雑記

今日は1日「Security Day 技術だけでは守れない」に参加．資料の出来は日本標準レベル．

◆ 【基調講演】セキュリティ管理と高信頼性組織の構築

エンドユーザーが手軽にGbEを入手できる現状ではバックボーンは10Gが必要で，そうするとファイアウォールがボトルネックになる．これをどうするかと言う話から，昨日のIPv6話の「将来のF/W構成」と同じコンセプトの図がでてきたのにはちょっとビックリ．しかしさすがに昨日の話とは違い，このモデルで暗号化通信のバイパスを許すとやり放題になってしまうので，そこはちゃんと対策を考えなければならない，と言っていました．

とこれで終わってしまうと講演の内容が誤解されそうです．メインテーマは，既存のファイアウォールによるセキュリティ管理モデルは色々と限界がきているので，新しいモデルを考える必要がある(答を模索中)．また，想定外のトラブルに対処するため，専門的なスキルと豊かな経験をもつスタッフを確保する(育てる)必要がある．というものでした．

◆ JNSA・JPCERT/CC 活動報告

JNSA(日本ネットワークセキュリティ協会)の活動報告は，協会内のWGの紹介．淡々と説明があって特に質問もなく終了．

JPCERT/CCの活動報告は11月までのセキュリティ関係の出来事とJPCERTの動きおよび他のCERT等との国際連携事業に関する報告でした．この1年は国際協調体制の構築にがんばってたんだなぁ，にしては本業の影が薄いんでないの?というのが正直な感想．同じプログラムに出ていたy君曰く「手を広げすぎ」

◆ 【基調講演】法律から見たITセキュリティ

管理者が日常業務でやっていそうなことを法律に照らし合わせるとどうなるのかというお話でした．興味深かったのは，個人情報保護とアクセスログの取得について．あと，データ・りテンション(データの捨て方)の話は湯沢で聞いたときにはもう一つの重要な意味があったのですが．と思って日記を読み直して見ましたが，書いてない(^^;．ポリシーとしてデータを何年間保存するのかを明確に決めておいて，その期間が過ぎたらさっさと捨てなさい．その心は，裁判で訴えられたときに，「ウチはポリシーでデータの保存期間を○年と決めている．よって×年以前のログはない」と言える．さもなくば，「ログがあるはずだ」といって際限なく要求される．ということだったかと．

◆ インターネット定点観測プロジェクト

もうすぐ情報提供開始します．だそうです．目的は予防だと言っていましたが，具体的にどういう情報を取ってどう予防に結びつけようとしているのかと言うビジョンがよく見えなかったです．

◆ JNSA WG 報告

ハニーポットとセキュリティ被害調査についてのより詳しい報告．

ハニーポットの方は，2枚目の追加スライド「まだ出来てません．ごめんなさい」が全てを物語っていた感じでした．

セキュリティ被害調査の方は，なぜかスーッと流れてしまった感じでした．資料を読み直すとそれなりに興味深いデータがいろいろ載っているのですが，

◆ 【BoF】眠れない夏，オペレータの戦い

今年の夏はCISCOやらBlasterやらで大変だったね．というお話を元ネタにあれやこれやと．持ち込みノートによる感染拡大は辛いね，とか，ISP等の一部業者には脆弱性の情報を事前に伝えるべきかどうか，とかいった話題などで盛り上がりました．お土産にHPのセキュアOSを頂きました.

◆ どうも

よく知らないまま「大丈夫」と言っていたらしい．それを信じてちゃんと確認しなかった私も悪いんだろうけど，そんな調子だと信頼失うよ?