イベントの最近の記事

今朝も快晴のラスベガス。あっという間の７日間、今日が最終日。

ISC2 Security Congressも今日が最終日。とりあえず、８時前に会場に入って朝飯の後、最後のキーノートを聴く。今日のスピーカーは、元ニューヨークタイムズのサイバー担当。メディアの目を通して見た、この１０年ほどのサイバー攻撃の変遷についての話。いわゆるAPT的な脅威に加え、近年、犯罪組織が本格的に金儲けを始めたことで、状況が大きく変わったというのは、皆が認識するところ。一方で、APTはさらに先鋭化し、ウクライナや中東での表に出ないサイバー戦は激しさを増している。加えて、いわゆる情報操作、偽情報の流布といった活動が日常化していて、単に選挙だからという一過性のものではなく、周到に世論を誘導したり、分断を煽ったりすることは、常に行われている。平時において、むしろ怖いのはそちらの方かもしれない。ある意味、いわゆる「民主主義」の弱点を巧妙にに突いた攻撃である。こうした攻撃への対処は、とりわけ民主国家では難しい。たとえば、Xとイーロンマスクのように、言論の自由を盾に規制を拒否する者への対処は容易ではないからだ。しかし、自由と放任は違う、というのは昔からの命題である。自由を享受するためには、自ら自由を守るために責任を果たす必要がある。言論にしても、それに責任を持つことが求められるし、嘘は許されない。我々は、もう一度そのあたりをよく考えて行動する必要があるのだろう。

キーノートの後は、ブレークアウトセッションが２つあって、それでイベントは終了となる。一つ目の話は、グローバル企業でITとOTをあわせてリスク管理する方法論について。ITに重きを置いたISO27001のようなフレームワークはOTには適用しにくい。ISA/IEC64223がOTに適用できる主要なフレームワークになる。そもそも、ITとOTでは、文化が大きく異なる。そうしたことを理解しながら、会社全体のビジネスリスクとしてサイバーリスクを管理していくことは簡単ではない。加えて多くの国にまたがる企業では、その地域ごとの法制度、規制に対するコンプライアンスを意識する必要がある。こうしたことを考慮すると、既存のフレームワークを包含、統合したような独自のフレームワーク作りが不可欠になる。実際に、紹介された例ではまさにそのようなことをしているのだが、これは簡単なことではない。ただ、自分たちが依存できるフレームワークを見つけることは極めて重要だ。既存のフレームワークを基本に据えつつも、自分たちのビジネスや文化に合わない部分には修正を加えることは行っていい（行うべき）ことだろうと思う。このセッションは、そうした事例の紹介として、興味深いものだった。

最後のセッションは、「心理的に脆弱なユーザの特定」というものである。終了間際のセッションにもかかわらず、多くの参加者があったのは、皆、こうした問題に関心があるからだろう。（出展、根拠は不明だが）たとえば、フィッシングなどでは、８％の脆弱なユーザがインシデント全体の８０％を引き起こしているとのこと。いわゆる「欺されやすい」とか「性格的に慎重さを欠く」ユーザということだろうか。たとえばフィッシングシミュレーション訓練とか、啓発教育といったことは多くの組織で行われているが、そうした教育の効果が上がらないユーザは存在する。改善が難しいのであれば、そうした対象への警戒を強化したり、場合によっては行動を制限するといった対応が必要になるかもしれない。もちろん、行きすぎれば差別に繋がるから慎重に行う必要がある。こうしたユーザを特定する方法として、たとえば中程度の難度の訓練メールを４回ほど投げて、そのクリック数でクラス分けするといったような方法が紹介されていた。思うに、特に脆弱なユーザを把握しておくことは重要だ。たとえば、インシデントの兆候が見られた場合に、判断の参考にできるだろう。ただ、それを持って本人の評価を行うことは避けた方がいい。評価はあくまで、本来の業務のパフォーマンスを元に行われるべきだし、仕事熱心な故にクリック率が上がるといったことも、可能性としては考えられるからだ。もちろん、テストの結果は全体的な傾向とともに本人には知らせるべきだし、それによって本人の問題意識を引き出すこともできるだろう。そのことと業務上の評価はわけて考えた方がいいと思うのである。可能であれば、仕事上のパフォーマンスや様々な属性等との相関を調べてみることで、問題の本質を見極められるかもしれない。そう言う意味では、こうしたテストは、全体的な傾向を洗い出すための一つの切り口に過ぎないということなのだろう。

そんな感じで、イベントは終了。クロージングセレモニーもなく、三々五々の解散である。ちょっと眠気がきつくなってきたので、今日もホテルに戻って２時間ほど仮眠する。夕方に街に出て少し散歩。今日はベネチアンのカナルショップスモールへ行って見た。ラスベガスに多い、偽物の空があるモールなのだが、ベネチアンホテルのモールだけあって、ベネチア風に運河が流れていて、ゴンドラが浮かんでいる。

しばらく中を歩いてから表に出る。気温はそれほど高くなく、半袖短パンで暑くもなく寒くもなく、ちょうどいい感じだ。

最終日の夜は「肉」と決めていたので、アウトバックに入ってサラダと肉で晩飯。

店を出たらすっかり日も暮れて、夜景を見ながらしばらく腹ごなしに歩く。

今夜の月は満月直前。少し薄雲がかかっているが、いい月夜である。

ホテルの周辺をしばらくあるいて、少し歩数を稼ぐ。今日はあまり歩いていなかったので、少し頑張って、一万歩越えを目指す。

そんな感じで最終日も暮れた。明日は４時起きしてホテルをチェックアウトし、空港へ向かう。６時過ぎの便でロサンゼルスへ飛び、そこから羽田行きに乗り継ぐ予定だ。

今朝も快晴のラスベガス。７時に目覚ましをかけていたのだが、二度寝してしまい、慌てて会場に向かう。

慌てたのはキーノートに間に合わないことよりも、朝飯をくいそびれる（苦笑）ことだったりするのだが、とりあえず片付けられてしまう前に到着して、急いでかきこむ。しかし、そのせいで、バッジスキャンのスタッフが引き上げてしまって、キーノートはCPE（CISSPの継続教育ポイント）なしになってしまった。まぁ、自業自得なのだが・・・・。

今朝のキーノートは、セキュリティチームのメンタルヘルスのお話し。忙しい上に一旦インシデントが発生すると大きなプレッシャーがかかるセキュリティチームにとってメンタルの維持は重要な課題。とりわけリーダーは自分だけでなく、チーム全体にも気を配らなければならない。こうしたチームでのケアはなにもセキュリティに限ったことではない。従って、その方法論も一般的な仕事の上でのメンタルヘルスの維持と同じ切り口になる。ストレスの軽減には睡眠が一番なのだが、現代人にとって安眠の維持は簡単ではない。安眠グッズ市場は巨大化の一途だが、安眠グッズや薬もさることながら、寝る前に気持を落ち着かせることが一番のようだ。ベッドに入っても寝付けない時は、思い切って起きて、少し身体を動かしたり、気持を落ち着けてから寝るといい、というアドバイスである。

今日は、最初にゼロトラスト関連のセッションを聴く。日本では完全にバズワードと化してしまっている「ゼロトラスト」だが、その基本的な考え方をもう一度押さえ直しておく。「誰も（何も）信用しない」のがゼロトラストではなく、「根拠を持って信用する」＝「暗黙に信用しない」というのが本来の意味だ。「性悪説」なんていう馬鹿げた言葉を使う輩も少なくないのだが、本質的に違う。セキュリティ境界についても同様だ。「境界防御は死んだ」的なことを吹聴するベンダがいるが、境界防御は依然として有効だし意味がある。但し、すべての防御を境界に頼るのではなく、その限界を見極めて、必要な対策を講じようということなのである。すべての対策をエンドポイントで行うのでは無駄が多い。境界防御とエンドポイント防御を適切に組み合わせることが重要なのだ。そういう真っ当なゼロトラスト論は、なかなか日本では聴くことができないから、こういう話を聴くと、ちょっとホッとするのである。

今日はちょっと睡眠不足で辛くなってきたので、昼食をパスして、昼休みはホテルに帰って少し昼寝した。おかげで、午後はだいぶ楽になった。

午後に聴いたのが、「AIの導入を経営層にかけあう際のポイント」についてのセッション。そもそも、こういうセッションのニーズがあるということは、セキュリティチームが積極的にAIを取り込もうとしていることの現れでもある。内容は一般的な経営層へのプレゼンテクニックなのだが、専門的な言葉は出来るだけ避けて、ビジネスとの整合に重点を置き、AIの利点とリスクを明らかにした上で、リスクは必ず対策も含めて提案しろ、というような話である。

合間のコーヒーブレークで展示会場へ行ったら、こんな囲いが用意されている。なんだろうと思っていたら、なんと仔犬とのふれあいコーナーだった。

やがて、仔犬が放されて、囲いの中に入ることができるようになったのだが、順番待ちの長い列が出来た。今朝のキーノートではないが、皆、癒やしを求めているようだ。

今日最後のセッションは、脅威モデリングの話。リスク評価やセキュリティ対策を考える上で、その前提となる脅威を明らかにすることは極めて重要だ。昨今の脅威は多様化、複雑化しているので、全方位的に対策を考えようとすると、労力やコストが馬鹿にならない。限られた予算や人員で対処するためには優先度を決めて対策を考えないといけないのだが、その前提となるリスク評価の第一段階として、どのような脅威を前提にするかということが大きな課題になる。自分たちのビジネス）や資産）が、どのような理由で、どのような相手に狙われ、攻撃がどのような切り口で行われるのかを出来るだけ明らかにして、可能性が高い脅威への対策の優先度を上げることが重要になる。これが脅威モデリングなのだが、まず、自分たちの持つ財産に高い価値を見いだすような相手や、自分たちのビジネス、活動、サービスが阻害されることで得をする相手などを念頭にそうした攻撃の対象となる資産と、相手を洗い出す。このあたりは、どちらかといえばビジネスや安全保障の視点が必要になる。次に、それらの相手が使うであろう攻撃手法を想定し、それらに対する対策を考えることになる。このあたりは、フレームワークとして、Mitre Att@ckなどが使える。こういうプロセスをきちんと話してくれるセッションはありがたい。これまで自分流で整理してきたものを再確認し、必要な修正を加えることができるからだ。この種の話は日本ではほとんど聴くことが出来ない。私が海外の、特にマネジメント系主体のコンファレンスに参加する大きな目的にもなっている。

さて、今日のセッションが終わった後、展示会場でレセプションが開かれた。今夜はここで飲み食いして晩飯の代わりにする。（笑）正直、街で晩飯を食うと出費が馬鹿にならないのである。まともなレストランだと$150～$200ほど、昨日や一昨日行ったBubba Gumpでのスープとサラダ（＋ビール）で、$50～$60、今のレートで日本円に換算するのが怖いような金額である。まぁ、そのあたりを気にしていたら海外など来られないから、とりあえず目をつぶってはいるが、あとでカードの請求を見て、目を白黒させるのである。

ここでもわんこたちは大人気。ふれあいコーナーにはまた長い列ができていた。

そんな感じで、とりあえず腹もふくれたので、ほろ酔い加減で会場をあとにした。空には、だいぶ満月に近づいた月。

ベガスの夜は、今日もも賑やかだ。

明日は午前中でコンファレンスが終わる。そのあとどうしようか、まだ考えていないのだが、明後日は４時起きで帰途に就くので、もう少し遊びたいなと思っている。

今日からISC2 Security Congress 2024が始まった。今朝は７時起きで、ちょっと睡眠不足。とりあえず、大通りを挟んで向かい側の会場（シーザースパレスホテル）に行き、コンファレンスの参加者向けの朝食を食う。

オープニングに続いてキーノートはAI関連。どちらかというと、AIの現状での問題点を列挙したような内容が多かったのだが、スタンスは一応、「使う」前提。まぁ、今のAIは確かに問題が多いのだが、解決は時間の問題かもしれない。変化のスピードが速いので、今回聞いた問題が半年後、どこまで残っているか・・・というようなことになりかねない。そう言う意味では、タイムリーに最新の情報を追いかけ続けていないと状況を見誤りそうだ。とりわけ、動きが遅い規制当局や行政がこのスピードについてこられないと、問題がこじれそうである。そんなことを考えながら聞いていた。

そのあとは、セキュリティの定量的評価の考え方とか、医療関連へのランサムウエア攻撃の話とか。たとえば救急車の管理システムや、医療機関は言うに及ばず、医療保険会社のシステムが止まっても、人の命にかかわる事がある。地域の医療全体を維持するための危機管理は、個別の機関や企業だけではなく、その地域全体での連携を考えないとダメだろうという話である。そのあと聴いたAIに必要なスキルを考えるセッションで、「AIを使うために必要なスキルは、それを適用する仕事固有のスキルを抜きには語れない」という話には強く同意した。もちろん、今のAIは完璧とは言いかねるから、きちんとアウトプットをレビューできるスキルが必須なのだが、将来、AIがより完璧に近くなった時、今度はAIのアウトプットを理解できるだけの業務スキルが必要になる。いずれにせよ、AIは道具である以上、使う側が、その仕事の知識や経験を持っている必要があるということだ。まぁ、仕事を完全に任せてしまえるほど完璧なAIができれば別だが、もしかしたらそれもそう遠くないのかもしれない。そうなった時に、さて、人は自分の価値をどこに見いだすのだろうか。しばらくは、「専門家」としてのAIを活用するジェネラリストとして、AIがカバー出来ないより大きな絵を描く仕事があるだろう。まぁ、それもそのうちに・・・、と考えると少し暗くなるのでやめておくことにする。（苦笑）

午後に聴いたサプライチェーン関係の話は、ごく基本的な内容で、基礎のおさらいをした感じ。このあたりから眠気がきつくなって、英語が右耳から左耳に抜けて行くようになってくる。最後のキーノートに至っては、ちょっと厳しい状態になってしまった。例のブルースクリーン問題などを引き合いに、単一ベンダに偏るリスクを強調していたようだが、反面、マルチベンダーは運用コストがはねあがる。ユーザサイドの視点で見れば、コストは大きな問題だから、どうバランスを取るのかが問題だろうなと思うのである。

どうにか、５時半まで、すべてのセッションを聴いてから宿に戻り、晩飯を食いに出る。ちょっと未練がましく西の空を眺めるが、今日も彗星の影すら見えず。しかたがないので、また月などを撮影する。月もだんだん満ちてきた。

さて、何を喰おうかと、少し思案しながら歩く。

ベラジオホテルやプラネットハリウッドのモールなどを歩いて見たが、結局、昨日と同じBubba Gumpに落ち着いた。サラダの選択肢が少ないので、昨日と同じサラダ。今夜はスープを南部風のガンボにしてみた。今夜は少し人が多くて、大通り沿いはかなり混雑している。こんな風景を見ながらホテルに戻って、一休みしてからこれを書いている。

明日も一日、コンファレンスである。

オースティンに入って３日目、そしてGRC Conferenceの二日目である。昨夜はノドの状態が少し悪化。鼻づまりも出て、なかなか眠れず。例によって夏風邪をもらってしまったらしい。今朝は７時過ぎに起床して８時前に宿を出た。

朝のキーノートは元NSAで、アクティブディフェンスに携わっていた女性。最近日本でも話題に上がる能動的サイバー防御なのだが、こちらは先制攻撃を躊躇せずにかけていくので、本質的に異なる。平時は主に情報戦であり、敵は中国、ロシア、イラン、北朝鮮といったあたり。中でも節操がない北朝鮮は頭痛の種だったらしい。金目当ての金融機関や暗号資産への攻撃は有名である。そうした国を相手に回すのだから、こちらもそれなりの人材を揃えないといけない。しかし、そういう連中に限って、組織の枠に押し込めるのは難しい。そんな「ヲタク」たちを管理するのも仕事だったらしい。出勤してきたら、ますシャワーを浴びさせるとか、結構笑える。そんな感じで、結構生々し話を聴くことができた。実際、きれい事は通用しない世界のようである。日本の国家機関では、まず無理な形だろう。

昨日は途中でちょっとサボってしまったのだが、今日はとりあえずフルで会場に詰めて話を聴いた。今年もＡＩ系のセッションが多いのだが、去年に比べると、より具体的な応用例が覆うなっているように思える。やはり、彼らはＡＩを使いこなせるかどうか（使えるかどうかをみきわめることが、自分たちの命運を分けると考えているようだ。

今日の最後は「ゼロトラスト」の実装に関する話。この言葉が単なるバズワードと化してしまっている日本ではなかなか聴けない話だが、マイクロソフトのオンプレ、クラウドのソリューションを使った実装がの話がなかなか面白かった。実際、MS365やDefender関連のサービスは私も少し使ってみてはいるのだが、全体を俯瞰してみると、必要な機能がひととおおり揃っていて、それを一元管理出来る枠組みがあるのがなかなかすごいのである。まぁ、例によって独禁法の訴訟とか起こされそうな懸念はあるのだが、そもそもセキュリティ対策の多くはＯＳなどのプラッタフォーマーが実装すべきものである。彼らが当初、それをサボっていたから、アンチウイルス業界みたいなものができあがってしまったわけだ。マイクロソフトの動きを見ていると、そうした状況を巻き戻そうとしているようにも見えるのだが、今となっては軋轢を生むことは必至だろう。さておき、使う側からすれば、ワンストップですべて揃うのは魅力的である。

そんな感じで今日は終わって、宿に帰る途中、薬局によってコロナの検査キットを買ってきた。たぶん風邪だと思うもものの、一応確認しておかないと、帰国後に面倒だ。ということで、宿に帰って早速検査する。

結果は、見ての通りの「シロ」判定。まずは、これでひと安心である。とりあえず腹も空いたのでホテルのロビーにあるバーで軽く食事をする。

テキサス地物のＩＰＡと白ワインなどを飲みながら、クラブケーキを食って今日の晩飯は終わり。

さて、明日はGRCの最終日。午前中にクロージングのキーノートがあって、それで終わりである。天気が良くて体調がよければ、午後から少し市内を散策してみようかと思っている。そんな感じで、今回の高飛びも大詰めである。

オースティンの一夜が明け、今日からISACAのGRC Conferenceに参加する。米国中部時間帯では、西の方に位置するからか、午前6時はまだ真っ暗で、7時になってようやく明るくなる。その分、夜は遅くまで明るいので、ちょっと感覚が狂ってしまう。昨夜はあまりよく眠れず、ノドの調子も最悪。売店で水を買うのにも難儀する始末。困ったものである。とりあえず、7時過ぎに宿を出て2ブロックほど先にある会場のJWマリオットへ。道沿いにはこんなものが・・・。

女性がショットガンとかをぶっ放すシーンは西部劇などでよく見るのだが、大砲は・・・。なかなかの肝っ玉ばーちゃんである。オースティンはテキサスの州都。この通りの突き当たりは州議会の議事堂である。

オースティンはこれが3回目。ダウンタウンは2回目である。今回の会場は、前回来た時にISC2（当時はまだ (ISC)2だった）Congressが開かれた場所である。歩いていたら、リスをみかけた。

こんなあたりもアメリカの街らしい。野鳥も多くて、人がいても逃げようとしない。まぁ、したたかに大都市で生きているという感じだろう。

今年も、冒頭のキーノートから、AIねたである。これからAIはどうなっていくかという話なのだが、なかなか面白かった。ISACAは、IT系のガバナンスや監査といった部分にフォーカスした団体なのだが、そうした分野でも既にAIの応用は始まっている。こちらの人たちの感覚は、むしろ積極的に使っていこうとしているように見える。だから、こうしたコンファレンスでも、「使う」というスタンスでの話が目立つのである。実際、AIの応用は様々な分野に恩恵をもたらしつつある。特に科学や医薬分野では、AIによって大きな変化がもたらされようとしており、それは、人の幸福にも結びつく。一方で、人の社会は変化を余儀なくされるだろう。産業革命以降、人の暮らしや社会を大きく変えてしまうような発明はいくつもあった。蒸気機関から始まって、自動車、電気、電話、コンピュータ、インターネット・・・。これらによって、これまでの暮らし方が大きく変わってしまった人たちも多い。当然、抵抗や軋轢も大きくなる。しかし、こうしたテクノロジーはどれだけ抵抗しようと、一度動き出すと止めることは難しい、なぜなら、こうした技術は新しい可能性を人々や企業にもたらすからである。一度それを知ってしまった人たちは後戻りができない。結果的に、どんどん広がってしまうのである。当然仕事を失う人も出るし、既得権を失う企業もある。規制を求め声は、主にこういうところから出てくる。そういう意味では政治家だってそうだろう。しかし、流れを止めることは出来ない。一つの国が規制に走っても、他の国が突っ走れば、結果的に突っ走った方が優位にたつことになる。とすれば、国や政治家がすべきことは、そうした技術の利用を進めつつ、悪影響を緩和することだ。あらたな技術でなくなる仕事があるならば、今後必要となる新たな仕事を作り出し、仕事を失う人たちが無理なくその仕事につけるように支援することだ。ただ、AIは、これまでの技術とはちょっとレベルが違う。単純労働だけでなく、ある程度知的な仕事も肩代わりしてしまうからだ。リスキリングという言葉が流行なのだが、AIを念頭に置いたリスキリングは簡単ではない。AIを使いこなす・・・と言っても、そもそもAIを使いこなすべき目的を考えつく発想が必要になる。こうした発想は一朝一夕で身につく物ではないだろうから、それこそ、教育のあり方からして変えていかなければいけない。ただ、そんな時間的猶予はなさそうだ。AIはどんどん進化している。AIの能力を示す指標であるパラメータ数はここ数年で指数関数的に増えていて、近いうちに、より汎用的で推論能力を持ったAGI（Artificial General Intelligence）が実現しそうだ。そうなると、AI自身が自分自身を進化させることが出来るようになり、進化はさらに加速するだろう。（但し、今のままの莫大な電力消費量だと限界が見えるので、もう一段技術的な進化は必要だ。しかし、それもAIが自己解決するかもしれないのだが・・・）いわゆる「技術的特異点」のような、その先どうなっていくか予想もつかない転換点は、意外と早く来てしまうのかもしれない。そうなった時にAIとどう向き合っていくのか、どう共存していくのか、そろそろ真剣に考える時が来ているのかもしれない。話を聴いていて、そんなことを思った。

午前中のセッションが終わった後、一度ホテルに戻って昼寝をし、午後からまたいくつかセッションを聴いて、夕方のウェルカムパーティーに少し出て、晩飯代を浮かせて帰ってきた。ホテル周辺でよさげなスケーキハウスをいくつか見かけたので、明日か明後日の夜は肉を食いに行くことにしよう。

今日はDEFCON最終日。昨夜からちょっとノドの調子が良くなかったのだが、今朝起きたら、声がかすれている。なぜか、このところアメリカでたちの悪い風邪を貰って帰ることが多いので、ちょっと嫌な感じである。とりあえず、様子見で、ホテルをチェック疎し、荷物を預けてから、少し遅めに会場へ。

今日も、相変わらずの暑さ。一方、会場の中は寒いくらい。たぶん、これが風邪をひいた理由だろう。昨日、一昨日と会場では上着を一枚はおっていたのだが、下は短パンのままだったので、それが悪かったのかもしれない。

今日は昼過ぎでほぼ終わりになってしまうので、Windowsに不正なドライバを組み込む話を聴いて、今回のDEFCONは終了となる。小腹が空いたので軽い物を食いながら、会場で少し時間調整。会場からみた、The Sphereが面白い。

午後2時前に会場を出て、また融けそうになりながら、モノレールの駅まで歩く。

この景色を見るのはまた少し先になりそう。10月にまた来るのだが、イベント会場がシーザースパレスなので、ここまでは来ないだろう。1月のCESにも久しぶりに来たいのだけど、来たら、そのときはまたここに来ることにんなる。

さて、あとは、ホテルに預けた荷物を受け取って、空港へ向かうだけなのだが、とりあえず、ホテル近くのコンビニ薬局でマスクを調達。念のため4しておくことにする。コロンの検査キットも欲しかったのだが、売っていなかったのであきらめた。まぁ、熱もないしいめのところノドの痛みだけなので・・・。

午後3時半に予約してあったUberで空港へ。セキュリティもそれほど混んでおらず、30分ほどでゲートについてしまったので、しばらく時間を潰す。残念ながら、ラスベガス空港にデルタのラウンジはないのである。こんなメジャーな観光地なのだから早くいいのだが・・・。オースティン（テキサス）行きの搭乗は定刻に始まったが、荷物の積み込みに手間取って出発が遅れ、さらに、離陸待ちの行列に捕まって、また時間を食う。トータルで30分以上遅れてラスベガスを離陸した。

夕方の3時間弱のフライトなので、晩飯が出る。キノコのラビオリである。デザートのチョコケーキがめちゃくちゃ甘かったのだが、思わず完食してしまった。（血糖値が・・・・）

こんなことをしている間にオースティンに到着。タイムゾーンが西海岸（太平洋時間）から中部時間に変わるので、2時間余計に時計が進む。到着したら、午後11時前になっていた。とりあえず、ホテルまでUberで移動して、今日はこここまで。このホテル、同じ系列のホテルはアムステルダムで泊まったことがある。部屋は狭くて日本のビジネスホテルくらいだが、綺麗な部屋でベッドは広い。値段も安め。部屋のあれこれをタブレットでコントロールできるのが面白い。

さて、明日からはISACAのGRC Conferenceである。

今朝も快晴のラスベガス。DEFCON2日目は、ちょっと遅れて参戦。

今朝も朝から熱波のラスベガス。モノレールを降りてから、会場までの炎天下を歩く間に身体がこんがりと焼き上がってしまいそうである。

とりあえず、今日はこんな話などを聴く。

バッファオーバフローなどのバイナリレベルの攻撃と、OSレベルでの対策とその回避策の変遷をまとめたセッション。バッファオーバフロー対策としてのDEP（データ実行防御）あたりから始まって、ASLRや最近のプロセスレベルの実行制限手法までの流れと、その回避策との間の戦いを解説したもので、ここ20年から25年ほどの流れを知るにはいいセッションだったと思う。様々な対策がとられて、（もちろんそれを有効に使えている前提で）バイナリレベルの攻撃の難度は極めて高くなったが、それでも全く不可能になった訳ではない。対策の裏を掻くような攻撃を思い付く頭のいい奴らは少なからずいるし、なによりそういう連中が作った攻撃コードが売り買いされて広く流通してしまうのだから、こうした追いかけっこは、まだ当分続くのだろう。

こういう話を聴いていると、最近そのような世界から遠ざかっていることを実感する。OSのコードを一生懸命読んでいた時代にはもう戻れないが、たまにはこういう刺激があってもいいなと思うのである。

DEFCONはそうしたコンピュータの攻撃手法だけでなく、伝統的に、物理的な攻撃手法やソーシャルエンジニアリングも取り扱うイベントだ。この「ロックピッキング村」では、様々な鍵開け技術に関する実演やコンテスト、講演などが行われている。

今日も午後はちょっと眠気がきつくなってきたので、早々に撤収を決め込んだのだが、会場からモノレール駅までの歩道はヒーターのように焼けていて、下から火であぶられているような感じである。上からは日差し、前からは熱風、下からは熱気と赤外線で、まるでオーブンのなかで焼かれている感じである。そんななかを歩いていて不思議と汗をかかない。たぶん、水分がすぐに蒸発してしまうからだろう。逆に建物に入った瞬間に汗が吹き出してくるのである。

例によって宿に帰って、しばらく昼寝をする。それから、また夕方に食事をかねて出かけたのだが、この時間でも路面からの熱気はものすごい。

少し大気が不安定化しているのか、入道雲や、変わった形の雲が浮かんでいる。この雲はまるで人の顔のようだ。

今日も移動はモノレールを使って、フラミンゴあたりまで行って見た。観覧車に続くフラミンゴ脇の路地は所々にミストが吹き出しているので、ちょとだけ涼しい感じ。シーフード系とかの店を探しながら歩いたのだが、目に付くのはステーキハウスとか重たいものばかり。できるだけ、ホテルなど施設の中を抜けて歩くのだが、外に出ると、暑さでくらくらする。ミラージュの前辺りまで歩いて、そこから道の反対側へ折り返す。ちなみに、ミラージュは工事中、なにやら取り壊しているような雰囲気で、名物の「火山」がどうなるのかちょっと気になるところだ。

そこから、シーザースパレスの脇のフォーラムモールに入って、そのなかでレストランを探す。入ったところの3階に寿司屋があったので、とりあえず入ってみた。前菜に野菜天ぷらの盛り合わせと一番搾りをたのむ。

天ぷらは、いい感じでからっと揚がっていて、合格点。さて、寿司は？と、ちょっと高い方の盛り合わせを注文してみた。

これも悪くない。少なくとも食べていて違和感がない、ちゃんとした寿司である。（米国の寿司屋では重要なポイント（笑））これならば、また来てもいいなと思いつつ店を出た。ラスベガスは10月にまた来る予定なのだが、その時にまた来てみるのもいいいかもしれない。そこからフォーラムモールの中を歩いてシーザースパレスに抜ける。

シーザースパレスから外に出てみると、あたりはだいぶ暗くなって、気温も多少下がった感じになっていた。

さて、どうしようか・・・と思ったのだが、今回バスの乗車券は買っていない。モノレールの駅は遠いので、いつもの噴水ショーや夜景を見ながら、ぼちぼち歩いて帰ることにした。

ホテルまで帰ってきた頃にはすっかり日が暮れて暗くなっていた。歩数は今日も2万歩越え。流石に疲れたので、売店で水と一緒にアイスクリームを買ってしまう。まぁ、これだけ運動したのだから、ご褒美があってもいい。（笑）

さて、明日はDEFCON最終日。朝ホテルをチェックアウトしてから荷物を預けて会場に向かい、3時頃には戻ってきて空港へ。夕方の便で、次の目的地、テキサスのオースティンへ向かう予定である。

今日からDEFCON開始。とりあえず、朝７時半に起床して朝飯を食い、ホテルを出る。今日は昨日にもまして暑い。朝からサウナの中にいるような感じである。

出る前に日本のニュースを見たら、今度は神奈川で地震。とりあえず、自宅のシステムの無事を確認。横浜は震度３位だった模様でひと安心。南海トラフとは無関係とはいえ、こう地震が続くと疑心暗鬼になってしまう。大地震の前は、内陸でも地震が頻発するなんて話も聞いたことはあるのだが、メカニズムとか解明されているわけではないので、とりあえず気にはとめつつ、万が一何かあったときの対処を再確認する、というのが正しい対応なのだろう。そういう意味では、これもリスク管理。サイバー攻撃も同じで、最近、ランサム攻撃の被害が大きくなりはじめて、慌てている経営者もいるようだが、結局の所、地道な対策を重ねつつ、適宜見直しを行っていくしかないのである。

DEFCONは、いつも参加しているコンファレンスとは異なり、ディープな世界の話や、技術的にとんがった人たちの話が多い。今日の最初は、ランサムウエア攻撃のグループと「お友達」になった話とか。残念なことに、会場の音響が悪くてエコーがかかったような状態で、あまりよく聞き取れなかった。資料を見ている限りでは、潜入捜査的なことを個人でやった感じのようだが、相手が犯罪集団だけに、報復を受けたりしないのだろうかと心配してしまった。

次に聞いたのは、AWSで、他のテナントのリソースにアクセスする方法の話など。ロールの権限を委譲する仕組みの欠陥をついた方法のようで、既に修正済みの話ではあるが、そんな方法を見つけ出すのもすごい。そういう意味では、こちらもそう。Androidのジェイルブレーク、つまりroot権限を奪取する方法なのだが、攻撃対象はGPUのドライバーとのこと。共有メモリの Use after Free 脆弱性を利用した方法らしい。

さて、このあたりから、ちょっと時差ぼけの影響が出てきて、時々意識が途切れてしまう。結構辛くなってきたので、今日はこのくらいで終わりにして、ホテルに戻ることにした。

会場は冷房が効いていて寒いくらいだったので、上着を一枚羽織っていたのだが、外に出たら、今度はいきなりオーブンに放り込まれたような感じである。日差しは強くて、焼けるようだし、下からは路面の熱が上がってきて、吹く風も熱風。こんがり焼かれてしまいそうな暑さで、モノレールの駅までたどりつけるかどうか、ちょっと不安になった。

とりあえず、ホテルには無事戻れたので、ちょっと昼寝をする。例によって熟睡してしまい、気がついたらもう５時過ぎになっていた。

さて、晩飯をどうしよう、と考えたのだが、ホテルに戻った時に腹が減っていて、サンドイッチを一個喰ってしまったので、あまり重たい物は食べられそうにない。とりあえず、少し歩いて考えようとホテルを出たのだが、日が傾いたのに、まだオーブンのような暑さが続いていて、歩くのは危険な感じ。

結局、またモノレールに乗って一駅だけ移動し、そこからホテルや施設の中のモールをすこし歩いて、大通り沿いへ出る。ちょうど Parisホテルのあたりで、こんなエッフェル塔もどき。そう言えば、まだオリンピックの最中だったことを思い出す。

やっぱり暑いので、また近くのモールに入って少し歩いたのだが、結局よさげな店（というか、軽い物が食える店）が見つからず、昨日と同じBubba Gumpへ行くことにした。

結局、昨日と同じようなメニューを注文し、コロナ２本でいい感じになって、店を出る頃には、日も沈んで、多少・・・だが暑さもマシになっていた。下からの熱気はあまり変わらないが、直射日光がなくなった分、多少ましである。去年、もう２週間ほど後に来たときは、ここまで暑くはなかったのだが、今年はこれまで経験した中でも一番の暑さかもしれない。

帰りは、道沿いを歩いて、ホテル近くまで戻った頃には、すっかり暗くなっていた。

NewYork NewYorkホテルの前の自由の女神像とか、MGMホテルの前のライオン像とか、このあたりの名物を見ながらホテルに帰る。

結局、気がついてみれば、今日の歩数は2万歩を超えていた。途中昼寝しているからか、それほど疲れた感じもないのだが、とりあえず、摂取した分は消費しないといけない。（苦笑）

さて、明日もそんな感じでDEFCON参加の予定である。

時差ぼけで、いまひとつ熟睡できない状態で、午後4時前に目が覚めて、ふとスマホをみたら、南海トラフ地震注意情報というのが目に飛び込んできた。宮崎方面（日向灘）で大きな地震があって、それが南海トラフ地震の震源域に重なるため、巨大地震誘発の可能性が「普段より高まった」ということらしい。この警報レベルが設定されて以来初めての発令らしい。あくまで可能性が高まった（と言っても数百回に1回程度の可能性）ということらしい。慌てふためく必要はなさそうだが、こればかりは無事を祈るしかなさそうだ。

なんとなく寝足りない状態で、8時過ぎまでゴロゴロしてから、朝飯を食い、10時過ぎに外に出たら、やはり暑い。薄雲があって日差しは多少弱いのだが、それでも強烈な暖房に包まれたような感じだ。

とりあえず、MGMホテル裏の駅まで歩いて、モノレールでラスベガスコンベンションセンター（LVCC）へ向かう。

ここが今年のDEFCON会場。西館は新しくできた建物で、もともとDEFCONの会場にも使われたことがあるRivieraというホテルが立っていたあたりを再開発して作られた。以前からある北館、南館からは離れているので、モノレールからが近いか、メインストリートのバス停からが近いのか微妙なところだ。今回、モノレールの4日チケットを買ったのだけれど、むしろバスの方がよかったかもしれない。ただ、バスは混雑するのと時間が読めないので、多少歩いてもモノレールはよさそうである。

本番は明日からで、今日は一部のプレイベントのみだが、それでも結構人がいる。とりあえず、今日のうちにバッジを入手しておくために来た人も多いようだ。で、これが今年のバッジ。ねこバッジなのがいい。中身はシングルボードコンピュータ（ラズパイ）で、クラシックな感じのゲームが組み込まれている。LEDがついていて、明るさや色を変えることができる。ソフトウエアがいじれれば、自分で改造も可能なのだが、残念ながら環境がないので、帰ったら時間を見つけてチャレンジしてみよう。（と言いながら、毎回、帰ったら放置されてしまうのだけれど・・・・）

会場からは、ラスベガスの新名所であるスフィア（球体）が見える。中はホールになっていて、コンサートなども開かれるようだ。

しばらく会場で涼んでから、またモノレールで宿に帰ることにする。気温は一段と高くなっているのだが、冷え切った館内から外に出ても眼鏡が曇らない。日本だと一瞬で曇るのだが、さすがに湿気のない砂漠地帯である。

宿に帰って、そのまま昼寝モードへ・・・。ちょっと昼寝のつもりが、結構寝てしまい、気がついたらもう夕方近くになっている。そこからちょっとバッジの情報等を調べていたのだが、結局、しっかりと環境を整えないと改造は難しそうなので、やっぱり諦めることにして、また日が暮れた頃に晩飯にでかける。

この自由の女神像は、お隣のホテルのもの。

昨日はがっつりと肉を喰ったので、今夜は軽く・・・ということで、毎回行くBubba Gumpでサラダ（エビ入り）とした。クラムチャウダーとコロナもあわせて・・・。

最後にラズベリーティーを頼んだら、めちゃくちゃ甘かった。血糖値が気になる（笑）ので、半分くらいでやめておくことにした。それからほろ酔い加減で歩いてホテルに戻る。結局、今日は良く歩いて1万５千歩超。なかなかいい運動をしたのだが、そのぶん結構疲れた、

西の空低くにこんな月。

部屋に戻る前に、ちょっとツキの女神様にお布施を渡し（笑）部屋に戻ってこれを書いている。そんな感じで、今日はおしまい。明日からDEFCON本番である。

いよいよ最終日。朝、ホテルをチェックアウトし、荷物を持って会場へ。会場で荷物を預けて朝食を取り、それから朝のキーノートへ。キーノートはソーシャルエンジニアリングの話。実際、サイバー攻撃の切り口の9割が「人」（ヒューマンファクター）だという最近、「将を射んと欲すれば・・」ではないが、「先ず人を・」ということらしい。話者はそのスジの有名人らしいのだが、いやはやめちゃくちゃ早口なうえに、ちょっとアクセントが違っていて、なかなか聞き取れない。大筋で言っていることは分かるが、細部が聞き取れないので、ちょっと厳しかった。こころの中で、「いやいや、あなたがどれだけ優秀なソーシャルエンジニアだったとしても、私は絶対に欺されない自信があるぞ。だって、あなたが言っていることが聞き取れないのだがら・・・」などとうそぶいてみたり。

それから、ブレークアウトで、ダークウエブの話とか、またAI関連の話とか。ダークウェブの話は、これまでだいたい聴いたような話のおさらい。AIについては、AIの問題点とそれに関連した規制の話など。規制に関していえば、EUが prescriptive な、つまり、出来るだけあらかじめ細部を決めようとする方向なのに対し、USは、どちらかといえば descriptive な、つまり、まずは大きな方向性を決めようという方法で、かなり違いがあるとのこと。EUは、家電製品やIT機器等に適用されているCEマークのようなものを考えているようで、認証の基準としては、現在最終ドラフトが検討されているISO/IEC42001が、ひとつの候補のようだ。いずれにせよ、こうしたルール作りは、現実の技術の進歩に比べて5年ほど遅れているのではないかとの話だった。我が国の政府も、国際的なルール作りを主導したいと鼻息だけは荒いが、さて、先行しつつあるEUやUSを相手に、その両方の考え方の違いを調整して主導出来るだけの力が日本にあるとは正直思えない。結局、両にらみで動きがとれなくなり、国内の法整備が遅れる・・・なんてことにならなければいいのだが。

クロージングのキーノートは、タイの洞窟で遭難した子供たちの救助に携わったオーストラリアの医師の話。水が流れ込んで洞窟の奥に取り残された子供たちを救出する一部始終を語ってくれた。一刻を争う中で、二次被害を避けつつ救助を進めるプロセスは、インシデント対応などにも通じるものがある。様々な国の人たちが集まった混成チームのなかでも、きちんとコミュニケーションが維持されていたのが驚きだ。そういう意味でも非常に興味深い講演だった。

さて、そんな感じでイベントは終了。二時半にUberを予約してあったので、それでダウンタウンのホテルに移動することにしていたのだが、このあたりからちょっと体調が悪化する。朝から、少し風邪っぽい感じではあったのだが、ここにきて少し熱も出てきたようだ。ダウンタウンのホテルに移ってからも、調子は良くならず、薬を飲んで早めに寝ることにした。

今朝になって、状況は多少改善したかに見えたのだが、少し動くとまた熱が上がるといった感じで、結局、今日も夕方まで部屋で寝ていた次第。それほど高熱でもないので、普通の風邪だろうと思うのだが、会場の部屋のエアコンが効きすぎていたのが災いしたかもしれない。夕方になって、多少マシになったので、少し街に出てみた

メインストリートのブロードウエイあたりは、多くの人でごったがえしている。流石に人気の観光地。道沿いの店からは大音響の音楽。ニューオーリンズあたりとはまたちがった、極めてアメリカンな雰囲気の街である。

人混みを歩いていたらまた少し具合が悪くなってきたので、さっさと撤収することにした。帰りがけにコンビニで、また風邪薬を調達。ホテルの売店でフルーツを買って、それと、朝の残りのラップで晩飯にする。

さて、明日は朝4時起きでホテルを出て、空港に向かう。7時過ぎの便でアトランタへ飛んで、そこで羽田行きに乗り継ぐ予定である。さて、今夜は早めに寝て、明日に備えよう。