休日出勤の代休を使って、先日開催された、IPAグローバルシンポジウムに参加してきた。まる一日かけて基調講演、情報セキュリティセッション、ソフトウェアエンジニアリングセッションに参加した(すごく疲れたw)。キーワードは、次の3つ。
参加者は、比較的年齢層が高い(40代〜50代が多い?)ように見えた。寝ている人が1割くらい。。これどうなの?
以下、印象に残っている箇所と、メモに残っている箇所を、簡単に書き残しておく。自分の感想と区別するために、プレゼンテーションの内容を引用のように記載している。ただし、内容はあくまでも自分のメモであり、プレゼンテータの言葉や主張と異なる可能性があることだけ、ことわっておく。
しかし(やむなく)日があいてしまったので、かなり忘れている。バッドメモリ。。
開会式
仰々しく始まったw 大きなイベントだから、大変なのだろう。
田中氏(IPA理事)のご挨拶
シンポジウム開催の目的は、日本のIT力の向上。
クラウドに対する取り組みは重要。
CSAとの相互協力協定の締結の紹介。
CSAのJAPAN CHAPTER(http://www.cloudsecurityalliance.jp/)が発足し、同日の午後にキックオフシンポジウムが開催*1されることの紹介。
本シンポジウムを通じて、何らかのヒントやきっかけをつかんでほしい。
ちなみに、CSA JAPAN CHAPTER発足の経緯は、丸山満彦氏のブログへの高橋郁夫氏のコメントにある*2。まぁ、そんなものだろう。
石黒氏(経産省)のご挨拶
ご自身の言葉で、しっかりとご挨拶されており、好印象だった。内容の詳細をメモしていないので、キーワードだけ列挙しておく。
成長戦略。
「スマートコミュニティ」というコンセプト。
中立なネットワーク社会。
クラウドコンピューティングの将来とセキュリティ(ジム リーヴィス氏)
クラウドのセキュリティ、まるで情報収集できていない自分にとっては、大変ありがたい情報量。業界をドライブしていく人は、やっぱり違うなぁと。同時通訳も、かなりよかった。
CSAについての紹介。
クラウドとは。クラウドは、ムーアの法則、広い帯域幅、SOA(およびWebベースのマッシュアップ)、スケールにより成立する。ITが(下水などのように)公共サービスの一部になる。
S-P-Iフレームワーク。IaaS <--> PaaS <--> SaaS。クラウドは一枚岩のサービスではない。OSI参照モデルのようにわかりやすく表現した。IaaSでは、あなた自身がセキュリティを構築し、あなた自身で責任をとる。SaaSでは、コンシューマの責任はオーディット。契約し、リクエストすること。
3〜5年はプライベートクラウドに投資される。ゆくゆくはパブリッククラウドに移行するが、プライバシやセキュリティの問題がある。パブリックとプライベートのハイブリッドは複雑であり、これはセキュリティの敵。
CSAのプロジェクトの紹介。クラウドセキュリティガイダンスは、日本語版も出ていることを紹介。
Top Threats to Cloud Computingの紹介。
- 「共有テクノロジの脆弱性」:経済的な観点からは、小さく詰め込み、できるだけリソースを使い切ることがよい。ハイパバイザの脆弱性により、別の顧客のデータへアクセスされるかも
- 「情報のロス・情報漏洩」:パーティショニングや暗号化。ツールの活用が必要
- 「悪意のあるインサイダー」:クラウドプロバイダ側。新しく雇用された社員をどうするか
- 「トラフィックのインターセプトやハイジャック」:ある部分の認証が弱く、アカウントがのっとられたとする。クラウド中にボットネットが仕込まれ、エージェントとしてトラフィックをハイジャックされる可能性がある
- 「セキュアでないAPI」:マッシュアップの脆弱性。特にサードパーティのAPI。コントロールできる部分とそうでない部分がある
- 「サービスの悪用」:クラウドのリソースを悪用する。クレジットカード1つで悪用できる上に、攻撃者はたくさんのカードを持っている
- 「未知のリスクプロファイル」:クラウドプロバイダが何をしているかわからない。詳細が公開されず、透明性が欠如している現実がある
CSAのその他のプロジェクトの紹介。
- CSA Guidance Research
- Trusted Cloud Initiative
- Cloud Controls Matrix Tool
- Consensus Assessments Initiative:先月出たばかり
- Cloud Metrics Research:共通の形で測定できるようにする。例えば、何人の社員がCISSPであるか、ISO27001を取得しているか、SaaS Type2を取得しているかなど。また、どれくらいのデータが暗号化されているかなど
- その他、今年度期待される取り組み
- CloudCERT:CERTのクラウド版。迅速な情報共有が必要。大手のあるプロバイダで問題が発生した場合、他のプロバイダと共有しなければならない。社内のCEOに承認がいるなど、大変。顧客の個人情報があって、できないかもしれない。短時間で共有する仕組みが必要。既存のCERTと重複しないようにする
- User Certification:個々人の能力を向上させる
- Use Case Documentation:アーリーアダプタの様々なユースケースをドキュメンテーションしていく
他のプロジェクトへの参加。
クラウドアシュアランスの課題。全て仮想化(物理的にセキュリティコントロールをかけられない)、地理的に離れている(法的な管轄はどこ)、透明性、ツール類、最初から安全に構築する。
どう使いこなすか、クラウドコンピューティング(加藤 和彦氏、元橋 一之氏、ジム リーヴィス氏、仲田 雄作氏)
「クラウド・コンピューティング社会の基盤に関する研究会」報告書が何度も紹介された。これがベースになっている。ちゃんと目を通しておけばよかった。。
プレゼンテーション後は質疑応答だったが、聴講者側とはかなりの温度差があった。質問者も、東工大の首藤氏と、弁護士の高橋氏、、って(自分も挙手しなかったので、何も言えないのだが)。
加藤 和彦氏のプレゼンテーション(15分)
大変わかりやすく、どんな目的の参加者でも満足できたのではないかというプレゼンテーションだった。
クラウドにエッセンスはあるか?あるなら何か?
デジカメで写真を撮って、PCに入れて、プリントする、友人に送る、Webにアップする。子供にわたせるか?CD-Rは7年くらいしかもたない。USBはどこに何を入れたかわからなくなるし、なくす可能性もある。ハードディスクはLimited lifetime(PCの買い替えも考慮に入れる)。世代をおって、コピーをとり続けるしかない。
PCもインストール、メンテナンス、リプレースが必要。PCの管理は好きですか?
やりたいのは、写真を撮ることと、見て共有すること。
便利な部分と、複雑でストレスがかかる部分がある。
エッセンスは、「コンピュータリソースの因数分解」。共通因数をくくりだし、カスタマイズが必要な箇所のみ残す。
元橋 一之氏のプレゼンテーション(15分)
立場や主張が明確で、大変わかりやすく、示唆に富んだ内容だった。
Over-hypedか?Under-hypedか?系的な観点から。
クラウドの導入は、中小企業で10%、大企業で8%。これらのうち80%がSaaS。上場企業であれば、クラウドの検証はしている。
クラウドは、「仮想化、分散化」+「ムーアの法則」。プライベートクラウドの環境が整いつつある。
キャズム(Chasm)
- イノベータ:個人かな?
- アーリーアダプタ(ビジョナリ):パイオニア企業とか。実際にどう使うか、イノベーティブな考えをだせるか
- キャズム:多くのハイテク製品はここで終わる
- アーリーマジョリティ:どれだけのコストパフォーマンスをだせるか
- レイトマジョリティ
- ラガード
クラウドのデメリット(アンケート結果から)
- 既存システムとの接続性が低い(ユーザもノンユーザも):コストパフォーマンスがよくないかもしれない
- カスタマイゼーションが低い(ユーザのみ)
- セキュリティ(ノンユーザのみ)
- トータルコストは安くない(ユーザもノンユーザも):今後解消されるかもしれない
PaaSの広がりがポイント。2つのタイプ。Salesforceのように、SaaSからPaaSへのタイプ。GoogleやAmazonのようにPaaSからSaaSへのタイプ。プラットフォームからキャズムを超えるのは難しい。WindowsとiPhoneは例外。
パブリックとプライベートをつなぐ、新しいシステムインテグレーションが必要。
インターネットの脅威の変遷とITセキュリティの新たなトレンド(ミッコ ヒッポネン氏)
生ミッコにちょっと感動w すばらしい(そしてなまなましい)プレゼンテーションだった。実際の現金化の手口など、メモはとったが、詳細は記述しない(できない)。具体的な内容以外の部分を。
このところのセキュリティの変化は「技術でなく、社会」の変化。
ウイルスライターが、現実の世界の中でも攻撃してくる。これは、昔はなかった。敵が大きくリッチになっている。
残念だが、状況は悪化するかもしれない。
第一線で活躍する人ならではの危機感は違う。
今日の情報セキュリティ:脅威の現状と選択可能な対策と対処〜グローバルな視点と日本への期待〜(高橋 正和氏)
過去から現在に至るまで、包括的な話題。最近の脅威については、ミッコ ヒッポネン氏のプレゼンテーションと重複するが、切り口が違うため、重複が生かされていた。特に、脅威の動向をおさえていないが、短時間でエッセンスが知りたい人にとって、よいプレゼンテーションだったのではないか。
Microsoft Security Intelligence Report(SIR)の紹介。SIR Volume 8のサマリ。
「マルウェアの経済化」として、情報の収集と現金化の話。
アンダーグラウンドポータル、ボットネットの話。
Microsoftの「End to End Trust」の紹介。
IT産業の維新〜アジャイルの本質と今〜(一色 浩一郎氏)
カリフォルニア州立大学コースの体系の中から、特に重要なキーワードを2つ。
- 「PMO」:プロジェクトのインデックス(類似プロジェクトとの比較や、なぜそのプロジェクトが失敗したかの分析など)を行う。
- 「要求工学」:要求獲得と要求検証が特に重要。獲得する人と検証する人が別でなければならない。
米国では、ユーザ側にPMOがある。日本では、ベンダ側にPMOがある。
必要な方法(フォーターフォール<-->アジャイル)を、必要な時に使う。アジャイルの中でも、組み合わせて使う。基幹システムや大規模開発の場合には、フォーターフォールが多い。
大学で教えている代表的なアジャイル手法。XP、Scrum、RUP、FDD、ASD、Crystal Family、DSDM、EUP。
アジャイルを導入するには、請負契約を委任契約にすることと、顧客の参加が必要。
米国では、「プロジェクト管理」と「実施プロセスの規定」のみしかない。なので、1ヶ月やってみて、やっぱり委任契約にするなど。一括請負の会社(日本の大手SIerなど)がない。
日本の調達モデルは、ユーザと、製品やパッケージベンダとの間に、大手SIerがいる。ユーザがSIerにまかせきりになっている気がする。これではアジャイルは難しい。米国の調達モデルには、このSIerの部分がない。これは、色々な会社を育てるために、米国政府が、当時の米IBM(ハードから構築まで全て実施)に対して、一括で全て実施しないように言ったため。
日本型の契約方式の場合、契約金額と期限のみを設定し、何をするか決めないでスタートする。ユーザは機能を盛り込み、ベンダは提案を控える。その結果、機能は肥大化、複雑化し、過酷な労働環境になる。こういうジレンマがある。米国型の場合には、ユーザが業務設計をするため、ユーザは機能をシンプルにし、工数をおさえようとする。ベンダは、よりよい機能の提案を行い、工数の拡大をはかる(実力がためされる)。
具体例の紹介。
グリーン・クラウド・コンピューティングの実現〜アジャイル開発によるSaaS型業界共通XML/EDIの構築〜(兼子 邦彦氏)
事例紹介。長期にわたるグリーンITなどへの取り組みが紹介された。このため、一つ一つが薄くなってしまったように感じる。もう少し、ポイントを絞って、つっこんだ話がよかったように思う(個々の話は、大変興味深い)。
一番印象に残ったのは、次の内容。
大企業の場合には、プライベートクラウドに重要な情報を、パブリッククラウドにどうでもいい情報をおくのだろう。地方の中小企業は逆、自社のちっぽけなセンターには、どうでもいい情報をおき、しっかりとしたセンター内にあるパブリッククラウドに、重要な情報をおきたいって思うw
アジャイル開発をどう理解し、いかに活用すべきか(松田 晃一氏)
非ウォーターフォール型開発に関する調査が、主な話題。認識している課題や、今後の方向性については異論はないが、具体的な話がなかったので、正直よくわからないという感想。
おしまい。