Black Hat Japan 2005 特別企画 Black Hat CEO ジェフ・モス氏 × Scan編集部　インタビュー　〜日本のセキュリティコミュニティはどこへ向かうのか？〜

１．セキュリティホール情報の取扱　永遠の課題ディスクロージャーポリシー

編集部（以下、SCAN）：
ジェフ、まず最初に君に聞きたいのはセキュリティ関係者にとって永遠の課題ともいえるセキュリティホール情報の取扱についてだ。僕の印象ではセキュリティに携わる技術者の多くはいわゆる「フルディスクロージャー」を支持していると思う。しかし、その一方では企業の経営者、マネジメント側や官公庁の役人は「フルディスクロージャー」がお気に召さないようだ。最近の日本の法制度は明らかに「フルディスクロージャー」とは逆方向に向っている。
Black Hat は「フルディスクージャー」派だと思うんだけど、あっているかな？

ジェフ氏（以下、JEFF）：
うーん、Black Hat は責任ある「フルディスクージャー」を続けてきているね。責任ある「フルディスクージャー」ってのはベンダへの通知済みの「フルディスクージャー」と思ってくれ。もし、誰かが新しいセキュリティホールについて Black Hat で発表したいと言ってきた場合、僕らはちゃんと発表前にベンダへの通知を行うように促すんだ。
それに Black Hat という公開の場で「フルディスクージャー」について議論することで、「フルディスクージャー」についての僕らの考え方は進化している。
「フルディスクージャー」についての過去の Black Hat での議論はWEBから読めるのでぜひ参照して欲しい。

( http://www.blackhat.com/presentations/bh-usa-99/JeremyR/pres.ppt ,
http://www.blackhat.com/presentations/bh-usa-00/MJR/MJR-blackhat-2000-keynote.ppt ,
http://www.blackhat.com/presentations/bh-asia-03/bh-asia-03-granick.pdf )

SCAN：
すいません。インタビュー前に読んでおくべきだった。

JEFF：
「フルディスクージャー」と非「フルディスクージャー」についておさらいした方がよさそうだね。

SCAN：
読まなくていいんだね。助かります。

JEFF：
過去、セキュリティ専門家たちは多くの企業が自身の製品のセキュリティホールに責任ある対応をしてくれないと感じていた。しかたなく専門家が情報を公開すればするほど、企業の対応はどんどんちゃんと対応するようになっていった。この専門家と企業のちょっとした緊張関係が現在の「フルディスクージャー」が広く受け入れられることになった背景にあるんだ。
さらに、セキュリティホール発見から公開までの時間が短くなるにつれて、どんどん企業スタッフへのパッチ開発の時間を短縮するプレッシャーが高まった。そのおかげで、かつてパッチ開発に2週間かかったものが1週間、そして24時間以内へと短縮されてきたわけだ。

間違えないでほしいのは、あくまで公開することに関係者が同意したものについて、ということだ。つまり、セキュリティホールを見つけた専門家がそれを製品開発元の企業に売りつけようとしたり、意図的に有害なコードを埋め込むような組織的な犯罪などは対象外ということだ。

SCAN：
で、君はどういう公開ポリシーがよいと思っているのかな？

JEFF：
うーん、単純にどっちがいいという話ではないんだ。
僕は「フルディスクージャー」についての議論はまだまだ続くと思っている。まだまだ発展してゆくだろうってことだ。議論の中でセキュリティ専門家と企業の間でだんだんと共通認識が生まれてくると思う。そして法制度も整備されてくるだろう。

注意しなければならないのは、適切な「フルディスクージャー」を行うことが困難だったり、不合理になったりするとセキュリティ専門家や研究者は情報の公開をやめて、クローズドなMLとかコミュニティの中でだけ情報交換を行うようになるだろうってことだ。このような状況になることはセキュリティ全体にもいいことではないし、企業にとってもよくないことだ。

SCAN：
なんとなく、日本はそっちの方向に向っているような気がするなあ。

２．日本のセキュリティ専門家　プロで注目しているのはSecurity Friday

SCAN：
日本のセキュリティ専門家で誰か注目している人はいるかな？

JEFF：
アメリカにいると日本の専門家の情報はなかなか入ってこないね。そもそも日本語がわからないし。
アメリカでは研究者、ハッカー、大学関係者が非公式に協力しあう活発なネットワークができあがっている。彼らは専門的な会合やいわゆるハッカーの集まりで知り合っているね。こういうイベントに参加すると今一番ホットな話題とか、何が起きているかといった情報、アイデアを集めることができるようになっているんだ。

SCAN：
そういったコミュニティが日本にはないってこと？

JEFF：
僕の経験だと日本のセキュリティ関係のコミュニティはより専門的なものを目指しているようだ。日本のハッカーたちはその水準についてゆくのが難しいんじゃないだろうか。
日本でハッカー関連のイベントが少ないことが原因のような気がするね。イベントがないとネット上でばらばらに活動しているハッカーを集めることが難しいと思う。こうしたばらばらに活動しているハッカーについては僕は知らない。当たり前だけど横に結びつく機会がないと協力しあうネットワークを構築するのは難しいと思う。

セキュリティのプロとしては Security Friday には注目している。彼らはセキュリティのプロとしての責務と欧米的なハッカー倫理のバランスをうまくとっていると思う。

SCAN：
Security Friday は以前Black Hat で発表しているから、よく知っているんだよね。
LACの三輪さんとかうちのこととか知られてないんだなあ。当たり前か・・・。

３．次のWindowsOSについて　評価できるマイクロソフトの努力は続いている

SCAN：
次のWindowsOSがそろそろリリースするけど、セキュリティという観点で見た場合、君の印象を教えてほしい。

JEFF：
あのマイクロソフトがWindows XP SP2で見せたセキュリティ強化については驚いた。マイクロソフトのセキュリティ強化の方向は今回のOSでも続いている。例えば、ヒープメモリーの保護策などに始めるものがそうだといえる。

４．Black Hat Japan 2005 について　日本語が最大の障害！

SCAN：
Black Hat Japan 2005を開催するにあたってなにが一番大変だった？

JEFF：
日本語＝言葉が最大の障害だった。僕らと日本のスポンサー、メディア、翻訳サービスなどとの連絡で言葉が障害になった。
講師は翻訳者と相談して同時通訳してもらえるスピードでしゃべらなくちゃいけない。
日本のパートナーや友達の協力で言語の壁を突破することはできそうだ。

SCAN：
公式、非公式に横やりが入るようなことはなかった？

JEFF：
うーん、強いてあげれば・・・
僕らのイベントで講師をする研究者は自分のことをハッカーと呼んでいる。でも日本でのイベントではハッカーという言葉は使わないようにしたんだ。日本ではハッカーという言葉を使うと「犯罪者」と誤解される可能性があったからね。僕らのイベントで発表する講師はみんな熱心でちゃんと法律を守る研究者ばかりだ。不要な誤解を日本の人に与えたくなかったんだ。

SCAN：
なるほど、逆にいうと Ejovi Nuwere 氏の時のような検閲騒動はなかったわけだ。

02月09日
総務省を提訴した長野県の住基ネットテスト実施者　Ejovi Nuwere 氏の意図
https://www.netsecurity.ne.jp/3_1608.html

５．今後の Black Hat の予定　トレーニングを含めた総合イベントを計画

SCAN：
今後の日本での活動の予定をおしえてくれるかな？

JEFF：
今回は2度目の日本での開催だけど、来年もやるつもりでいる。
イベントだけでなくトレーニングも含めた総合的なことを考えているんだ。
今年のイベントの結果をちゃんと分析して日本のマーケットが求めるものを整理した上でのことにはなるけどね。

SCAN：今後特にとりあげたいテーマとかはあるの？

JEFF：
僕らの場合、テーマは発表者が提案してくるものなんだ。
僕らは発表者が出してきたもののなかでもっとも日本で求められていそうなものを選ぶわけさ。
僕らがテーマを考えるというよりは、セキュリティの将来を作っている個人の研究者や企業のCTO、専門家といった分野のリーダーたちが僕らにテーマを出してくれるといった方がいいんだろうね。

【執筆：Scan編集部】

───────────────────────────────────
□ Black Hat Japan 2005 Briefings 開催概要
開催地：東京新宿京王プラザホテル
年月日：2005年10月17日(月)〜18日(火)
受講料：84,000円(税込)
　 U R L ：https://www.netsecurity.ne.jp/14_4253.html