アジア圏が21世紀のインターネット対策の主戦場に～FIRST理事小宮山功一朗氏就任インタビュー

JPCERT/CCエンタープライズサポートグループのマネージャーであり、国際部シニアアナリストである小宮山功一朗氏が、セキュリティインシデント対応のための国際調整協力機関「FIRST」の理事に就任した。FIRSTの活動内容と理事としての目標について小宮山氏に話を聞いた。

――FIRSTの理事は選挙制ですが、立候補の際にどんな公約を掲げましたか。

わたしが方針としてメンバーに訴えたのは「FIRSTというグローバルなコミュニティを、本当にグローバルにする」ということです。

具体的には、わたしが今まで JPCERT/CC の活動で培ったアジア、アフリカ、南太平洋、イスラム諸国といった、おそらく欧米の方達にはあまりなじみがなかったり、連携の必要性を感じていなかったところへパイプをつないでいこうということで、もっと全世界的に、たくさんの国と地域に、FIRSTに加盟してもらうことを働きかけたいと申し上げました。

もうひとつは「フェローシップ・プログラム」の充実です。途上国のCSIRT向けに3年間年間2,000USドルの会費を免除してFIRSTに加入してもらい、先進国のチームから色々学んで、それぞれの地域に持ち帰って自国のインターネットを良くしてくださいという、先行投資を目的としたプログラムです。昨年、バングラデシュと南太平洋の国にプログラムが適用されました。

わたしは、フェローシップ・プログラムの適用国の検討を担当していますので、今後公約通りに、途上国の利益を考えて行動していきます。

――そもそもFIRSTという組織の成り立ちと役割を教えて下さい。

FIRSTは「Forum of Incident Response and Security Teams」の略で、セキュリティインシデント対応のための国際的なフォーラムです。1990年にCERT/CCなどが中心になり、セキュリティインシデント対応の国際的な枠組みが必要であるとして設立されました。当時も米国国内ではセキュリティ対策をする者同士での情報交換の枠組みは、インフォーマルながら存在していました。ただ、国をまたいだものはなかったのです。

1992年にフランスのチームが加入し、ボランティア組織としてインシデント対応に関する会議を正式に開始しました。その後、メンバーシップの形などを整えていき、会費を集めるようになりました。現在は「FIRST.Org, Inc.」として米国にNPOとして登記されています。

現在、世界67カ国から307チームが参加しており、チームの数は米国、ドイツ、日本、英国という順番になります。米国企業ではインテル、マイクロソフト、Google、FacebookといったIT企業はほぼすべて加盟しています。日本からの参加は25チームで、日立やIIJ、ソフトバンクなどが参加しています。参加チームのリストはFIRSTのWebサイトで確認することができます。

具体的に何をやっているのかといいますと、まず1年に1回、会員が集まる総会（AGM：Annual General Meeting）があり、それと併催されるサイバーセキュリティに関するカンファレンスがあります。カンファレンスは登録すれば非会員の方でも参加できます。2014年7月のボストンで700名の参加者がありました。CSIRTの集まりとしては世界最大級でしょう。次回は2015年6月にベルリンで総会とカンファレンスが共催されます。

また、カンファレンスとは別に、CSIRT向けのトレーニングや無料、有料のセミナーを年に4～5回、世界の色々な場所で開催しています。たとえば10月にはグルジアでシンポジウムが開催されますし、また新しい取り組みとして、この8月にヘルスケア産業向けの情報セキュリティセミナーを開催したり、秋にはエネルギー産業と情報セキュリティの切り口でセミナーを開催するなど、産業向けのイベントが開催されるようになってきています。

FIRSTの意思決定機関として、10名の理事で構成される理事会（Board）があります。理事は選挙で選ばれ、当選すると任期は2年、毎年半分の5名ずつ改選していきます。理事の仕事は、年に4回顔を合わせた理事会と、毎月の電話会議を行い、予算の決定などFIRST 運営に関わる全事項を決めることです。現在の理事の構成は、マレーシア人ひとり、イギリス人ひとり、日本人ひとり、ノルウェー人ひとり、ベルギー人ひとり、あとの4名がアメリカ人です。生まれた国と国籍と所属する組織の所在地が一致しない人が多いので、「何人」と表すのは難しいですが。

――FIRSTを真にグローバルにする、という公約をどう実現しますか。

まずはアジアでのFIRSTの知名度向上のため、アジア圏でカンファレンスを開催すること。そのために今、水面下でがんばっています。また、去年からFIRSTはアフリカでも年に二回トレーニングを開催するようになりました。アフリカの技術者やメーカーの皆さんに、「CSIRTとはこういうもの」「こうすれば作れる」というトレーニングをFIRSTが費用を出して開催しています。それを強化したいと考えています。

たとえば11月にはアフリカのモーリシャスで1週間のトレーニングを行います。わたしは4年前くらいからアフリカに年二回は渡っていて、自分でいうのも何ですが、アフリカのインターネットコミュニティでは一番有名な日本人かも知れません。アフリカの国以外でアフリカのサイバーセキュリティ関係者とこんなにやり取りしている人間はいないと思います。色々な人をアフリカに連れていったり、アフリカの人をアメリカやイギリス、日本の関係者に紹介するといったことをしています。そうした交流をもっと強化していきたいと思います。

最近、アフリカのサイバーセキュリティ事情について、海外のプロから質問を受けることが増えています。それは、ひとつはわたしが日本人であることも理由だと思います。日本はキリスト教国でもイスラム教国でもないし、英語圏でもフランス語圏でもない。中立とまではいいませんが、国家や宗教、民族の色が付かないんですね。

また、JICAがアフリカの色々なところで支援していることもあって、日本の印象がいいんです。そういう部分をうまく活用させていただいています。あと、アジアに関してはやはり、日本はアジアへインターネットを持ってくるときにリーダー的な役割を果たしました。その資産がまだ生きているんですね。

――苦労も多かったのではないかと思いますが。

片道24時間以上かけてたどり着いたホテルで予約がされていなくて、1週間に3つのホテルを転々としたこともありました。泊る場所がなくて同僚、もちろん男ですが、とベッドが1つしかない部屋に泊ったこともありました。同じホテルに泊る仕事仲間がマラリアによる高熱でバタバタと倒れていったときは怖かったです。

おなかは強い方ですが、やはり海外では体調を崩しがちです。また、仕事の後の一杯を楽しみにしているので、飲酒が違法な国での1週間は厳しかったですね。また、仕事柄コンピューターを使うのが前提ですが、電力事情が悪く1時間に1回停電する国もありました。おかげで今では停電には動じなくなりました。

でも、世界中に友人と仕事仲間がいて、困ったときは助けてくれるんです。

――あえてそういう地域に取り組んでいる理由は何でしょう。

私の上司で、昨年までFIRST理事だった山口英氏が「これからはアフリカだ」とよく言っていました。インターネットの世界は欧米が主導しており、新しいものはアメリカやヨーロッパで生まれています。しかし、これから世界の人口は、ヨーロッパや北米で減少し、アフリカや、特にアジアで増えていくと予測されています。インターネット人口が、アジアだけで欧州や米国の2倍になる日もそう遠くありません。

これからインターネットユーザが増える地域で、きちんとサイバーセキュリティ対策をしていくことは、インターネットの安全への効果が大きいと思います。アジア圏は21世紀後半の主戦場になります。そこでは日本が先頭を走りたいと考えています。

――ありがとうございました。