11月13日から15日かけて(プレ・カンファレンスとポスト・カンファレンスを含めると11日から17日まで),今年で27回目を迎える「Computer Security Conference」が,シカゴのChicago Hilton & Towersで開催された。同時期に開かれた「COMDEX/Fall」に世界の目が注がれている中,Computer Security Conferenceは“ひそやかに”ではあったが,多くの参加者を集めて“盛大に”行われた。

 毎年行われる同カンファレンスを主催したのは,世界的なセキュリティ団体「Computer Security Institute(CSI)」。CSIは,コンピュータやネットワークの専門家に,セキュリティ情報の提供などを行う会員制の団体で,その活動の柱の1つが,Computer Security Conferenceの開催である。

 参加者は,少なくても1000名はいたのではないかと思われ,世界規模でのセキュリティへの関心の高さを物語っていた。参加者は多岐にわたっており,中には日本でいうところの防衛庁の職員が参加している国も見られた。

 昨今の,日本におけるセキュリティに対する意識の向上を考えると,日本人も多く参加しているものと考えていたのだが,会場へ行ってみると,日本人参加者の数は少なく,そのために日本人が目立っていた感があった。

 「COMDEX/Fall」の情報はテレビやWebなどで流れていたのに対して,Computer Security Conferenceについての情報はまったくといっていいほど報道されていなかった。しかし,カンファレンスでの各セミナーのテーマは多岐にわたり,内容も充実していた。そのため,新しい知識の収集や,知識の整理には大変役立った。

 カンファレンスには,以下の12テーマが用意され,1つのテーマにつき,全10回のセミナーが行われた。

(A)Introduction to Computer Security
(B)Awareness
(C)Management
(D)WWW
(E)E-Commerce
(F)Tools & Techniques
(G)Audit & Risk
(H)Product Specific
(I)Network Security
(J)Round Tables
(K)Infrastructure
(L)Tracklets

 これらのテーマを見るだけでも,カンファレンスの幅広さは分かるだろう。全体的に,導入レベルの話が多く,専門家向けというより,一般向けのカンファレンスという印象を受けた。また,ある特定の製品説明に偏った話は少なく,それぞれのテーマの概要を解説したセミナーが多かった。

 個人的に興味深かったのは,(J)の「Round Tables」と,私の専門分野であるセキュリティ・ポリシーに関するセミナーである。「Round Tables」のセミナーは,すべてパネル・ディスカッション形式であった。そのため,パネラーによっては,話が本題からどんどんずれてしまい,「今,私は何のセミナーに参加しているのだろうか」と疑問に思うことさえあった。しかしながら,通常の講演では聞けないような,率直な意見が多く,興味深いディスカッションは多かった。

 セキュリティ・ポリシーに関するセミナーでは,「ポリシー作成後の運用をどのようにするのかが重要」といった,ユーザー教育に焦点を絞った話が聞けた。日本では,まだ,ポリシー作成にポイントを置いていることを考えると,日米の差を感じずにはいられない。さらには,「リスク分析に時間をかけるな」や「ポリシーなんて紙ぺら一枚で十分」など,目の覚めるような話も飛び出し,大変興味深かった。

 どのセミナーの講師も,15年間セキュリティ・ビジネスに携わっている人や,10年間セキュリティ・ポリシーを作成しているような専門家ばかりで,そのような経歴の持ち主から生で話を聞くことは,非常に参考になった。

 日本では,セキュリティ・ビジネスが始まってから,まだ5,6年しかたっていないので,そのような経歴の人から話を聞くどころか,会うことすら不可能である。大変勉強になった半面,日米のセキュリティに対する認知度の差を,改めて思い知ったカンファレンスであった。

Computer Security Institute

27th Annual Computer Security Conference

足利 俊樹(Ashikaga Toshiki)
株式会社ラック 不正アクセス対策事業本部
ashikaga@lac.co.jp

 IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,その週に起きたUNIX関連およびセキュリティ全般のニュースや動向をまとめた週刊コラムです。セキュリティ・ベンダーである「株式会社ラック」のスタッフの方を執筆陣に迎え,専門家の立場から解説していただきます。