ScanDispatch「米国防省、セキュリティ研究予算獲得を大幅簡素化」 | ScanNetSecurity
2024.05.03(金)

ScanDispatch「米国防省、セキュリティ研究予算獲得を大幅簡素化」

国防高等研究計画局がなんと、ハッカー専用エンジェル投資家になった。

国際 海外情報
facebookLINE
国防高等研究計画局がなんと、ハッカー専用エンジェル投資家になった。

L0pht Heavy Industriesが活躍していた1990年代を知るOld Schoolな人なら、あのMudgeが今DARPAに在籍していると耳にしたら、思わず微笑むに違いない。

と言うのも、Mudgeはハッカー・グループの元祖で大御所L0phtのリーダーだったからだ。その頃活躍していたL0phtやcDc(Cult of the Dead Cow)などは当時、軍事用新技術の研究所であるDARPA(Defense Advanced Research Projects Agency:国防高等研究計画局)にハッキングし、密かに入手したと言うエイリアンやUFOについてのついての書類を「流出」させるようなパフォーマンスを行っていたからだ(仔細は筆者著の「Hack!!」を参考に)。

もちろん、「流出」した書類は偽物ではあったが、それにしても当時のL0phtのメンバーにっとって憧れのDARPAに在籍、それも上級職員として活躍しているとは、Mudgeも自ら「面白い」と言うのもわかろうというものだ。

さて、そのMudgeことPeiter Zatko氏が、BlackHatコンファレンスでキーノートスピーチを行った。

スピーチの内容は2つある。どちらもMudgeがプログラム・マネージャーのもので、ひとつは「Analytic Framework for Cyber Security」、DRPAの新しいサイバー・セキュリティの研究方法について。そしてもうひとつが、Cyber Security Fast Trackについてであった。

Cyber Security Fast Track(CFT)は簡単に言えば、「小さなセキュリティ企業でも国防省の予算をもらえるようにする」というMudgeのペット・プロジェクトだ。「本当に最新の研究というのは、こうしたコンファレンスのスピーカーや、研究者の本職以外の趣味として生まれることが多い。そうした優秀な研究者が昼間は本職、夜に研究といった生活をしないで済むためにDRPAにから予算を簡単にもらえるようにするのが」このプロジェクトの目的だそうだ。

CFTプロジェクトが存在する以前は、DARPAから零細企業に予算が降りなかった、ということではない。ただ、予算を獲得するためには「訳のわからない政府用語を理解しなければならず」「予算獲得のプロポーザルを書くだけでも5人から10人の専門家のチームが必要」であるほど複雑で、「自分でやるとしたら簡単にひと月以上かかる。それだけでなく、一度予算が降りたら大企業と同じだけの会計士やら税理士が必要」なため、実際問題としてはほぼ不可能に近かった。

CFTは、こうした実務上のハードルを取り払ったものだ。まず、プロジェクトは「Fast&Cheap」なもの。研究機関は1年未満で、1年間に10から100のプロジェクトに予算が降りる予定である。プロポーザルも今までと違って、一人で簡単にできるようなシンプルなテンプレートが用意されており、一度プロポーザルを提出したら約2週間(!)で返答がもらえるようになっている。

予算が降りるのは、あらやるタイプのサイバーセキュリティ研究で、特に「攻撃表面を縮小するもの、現行の非対称を修正するもの、戦術的(Tactical)ではなく戦略的(Strategic)なものが中心」となり、「テクノロジー的にはハードウェア、ソフトウェア、そのコンビネーション」で、「創造性と機敏さ」があるものが良いそうだ。

CFTのその他の特徴としては、それが「オープンである」というものがる。CFTの予算をもらって研究した成果は「政府用の使用にはGovernment Purpose Rights(GPR)が適用されるが、研究者がその他の権利を保持する」ため、研究者が自ら研究成果を売り出すことも可能だ。また予算が降りるのは大学や小企業なども含んでおり、米国以外の団体もその国の法律に制限されない限りOKだそうだ。

政府国家による米国企業や政府機関へのサイバー攻撃が盛んな昨今。サイバーセキュリティのイノベーションが生まれてくる弱小企業や個人企業に予算を出し、その研究成果を利用できることは米国政府としても嬉しい限りだし、簡単に予算をもらって研究できることは個人セキュリティ研究者にとっても嬉しい限り。Win-Winの関係を築けるプロジェクトではないだろうか。

「DRPAのお偉いさんになっちゃったから、広報が同席していないとインタビューができないんだ」とMudgeは言っていたが、お偉いさんになっても昔のハッカー魂を失うことなく活躍しているMudgeに声援を送りたい。

(米国 笠原利香)

Cyber Security Fast Track
http://cft.usma.edu/default.html
DARPA-RA-11-52: Cyber Fast Track (CFT)
https://www.fbo.gov/?s=opportunity&mode=form&id=406db188e0e1935a806c143a5603eb48&tab=core&_cview=0

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  2. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  3. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  4. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  5. 「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

    「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

  6. 2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査

    2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査

  7. SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感

    SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感

  8. 「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

    「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

  9. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  10. クラウド型データ管理システム「ハイクワークス」のユーザー情報に第三者がアクセス可能な状態に

    クラウド型データ管理システム「ハイクワークス」のユーザー情報に第三者がアクセス可能な状態に

ランキングをもっと見る
ホーム 国際 海外情報 記事
TOP