まえがき

慶應義塾大学三田キャンパスで行われました。

サイバーセキュリティ国際シンポジウムとの共催だったので、国際学会的な要素が満載で、政府関係者や多くの有識者に囲まれながら議論していく場になり、とても充実した２日間を送ることができました。

トビタテ!留学JAPANに感謝するとともに、斎藤ウィリアムさんにも感謝したいと思います。

公式HP: http://www.npr-event.jp/cyber3/

Cyber3 Conferenceとは

Cyber3とは、「Cyber connection」「Cyber crime」「Cybersecurity」を表し、IoTやインターネットサービスによる相互接続性の増大がもたらす影響、この接続性の変化に伴うサイバー犯罪の増加、そしてセキュリティ面の課題という、互いに密接に関連する3分野のテーマを取り上げています
公式ホームページから引用

まとめ

今回の主なトピックは2020年とその後に考えなければいけないCyber security。 
東京オリンピックの時には、過去のオリンピックとはまた別の脅威があるだろうという前提で、サイバーセキュリティを防ぐには、サイバーアタックがあったらどうするべきかを中心に、様々な観点から議論を重ねました。 

サイバーアタックの脅威に打ち勝つためには官民学の協働が必須になってくる。 
すべてのものがインターネットに接続されている今の世の中で、 
サイバーセキュリティの観点から、時代がどう進んでいるのか、 
国がどのような対策をしているのか、アメリカ、イギリス等ではどうなのかを みんなで共有しあう会になりました。

全体のカンファレンスを通して感じたこと

政府機関や主要機関が大きな意思決定をし、カンファレンスを開いた時に 
官と民と学が接して何か次のアクションが起こるのだなと思いました。 
こういった国際会議に参加し、情報共有していくことが重要だと思いました。

AIのみならずログやデータを用いて、セキュリティ検知や脆弱性検知などの 検知されたもの結果からどうしていくのかという意思決定は、結局人間がしなければいけなく、 データが不足している中でも限られた時間の中で、その時の最適な意思決定が必要である。

サイバーセキュリティの人材育成及び、国の予算をあげることも必要であり、 サイバーセキュリティのタスクフォースを持つことも十分に検討が必要。

面白かったのは、サイバーセキュリティに関する会議にも、リーダーシップが語られるところであり、且つ、様々な分野の知識の統合が必要だと語られるところでした。
さて、ここから2つかに分かれたセッションで、自分が参加したものを書こうと思います。（駄文で長いですが、興味ある方はぜひ）

Day1

この会議の意義、セッションの説明、調印式など場を設計するセッションが最初にありました。

調印式の様子以下各セッションで学んだことを記します。

クラウド時代に向けたサイバーセキュリティの進化

クラウドコンピューティングやSass、モバイル、IoTにおけるセキュティに関する講演。 
クラッキングを成功させるコストは年々減っているのに対して、成功数は増えている。 
Public cloud にも新しいセキュリティーイシューは見つかっているので対策が必要である。

以下、セキュリティを保つために必要なこと。

Requires to maintain your cloud networking with high security:
 — Security automation 
 — Leverage 
 — Consistency

To make your services secure, you may need: 
1, complete visibility 
2, reduce attack surface 
3, prevent known threat 
4, prevent unknown threat

phases of the attack lifecycle: 
 1, Gather intelligence 
 2, leverage exploit 
 3, Execute malware 
 4, Control channel 
 5, Steal data

Security in the cloud:
Cloud providers has a responsibility for security of the platform and physical infrastructure.
Customer using that cloud has a responsibility for their security in the Cloud environment.

TTX — 2019ラグビーオリンピックでのサイバーインシデント演習

個人的にはこのセッションが一番好きでした。
アメリカ、イギリスから来たセキュリティのプロと Table Top Exercise (TTX — 机上演習)を行いました。

NHKが北朝鮮からD-Dos攻撃を受けて、サイトが落ちている。
Malware によって変更された firmware により、substation がダウンしている

などのシチュエーションから、ラグビーオリンピックへの影響を考慮し、各機関にどういうアクションを取ればいいのかを話し合い、発表する演習。
自分のチームは防衛省、経産省、総務省、日立等の社会人のセキュリティに関係する人たちで、とてもいいアウトプットができたと思います。

IPやマルウェアのハッシュ等の情報も用いながら国連に報告するのか、インターポールに報告するべきか、Local ISP(Internet Service Providers) や
総務省へどんな情報を問い合わせるべきか。などなど、考える点が多く、質問事項12項を１時間で考えるのは難しさを感じます。

この演習は前半と後半に分かれていて、前半で設定されていた日時と状況に加え、２日後また状況が変わったがどうするか、というのが後半での課題でした。

この演習での学びは、1-初めて会った人たちと、 2-限られた情報と限られた時間の中で、3-最善のアクションを選択する難しさでした。議論にはリーダーシップが必要であり、知識のプリセットが重要だと感じました。
全部英語でのディスカッションで、わからない略語もたくさんあって、都度ググってましたが、いい議論ができたと思います。
https://www.youtube.com/watch?v=W_G3XDw1Kps

Day2

Future Cybersecurity AI and Automation

簡単にいうと、AIがこれからよく使われるようになった時の脅威を考えて、対応していきましょうというセッション。重要な学びはAIに任せることと、人間ができることを分けて考え、人間の意思決定に必要な要素を抽出し判断していくことの重要性を説く会議だったと思います。
AIを用いたシステムとして有効なものは大量のログから特徴量を検出して、 人間に判断させる情報を加工して知らせてあげること。例えば以下のようなものが存在する。
 — a system to detect C&C server, using whois information. 
 — a monitoring system anonymous attack and detect detail and motivation.

TOPIC: Needs and cases about opportunity 
 — マルウェアを検出する時間がかかりすぎる。 
 — アルゴリズムは完璧ではない、改善することができる。 
 — 人間がやらなくていいものを、すべて自動化にする。 
 — だがAI ですべてを自動化することはできない 
 — できるところできないところを明確にして、AIを使っていこうという考えは重要。 
 — サイバー攻撃が起こった時にどうすればいいのか。 
 — 人間の意思決定に必要なデータがあるかどうかはAIができるところとできないところの境界か 
 — クラッキングするには、相手のことをよく知らなければいけない。 
 — 今年個人情報の法律が変わったので、データの利用方法に幅が持たされた（利用の推進基本法） 
 — 人口減少が起きているので、CISSP ホルダーを増やすより、AIを使ってCISSPホルダーを超えていかなければいけない 
 — ICT AISECに関わる人はアメリカですごい増えている。
 — 何かあった場合には情報共有のあとに、会議をする。 
 — データを蓄えて、10年前のデータも使うというのはナンセンスで、できるだけスピーディに使っていくのが重要。

Leadership for Cybersecurity management

サイバーセキュリティのカンファレンスなのに、リーダーシップのセッション？と思い参加しました。サイバーセキュリティに関しては日本企業は先進国の中でも対策が遅れている。文化的な背景もあるが、国際的協力を交えて、対策は必須である。

欧米の70~80%の会社にCISOがいるのにもかかわらず、日本企業では27%しかいない。 
 CISOが必要なのは自明にもかかわらず、なぜこのようなギャップが起きてしまうのか 
 → 日本のジェネラリストを育てる環境には適さない。 
 → 終身雇用も影響しているか 。
 → クラッキングに関する知識を持つ人が少ない。
 → トップにCISOが必要だと伝え創設する、または、トップがセキュリティのことを考え動く。

4名のCISO相当の会社の担当の人を呼んだセッション 
 各企業のCISOが個人情報とどう向き合っているか、
 また、利便性を持ちながらサイバーセキュリティを行うかが焦点。

Tokyo 2020 and Beyond

これまでのオリンピックとはまた別の脅威が2020年には存在し、それに対して、官民協働で対策をしていかなければいけない。どのような脅威があるのか、どう対策をしていくかを議論する場になりました。このセッションは２日間でメインの会議です。

2020 Olympic に向けた問題点
 — オリンピックに関するサービスをどのようにリスク管理をするか。（リスクアセスメントに関して）
 — 日本の名声にかけて、サイバー犯罪から守らなければいけないが、マーケティング戦略としてとてもいい機会である。
 — オリンピック機関はセキュリティにかんしてだけでなく、Capabilityをテストする機会としては最適である。（これは攻撃者に対してもいい機会である。人がとても集まり、マルウェア、フィッシングなども効果的であるから）

東京オリンピックにある、ロンドン・北京オリンピックになかった脅威とは？
 — IT機器を競技に使う
 — 観客が8Kとかを使ったコンテンツ配信をリアルタイムに行うだろう
 — 自動運転者が普通になっているかもしれない

課題、情報共有
 — AISという組織間で情報共有を自動化する仕組みがアメリカにあるが、日本にもそういう仕組みが必要ではないかと
 — Incident 情報を構造化する、また連絡する手段を持っている。
 — アメリカのGDPあたりのセキュリティ予算は日本の10倍くらい

Connected Car and Sharing Economy

日本の自動車を題材に、車とインターネットとの関わり方の変遷と、自動運転の良い面と悪い面を踏まえ、法律や体制についての議論がメイン。
 Connected Car によってもたらされる利便は今現在でもかなりある。

車を製造して販売するための検査において、今まで必要なかったソフトウェアの検査が増えたことにより、販売するまでが遅くなった。
 車検を通す上で、ソフトウェアの安全性だけでなく、開発したプロセス、つまり情報の等価性(data transparency)が十分に必要であろう。どのように設計され、どんなプログラム、データを用いて開発していくかが重要。

Summary session

各セッションのまとめとして、各担当者にまとめていただきました。
以下はセッションの中で重要だと取り上げられたワードです。
 — people, like as hacker.
 — technologies, like as AI and machine learning that technologies might help us.
 — safer, privacy
 — confidence partner such as government and private sector
 — supply chain and society 5.0
 — trust
 — international
 — training

今回のカンファレンスで議論された内容は日本政府等に提言として発信していくそうです。すべてのものがインターネット化されてくるなかで、しっかり準備が必要だと思いました。