symantecの中の人が講義に来たので聴いてみた

  • セキュリティ的にはWeb2.0Ajaxそのものなんだそうだ
  • Waterfallモデルはもう古いと思うんだが(突っ込み)
  • イギリスのSecurity Operation Center(SOC)は冷戦時代に作られた核シェルターの中
  • 「地震・雷・火事・鼠」→敵はどこからやってくるか分からない
  • Winnyそれ自体は悪意あるソフトウェアではない(当然だけど)
  • 分散環境でのセキュリティは?
  • ノートン先生はなんであんなに重いの? ←リスクに応じた計算資源の分配が必要
  • 入力データの処理によって7割くらいはセキュアになる
  • コードレビュー
  • リスクに関する情報の把握
    • 資産抽出・システム基盤・発生確率・業務プロセス
    • リスクの定量化→方法論は確立されていない・非常に難しい
    • ROIは重要だが。
    • 負の期待値:損害額とか信用とか - Priceless
      • 結局はセンスが問われる

ところどころ突っ込みたいときもあるけど、全体的にみればすごーい人。真剣に仕事してる話し方が好印象。もちろん真剣に仕事してるんだろうけど。

資料

「何でノートン先生はあんなに重いんですか?って質問してみようぜ」とネタのつもりで友人と話していたらソイツが本当に訊きやがった。問題はどれだけのコストをセキュリティに投資すればいいのか?ということになるんだけど、もんのすごい要約して回答を書くと

  • 我々は世界中から収集した最新のセキュリティ情報を常に公開している
  • それに基づいて適切なポリシーをそれぞれの事業体で意思決定してほしい

ということであった。じゃあ個人ユーザはどーすんの?そんなの分からないのにノートン先生を買ってる人も沢山いるよ?と訊けばよかった。セキュリティポリシーはユーザーフレンドリーじゃないですか、とユーザー視点的なことを言ったら同じようなことをセキュリティ専門家視点で答えられたわけだが、自分の知識レベルの低さを嘆くと共に、大学院の講義はやっぱそれくらいのレベルでなくちゃ、と思ったのでした。