開会式

仰々しく始まったw 大きなイベントだから、大変なのだろう。

クラウドコンピューティングの将来とセキュリティ（ジム リーヴィス氏）

クラウドのセキュリティ、まるで情報収集できていない自分にとっては、大変ありがたい情報量。業界をドライブしていく人は、やっぱり違うなぁと。同時通訳も、かなりよかった。

CSAについての紹介。
クラウドとは。クラウドは、ムーアの法則、広い帯域幅、SOA（およびWebベースのマッシュアップ）、スケールにより成立する。ITが（下水などのように）公共サービスの一部になる。
S-P-Iフレームワーク。IaaS <--> PaaS <--> SaaS。クラウドは一枚岩のサービスではない。OSI参照モデルのようにわかりやすく表現した。IaaSでは、あなた自身がセキュリティを構築し、あなた自身で責任をとる。SaaSでは、コンシューマの責任はオーディット。契約し、リクエストすること。
3〜5年はプライベートクラウドに投資される。ゆくゆくはパブリッククラウドに移行するが、プライバシやセキュリティの問題がある。パブリックとプライベートのハイブリッドは複雑であり、これはセキュリティの敵。

CSAのプロジェクトの紹介。クラウドセキュリティガイダンスは、日本語版も出ていることを紹介。

Top Threats to Cloud Computingの紹介。

• 「共有テクノロジの脆弱性」：経済的な観点からは、小さく詰め込み、できるだけリソースを使い切ることがよい。ハイパバイザの脆弱性により、別の顧客のデータへアクセスされるかも
• 「情報のロス・情報漏洩」：パーティショニングや暗号化。ツールの活用が必要
• 「悪意のあるインサイダー」：クラウドプロバイダ側。新しく雇用された社員をどうするか
• 「トラフィックのインターセプトやハイジャック」：ある部分の認証が弱く、アカウントがのっとられたとする。クラウド中にボットネットが仕込まれ、エージェントとしてトラフィックをハイジャックされる可能性がある
• 「セキュアでないAPI」：マッシュアップの脆弱性。特にサードパーティのAPI。コントロールできる部分とそうでない部分がある
• 「サービスの悪用」：クラウドのリソースを悪用する。クレジットカード1つで悪用できる上に、攻撃者はたくさんのカードを持っている
• 「未知のリスクプロファイル」：クラウドプロバイダが何をしているかわからない。詳細が公開されず、透明性が欠如している現実がある

CSAのその他のプロジェクトの紹介。

• CSA Guidance Research
• Trusted Cloud Initiative
• Cloud Controls Matrix Tool
• Consensus Assessments Initiative：先月出たばかり
• Cloud Metrics Research：共通の形で測定できるようにする。例えば、何人の社員がCISSPであるか、ISO27001を取得しているか、SaaS Type2を取得しているかなど。また、どれくらいのデータが暗号化されているかなど
• その他、今年度期待される取り組み
  • CloudCERT：CERTのクラウド版。迅速な情報共有が必要。大手のあるプロバイダで問題が発生した場合、他のプロバイダと共有しなければならない。社内のCEOに承認がいるなど、大変。顧客の個人情報があって、できないかもしれない。短時間で共有する仕組みが必要。既存のCERTと重複しないようにする
  • User Certification：個々人の能力を向上させる
  • Use Case Documentation：アーリーアダプタの様々なユースケースをドキュメンテーションしていく

他のプロジェクトへの参加。

• CloudAudit.org：クラウドをより簡単にオーディットするためのプロトコルを、IETFに提出予定
• ENISA：Common Assurance Maturity Model。コレ？

クラウドアシュアランスの課題。全て仮想化（物理的にセキュリティコントロールをかけられない）、地理的に離れている（法的な管轄はどこ）、透明性、ツール類、最初から安全に構築する。

どう使いこなすか、クラウドコンピューティング（加藤 和彦氏、元橋 一之氏、ジム リーヴィス氏、仲田 雄作氏）

「クラウド・コンピューティング社会の基盤に関する研究会」報告書が何度も紹介された。これがベースになっている。ちゃんと目を通しておけばよかった。。
プレゼンテーション後は質疑応答だったが、聴講者側とはかなりの温度差があった。質問者も、東工大の首藤氏と、弁護士の高橋氏、、って（自分も挙手しなかったので、何も言えないのだが）。

インターネットの脅威の変遷とITセキュリティの新たなトレンド（ミッコ ヒッポネン氏）

生ミッコにちょっと感動w すばらしい（そしてなまなましい）プレゼンテーションだった。実際の現金化の手口など、メモはとったが、詳細は記述しない（できない）。具体的な内容以外の部分を。

このところのセキュリティの変化は「技術でなく、社会」の変化。
ウイルスライターが、現実の世界の中でも攻撃してくる。これは、昔はなかった。敵が大きくリッチになっている。
残念だが、状況は悪化するかもしれない。

第一線で活躍する人ならではの危機感は違う。

今日の情報セキュリティ：脅威の現状と選択可能な対策と対処〜グローバルな視点と日本への期待〜（高橋 正和氏）

過去から現在に至るまで、包括的な話題。最近の脅威については、ミッコ ヒッポネン氏のプレゼンテーションと重複するが、切り口が違うため、重複が生かされていた。特に、脅威の動向をおさえていないが、短時間でエッセンスが知りたい人にとって、よいプレゼンテーションだったのではないか。

Microsoft Security Intelligence Report（SIR）の紹介。SIR Volume 8のサマリ。
「マルウェアの経済化」として、情報の収集と現金化の話。
アンダーグラウンドポータル、ボットネットの話。
Microsoftの「End to End Trust」の紹介。

IT産業の維新〜アジャイルの本質と今〜（一色 浩一郎氏）

カリフォルニア州立大学コースの体系の中から、特に重要なキーワードを2つ。

• 「PMO」：プロジェクトのインデックス（類似プロジェクトとの比較や、なぜそのプロジェクトが失敗したかの分析など）を行う。
• 「要求工学」：要求獲得と要求検証が特に重要。獲得する人と検証する人が別でなければならない。

米国では、ユーザ側にPMOがある。日本では、ベンダ側にPMOがある。

必要な方法（フォーターフォール<-->アジャイル）を、必要な時に使う。アジャイルの中でも、組み合わせて使う。基幹システムや大規模開発の場合には、フォーターフォールが多い。
大学で教えている代表的なアジャイル手法。XP、Scrum、RUP、FDD、ASD、Crystal Family、DSDM、EUP。
アジャイルを導入するには、請負契約を委任契約にすることと、顧客の参加が必要。
米国では、「プロジェクト管理」と「実施プロセスの規定」のみしかない。なので、1ヶ月やってみて、やっぱり委任契約にするなど。一括請負の会社（日本の大手SIerなど）がない。
日本の調達モデルは、ユーザと、製品やパッケージベンダとの間に、大手SIerがいる。ユーザがSIerにまかせきりになっている気がする。これではアジャイルは難しい。米国の調達モデルには、このSIerの部分がない。これは、色々な会社を育てるために、米国政府が、当時の米IBM（ハードから構築まで全て実施）に対して、一括で全て実施しないように言ったため。
日本型の契約方式の場合、契約金額と期限のみを設定し、何をするか決めないでスタートする。ユーザは機能を盛り込み、ベンダは提案を控える。その結果、機能は肥大化、複雑化し、過酷な労働環境になる。こういうジレンマがある。米国型の場合には、ユーザが業務設計をするため、ユーザは機能をシンプルにし、工数をおさえようとする。ベンダは、よりよい機能の提案を行い、工数の拡大をはかる（実力がためされる）。
具体例の紹介。

グリーン・クラウド・コンピューティングの実現〜アジャイル開発によるSaaS型業界共通XML/EDIの構築〜（兼子 邦彦氏）

事例紹介。長期にわたるグリーンITなどへの取り組みが紹介された。このため、一つ一つが薄くなってしまったように感じる。もう少し、ポイントを絞って、つっこんだ話がよかったように思う（個々の話は、大変興味深い）。
一番印象に残ったのは、次の内容。

大企業の場合には、プライベートクラウドに重要な情報を、パブリッククラウドにどうでもいい情報をおくのだろう。地方の中小企業は逆、自社のちっぽけなセンターには、どうでもいい情報をおき、しっかりとしたセンター内にあるパブリッククラウドに、重要な情報をおきたいって思うw

アジャイル開発をどう理解し、いかに活用すべきか（松田 晃一氏）

非ウォーターフォール型開発に関する調査が、主な話題。認識している課題や、今後の方向性については異論はないが、具体的な話がなかったので、正直よくわからないという感想。

おしまい。