トップ 最新

ただのにっき

2015-10-28(水) [長年日記]

CODE BLUE 2015へ行ってきた(1)

(ランチで出た弁当くらいしか写すものがない)

「日本発の情報セキュリティ国際会議」と銘打ってCODE BLUEが始まって今年で(たしか)3回目くらいなんだけど、職場の若い衆に譲っていたので今回が初参加。2トラックに拡大したので、同僚と分担しつつ聴く。今回は同僚が発表するし。

ちゃんと審査があるのでおおむね高いレベルの発表が揃っていて、歯ごたえのある(ようするに難しすぎて理解できない)ものもあるから、一般向けに刃先を鈍らせることのないちゃんとした専門家向けのカンファレンスだと思う。こういうのなら継続的に参加する気になるんだわ。

とは言っても、蓋を開けてみるまではレベル感はわからんわけで、聴いてみたらがっくり、なんてのももちろんある。とくに基調講演は両日ともあんまり感心しなかった。だいたい「またシンギュラリティか……」とテーマからしてがっくりだ。もうそのネタは飽きた。そもそもセキュリティとなんの関係があるのやら*1。フィクションからの引用でAIの可能性を提示するのは良いが「日本からシンギュラリティを起こそう」という提案のわりにはソフト面でのアイデアがなくて最後はgdgdな感じだった。

そのあとはAngularJSがいかにセキュリティホールのかたまりか、という話を聴いた。Angularが内蔵するサンドボックスを次々と攻略するくだりは良かったのだが、そのあと「セキュリティホールを含んだプルリクをわざと送りつける」というネタは、さすがに腹が立った。で、倫理的にどうなんだ、許しがたい!! と憤慨したものの、上位組織であるGoogleのセキュリティチームの了解のもとで行われている以上、これは一種のペネトレーションテストなわけで、部外者が怒るたぐいのものではないのだよなぁ。でも腹は立つ。……という胸のうちは微塵も見せることなく「他のフレームワーク、とくにReactはどう思う?」という質問をしたが、Reactからはセキュリティホールを発見できなかったそうだ。まぁ、Angularが必要以上に複雑さを内包してしまったのが問題ってことなんだろう、Angularにかかわらなくて良かった。

あとは、続いて行われた韓国と中国の話が面白かった。北朝鮮からのサイバー攻撃が日常的で、ほぼ戦争状態にある韓国の、官民学一体となったセキュリティ強化施策はすごいの一言。もう数のフェーズは終わって質を問題にしていると聞いて「技術者が何万人足らない」とか言ってる日本との差は大きい。一方中国は経済が優先されすぎてセキュリティ技術者の地位が低い中、国や軍のサポートなしに民間だけで社会的に影響力を持つコミュニティを作り上げた話で、これもこれでこの国ならではだなぁとしみじみした(国の予算は軍だけに投入されるのだろう)。どの国にもその国なりの苦労がある。

Tags: security

*1 もちろん、あらゆるリスクを評価して対応を決めるのがセキュリティなのだから、シンギュラリティだってセキュリティの対象ではあるが、このレベルになると「情報セキュリティ」の枠内で議論すること自体がナンセンスだろう。