RSA CONFERENCE 2017レポート


 この年のRSA CONFERENCE 2017のテーマは「POWER OF OPPORTUNITY」。

 この年のAward for Excellence in the Field of Information Securityに、NTTの岡本龍明氏と、以前(ISC)²のBoardを務めてくださっていたHoward Schmidt氏が選ばれました。すばらしいことです。ただ、Howardは体の具合が良くないということから会場に来ることはできず、残念なことにこの後すぐに亡くなられてしまいました。惜しい人を亡くしました…。


 キーノートスピーチにはRSAを買収したEMCを買収した、DELLのマイケル・デル登場。DELLにとっても価値のあるイベントなんだな、と感心しました。

 マイクロソフトのPresidentからは、インターネットの世界にジュネーブ条約のようなものが必要だと提唱が。本当に有効なのだろうか。ちょっと疑問。

 Cryptographer's Panelになると多くの人が席を立っていました。以前は、みんなこれを見たくて来ていたのに…。参加者層が変わったことを実感しました。 量子コンピューターが2048bit RSAを破るのではないか、という問いに、Diffieは「そのころはもう死んでいる」とチャチャ。Shamirは、それよりむしろ新たに効率的な素因数分解の手段が見つかってやぶられる可能性の方が高いのでは、と。なるほど、もしかしたらAIで効率的な素因数分解の方法が発見されるかもしれないですね。


Building a Strategic Plan for Your Security Awareness Program

 セキュリティ教育の話。人間は沢山のことは覚えられない。DBIRなどを調べて、何のリスクが最も高いのかを調べ、それに応じてコンテンツを絞り混む。

 例えば、スマホを忘れる回数は、盗まれるより100倍確率が高い。であれば、盗まれないように気をつけさせるのではなく、レストランを出るときに、スマホを持っているか確認する癖をつけさせる。


BeyondCorp - How Google Protects Its Corporate Security Perimeter without Firewalls

GoogleはFirewallを使わずにどうやって境界を守っているのかという話。Googleの社員はいろんなところで働くので、城のように守るのは困難。VPNはGoogleが期待したようには動作してくれない。他社のクラウドを使うこともあり、それは城の外にある。WALLは機能しないことがわかった。BeyondCorpという名前のアーキテクチャ。主なコンポーネントは、User Inventory、Device Inventory、Trust Repository、それらを基にアクセス可否を判断するAccess Control Engine、実際のアクセスを制御するリバースプロキシのAccess ProxyとSSOからなる。デバイスは、信用できるデバイス、あまり信用できないデバイス(スマートフォンなど)の属性が定められている。作るために2,3年かかった。

 「BeyondCorp」は、ゼロトラスト的な考え方としてこの後も良く参照されるようになりましたね。


An Aflac Case Study: Moving a Security Program from Defense to Offense

 スピーカーは元Militaryの人。アフラックは、日本のマーケットが一番大きい。日本で脅威が高まっている。幸いなことに、日本では窃取した情報をマネタイズしづらいので、アメリカほどひどくはなっていない。  インテリジェンスを考えたときには、内部の情報、外部の情報、Dark Wekの情報を組み合わせることが重要。外部の情報は、FS-ISACや、コンサルタントから入手してもいい。入手した情報を可能な限り自動的にスコアリングして、信頼性の高い情報については自動的にアクションを取るようにしている。信頼性が高いとは、例えば既知の悪性のドメイン名によるものの場合など。信頼性が低いとは、大量のログイン失敗があった場合など。  実績として、昨年200万以上のコネクションをブロックしたが、誤検知は12以下であった。平均して90の攻撃者を特定している。500万以上のIndicator of Compromiseメンテナンスしている。5人のチームで、500万を超える脅威情報を管理している。 使っているITツールには、DNS Firewall(DNSベースでブロックする)、Blackholing(ISPが、特定のドメインやIPからのパケットを全部捨てる)、DDoS Service(Akamaiか?)がある。  以前アプリケーションはオンプレミスにあったが、クラウドに押しやってしまった。内部に外からのパケットをいれないようにしている。中の方にはデコイも設置している。 この仕事には、セキュリティ専門家より、データサイエンティストの方が適している。  得たインテリジェンスは国(DHSなど)とも共有している。  やっぱりケーススタディは分かりやすいなぁ…。


Cyber-Insurance: Fraud, Waste or Abuse

 サイバー保険の話。サイバー保険はまだ新しい商品なので、商品の差が大きいた、気をつける必要があるという話。

 テロは支払い対象外にされていることが多い。契約には、要求事項が記載されている。例えば、Firewallが設置され、ルールが管理されていること、ウイルス対策をおこなっていること、など。  支払いを受けるためには、サイバーセキュリティがわかる会社が関わっていないといけない、60日以内にインシデントの発生を伝えないといけない。正しい手順で対応しなければいけない。などの条件がある。

 会場から「WindowsやJavaのアップデートができていなかったから支払われなかったというケースもある」とのコメントが出るとスピーカーから、「Known virusの場合は支払われない場合もある」と。とても参考になるセッションでした。


JAPAN NIGHT

 今年もやりましたJAPAN NIGHT 2回目。場所は同じくMURPHY'S PUB。開催日の2月14日はちょうど(株)KBIZの6周年記念日。皆さんに祝っていただきました(?)。昨年に引き続きたくさんの方にご参加頂き、楽しい夜となりました。


小熊