昨日、米国のとある取引先のにーちゃんが、うちの会社のセミナで喋りにきてたんだけど、夜、メシを食いに行って、そのあとご当人の希望でカラオケへ。久々にカラオケにいったなぁ。最初はテキトーに歌ってたんだけど、まぁ主賓が主賓ってことで、そのうち英語の歌しばりになってしまって、結構盛り上がった。おかげで最終乗り過ごしてタクシー帰りするハメに・・・。でも、最近なかなか行く機会がないので、楽しかった。昔みたいにたまには暇な人が集まって、カラオケボックスで半日歌いまくるなんてこともできたらなぁ、と思った次第。みんな忙しくなってなかなか難しいけどね。
2005年11月アーカイブ
巷で大騒ぎになってるけど、聞いて「ありがち・・」と思ったのは私だけじゃないだろう。阪神大震災の時だって、たしか特定の建設会社の建てたビルがのきなみ大きな被害を出したとかいうのがあったはず。今回は地震が来る前に発覚したけど、これは氷山の一角に違いないと思う。業界の体質というか構造的なものが深くからんでいるはず。それが証拠に、大物政治家が「景気が心配」を理由に捜査や報道に対して暗に水を差すような発言をしている。こういう奴は、きっとどこかやましいところがあるに違いないと思う。政治家だって絶対どこかで関係してるよな。しかも、かなり大物が絡んでるとみた。ご本人にはお悔やみを言うしかないけど、自殺者が出るのも、こうした政治がらみの事件の(特に土建屋関係で多いのはなぜ・・・)特徴かもしれない。日本の「闇」の一端が見え隠れする・・・・
この週末は実家に帰省中。
ここしばらく、実家Webカメラにアクセスができなくなっていたのだけど、原因はどうやらルータ側にありそうな感じ。ルータを再起動したら、どど~っとキャプチャされた画像が流れてきた。ADSLの接続が切れちゃってたみたいなんだけど、原因は不明。最悪、再発したら電源を入れ直してもらうしかないかなぁ。
明日は、家のテラスの修理・・・。親父が逝ってから力仕事は私の役目になってるから、時々こうして戻ってます。本格的に雪が降る前に修繕しとかなきゃね。
#げっ、結局、フルセットにもつれこんでるし・・・・・(男子バレー中国戦)詰めがいまいちだぁ・・
なんだかいつもより赤い夕焼けに西から立ち上がるような筋状の雲・・・飛行機雲とも違うな。いわゆる地震雲みたいな感じだ。まぁ、気のせいだろうけど、とりあえず写真をとっておいた。
欠陥建築の話もある今、地震がきたら大変だな・・・と思いつつ、非常用品の確認だけは怠らないようにしておこう。
昨日、某所でそのスジな人たちの会合があって、Winny (P2P)ソフトを狙った Anitnny ワームの現状について話を聞きました。このワームはWinnyユーザを狙って感染するものですが、先日の新聞発表もあったように、マイクロソフトの「悪意あるソフトウエア駆除ツール」に組み込まれたことで、感染者は40%(約11万台のPC)減ったものの、まだ十数万台の感染PCが残っているといいます。また、新種の登場はいまだにとまっておらず、複数の種類に感染しているユーザもかなりの数いるようで、外部からの対策の限界も見えています。先日の発表は、そういう意味で残る60%のユーザへの警鐘でもあるわけですが、ここから先は地道な活動にならざるを得ない状況です。Antinnyは分散サービス妨害攻撃(DDoS攻撃)を発生させますが、このトラフィックは攻撃対象のサイトで700Mbpsから2Gbpsもの巨大なもので、さらに、DNSへの悪影響なども含めると中小クラスのISPには死活問題となり、深刻なインフラへの影響が懸念されています。Winnyを使っている人たちは、知らず知らずに自分のパソコンを外部から操作されて、インターネット破壊に手を貸してしまっている可能性があるので、今一度、最新版のウイルス対策ソフト導入など対策を取ってから使う必要があるでしょう。
この一週間でずいぶん寒くなったな、と実感。
今朝、先々週と同じ格好で出かけて震え上がった・・・。でも、もう来週は12月なんだよなぁ。当然といえば当然か。今年初めてエアコンを暖房モードに・・・。明日からは少し暖かくなりそうだけど、冬はもうそこだね。
無事、成田に到着。
現在、Nexで横浜に向かっている途中。もうすぐ千葉かな・・・・。
帰国便は、気流の関係か、北よりのルートで途中までかなり早いペースで進んでいたのだけど、終盤になってぐっと速度を落としたので、結局、小一時間早くついただけだった。しかし、570km/hで飛んだのは初めて見たな。かなり燃料節約になっただろうと想像。Chapter 11の航空会社には重要だ。(笑)
さて、とりあえず出張は終わり。次はたぶん2月だし、しばらく体調を整えられるな。さて、報告書きとたまった仕事は大変だが・・・
一夜明けて、雲一つ無い快晴。
気持ちがいいので、101ではなく280をまわり、San Brunoでガソリンを入れて空港へ。帰国便はマイルでアップグレードできたのでラッキー。現在、空港のラウンジで搭乗待ち中。さて、帰ったらまたあれこれ仕事もたまってるのだが・・・・。しばらくそれは忘れよう。
一週間の出張も過ぎてしまえば、あっという間。今日はシリコンバレー周辺の会社をいくつか訪問して、夕方には全日程を終了。あとは、明日日本に帰るだけ。今回は東から西に移動したんで、ずっと時差ぼけがとれなかった。このまま日本に戻って立て直すしかないな。
今回の出張で感じたことは、米国のセキュリティ業界が「SOX景気」に湧いてるってこと。これは、ユーザの経営陣が「クビがかかる問題」としてSOXを捉えていることと関係するのだろう。しかし、まさに「猫も杓子も」、「SOX対応機能」を言うのだけど、「なんちゃってSOX対応」が非常に多いのも事実。つまり、SOX自体はセキュリティを守るべし、としか言っていないし、どこまで守ればOKっていう具体的な基準も、それこそ、BS7799とかCOBITのようなものをベースに考えるしかない。だから、何かを守るとか、その状況を監視、レポートするといった機能はすべてSOXに結びついてしまう。たとえば、ファイナンシャル情報を入れたサーバの情報を持たせて、たとえばそうしたサーバに発生したイベントに対して高いレベルのアラームを出すという機能だけで、SOX対応となってしまうのだ。最近の米国セキュリティベンチャーが、「ニッチ」化している現象とも無縁ではない。NASDAQ上場の敷居が高くなったり、SOXの影響で、上場後の管理コストがバカにならなくなってきている今、IPOを目指す企業が減少し、シングルポイントソリューションで、狭い分野に固有の技術を確立し、メジャーな企業に買われることを最終目標とする経営者や投資家が増えている。一方、大企業は節操なくこれらのベンチャーを買いあさるが、もともと開発思想が異なるそうした技術を統合することは容易ではなく、飼い殺してしまうこともしばしばだ。こうした傾向を見ると、米国の業界は少しカオス化しているかもしれないと思う。だんだん、新しいベンチャーを見つけて日本に製品を持って来るようなビジネスはやりにくくなってきそうだ。せっかく持ってきても、こちら側でうまくインテグレーションしないと使えない製品も多いし、さらに買収されてしまって製品がなくなったり変質するリスクが大きくなるからだ。以前からそうした傾向が見えてはいたが、最近特に酷くなってきてるように思う。そろそろこれからの仕事のあり方を見直す必要があるのかもしれないと思う。単純に製品を持ってくるだけでなく、それらをうまく統合して、システムとして構築する技術が不可欠になってくるのだろう。さて、そうしたことができる人たちが日本にどれくらいいるか・・・だが・・・
昨日、けんたろうと話をしていて、90年代、FSKIであれこれしていた頃に、今の自分の生活は想像できなかっただろうという話をしたんだけれど、ふと当時自分がいた会社が気になって、そういえば以前、2chで社員が不平不満を書いていたのはどうなったんだろうと、覗きにいってみた。
なんと新しいスレが立って、まだ話が続いていたのだけど、見ていてちょっとドキドキ、しまいにはちょっと悲しくなってきた。たしかに、オーナー社長の超ワンマン会社で、当時から、2chに書かれてるようなことは社員みんなが思っていたし、その状況はあんまり変わっていないようだ。でも、自分はその会社に16年いて、今の自分の基礎は全部その会社で作ったといっても過言じゃない。もちろん、誰に教えられたわけでもなく、自分で全部やってきたのだけれど。そういう意味では、その会社で自分がやってきた仕事は全部、今でも自慢ができるものだ。もちろん、そういう会社で自分がやりたいことを続けるというのは簡単なことじゃない。ともすれば、会社の方針をあまり顧みない奴だと思われただろうし、周囲からあまりよく思われていたとも思わない。まぁ、変人だとあきらめられていたのかもしれない。ただ、これは私が自分がいる会社を、そこの社員であることを誇りたいという気持ちからだったし、社外に対しては常に先進的な会社だ、というイメージを与えるべく努力してきた。少なくとも、自分がいる会社を対外的に貶めるようなマネだけはしたくないと思っていた。なぜなら、自分を貶めることにほかならないからだ。そういう意味から言えば、自分の後輩たちの行動は、ちょっと悲しいものがある。どんな会社にいても、自分を伸ばす方法はあるし、自分の背丈がその会社に合わなくなれば、自然と居場所はなくなり、新しい場所に移っていける。私の場合はそれに16年という歳月を要したのだけれど。でも、そういう意味での後悔はない。そうしたスタンスは今の会社でも変わっていない。不満を吐くのはいいが、それを理由に自分を成長させることをやめてしまうようなマネだけはしないでほしいと思う。会社が障害になっていると思ったら、まずそれを乗り越える(うまく迂回する・・とも言えるが)ことを考えるべきだし、それが自分を伸ばすことだ。「最低最悪?の会社」で16年間頑張った先輩の言葉として後輩たちに言いたい。
サンフランシスコ・・・というか、シリコンバレーに到着。
昨夜、サンフランシスコ空港に着いて、荷物待ちしてたら、けんたろうから電話が・・。で、晩飯を一緒に食うことになった。彼が知ってる寿司屋にいったんだけど、これがなかなかうまかった。米国生活2年になるけんたろうは、あいかわらずだったけど、米国の食生活の影響だろうか、ちょっと成長したようだ。(笑)スキー仲間と米国で飯を食うというのは、考えてみれば奇妙な話。FSKIの距離感喪失現象は既にワールドワイドになってるとも言えるけど、これからもこういうケースは増えるんだろうな。そう考えるとちょっとエキサイティングかもね。けんたろうの写真をとってきたので、みたいFSKI仲間は私まで。(さすがに個人の写真を日記にさらすのはまずいので・・・)ともあれ、懐かしい時間だった。(Thanks! けんたろう)
さて、遅遅にホテルにチェックインしたら、フロント嬢いわく、ボランティア(喫煙ルーム宿泊)募集中とのこと。朝飯チケットに釣られてボランティアを買って出たのだけど、いやぁ、喫煙ルームの臭いは想像以上にきつい。今夜は部屋を変えてもらおう・・・・。ボランティアといえば、こちらは飛行機でもよくある話。オーバーブッキングが日常茶飯事のこちらでは、空港のゲートで$300の旅行券と引き替えに次の便に変更する人をよく募集してる。さすがに出張でボランティアをする時間的余裕はないのだけど、応じる人がいる所を見れば、これも米国の文化なんだろうな。
ワシントンからサンフランシスコへ移動中
経由地のミネアポリスについたら、なんと、うっすら雪景色。昨夜から雪になってたらしい。今年の初雪をアメリカで見るなんてね。帰ったら板の手入れをしなくちゃ。
ただいま午前4時
ちょっと時差ぼけに苦しんでるかも。最初2日はなんとか眠れたのだけど、昨夜は同僚たちと食事をしてホテルに帰った後、そのまま寝込んでしまったのが敗因。2時頃に目が覚めて寝られなくなってしまった・・・。仕方がないので、メールチェックや仕事をして2時間潰したところ。
昨日のCSIキーノートは米国のセキュリティ関連法令整備の動きについてのパネル。米国で最近セキュリティに関連する法律としてはSOXが話題の中心なのだが、これはあくまでも企業の内部統制にからめたセキュリティである。一方、州レベルでは、カリフォルニアをはじめとして、プライバシー関連の州法を定める動きが広がっている。
州レベルのプライバシー法の多くがカリフォルニアにならって、万一情報漏洩が疑われる場合は、個人情報が漏洩したと思われる個人に対して通知することを義務づけるものだ。しかし、その判断基準や運用は州によってまちまちで、たとえば企業は最も厳しい州に合わせた管理体制を取らざるを得ないという問題もある。こうした法律を連邦レベルで制定して基準を統一したいという声が企業サイドからは強いが、一方でプライバシー保護の面から後退を心配する動きもある。州の自治が強い米国ならではの問題といえるだろう。
CSIコンファレンス参加中
昨日のKeynoteのひとつに、現役CISOのパネルディスカッションがあった。米国では企業改革法(SOX法)のからみで、企業の情報セキュリティの確保がひとつの経営課題となりつつあるが、そうした中でますます高まっていくCISOの責任と仕事をどう考えるか、というのがテーマ。有力企業、政府機関などでCISOの立場にある5名が、それぞれの考えるCISO像を語っていたのだが、内容は大変示唆に富むものだった。ひとつ言えるのは彼らが自分の役割をきちんと意識して、何をどうすべきかという点に明確な考えを持っている点。とりわけ、経営陣の中での位置づけ、CEOとの考え方の違いや、セキュリティに関する現業部門との関係などをきちんと整理している点が印象的だった。技術的な面でも、最低限CISSPなどの資格を持てる程度の知識、経験をこの全員が持っている点も印象的。考えてみれば、セキュリティがコンプライアンスという側面を持ち始めることで、インシデントの発生で経営陣のクビがかかる、ということも十分想定できるのだから、その矢面に立たされかねないCISOはかなり覚悟が必要だし、きちんと自分の仕事が評価される環境を作ることが必須なのだろうと思う。日本を振り返れば、「なんちゃってCISO」も多い現状。個人情報保護法をかわきりに、日本版SOX導入も視野に入る中、セキュリティのコンプライアンス化は着々と進んでいる。Chief Security Officer 転じて Chief Scapegoat Officer になるCISOが大勢でないことを祈りたい。
ワシントンD.C 到着。写真は夕暮れのレーガン空港。(暗いので手ぶれが出ちゃってますが)ここはワシントン市街に近い国内線空港。地下鉄で市内に出られるので便利です。ダレス(国際空港)はちょうど、東京で言うと成田みたいにかなり遠いところにあり、不便なので、ANAの直行便とかでくるとハマります。ワシントンはどこか他のハブを経由して国内線で入った方が便利です。
さて、一晩過ぎて、今朝の6時過ぎ。今日から CSIコンファレンスです。また、時々レポートします。
ミネアポリス到着、NWのラウンジで乗り継ぎ待ち中。
はぁ、今回はアップグレードできなかったので、エコノミーの3列真ん中・・・。まぁ、壁際の席だったんで窮屈なのを除けば、トイレなんかは行きやすかったけど、でもやっぱり疲れました。これからD.C行きの便に乗り継ぎなんだけど、2時間ほどあるのでちょっとゆっくりしてます。夕方には D.C 着の予定。
現在成田で搭乗待ち中。
今回は Washington D.C での CSI Conference が中心。
今朝の横浜は快晴だったのに、成田に来たらちょっと雲が多いな・・・。
さて、では行ってきます。
昼間、結構動き回ったので疲れて寝てしまい、1時頃に目が覚めたのをいいことに、そのまま朝まで起きてようかな・・・と思ってますが。ま、明日から出張なので、ちょうど時差調整になっていいかも。今回は最初からコンファレンスなんで、少しでも体を慣らしておかないと、居眠りしそうで・・・。さて、荷造り始めよう・・・。
あっという間に過ぎていきました。でも、今週は色々やることも多くて、長かったかもしれない。
明日から一週間、出張なので今日は家のあれこれで大忙し。今コインランドリーで洗濯物を乾燥させてる間にちょっと家に戻って一休み。
今日は、朝から会社のTOEICに行ってきた。うーん、最近英文を斜め読みばかりしてるのがたたってか、Readingが結構辛かった。もうちょいマジメに読むようにしなきゃねぇ。今回は、Listening はともかく、Reading はあまりいい点取れそうにないなぁ。Aクラスはまだ遠いな。最近ちょっと英語は伸び悩んでるかも。
今日は昼前からいい天気になってきたけど、ちょっと風があるのと気温は低め。洗濯が終わったらちょっと散歩でもしてこよう。
今週末も過ぎ去るのは早かった・・・。
昨日、今日と12月に行われる Internet Week 2005のチュートリアル用の資料作りに追われ、結局出来上がったのは今日の午後に・・・。今年は、出番が3つもあるんで結構大変。例年のファイアウォール講座は、ちょっと脱線ネタが多くなりすぎたので、今年はベーシックな内容に戻して、侵入検知だとかウイルス対策ネタを別枠に分けたのと、Security Day の Webセキュリティパネルにお呼びがかかったので、そのネタもファイアウォール講座からははずしたかわりに、導入設計と運用をもう少し詳しくやろうというもの。不正プログラム対策講座はSnortユーザ会代表のみっきーさんと一緒にやることにしたのだけど、それでも分担した私の資料は2項目で80ページ近くになってしまった。これを作るのに、時間を食われて、もともとのファイアウォールねたが締め切りを越えて週末突貫作業となった次第で・・・・。なんとかこれも90ページほど書き上げてあとは事務局に送るだけ。あと、そろそろパネルの発表も考えないとね。こっちは枚数は少ないけど、シナリオの打ち合わせが必要だし。
さて、来週は日曜日から一週間、CSIコンファレンスにひっかけて出張(前半はワシントンD.Cで、CSI、後半はサンフランシスコで取引先まわり)するので、今週はなにかと忙しくなりそう。おっと、思い出した。水曜日に会社のセミナーで喋るんだったぁ。資料作らなきゃ・・・・。はぁ、ちょっと大変・・。
さておき、IW2005は12月2週です。こんなプログラムなんで、興味がある人は有料だけど来てみてください。
ちなみに、その前週は NSF2005ってJNSA主催のイベントがあります。ここでは主催者側じゃなくて、スポンサーとしてのセミナ枠で喋ります。SIMネタをやるつもりなので、こちらも興味があればどうぞ。
久々に、本業ネタ・・・
といってもグチなんだけどねぇ。
日本の企業のみならず、世界中でIT関連業務のアウトソーシングが進んでいるのは事実。しかし、セキュリティに関してはちょっと特殊だと思う。日本じゃ多くの企業が他のIT同様、アウトソースすればいいと思っているようだけど、はたして本当にそれで大丈夫??
米国の状況を、CSI/FBI Computer Crime and Security Survey から見ると、こちらでは回答した企業のうち85%くらいまでが、セキュリティに関するアウトソース率は5%以下だという。思うに、企業(の経営陣)が人任せにできない、つまり自分のクビがかかった問題だと考えているからなのだろう。
要するに日本じゃ、セキュリティはかけ声倒れで、問題がおきても、なんとか言い逃れして自分のクビは安泰と考えてる経営者が多いと言うことか。でも、本当に大丈夫なんだろうか・・・・。個人情報保護もとにかく、企業の命運を左右すると言われるIT系システムの安全は、いまや様々なところに影響を与える。たとえば、経営上、非常に重要な問題が発表前に漏洩したりすれば、株価や投資家の利益に大きく影響する。財務、経理情報の正確性が影響を受ければ、最悪、税務署からおとがめを受けかねない。つまり、いまやセキュリティは企業が最も気にしているIRやコンプライアンスという問題とも密接にからんでいるということだ。
一方、アウトソースされる側にも問題がある。「おまかせください。」といって胸を張るサービス事業者は多いが、実はその一方で契約上は責任限度が明記されている。一般のITの世界では、大ユーザに対しては多少のわがままは聞き入れて、上の世話から下の世話までなんでもやってITの中核を押さえ、切れなくしてしまう「肉を切らせて骨を断つ」的な泥臭い営業スタイルが定着してしまっているのだが、セキュリティではおのずと限界がある。東証のシステムダウン問題でもそうだが、東証の社長以下、トップの処分問題は出るが、不始末をおこした富士通の処分問題は聞こえてこない。再発防止策として、チェック体制を作るらしいが、そんなことは最初からやっておくべきだろう。つまり、ユーザがITやセキュリティを知らず、アウトソーサー側の動きをチェックできない点が最も問題だ。また、それにあぐらをかいてしまっているアウトソーサー側も批判されるべきだろう。
セキュリティの専門家がいない、「わからないから」専門企業にアウトソースしようというのは、聞こえはいいが企業側の責任放棄にほかならないと思う。アウトソーサーは泥はかぶれても、最終的な責任は負えない。本当に企業が自分の責任を意識するなら、セキュリティは自らきちんと主導すべきだと思う。そのためには、一定の知識、経験を持った専門家を社内におくことが必要だろうし、アウトソースするにしても、そのパフォーマンスをきちんとチェックし、時には他の専門企業にセカンドオピニオンを求めるといったことも必要だ。
日本的風土にどっぷり浸かってしまっている大手SIerからは白い目で見られそうだが、セキュリティ業界とユーザのいい関係を作り上げていく上でも、ユーザに言いたいことは以下の言葉だ。
何かあったら、貴社の経営陣は責任を負わねばならないし、場合によっては社長のクビが飛ぶかもしれない。でも、「業者」は最悪、限度額内の賠償と「出入り禁止」で終わるだろうし、そこの社長のクビが飛ぶことはまずありませんよ、と。
