スケジュールをこじあけ,今日と明日の2日間の参加です。今日は「Security Day」と「トラブルシュートを想定したネットワーク監視」。以下の内容には私のフィルタがかかってますのでその点に注意して読んでください。
◆ 基調講演「変化するセキュリティ管理の実情」山口英氏
1年ぶりの山口節。笑いを取りつつも重い話をポンポンと投げかけてくるところはあいかわらずです。以下,メモ起こし。
個人情報保護法:
最初に経産省がISO17799(?)ベースのかなり厳しいガイドラインを出してきたため,他の省庁も質の低いものを出すわけにはいかなくなった。産業界はこれを政府が本気の印と受け止め,戦々恐々としている。
台風の教訓:
PCが水浸しになりデータが飛んだところが役所や中小企業に多かった。事業継続性計画(BCP)が重要。
情報保証:
データ入力ミスによる過請求や請求漏れ。情報の内容を誰がどうやって保証するのか。
ユビキタスコンピューティングの暗黒面:
ノートPCによる個人情報などの持ち出し。盗難されたりなくしたり。デジカメ,カメラ付き携帯などで安易に重要な情報をコピー、持ち運び。
対策:
透明な鞄、ポケットのない制服、メモリ系デバイスの無効化、USBの口をふさぐ。社内ネットワークの階層化:通常活動エリアと特別作業エリア。個人情報は特別作業エリアで。
VoIP:
従来の電話ほどの信頼性はないが、利用者はそれを期待する。電話回線の配電盤は一般社員がアクセスできないところにあるが、イーサネットの口は誰でもアクセスできるところに無造作に空いているので盗聴し放題。
家電が踏み台に:
とうとうそういう時代になってきた。
PDCAサイクル:
Plan, Do, Check, Actの繰り返し。
◆ パネル「情報家電のセキュリティ」
ネットワークに繋がれるようになった家電の課題についてのディスカッション。家電メーカーにも参加を呼びかけたが断られたそうで,IPA(セキュリティ), MS(PCでの経験者), NTTコム(ネットワーク), NHK(報道)の方々による議論。
家電となるとユーザーに複雑な設定を強要するのは難しい。
セキュリティホールをどうやって塞ぐか⇒ネットワークでダウンロード。
家電のライフサイクルはPCよりはるかに長いので、サポートがたいへん。
などなど。パネラーの皆さんも自ら言っていましたが、数年前PCの世界で行われた議論を家電の世界でなぞっている感じ。
途中のディスカッションで、情報家電はどうしても(セキュリティの)設定が必要なものなんだから、そこは啓蒙していくべきという意見が出たのに対し、パネラーからはゼロコンフィグでないと売れないし、といった反応。PCの世界でそうしてきたツケを、いまMSが厖大なお金を投資して払っているんじゃないかなあと今になって思ったり。
そば屋でランチ。まあまあ。
サイバー犯罪に対する警察の取り組みについて、いろいろな統計や事例など。あとフィッシングの解説と対策について。内容としてはやや一般向けな印象で少し退屈でした。
ただ、最後に警察の重要な活動内容として啓蒙があるということを、車社会との比較で話していた時に、モータリゼーションの初期、交通事故の死者数が増えていたのが交通安全運動や講習会などの啓蒙活動によりだんだん減らすことができた、コンピュータの世界でも同じような啓蒙活動によって犯罪を減らしていきたい、と言っていたのが、前半のパネルディスカッションでパネラーが売れないからゼロコンフィグは必須だと言っていたのと対照的で、まずはそれからだよなと少し反省したり。
ここでSecurity Dayを抜けてチュートリアルへ。内容はBig Brotherとその拡張機能を使った企業内ネットワークの監視方法についてでした。
前半は,私がNagiosで既にやっている監視作業をBig Brotherでやるにはどうするのかといった感じだったので、ちょっと失敗したかなと思いましたが,後半の拡張機能を使った監視についての話はなかなかためになりました。
Big Brotherの設定について詳しく説明されましたが,設定ファイルの記述法はけっこう癖が強くて講師の方も「この辺わかりにくいんですよねぇ」とお茶を濁しており,Nagiosのほうが洗練されている感じ。前半の基本的な監視の部分ではBBに出来てNagiosに出来ないことは無さそうでしたし、ホストのグループ化や警告の通知相手の選択など,Nagios では体系化されている部分をBBでは設定ファイルの書き方を工夫して運用面で頑張っているような印象を受けました。
一方で、後半の拡張機能の話は、Windowsの監視やPCのリソース管理、RRDToolとの連携など、やりたかった事が目白押し状態。Nagios はまだ標準機能+αぐらいしか使いこなせていないので,同様な拡張が探せばあるのかもしれませんが,日本ではなかなか情報が少ないのと,BBでのやり方を知ってしまったのでいっそのこと寝返ろうかなと思ったり。でもあの設定ファイルはちょっとなあ。
あと、Nagiosには標準でユーザーと認証の概念があって、ある(Nagios上の)ユーザーには、このホスト(グループ)の状況だけを見せるといったことが出来るのですが,BBにはそういった仕組みがあるのかどうかちょっと気になりました。
で、またSecurity Dayに戻ってBoFに参加。最初の方には間に合わず、太田さんの個人情報保護法にかんするプレゼンの途中から。
個人情報保護法には5000件以上の情報を扱う業者という縛りがいちおうあるが、これは、過去半年間のピーク値で5000件しかも同じ人の情報でも2つのレコードがあれば2件とカウントされるということなので,正直いって全ての企業はこの要件を満たしてしまうだろうという脅し:-)の後、結局は個人情報保護標準=機密情報保護標準+オプトイン/オプトアウトであるので、機密情報に関する管理体制がしっかりしていれば今から準備しても施行に間に合うといった、救いなんだか微妙な慰め。うちの会社はと考えると冷や汗がたらり。
次は出版業界の人から2004年の出版業界の動向についての解説。去年に引き続きかなり興味深い内容でした。
ここでスペシャルゲストとして、利用者の個人情報登録義務化問題で先月物議をかもしていた、はてなの近藤社長が飛び入り(?)参加。当時のはてな側からみた経緯の説明がありました。弁護士とは相談したが、結構直前になってからバタバタと決めたこと。一通り弁明を聞いた上での個人的な感想としては、言いたいことはわかったけど、同情はできないといったところ。
日記の削除については苦慮されているようで、削除依頼があると社員どうしで討論して削除するかどうか1件1件決めているそうです。それに関してその内容やはてなが削除すべきと判断した経緯などを公開しようと考えているということでした。これに対して会場から、実際に削除されてしまった後では、削除の判断が正しかったかどうか検証することができないので、それは単なる言い訳にしかならないと言った厳しい意見が。個人的には、リアルタイムで追いかけている人たちの誤解を解くメリットと、後から聞いてきた人に誤解を受けるデメリットを秤にかけて、メリットのほうを取るという選択肢はありだと思うのですが。
最後は高木さんによる「適法な脆弱性発見とは」というテーマでのお話。脆弱性の報告先ができた今では、実際に試さずとも疑いがある時点で報告窓口に報告してしまえばよいでしょうとかいった内容でした。
テーマとは直接関係ない話だったので流しましたが、SQLインジェクションの話で,パスワードにシングルクォートを使うと云々という話がその場では理解できませんでした。後から思い至ったのですが、もしかしてSQLをバックエンドにしてパスワード管理する場合、平文でデータベースに登録するのが標準的なんでしょうか。cryptoかけるなり、base64でエンコードするなりしてから保存するのが当然だと思ってたんですが、あそこで会場から笑いが起こる理由がそれ以外に思い浮かびません。APOPの悪影響?
BoFが終わるころには8時半を回っていたので、先にチェックインしてから夕食に出ることに。時間が遅かったので貸し出し用モデムは既になくネット難民に。夕食は同僚と焼き鳥屋。下調べもなく入った店だったのですが、さつま五代、霧島、富乃宝山、大魔王などどこかで聞いたことのある名前のお酒がずらっと並んでいて、味付けもそこはかとなく懐かしい感じでなかなかのヒットでした。
ホテルに帰って、この雑記書いて、仕事して、3時ごろ就寝。
Subject: アナタはコチラの女性とSEXをして頂きます。強制かい。
いまさらですが、0.8.0が正式にリリースされてますね。RC2と比べて何か大きく変わったということはありませんが、相変わらず「考具」としてかなり極まっている感があります。