Day2の午前の部です。夕方には、ディナーもあるし、ある種、ハイライトの日です。

Mr Martin Ruubel( President of Guardtime)による「政府、防衛、そしてブロックチェーン-ハイプを超える？」という講演です。

Guardtimeは、KSI blockchain技術を商品化している会社で、今回のCyCONのスポンサーさんの一つです。アイスブレーカーの会場は、Guardtimeさんのロゴが、舞っていました。さて、サイバーセキュリティを考えるときに、正確な記録プロセスをインテグリティをもって行うこと、それには、ハッシュ値が有効になります。
FireEyeのレポートによると、企業は、侵入を受けてから、それに気がつくまで、205日ほどかかってしまう。同社は、2008年春から、政府の仕組みに導入をなし、2012年からは、すべての重要なデータをブロックチェーン技術を用いて、記録するサービスを開始しました。
Ruubel氏によると、ロッキードマーチン社においても利用されており、ブロックチェーンは、軍をブロックチェーンに乗せるものではなく(NOT)、ネットーワーク、システムとデータのインテグリティを確保するものであり(IS)、既に、利用可能である(READY)であるものです。

次は、Katie Moussourisさんで、彼女は、Luta Security, Inc.のCEOで、脆弱性開示およびバグ・バウンティの専門家です。

私は、IPAの脆弱性研究会の早期警戒パートナーシップの枠組みづくりに2003年から取り組んでいることもあって、非常に今日にある講演です。テーマは、”Existential crisis;Theatre of Absurd”(実存的危機-不合理の劇場)です。

彼女は、ワッセナーアレンジメントに2013年に、侵入ソフトウエアが加わった話、脆弱性開示、侵入テスト、バグバウンティについて説明します。また、英国の脆弱性コーディネーション・パイロットのアドバイザを務めており、そのパイロットプログラムで協力したというアナウンスは、こちらになります。

講演終了後に、彼女と日本の脆弱性の早期警戒パートナーシップのことを参考にしているだろうということを聞きました。昨年、日本とも情報交換をしているという趣旨の話をしていました。なんと、カラオケファンとのことで、ぜひとも日本であいたいね、そのときは、西麻布に連れて行くよ、という約束をしました。

Michael Schmitt先生の講演は、タイトルは、「Tallinn Manual 2.0 & Gray Zones in International Law」です。このブログで、たびたび紹介しているタリン2.0の発表パネルでもふれられた内容がメインでした。
Tallinn Manual 2.0 は、平時の法をも対象にしており、総合的な性格を有している。ロシアの近時の動向は、タリン2.0においても、いまだ明確な解釈が与えられていない論点によるものであって、非常に「賢明」な行動ということがてできるであろう。法的には、グレイゾーンがあり、また、対応行動は、複雑な要素を有する。米国民主党全国委員会ハック(DNCハック)は、その意味で、非常に賢明なものであった、とい評価される。

また、攻撃者特定(アトリビューション)も難しい問題である。法の合理的判断によるが、2007年のエストニア・ロシア問題のように難しい問題である。インテリジェンスも利用した、事実問題ということになる。
また、政治のレイヤーになり、政治家が入ってくる。
国家責任も問題となり、規範に同意するものも国家である。小国家もステップに入ってくることができる。国家がスタートということになる。

そのあとは、Plenary Panel: Defending the Core – Critical Internet Infrastructure and IoT-Enabled Threatsでした。

パネリストからは、ボットネットの話、IoTデバイスの話、ハックバックの話などがでました。しかしながら、どうもハックバックという用語が、きわめて、感覚的に使われているような気がして、個人的には、あまり、真剣に聞けませんでした。ということで、詳しくは、スルーということでご容赦のほどを。

ということで、お昼となりました。