雑記

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|
2007|01|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|09|11|
2009|02|03|05|06|07|08|10|11|12|
2010|01|03|04|05|06|07|08|09|10|
2011|05|06|09|10|
2012|03|07|09|12|
2013|01|02|04|05|07|08|10|11|
2014|04|05|08|10|12|
2015|01|05|
2016|09|

2003-07-07 セミナー参加 [長年日記]

JPNICとJPCERT/CCが主催する セキュリティセミナーに参加してきましたので,復習と備忘のために,その雑感など.

内容に関して

山口氏の基調講演はテンポよく進み,現状をうまくまとめてありました.印象に残った事柄を列挙すると,
  • インターネットは社会インフラと化しつつある(住基ネット,etc.)
  • 末端のコンピュータの問題で生じるインシデンスの責任を,やもするとxSPが取らされかねない状況になっている.⇒責任分界点の明確化が必要
  • Border Protection(ファイアウォールによる保護)は限界にきている.
    • ブロードバンドの普及⇒DDoS攻撃ノード(踏み台)の回線が太くなる⇒ファイアウォールやIDSの処理能力を超える
    • 内部感染:ウィルスのお持ち帰り⇒社内で感染爆発
  • 一方でBorder Protection以外に手があるかと言うと,実は無い.
  • アウトソーシングはコストダウンが目的の一つなので,セキュリティ管理では,サービス内容に見合ったお金が取れない.(これは聞いていたときにはうなずいていましたが,こうして書いてみるとちょっと違和感が.SOKとか「安心を買う」メンタリティが皆無というわけでも無いような気がします.以下の結論は同じなのですが)⇒コストをかけるだけの価値があると言う説得が必要.
  • CIA(Confidentiality:秘匿性, Integrity:完全性・非改ざん性, Authentication & Authorization:有適格者への提供の確保)とATC(Accountability:説明責任, Traceability:追跡性確保, Contingency Planning & Incident Response:緊急対応)がきちんとできるように準備する必要がある.
  • インシデントが起きた場合,事後の報告が大事.⇒報告できるような証拠集めの体制確保.
といったところでしょうか(ほとんど全部のような(^^;).
間に,JPCERT/CCの伊藤氏から,FIRSTカンファレンスについての説明.もうちょっと具体的にどういった内容の発表が中心なのか説明が欲しかった.資料についているプログラム読めってことなのかもしれませんが.
最後のセミナーセッションは基礎知識編ということで,一通りの用語解説.目新しい用語が出てくるわけでもなく,佐野氏の淡々とした口調とあいまって眠気が...いやいや,私は周りで舟を漕いでいる人をよそ目に我慢しましたよ. ともあれ,今回の大きな目的の一つは,自分の持っている知識と一般的なセキュリティの基本との差分を確認することだったので,そういう意味では満足できる内容でした.実は最先端の隠し玉があるんですなんていわれるとちょっと困りますが.

余談

最後の質問タイムで,話が変な方向に流れて,JPCERTにインシデンスについて連絡したが無視されたという苦言が受講者側から出る場面がありました.その後の対応がちょっと気になったのでコメント.

そのやり取りは無視された,してないの水掛け論になってしまって「セミナー終了後に個別で話しましょう」と言うことで一応収まりました.受講者側の言い方にも少しいやみっぽい感じがありましたが,インシデンス報告を無視されたと言うクレームは,それこそJPCERTの存在意義を揺るがしかねないほど大事な懸案だし,早急に解決すべき事柄だと思ったので,セミナー終了後の関係者の動向を観察していました.ところが,私の期待と違って,主催者側の人間がその受講者に積極的にアプローチすることはありませんでした.その受講者は明らかに対応してくれている人を探してきょろきょろしていたのですが,主催者側の人たちは片づけをしたり,メンバーどうし(じゃ無かったのかもしれませんが)で談笑したりと,明らかにその場で対応しようという雰囲気は見られません(すくなくとも私には).結局,その受講者の方が「後で話しましょう」発言をした司会の人に近寄っていって他の人の順番待ちをしたところまで確認して,私は部屋を後にしました.これってこういうクレームに対応する側の初動としてどうなんでしょうか?とりあえずアンケートを回収していた人に,この件については結果を知りたいので,ウェブページかどこかで経過を報告して欲しいとお願いしてきました.対応してくれた女の方は「上にあげておきます」と言ってくれましたので,報告が出るのを期待しています.

余談その2

あと,そもそものその人の質問に対する山口氏や佐野氏の回答にもちょっと不満と言うか,不安が...その受講者が挙げた例を聞いて,私はこの事件を連想しました(7/8追記:こういう類のケースはどうするんだという質問だと私は解釈しました).しかし,それを聞いた上での両氏の答えは「そういうのは個別に判断するしかない」とか「それは想定外.われわれが対応しようと考えているインシデントではない」(7/8追記:「我々の現在の想定で実際には困ったことがない」という発言もありました)といった感じで,そういうケースに対して議論したことが無いと言っているように聞こえました.不安というのは,すでに似たようなケースが実際に起きているのに「想定外」と言って良いものかな?と.私と同様に上記の事件に両氏が思い至っていれば,もうちょっと違う答えが聞けたのかもしれませんが.

えーと,余談は文句ばかりになってしまいましたが,セミナーの内容には総じて満足でしたし,これまでブラックボックスであったJPCERTの活動が見えた点などをとっても,払ったお金の元は十分に取れたと思っています.2回目以降にも期待してます.

7/8 AM11:24: ちょっと日本語がおかしかったので修正.

本日のツッコミ(全1件) [ツッコミを入れる]
- 通りすがり (2003-08-18 11:29)

jpcertは単なる連絡機関+サマリー集計機関なので、あまり過度な期待は去れないほうが吉かと。