JNSAメールマガジン 第82号 2016.3.18☆★☆

こんにちは
JNSAメールマガジン 第82号 をお届けします。

本日をもってサイバーセキュリティ月間は終了となります
。 今年度のサイバーセキュリティ月間イベントの一環として、JNSAは官民連携サイバーセキュリティポータルサイトを公開しました。多くの方に閲覧いただきましたこと、御礼申し上げます。攻殻機動隊コラボマンガのダウンロードも本日夕刻までとなりますので、ダウンロードが未だの方はお早めにお願いします。
http://cybersecurity.jnsa.org

サイバーセキュリティ月間は終わりますが、セキュリティ対策に終わりはありません。
4月からの新年度に向けて、JNSAでは新規部会やWGの発足など、新たな活動も進めてまいりますので、引き続きどうぞよろしくお願い致します。
さて、今回のリレーコラムは、不定期企画「サイバー旅行記 サンフランシスコ編」をお送りします。JNSA幹事でアルテア・セキュリティ・コンサルティング代表の二木真明様からご寄稿いただきました。


【連載リレーコラム】
サイバー旅行記 サンフランシスコ編
「CSA Summit 2016とRSA コンファレンスに参加して」

(JNSA幹事/アルテア・セキュリティ・コンサルティング 代表 二木 真明)

先日、2月29日から3月4日の日程でサンフランシスコへ行ってきました。

目的は、RSA Conference US 2016への参加です。また、そのプレイベントとして開催されるCSA Summit 2016 や、その他の CSA (Cloud Security Alliance)関連のイベントにも併せて参加してきました。サンフランシスコは2013年以来3年ぶりの訪問でした。会場はダウンタウンにあるモスコーンコンベンションセンターをほぼすべて使って行われました。展示会を含めた参加者は4万人を超えるという巨大コンファレンスです。セッション内容も多岐にわたり、とうてい一人ですべてをカバーできません。今回、私は現在の自分のテーマでもあるクラウドやIoTに関するセッションを中心に聴くことにしました。

2月29日は、RSAのプレイベントであるCSA Summitに参加してきました。私自身、CSAでの活動も行っているため、関係者との顔合わせや情報交換の場としての意味合いも少なくないイベントです。今年のイベントでの大きなテーマのひとつが、CASB(CloudAccess Security Broker)です。CASBは、おおざっぱに言えば、企業内システム(オンプレミス)と様々なクラウドサービスに関するアクセスとセキュリティを統合管理しようという考え方です。日本ではまだまだ普及していませんが、米国などでは、インプレミスシステムとクラウドサービスを組み合わせて企業システムを作る(ハイブリッドクラウドの)ための、Cloud Brokerというサービスが普及しつつあります。企業システムの「機能」の一部としてクラウドサービスをAPIベースで統合し、一体化するものですが、CASBはこれをセキュリティに拡張したもので、モバイルも含めたシステムへのアクセスとセキュリティ管理を一元化するものです。既に、こうしたソリューションやクラウドサービスを展開するベンダも複数登場しており、今年あたりは盛り上がってきそうなテーマになりそうです。

RSAコンファレンス初日である3月1日は、午前中、派手なオープニングに続き、多くのキーノート講演が行われました。毎年恒例の暗号学者によるパネルもあり、皆さんご存じの、Diffie, Hellman 両氏も登壇しました。計算の難しさに依存する現代暗号における目下の脅威が桁違いの演算能力を持った量子コンピュータであることは間違いなく、最近では、量子コンピュータの演算能力に対する既存アルゴリズムの問題や、それに耐えられるような暗号アルゴリズムの研究も始まっているようです。ただ、パネリストの見方はいくぶん楽観的な印象を受けました。

このほか、様々なセッションで話題になっていたのが、アップルとFBIの問題です。この問題は、ある意味で自由主義国アメリカの根幹にかかわる議論でもあり、多くのスピーカーが取り上げていました。おおむね、メーカーがバックドアを仕掛けることについては否定的な意見が多いようですが、一方で犯罪捜査やテロ対策のための障害となることを防ぐという意味合いでは難しい問題も多く、今後の米国での議論を注視しておく必要がありそうです。

今回はRSAコンファレンスでもIoT関連のトラックはどれも人気でした。IoTシステムへのサイバー攻撃が現実化し、海外ではセキュリティの弱い家庭用機器にマルウエアが送り込まれる事例が激増しているほか、ウクライナではサイバー攻撃で発電所が停止するという事態も発生する中で、爆発的に広がるIoTの波にセキュリティが追いついていない現実が浮き彫りになっています。

会場の一角に、Technology Sandboxというコーナーがあるのですが、ここでは、DEFCONばりに、制御システム攻撃のデモや、様々な家庭用IoT機器の展示などが行われていました。ここでは、ミニセッションが開かれていましたが、FCCによる5G通信のセキュリティの取り組みなども紹介されていました。高度な通信制御を必要とするネットワークの安全性はもとより、IoT利用などを念頭に様々なセキュリティ面での仕様を盛り込む必要があり、早い段階からセキュリティ専門家を入れた検討が重要だとの話がありました。「ここにいる方々のアイデアを是非聞かせて欲しい。どんなアイデアでも私たちにメールしてもらえると助かる」というお役所らしからぬ彼らのスタンスに感銘を受けた次第です。

最終日のセッションで印象に残ったのは、ロシアの犯罪組織によるバンキングマルウエア拡散の手口に関するセッションでした。改ざん可能なサイトの一覧や、そのためのツールキットのパッケージが闇市場で売られ、犯罪組織がそれを買って実際に犯罪に使用するというサプライチェインとエコシステムができあがっていて、しかもシステム自体が非常によくできているという話を聞くと危機感が募ります。

セキュリティ業界最大級の展示会もまた、楽しみのひとつです。以前は、セキュリティ機器やソリューションを中心に見ていましたが、最近は、サービス、特に情報提供、インテリジェンス系のサービスに興味があります。今回も多くのベンダがThreat Intelligenceサービスに関する展示を行っていました。ただ、こうしたサービスをユーザが利用して何をするのか、というあたりがいまひとつ見えず、特に日本のユーザにとっては選択が難しいだろうなと思った次第です。脅威情報は、最終的に、それがユーザ側での対抗アクションに結びついてこそ意味があるものなので、情報収集もさることながら、それをどう使っていくのかという面で、利用者側の成熟度を上げていく必要があるだろうと思った次第です。

さて、およそ一週間、あっという間に過ぎ去ったサンフランシスコでの時間でした。私自身にとって、こうした情報収集は仕事上の様々な発想のベースとなり、非常に有益なものです。皆さんも機会があれば、是非参加してみてください。久々のサンフランシスコ、ちょっとお天気が悪い日もありましたが、合間に少し街を歩いてみたりもしました。また来る日を楽しみに、心のカケラを一つ残して、サンフランシスコを後にした次第です。

(この内容は、以下の私のブログで画像入りで公開していますので、よろしければご覧ください。)
 http://altairsecurity.blogspot.jp/



#連載リレーコラム、ここまで

<お断り>本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。


【部会・WG便り】
★「PKI Day 2016」まもなく満席!
 JNSA PKI相互運用技術WG・電子署名WGでは、4/22(金)に主催セミナーPKI Day 2016「マイナンバー時代のPKI」を開催します。
 お申込み多数につき、まもなく受付終了いたします。ご興味ある方はお早めにお申込みください!
 日時:2016年4月22日(金)10時00分〜17時40分(受付開始9時30分)
 場所:フクラシア品川クリスタルスクエア 2階C会議室
 プログラム・お申込みはこちらから
 https://www.jnsa.org/seminar/pki-day/2016/index.html

★JNSAセキュリティ市場調査WGでは、「2015年度 情報セキュリティ市場調査報告書(速報版)」を公開しました。
 https://www.jnsa.org/result/2016/surv_mrk/index.html



☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。

*************************************
JNSAメールマガジン 第82号
発信日:2016年3月18日
発行: JNSA事務局 jnsa-mail
*************************************
Copyright (C)  Japan Network Security Association. All rights reserved.