6/3,4 の両日、インターネット・セキュリティのカンファレンスである RSA Conference 2003 Japan が開催されました。

日本での開催第二回目となる今年は、昨年の赤坂プリンスホテルから東京国際フォーラムに舞台を移し、インターネット・セキュリティに関心のある多くの人々を集めました。

午前を基調講演、午後をクラストラックとし、延べ 61 のセッションが実施され、また、1日目の最後には、カンファレンスパーティも開催されました。
また、展示会も催され有力ベンダーによりセキュリティ関連の最新製品や情報セキュリティに必要なソリューションが数多く紹介されました。

国内最大級のセキュリティのカンファレンスだけあって、IC チップに参加者の情報が登録されており、各セッションや展示会ブースへの入場は、そちらに記録されていました。

●参加セッション
私は、午後のクラストラックを中心に以下のセッションに参加しました。

6/3（火）：3-1/9-4/5-3/9-8
6/4（水）：9-9/4-2/6-3/2-4

また、両日とも後半に展示会を見学しました。

参加したセッションのうち、興味深かったセッションに関して報告します。

◎9-4「Windows Server 2003 で実現するセキュアな運用環境」
講師 古川 勝也 氏
マイクロソフト株式会社 Windows Server 製品部 シニアプロダクトマネージャ

セキュリティの面で Windows Server 2003 がどのように強化されたのか以下の強化ポイント：「SD3+C」 の紹介とともに、Windows Server 2003 を導入することで実現できるようになるセキュアな運用環境に関して解説してくださいました。

「SD3+C」とは、

・Secure by Design「セキュアな設計」
・Secure by Default「セキュアな標準設定」
・Secure in Deployment「セキュアな運用・展開」
・Communication「コミュニケーション」

以上の頭文字をとったマイクロソフト社のセキュリティに対するコンセプトです。

これらの必要性を述べたあとで、セキュアな運用環境を提供するソリューションとして、Windows Server 2003 から新しくなった Windows Rights Management System (WRMS) の紹介がありました。
この仕組みを使うことで、特定のユーザやグループ以外は、あるファイルの読み書きを制限することが可能となり、また、コピーでさえ出来なくすることも可能です。
現在、この仕組みを使用した最初アプリケーションは、Office 2003 であるということで、Office 2003 でのデモが実演されました。

後半は、殆どこの WRMS の解説でしたが、Windows Server 2003 をプラットフォームとした場合、WRMS を組み合わせることで、より強固なセキュリティシステムを構築できることが理解できました。
締めくくりとして「信頼できるコンピューティング（Trustworthy Computing）」に必要な 4本の柱を掲げました。
・セキュリティ
・プライバシー
・堅牢性
・誠実なビジネス

◎5-3「プライベート IRT のすゝめ」
講師 歌代 和正 氏
株式会社インターネットイニシアティブ 取締役 システム技術部部長

セキュリティに関心のあるユーザの方々は CERT(Computer Emergency Response Team) や JPCERT/CC などの団体名を聞いたことがあるかと思いますが、これらの団体は、CSIRT(Computer Security Incident Response Team) の機能を持ち合わせた団体です。
IRT とは、Incident Response Team の略称で、主にコンピュータセキュリティ（Computer Scurity）におけるインシデントに関して機能するため、CSIRTと称します。
このセクションでは、日本の民間企業として初、日本国内でも JPCERT/CC に次ぐ 2番目の組織として IRT の国際的組織である FIRST に参加した IIJ グループに於ける活動の紹介とプライベート IRT の持つ意味と今後の方向性に関して解説してくださいました。
皆さんの所属する企業でも、インシデントを管理する機能や役目を持った何らかの部署やチームが存在するのではないでしょうか？
企業だけでなく何らかのユーザグループやフォーラム等でもこのような機能を持ち合わせつことは可能です。
現に、この PASSJ においてもセキュリティホールやワーム等の報告や情報共有が成されています。
IRT に関しては、＠IT で JPCERT/CC の方が連載していた「インシデントレスポンス入門」を参照することを勧めていました。
是非この機会に会員の皆さんも IRT を再考しては如何でしょうか？

◎6-3「Web アプリにおけるセッション追跡の欠陥とその自動検出法」
講師 高木 浩光 氏
産業技術総合研究所 グリッド研究センター セキュアプログラミングチーム長

本セッションでは、ログイン機能を持つ Web サイトでのセッション追跡機構の欠陥による危険性を挙げ、そのパターンを整理すると共にスピーカ自身の研究であるセッション追跡機構の欠陥を自動検出するしくみを紹介してくださった。
参加者の皆さんも大変興味があったらしくセッションルームは立ち見が出るほど盛況でした。
面白かったのは、「欠陥」のあるサイトの例を挙げたことです。
そのサイトのセッション追跡をしたところ欠陥を見つけて指摘したという次第でした。

後半には、高木氏の研究の成果として開発された欠陥を自動的に検出しレポートしてくれるツールの紹介がありました。
民間との協業ということで将来、製品として発表されることと思います。
なかなか面白そうなツールで、Web サイトの公開前に評価ツールとして使ってみたい逸品でした。

◎2-4「TCPA 解説」
講師 丸山 宏 氏
日本アイ・ビー・エム株式会社 東京基礎研究所

皆さんは、「TCPA」という単語を聞いたことがありますか？
TCPA は、Tusted Conputing Platform Alliance の ACRONYM で Trusted Computer Model（TPM）と呼ばれるハードウェアによってウィルスなどのソフトウェアに基づく攻撃からプラットフォームを保護します。
TCPA によって定義されたセキュリティチップ（TPM）は、暗号コプロセッサの機能と共にプラットフォームの完全性を「メジャー」する機能を提供します。
現在、TCPA は、TCG という非営利法人にその作業を移行しています。
TCG は TCPA の仕様を発展させるオープンな業界標準団体としての位置付けにあり、TCPA の仕様を採用しています。
これにより、より早い仕様策定が可能となると共により広範なサポートを得やすくなります。
現在、この TCG準拠の PC プラットフォームとしては、IBM ThinkPad シリーズ（X30/T30/R32 以降）などがありますが、他の利用価値がないのでいまいち身近に感じません。
今後、この TCG準拠のソフトウェアの開発や他のサーバや PDA、携帯電話といったプラットフォームでの仕様の動向が気になります。

●参加者や会場・展示会の雰囲気
クラストラックは各テーマごとに会場が決まっていたのですが、会場の大きさに差がありセッションによっては、立ち見が出る会場もありました。
高い参加料を払ってもこの場でしか聴けない最新のセキュリティ技術や動向、セキュリティに対する取り組みなどセキュリティに関する話題が山積みで有意義な内容であったと感じました。
また、外国人スピーカの講演には同時通訳が付いたのですが、やはり、自分で聞き取れる方が何倍も有益な情報を得ることが出来ると感じました。
今以上にヒアリングやリスニングをしっかり出来るようにしたいものです。
展示会はあまり大規模ではありませんが、大小さまざまなセキュリティに携わる企業が参加しており、各社の有力な製品を展示していました。
有名どころはさることながら、海外のベンチャー企業の製品も展示してあり、評価してみたい製品もありました。

●最後に
2日間午後一杯を使ってセッションや展示会に参加し大変有意義を過ごすことが出来ました。
今後のますます重要となっていくインターネット・セキュリティに関する情報提供の場として、システム設計・構築・運用していく我々に大いに役立つカンファレンスであったと思います。
本セッションを開催してくださった RSA Conference 2003 Japan 事務局に対しお礼を申し上げます。
ありがとうございました。

RSA Conference 2003 Japan の Webサイトへ