RSA Conference Japan 2009

情報セキュリティ研究室 > 学会/セミナー報告 > RSA Conference Japan 2009
###	出張報告:RSA Conference Japan 2009	###

【会議名】RSA Conference Japan 2009
【日時】2009年6月10日(水)〜6月12日(金)
【場所】幕張メッセ(千葉県千葉市美浜区中瀬 2-1)
【URL】http://www.cmptech.jp/rsaconference/ 
【主催】RSA Conference Japan 2009 運営事務局
【報告者】江藤研究員

		  
+++++++++++++++++++++++++++++++++++++++
6月10日(水)−基調講演 
+++++++++++++++++++++++++++++++++++++++
■「経済危機状態に生きる情報セキュリティ管理」
  [奈良先端科学技術大学院大学情報科学研究科教授:山口英] 
   <12:30-13:04, 参加者:約500名>
 #経済危機状態での情報セキュリティ[IS]管理について、方向性を示す(本日の主旨)。 
 #情報セキュリティに対する投資が経営層に理解されていない。
 ・10年で2倍超に。が、ここ数年は事業収入増にも関わらず減少  
 ・経営層の無理解だけでなく技術者も必要性を説明できていない 
 ・投資は未完。"IS投資はこれから"の回答企業が約5割 
 #経済活動を情報基盤が支えている
 ・closeからopenへ。プラント,電力,医療,家電 etc.
 ・2007年度のEC 5兆3,000億円。電子政府も、e-Tax,関税,知財 etc.
 #企業はリスク管理が必要
 ・日本の市場は不祥事に厳しい、忘れない
 ・個人情報流出が止まらない。Winny等の不注意から内部確信犯増 
 ・情報漏洩は経済的損失。保障 500円/件->1万->3〜5万円 
 #ヘコんでいてもダメ。不況で金がなくともやれることはある。
  ・技術的対策
 ・経営との連携
 ・仕事の進め方の改善
   ex.)BYO(Bring Your Own)スタイル:自宅で自PCを使用して仕事
    ex.)説明責任
 #IS技術を売る人達も進化すべき
 ・ソリューションを適切なコストで提供。単なる箱売りはNG
 ・グリーンIT? エコ? セキュリティは一度始めたら止められない
 #本当の意味でのSecurity Management Outsourcingを考える時期
 ・クラウドが信じられるのか? 誰が? どこに? 信頼関係有り?
 ・長い信頼性をどう築いておくか?が大事。パートナーを見つける
 ・経営層がISを理解+技術者と経営層が共通認識+長い付き合いの構築 
 #資源の集中と集約
 ・状況とコストの可視化による適切な経営判断
 ・リスクマネジメントを合理的に。ガッツと根性ではNG
 ・従業員に対する信頼と警戒の両名を具体化する基盤構築   
 #本当のソリューションを誰とやっていくか?、が大事(見直しも必要)
 #景気が良くなってから・・・では遅い
  参考:ダイヤモンド誌_2009/6/13日号 広告記事:セキュリティ新時代(p104-105)
     「守るべき対象がさらに広がるなか経営視点での対策がますます重要に」
      (奈良先端大:山口教授)

[所感]
   a)本日は政府関係者ではなく学者として、と断っての講演。
    エネルギッシュで早口ながら、明晰に話が展開され、不況の今こそ
   ISへの投資の必要性が伝わり、よく理解できた。
   b)情報漏洩は拡大中で、協力/関連会社(20%)ではなく当該社内部から
   の漏洩が75%と多いという具体的数字に驚く。また、グリーンITや
    エコという流行りに惑わされずISの必要性の強調に、その重要性
    を認識し、周囲への意識改善の必要性を感じた。

+++++++++++++++++++++++++++++++++++++++
6月10日(水)−特別講演
+++++++++++++++++++++++++++++++++++++++
■ A Common Call: Architecting a New Information Security Landscape
   (共通の使命:新たな情報セキュリティのあるべき姿とは)
   [EMC Corporation Executive Vice President RSA, 
    The Security Division of EMC President:アート・コビエロ] 
   <13:45-14:10, 参加者:約500名>
 #堅牢は情報エコシステム、及び、ベンダーコミュニティ構築の必要性。
 #エコシステム(生態系)と情報セキュリティ[IS]を比較。
 #過去を捨てて、一から作り直す必要性有り。
 #セキュリティ技術は各ベンダーがバラバラ。改善の余地有り。
 #共通の開発プロセス、が必要(その上で各社がアプリ開発)
   ・目的:情報リスク管理を円滑化すること 
 #4 Basic Function Security Point Products
   ・Policy Management  --+
   ・Policy decision      |Security Point Processから
   ・Policy Management    |切り離して独立性を持たせる
   ・Policy Management  --+ 
 #Support Standards
 #Share Development Products
 #Integrated and Embed
 #仮想化も必要
 #産業。通常は線形に進化。まれに大きく飛躍の場合有り。
 #機能の競合から、システムの共同構築へ。
 #アフリカの格言"速さを求めるならば一人で、遠くに行くなら皆で"

[所感]
   c)セキュリティ技術は各製品、サービス毎に各ベンダが対応するもの、
     それが当然のように考えていた。が、情報セキュリティを意識した
     基盤技術の共通化の提案。共通開発で協力し、犯罪集団へ対応、
    の提案はトレンドか?(他講演要旨にも有り)。但し、既にIS構築され
     ており、実現性には疑問を感じる。主要企業連合がトリガとなるのでは
     ないだろうか。

■ クラウドコンピューティング時代に向けて *INTEROP
   [富士通株式会社取締役副社長:富田 達夫]
   <15:00-15:42, 参加者:約500名>
 #クラウドコンピュティングとは
   -背景
    ・インフラ維持/コスト増→ICTを持たないも視野へ
    ・技術の進歩
    ・社会的責任(グリーン化,経営状況からの新たなICT投資)
  ・従来の流れ:本社から各現場へ->最近:各現場から本社へ
  #期待/課題
   -信頼性?
   -セキュリティ?
   -堅牢性?
   -互換性?
  #富士通が目指すクラウド
   -サービス性
    ・SaaS
    ・PaaS
    ・IaaS
    ・ハウジング
  -Trustedクラウド(FJTのプロダクトとサービスの技術/ノウハウを結集)
   -"仮想化リソースプール"の上で"自動化運用"
  →リソースサービス+ダッシュボード(クラウドの見える化)
  -イノベーションを支える価値創造型のICT基盤
    ・必要なリソースを柔軟に利用可能
    ・業務構築の迅速化,効率化
    ・セキュリティ,グリーン対応
    ・新たなビジネスの創成
  #クラウドを支えるFJTの技術〜次世代クラウドサービス基盤〜
  #新しい情報化に向けて〜クラウド化に向けたステップ〜
  #まとめ (FJTの製品群、展開ロードマップ(サービス,基盤))

[所感]
   d)前半はクラウドの位置付けが整理され、課題(信頼性,セキュリティ等)が
    提示された。それに対する見解はなく、あとは富士通の方向性,技術紹介で
     期待はずれ。"クラウド"ではセキュリティが確保されるという意見も聞くが
     そのシステム構築は課題となるはず。リスクが無いとすればそのリスク評価
     自体も必要であり、クラウドだろうともセキュリティ問題はある、と考える。

++++++++++++++++++++++++++++++++++++++++++++++++++++++
6月11日(木)−セキュリティソリューション クラスルーム
++++++++++++++++++++++++++++++++++++++++++++++++++++++
■「ネットワークフォレンジックの活用事例」
  [潟Iーク情報システム]
   <14:00-14:35, 参加者:約20名>
  #"フォレンジックとは"=科学捜査。ハイテク犯罪に関し
  コンピュータに対する科学捜査。PC対象のコンピュータ・
   フォレンジックとネットワーク対象のネットワーク・フォレンジック。
   (・・・のような基礎事項からの説明、<以降、割愛>)
  #ネットワークフォレンジックのソリューション NetEvidence AX
  を用いた、同社のユーザからの以下の二事例の紹介。
   ・情報の漏えいと追跡の実際
   ・サマリデータの活用による異常の発見

[所感]
   e)5月の情報EXPO.の同社ブースのプレゼン内容の拡張版。
    昨日の同社ブース訪問も含めて、特に新しい発見や情報は無し。
    ただ、他にNWフォレンジックを謳うブースもなく、だから、
     未だ新規分野、とも言える。予想外に参加者が少なかった。

■「仮想化環境におけるセキュリティ実装」
  [チェックポイントソフトウェアテクノロジーズ馨 
   <16:00-16:45, 参加者:約80名強<内、30名以上が立ち見>>
  #仮想化環境においてはデバイスも実態と同様に仮想化し、
   あたかも1物理システム化(バーチャルモデル)して、個々に
   セキュリティ機能を実装。セキュリティのポイントは以下の2点
   ・セキュリティ対象のバーチャルモデルの分離/整理
   ・バーチャルな対象の移動時にセキュリティから漏れないよう注意する
  #同社の"VE"(soft)と"VSX-1アプライアンス"(system)による事例

[所感]
   f)立ち見が出て、かつ、殆ど退席無し。"仮想化"は旬を実感。
   g)一般的な仮想化論から、自社製品による構築例の話は当然だが、
     ソフトによる対処、システムによる対処、お勧めは双方の組合せと、
   当然の流れながら、HYBRIDの有効性は考えの参考となった。

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
6月12日(金)−セキュリティソリューション クラスルーム
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
■「情報セキュリティ人材のキャリアパスへの提言」
     [(ISC)^2Japan]
      <14:00-14:40, 参加者:約50名弱>
  #(ISC)^2は"アイエスシースクエア"という。情報セキュリティプロ
  フェッショナルを教育、認定するNPO団体。2004国内活動開始。
  #情報セキュリティの現状と必要とされる人材、その資格の必要性。
  #10のCKB:Common Body of Knowledge(共通知識分野)を定義
  #8つの資格を提供(資格の内容,レベルによりCKBを指定)
   ・CISSP:
  -メインの資格。管理職・経営層向け。10CBKが要求レベル
  -リスクマネジメントやセキュリティ管理等の技術ドメイン
   だけでなく、法,規制,コンプライアンス,セキュリティ
   アーキテクチャ等の幅広い分野のをスキル要求。
  -全世界で62,000人取得。日本は1,100人強で、米,加,英,韓,香港
     に次いで世界6位。
   ・SSCP
  -実務者、エンジニア層向け。7CBKが要求レベル
   ・JGISP:日本行政情報セキュリティプロフェッショナル
  -行政機関におけるセキュリティ業務従事者及び民間対応者向け
  -2009/09開始。
   ・CSSLP:
  -CSSIP上位資格。ソフトウェア開発サイクルの全フェーズに精通
  -2010日本導入(予定)

[所感]
   h)世界共通で認識される資格で、「"そこら辺"にある資格」と主張。
   実際、ブースでデモ試験にトライしたが、10問中3問の正答率で、
   最近受験した"そこら辺"の資格とのレベルの違いを実感した。
     韓,香港より日本がCSSIP取得者が少ないことが疑問。国民性か?
   i)国や自治体の入札でも指定条件の資格だが、セミナー費、受験料
     (49,500〜68,250円)と高い。年間認定維持費用(CISSP:12,000円)
     と取得、及び、その維持にそれなりの費用が必要で、個人的には
     厳しい。会社なり、所属組織の補助が必要と感じた。

+++++++++++++++++++++++++++++++++++++++
6月10日(水)〜12日(金)−ブース訪問
+++++++++++++++++++++++++++++++++++++++
【6月10日(水)】
□ Juniper:STRM:ネットワーク機器のログ収集、分析装置
   Q:ログに消去・改竄に対する耐性or機能は?
   A:STRM自体への侵入は考えていない。限られたユーザを想定。

□ BARRACUDA社:Web Aplication Firewall装置
   Q:Webサイトクローキングとは?
   A:クローキングは"コート"。無用のErrやVersion情報の外部通知をカット。
   Q:ログに暗号化や認証機能は?
   A:ない。syslogサーバ等への通知機能はある。

□ RSA社:統合ログ管理ソリューション RSA enVision 
   Q:ログに暗号化や認証機能は?
   A:鍵は未使用で、"encode","decode"で参照や改竄防止。
   (SHA-1で暗号化試したところ、セールスポイントのリアルタイム検証が不可だった)

□ ネットエージェント社:PacketBlackHole ネットワーク監視機器 
  Q:ログに暗号化や認証機能は?
  A:そのまま保管。保管領域なくなれば最古データから入替、更新。
   Q:暗号化されたデータの解析は?
   A:SSLは、"Counter SSL Proxy"で復号可能。悪用は想定外。

□ オーク情報システム:NetEvidence, Cyber Crypt 
  Q:ログに暗号化や認証機能は?
  A:ない
   Q:暗号化されたデータの解析は?
   A:独自暗号"CyberCrypt"の利用に対しては可能。SSL,S/MIMEは不可

[所感]
   j)ネットワークのログ監視装置のログデータの保全方法(認証や暗号化
   の有無)を中心に見学した。結果的にログ自体の保全については、
     各社とも考慮の対象外の印象。中には「内部の装置なので外部から
   攻撃されることはないと考えているので不要」という担当もいた。
     内部装置だから攻撃されることがなくログ参照だけならば、Suniffer
   に外部加工の機能で十分であり、独自Hard,Softの必要はないだろう。
   ログ保全については、未だ考慮の余地が有り、と再認識した。

□ Check Point社:チェックポイント セキュリティ・アプライアンス
□ (ISC)~2:セキュリティ認定資格"CISSP","SSCP"
□ ディーリンクジャパン社: グリーン&セキュリティ NWソリューション
□ u10 Networks (NTT-ATブース):RealTime Network Monitoring Adapter
□ NTTコミュニケーション:goo Research
 他
[所感]
   k)CISSPは、世界で62,000、日本でまだ1000人。セミナー費用が50万超と高額。

【6月11日(木)】
□ NTTコミュニケーションズ梶Fグローバル仮想オフィスホスティング
   (セミナー参加後、講師へ質問)
   Q:ユーザと仮想オフォス間の通信/セキュリティはVPNか?
   A:VPNは不要。httpsと公開鍵暗号方式"blowfish"を使用
  Q:USBkeyが利用者識別だがその認証は?
   A:USBkey自体の起動時と仮想オフィス接続時にid/pwdで実施
   Q:中国、越国とオフショア経験あるが回線が遅く、障害有った。
   A:NTTコムの回線ならばストレスなく提供可能(を確認済み)
   同社:inetSNAPs (NWフォレンジックソリューション)
   Q:ログの暗号化や外部攻撃に対する考慮は?
   A:ない。外部装置に出すので不要。
  
[所感]
   l)テレワークや在宅勤務、は10年以上前から聞かされ、他ブース
     でも聞いたが、初めて"使ってみたい"と思うくらい簡易かつセキュア
     なサービスと感じた。仮想オフィスは状態保持のまま、継続
     という点に利便性を感じる。講師自身が利用者で利便性に説得力あり。

□ IIJ:セキュアWebゲートウェイサービス
   ・Webフィルタリングはi-FILTER,アンチウィルスはKASPERSKI

□ 鞄本レジストリサービス *JPNICのドメイン登録管理業務を移管
   ・ccTLD(contry Code Top lebel Domain), gTLD(generic Top Lebel Domain)の
   最新トレンドの話。gTLDの日本語増の可能性有り。

□ 三菱電機エンジニアリング:インララクティブ・デジタルサイネージ
   ・サイネージとはサインからの造語(とか)。大画面操作の双方向メディア

□ NEC:Network Service on Cloud
□ Anritsu:帯域制御装置、トラフィックシェーパー
□ Hitachi Cable:イーサネットスィッチ
   Q:ログの暗号化や外部攻撃に対する考慮は?
   A:ない。
□ FLUKE networks:ケーブル/ファイバーテスト、NWトラブルシューティング
□ SIIネットワーク・システムズ:EthernetSW, コンソール統合サーバ
□ LTUSCN:省スペースの画面&コンソール(ラック全面設置型
   ・タッチパネル搭載、指紋認証、IPリモート対応 ->グリーンITを強調
 他

[所感]
   m)INTEROP等の他展示場も合間に見学したところ、立体TVや立体画像等の画像系
     がにぎやかである。特に、holoという立体画像はSTARWARSのepsode4そのもの。
     このような新技術は見ていて楽しいし、ワクワクする。

【6月12日(金)】
□ UQコミュニケーションズ梶FWIMAX
   Q:WIMAXの暗号化方式はWEP or WAP or WAP2 ?
   A:WEP/WAP等はWiFi。WIMAXは3G等と同様の方式
  Q:サービス展開は?
   A:東京,大阪,名古屋で展開中。福岡は2010/3予定。
     それまではWifiで(併用可能)
   Q:世界の中での日本の技術レベルは?
  A:米、香港と比較して遅れてはいない。
     2011年には仕様更新(IEEE802.16m)予定
   Q:下りmax40Mだが、利用者が多ければ速度低下? 重畳等による
     回避技術有り?
   A:他技術と同様、速度は低下する。複数エリアの重複で低下防止を図る。

[所感]
   n)携帯電話と異なり、日本独自でなく世界標準の技術(IEEE802.16e)である。
     UQ社は、KDDI、京セラ系の会社で質問相手もKDDIからの出向者であった。
     高性能ながら世界で相手にされない携帯技術は"ガラパゴス化"とまで
     言われ、日本の技術の不幸である。戦術のみで戦略がない結果である。 
     WIMAXのKDDI-Grにはぜひ頑張ってもらいたい。

□ 潟宴lクシー:MylogStar(PCフォレンジックツール)
   Q:ログの外部攻撃に対する考慮は?
   A:独自のDBでデータ管理により、容易にSQLインジェクションは受けない構造。
  Q:暗号化等の考慮はないのか?
   A:データ自体への暗号化はない。DB間との送受信においてはビット操作
     (ずらし)により単純にモニタしても漏洩しない仕組み。

□ NICT:
     旧TAOのATM 2.4Gigaネットワークの後継のEtherネットワークの展示有り。
[所感]
   o)手がけた製品で構築したことを思い出す。説明の田中氏も当時、
   ATMに関連していたそうで、信頼性・QoS制御等のATM特質の話で
   技術的にはATMの方がTCP/IP系よりも優れているという点で、共感した。

□ SII・ネットワーク・システムズ梶FEtherOAM
 
□ JuniperNetworks: NetScreen セキュリティシステム、JUNOS

□ 鰹報工房:ACE Live (NWトラフィック監視、NWパフォーマンス監視/解析)
   Q:機器設定等のコンフィグレーション機能はあるか?
   A:別製品(IT Sentinel)で類似機能を提供。
  Q:個別MIBへの対応は?
   A:1000以上の機器/デバイスに対応しているので、ほぼ対応。なければ個別対応。

□ 潟eリロジー:Tipping Point (IPS)
   -シグネチャタイプではなく、仮想ソフトウェアパッチで脆弱性そのものを
    カバー、という。一種のアノマリ型+アルファの仕組みらしい。

□ 日商エレクトロニクス梶FEthernet Security Switch SG (IPS)
  -シグチチャ、パターンではなく、MDS(Multi Dimension Securiy)エンジン
    で検知、とセミナーで説明有り。
   Q:MDSとは、アノマリ型と異なるのか?
   A:アノマリ型。常時30名+ボランティアの専門部隊で攻撃フィルタを更新
     専用CHIPで処理の為、高速化を実現。

[所感]
   p)各社とも、シグニチャではない独自手法、のようにプレゼンするが、
     質問してみると、自動学習ベースのアノマリ型+攻撃パターンの後追いの
     フィルタ機能、が現状の主流と認識した。新種の攻撃については「検出不可
     の可能性が高い」と、結局はイタチごっこで日々の更新が必要である。

□ NTTファシリティズ:データセンター、熱管理、空調管理
  -九州大学伊都キャンパスにおいても対応中 
□ アトリエビジョン梶F業務用映像素材・BGV・音楽素材ライブラリ
   Q:デジタルサイネージ向けだが、サイネージとは?
   A:広告。特に、双方向とは限らない(注:6/10の三菱電機とは異なる見解)
□ ダイナコムウェア: DynaFont
   Q:フォントは著作権等で権利保護しているのか?
   A:文字への意識の違いの為か、日本では認められない。中国では認められる。
   Q:中国で、中国企業から訴訟受けたらどう権利主張するのか?
   A:・・・・
□ 潟ビテック:グリーン東大工学部プロジェクト
 他
     
[所感]
   q)最終日の為か、10:00の開始時点から、昨日よりは人が多い。午後はさらに増え
     抽選会等のあるブースでは通路がふさがれ通れない。5月の情報セキュリティ
     EXPO.よりも、当初は人が少ない印象であったが、日々、人が増え、盛況だった。

[全体所感]
   r) 基調講演、特別講演は500名超、各専門セミナーも数十名以上、かつ展示会場は
      日を追うごとに通路に人が溢れ、情報・技術分野への関心の高さが窺われた。
      NEC,FJT,日立等の国内電機大手、商社(日商系)、海外ベンダ(Juniper)とも仮想化や
   クラウドのトレンドを追い、技術の住分けが無くなりつつある。
   尚、ITはICT(Information and Communication Technology)への表現変更が一般化している。
  s) 5月の情報セキュリティEXPOでも感じたが、コンピュータ・フォレンジックと比較して、
   ネットワーク・フォレンジックは未開拓分野である。研究対象有りを再認識した。
  t) 技術的興味を覚えたのは、WiMAXである。IEEE802.16eや同16mの世界標準に準拠しており、
   国内市場だけでなく、米,韓,香港,欧州と世界を市場とできるところが魅力。
   ケータイのようにガラパゴス化せず、技術者の努力が報われる製品・市場となって欲しい。
   u)コスト削減や効率化だけでなく、"グリーン","クラウド","仮想化"を唱える会社、プレゼンが多い。
     他にも、省電力、省エネだけでなく、「省熱」、や、「地球にやさしい」、等。
   個人的には、以前から会社でも家庭でも、節電、節水、ゴミ分別等の"エコ"を心掛け
     ている。"今"は社会的にも"エコ"に熱心となっている。トレンドだからと一過性
     のものに終わらず、普遍的に継続してもらいたい、と思う。
  v) 参加出張の機会を与えていただいたことに、感謝致します。

ページトップへ戻る

Copyright © 2009 Institute of Systems, Information Technologies and Nanotechnologies. All Rights Reserved.