2極化するセキュリティ専門家　こどもと素人以外は捕まらない!?(1)

【体制に組み込まれる人、はじかれる人】

●つまらなくなったセキュリティ関連カンファレンス

最近、セキュリティ関連のカンファレンスに行く方から「つまらくなった」という話を聞いた。

どのセキュリティカンファレンスも、どこでも聞けるようなちょっとした技術や動向の話と製品／サービス紹介で構成されるようになってきており、まるで日本のカンファレンスのようだといっていた。我が国のカンファレンスは伝統的に「売らんかな」の構成なので、購買意欲のない人間には退屈至極なものだったが、全般的にそのように変わってきたらしい。

●2極化した専門家　エスタブリッシュはヤバイことには手を出さない

表立ってセキュリティの話をする専門家が若い層から出てこない。30歳代後半以上のスピーカーが多いのだ。この年代のスピーカーは、すでにやんちゃなことをやる歳ではない。分別をわきまえないといけない年代になっている。海外でこの年代だと、所属する組織が買収されて黄色くなっていたりすることも少なくない。あるいは自力でIPOしていたりすることもある。いずれにしてもエスタブリッシュされたグループに入ってゆく人間は少なくない。

その一方で昔に比べると法規制などはかなり進み、監視も厳しくなってきている。エスタブリッシュになった以上、下手なことをしてせっかく手に入れたものを失いたくないのは人情である。買収してくれた企業のてまえもある。

Scan Security Wireなどを発行しているNS総研だって、いつの間にか独自のセキュリティホールの発見は行わなくなった。独自のセキュリティホールの発見には、検証などの過程でつねにさまざまな法規制上の制約に抵触するリスクをともなっているためだろう。直接、ベンダの技術者と連絡をとりあって、技術情報を交換、検証していた「古き良き時代」は終わったのである。

特に日本の国内法は規定があいまいで運用上の自由度が高いため、ベンダや官公庁、警察といったエスタブリッシュににらまれると、プロダクトのセキュリティホールの検証も違法行為にされてしまう。君子危うきに近寄らずとはよくいったものである。

●2極化した専門家　UGは再びUGにもぐる

そうはいっても世の中には、それなりの技能を持ちながらもエスタブリッシュにならない人、なれない人もいる。

そういう人々はこの世界から離れるか、離れないならUGにもぐるしかなくなる。規制が甘いうちは、まだ表の世界で自分の知識や行為を公表して悦にいることもできたが、最近はそうもいかなくなってきている。

幸か不幸か、インターネットが普及し、ネットビジネスが広がったおかげで、彼らの持つ技能はUGでお金に結びつくことができるようになった。

UGの中で技能を生かしたビジネスをしてゆくキャリアパス（？）ができたのである。昔ならネット上で誇らしげにやんちゃな行為を誇っていた若者はこちらのキャリアパスに流れていったのではないだろうか？

エスタブリッシュに行かない人間がUGにもぐる流れは確実にできていると思う。

【執筆：疋田文五郎】

セキュリティ関連の検証、取材などを行うフリーライター。
BUGTRAQやFull Disclosure などへの脆弱性報告なども行っている。