RSA Conference US 2016 と CSA Summit参加記

先日、2月29日から3月4日の日程でサンフランシスコへ行ってきました。目的は、RSA Conference US 2016への参加です。また、そのプレイベントとして開催される CSA Summit 2016 や、その他の CSA (Cloud Security Alliance）関連のイベントにも併せて参加してきました。サンフランシスコは2013年以来3年ぶりの訪問でした。会場はダウンタウンにあるモスコーンコンベンションセンターをほぼすべて使って行われました。展示会を含めた参加者は4万人を超えるという巨大コンファレンスです。セッション内容も多岐にわたり、とうてい一人ですべてをカバーできません。今回、私は現在の自分のテーマでもあるクラウドやIoTに関するセッションを中心に聴くことにしました。

2月29日は、RSAのプレイベントであるCSA Summitに参加してきました。私自身、CSAでの活動も行っているため、関係者との顔合わせや情報交換の場としての意味合いも少なくないイベントです。今年のイベントでの大きなテーマのひとつが、CASB (Cloud Access Security Broker）です。CASBは、おおざっぱに言えば、企業内システム（オンプレミス）と様々なクラウドサービスに関するアクセスとセキュリティを統合管理しようという考え方です。日本ではまだまだ普及していませんが、米国などでは、オンプレミスシステムとクラウドサービスを組み合わせて企業システムを作る（ハイブリッドクラウドの）ための、Cloud Brokerというサービスが普及しつつあります。企業システムの「機能」の一部としてクラウドサービスをAPIベースで統合し、一体化するものですが、CASBはこれをセキュリティに拡張したもので、モバイルも含めたシステムへのアクセスとセキュリティ管理を一元化するものです。既に、こうしたソリューションやクラウドサービスを展開するベンダも複数登場しており、今年あたりは盛り上がってきそうなテーマになりそうです。

CSAでは、クラウドにもからめて、モバイルやIoTに関するリサーチ活動も盛んで、そうした内容に関する講演も行われました。ネットワークを利用するシステムの多くが自動化される結果、やがてインターネットトラフックの大部分が人間が介在しない通信になるという予測も有り、その影響はセキュリティの世界にも及びます。2020年代、我々の最大の脅威も、「悪のAI」になっているかもしれません。

RSAコンファレンス初日である3月1日は、午前中、派手なオープニングに続き、多くのキーノート講演が行われました。毎年恒例の暗号学者によるパネルもあり、皆さんご存じの、Diffie, Hellman 両氏も登壇しました。計算の難しさに依存する現代暗号における目下の脅威が桁違いの演算能力を持った量子コンピュータであることは間違いなく、最近では、量子コンピュータの演算能力に対する既存アルゴリズムの問題や、それに耐えられるような暗号アルゴリズムの研究も始まっているようです。ただ、パネリストの見方はいくぶん楽観的な印象を受けました。

このほか、様々なセッションで話題になっていたのが、アップルとFBIの問題です。この問題は、ある意味で自由主義国アメリカの根幹にかかわる議論でもあり、多くのスピーカーが取り上げていました。おおむね、バックドアを仕掛けることについては否定的な意見が多いようですが、一方で犯罪捜査やテロ対策のための障害となることを防ぐという意味合いでは難しい問題も多く、今後の米国での議論を注視しておく必要がありそうです。

2日目は、ちょっとRSA本体を離れて、CSAのリサーチワーキンググループのミーティングに参加してきました。

こちらでは、現在進行しているCSAの様々なリサーチWGやプロジェクトの現状報告と方向性が発表され、議論が行われました。CSAのリサーチの柱は、なんと言ってもクラウドセキュリティに関するガイダンスやCCM（Cloud Control Matrix）というクラウドセキュリティの要件と様々なセキュリティ標準とのマッピング文書、それを基盤としたSTARレジストリや認証制度の基本となるOCF（Open Certificate Framework）などですが、これらに加え、CASB, IoTなどのリサーチも、こうした部分に取り組むベンダ関係者や様々な国、地域のこうした動きに関わっている人たちが集まって盛り上がりを見せています。私も関係しているIoTワーキンググループでは、特に米国での動きが速く、多くの関連文書をとりまとめて公開しています。こうした文書は、FCCなどの基準策定に影響を与えているばかりでなく、最近では、CSAとFHWA(Federal HighWay Agency）が共同でコネクテッドカーのセキュリティ検討を行うといった動きも始まっています。

今回はRSAコンファレンスでもIoT関連のトラックはどれも人気でした。IoTシステムへのサイバー攻撃が現実化し、海外ではセキュリティの弱い家庭用機器にマルウエアが送り込まれる事例が激増しているほか、ウクライナではサイバー攻撃で発電所が停止するという事態も発生する中で、爆発的に広がるIoTの波にセキュリティが追いついていない現実が浮き彫りになっています。

会場の一角に、Technology Sandboxというコーナーがあるのですが、ここでは、DEFCONばりに、制御システム攻撃のデモや、様々な家庭用IoT機器の展示などが行われていました。

ここでは、ミニセッションが開かれていましたが、FCCによる5G通信のセキュリティの取り組みなども紹介されていました。高度な通信制御を必要とするネットワークの安全性はもとより、IoT利用などを念頭に様々なセキュリティ面での仕様を盛り込む必要があり、早い段階からセキュリティ専門家を入れた検討が重要だとの話がありました。「ここにいる方々のアイデアを是非聞かせて欲しい。どんなアイデアでも私たちにメールしてもらえると助かる」というお役所らしからぬ彼らのスタンスに感銘を受けた次第です。

最終日のセッションで印象に残ったのは、ロシアの犯罪組織によるバンキングマルウエア拡散の手口に関するセッションでした。改ざん可能なサイトの一覧や、そのためのツールキットのパッケージが闇市場で売られ、犯罪組織がそれを買って実際に犯罪に使用するというサプライチェインとエコシステムができあがっていて、しかもシステム自体が非常によくできていると言う話を聞くと危機感が募ります。

セキュリティ業界最大級の展示会もまた、楽しみのひとつです。以前は、セキュリティ機器やソリューションを中心に見ていましたが、最近は、サービス、特に情報提供、インテリジェンス系のサービスに興味があります。今回も多くのベンダがThreat Intelligence サービスに関する展示を行っていました。ただ、こうしたサービスをユーザが利用して何をするのか、というあたりがいまひとつ見えず、特に日本のユーザにとっては選択が難しいだろうなと思った次第です。脅威情報は、最終的に、それがユーザ側での対抗アクションに結びついてこそ意味があるものなので、情報収集もさることながら、それをどう使っていくのかと言う面で、利用者側の成熟度を上げていく必要があるだろうと思った次第です。

さて、およそ一週間、あっという間に過ぎ去ったサンフランシスコでの時間でした。

私自身にとって、こうした情報収集は仕事上の様々な発想のベースとなり、非常に有益なものです。皆さんも機会があれば、是非参加してみてください。久々のサンフランシスコ、ちょっとお天気が悪い日もありましたが、合間に少し街を歩いてみたりもしました。また、来る日を楽しみに、心のカケラを一つ残して、サンフランシスコを後にした次第です。