動する必要があるのだろう。

キーノートの後は、ブレークアウトセッションが2つあって、それでイベントは終了となる。一つ目の話は、グローバル企業でITとOTをあわせてリスク管理する方法論について。ITに重きを置いたISO27001のようなフレームワークはOTには適用しにくい。ISA/IEC64223がOTに適用できる主要なフレームワークになる。そもそも、ITとOTでは、文化が大きく異なる。そうしたことを理解しながら、会社全体のビジネスリスクとしてサイバーリスクを管理していくことは簡単ではない。加えて多くの国にまたがる企業では、その地域ごとの法制度、規制に対するコンプライアンスを意識する必要がある。こうしたことを考慮すると、既存のフレームワークを包含、統合したような独自のフレームワーク作りが不可欠になる。実際に、紹介された例ではまさにそのようなことをしているのだが、これは簡単なことではない。ただ、自分たちが依存できるフレームワークを見つけることは極めて重要だ。既存のフレームワークを基本に据えつつも、自分たちのビジネスや文化に合わない部分には修正を加えることは行っていい(行うべき)ことだろうと思う。このセッションは、そうした事例の紹介として、興味深いものだった。

最後のセッションは、「心理的に脆弱なユーザの特定」というものである。終了間際のセッションにもかかわらず、多くの参加者があったのは、皆、こうした問題に関心があるからだろう。(出展、根拠は不明だが)たとえば、フィッシングなどでは、8%の脆弱なユーザがインシデント全体の80%を引き起こしているとのこと。いわゆる「欺されやすい」とか「性格的に慎重さを欠く」ユーザということだろうか。たとえばフィッシングシミュレーション訓練とか、啓発教育といったことは多くの組織で行われているが、そうした教育の効果が上がらないユーザは存在する。改善が難しいのであれば、そうした対象への警戒を強化したり、場合によっては行動を制限するといった対応が必要になるかもしれない。もちろん、行きすぎれば差別に繋がるから慎重に行う必要がある。こうしたユーザを特定する方法として、たとえば中程度の難度の訓練メールを4回ほど投げて、そのクリック数でクラス分けするといったような方法が紹介されていた。思うに、特に脆弱なユーザを把握しておくことは重要だ。たとえば、インシデントの兆候が見られた場合に、判断の参考にできるだろう。ただ、それを持って本人の評価を行うことは避けた方がいい。評価はあくまで、本来の業務のパフォーマンスを元に行われるべきだし、仕事熱心な故にクリック率が上がるといったことも、可能性としては考えられるからだ。もちろん、テストの結果は全体的な傾向とともに本人には知らせるべきだし、それによって本人の問題意識を引き出すこともできるだろう。そのことと業務上の評価はわけて考えた方がいいと思うのである。可能であれば、仕事上のパフォーマンスや様々な属性等との相関を調べてみることで、問題の本質を見極められるかもしれない。そう言う意味では、こうしたテストは、全体的な傾向を洗い出すための一つの切り口に過ぎないということなのだろう。

そんな感じで、イベントは終了。クロージングセレモニーもなく、三々五々の解散である。ちょっと眠気がきつくなってきたので、今日もホテルに戻って2時間ほど仮眠する。夕方に街に出て少し散歩。今日はベネチアンのカナルショップスモールへ行って見た。ラスベガスに多い、偽物の空があるモールなのだが、ベネチアンホテルのモールだけあって、ベネチア風に運河が流れていて、ゴンドラが浮かんでいる。

しばらく中を歩いてから表に出る。気温はそれほど高くなく、半袖短パンで暑くもなく寒くもなく、ちょうどいい感じだ。

最終日の夜は「肉」と決めていたので、アウトバックに入ってサラダと肉で晩飯。

店を出たらすっかり日も暮れて、夜景を見ながらしばらく腹ごなしに歩く。

今夜の月は満月直前。少し薄雲がかかっているが、いい月夜である。

ホテルの周辺をしばらくあるいて、少し歩数を稼ぐ。今日はあまり歩いていなかったので、少し頑張って、一万歩越えを目指す。

そんな感じで最終日も暮れた。明日は4時起きしてホテルをチェックアウトし、空港へ向かう。6時過ぎの便でロサンゼルスへ飛び、そこから羽田行きに乗り継ぐ予定だ。

カテゴリ:

タグ:

トラックバック(0)

トラックバックURL: https://www.kazamidori.jp/MT/mt-tb.cgi/144

コメントする

この記事について

このページは、風見鶏が2024年10月17日 11:55に書いた記事です。

ひとつ前の記事は「ISC2 Security Congress 2024 Day-2」です。

次の記事は「帰途に」です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。