CODE BLUE を生んだ日本のセキュリティコミュニティの歴史～ CODE BLUE篠田氏、日立システムズ本川氏対談

日本発の国際セキュリティカンファレンス CODE BLUE は、2014年2月に第1回を開催、400名超という、同種の有料カンファレンスとしては、これまでにない成功を収めた。アジアを代表するカンファレンスへの成長が期待される CODE BLUE の可能性について、スポンサーとして運営をバックアップする企業にインタビューを行った。CODE BLUE 事務局の篠田佳奈氏（以下敬称略）と、株式会社日立システムズでサイバーセキュリティを担当する本川祐治主管技師長に話を聞いた。

●先進サービスを支える情報収集

――日立システムズはどうセキュリティと関わる会社ですか。

本川
日立グループは、製造、金融、電力、鉄道、輸送、防衛、ヘルスケア、そしてITなど、さまざまな分野の事業を手がけています。日立システムズは、日立グループにおける情報・通信システム事業の中核企業であり、多彩なITインフラを生かしたシステム運用・監視・保守が強みのＩＴサービス企業です。日立システムズでは、多彩なネットワークサービスやセキュリティソリューション「SHIELD」などを提供しています。

「SHIELD」は1996年に立ち上げたマネージドセキュリティサービス（MSS）です。いろいろな会社がインターネットへの進出を競い、ISP事業をこぞって始めていた頃、我々はマネージドファイアウォールサービスや、マネージドウイルス対策サービスなど、ゲートウェイセキュリティを提供するサービスを立ち上げていました。

――1996年に MSS を提供しても広く理解されなかったでしょうね。

本川
そのとおりです。

――大きく市場に先行するサービスはどんな背景から生まれたのですか。

本川
セキュリティの情報収集に早期から取り組んでいました。まずメーリングリストの「BugTraq」に注目し、その関係者が「SecurityFocus」を立ち上げたと聞き、アメリカのラスベガスで開催された DEF CON に行って接触したんです。

DEF CON は1998年の第6回から参加しています。当時は日本から来たというだけで珍しがられ、話しかけられました。片言の英語で、日本のポップカルチャーの話題をきっかけにして、交流や情報交換を始めて、情報連携の大切さを実感しました。当時は情報の速度も遅かったので、年に1回 DEF CON で彼らと会うだけで情報のアップデートができました。1年間、日本の人が誰も知らないことを知っていたわけです。

篠田
DEF CON 6 の頃はまだ、ハッカージャパンに寄稿なさっていた笠原さんや、日立製作所の寺田さんくらいしかいらっしゃらなかった時代ですね。

本川
そうです。当時私が、セキュリティのマネージドサービスを提供していて考えたことは、ユーザの意識を変えないと理解していただけないということでした。セキュリティの情報は世界にたくさんあるのに、日本の人はそれを全然知らないし、日本にセキュリティの情報を共有するコミュニティもなかったですからね。

日本に、そんなコミュニティを作りたいと思って、Black Hat の創立者のジェフ・モスに「DEF CON を日本に持っていきたい」という話をしたら、一度はダメと言われたんです。そのうちに DEF CON の関連カンファレンスである Black Hat が始まりました。日本からの参加者も増え始めて、再度ジェフに打診しみると、「DEF CON ではなく Black Hat なら日本に持って行ってもいいよ」と言われ、「Black Hat Japan 2004」の開催につながったんです。

日本で国際カンファレンスを開催するメリットは、海外渡航にハードルが高い日本人が気軽に参加できることと、もうひとつは、日本語で聞けることだと思います。海外カンファレンスでは、すごくいいことを言っていても、みんな誤訳しながら聞いていて、本当のことがわかっていないことが多い。英語がわかる人だけが真相を理解しているというのは、日本のセキュリティ業界の特徴かもしれません。

Black Hat Japanは、300人程度の参加者で何度か開催しましたが、充分な理解を得られず、2008年で一度休止します。篠田さんがこうした歴史を継承してアジアを代表するカンファレンスに育てることを目的に CODE BLUE を立ち上げてくれたことにとても感謝しています。

―― CODE BLUE にどんなことを期待していますか。

本川
日本で情報セキュリティに関する情報発信をするスタイルは、フォーマルな形がいいと思っています。そして願わくば CODE BLUE は、日本と、日本を中核とするアジア周辺の人達が来てくれたらいいなと思っています。そして、CODE BLUE で力を付けた人達が、たとえば Black Hat USA などで発表して欲しい。

以前インターネット協会で「Black Hat Japan その後」というイベントを継続的に実施していたときに、ひとつの取り組みとして、「Black Hat でアピールする論文の書き方」というワークショップをやったことがあります。Black Hat でレビューボードとして論文審査をしている鵜飼さんによれば、日本からの応募は、内容ではなく書き方が問題なのだそうです。

篠田
あのワークショップはすごく評判が高かったです。参加者も世界ですでに活躍していらっしゃる人が来ていて、鵜飼さんにレビューを求めるという場でしたね。CFP（Call for Papers：カンファレンスの論文募集の呼びかけ）のワークショップも再開した方がいいかもしれないですね。

本川
わたしは CODE BLUE の役割は、世界に羽ばたくためのアジアの登竜門になることだと思う。論文を書くということは、わき出る思いを世界に伝えようとすることですから。

篠田
わき出る思いと言えば、セキュリティをやる上で学生に向けて「好きだから」やって欲しいという話をよく聞きます。「お金になるから」では、絶対に続かない。試行錯誤をしながら、ずっと格闘し続けなければならないと。「わき出る思い」と共通だなと思いました。

本川
CODE BLUE に参加した人の中から、やがて世界で話題になるような研究成果が生まれる日が来ることを楽しみに待っています。