鵜飼裕司の Black Hat Europe 2014 レポート (3) 過渡期から未来へ

世界で最も権威ある情報セキュリティの国際会議 Black Hat の唯一にして初のアジア人レビューボードメンバーとして、世界中から集まる論文審査を行う株式会社FFRI の鵜飼裕司氏に10月中旬にオランダアムステルダムで開催された Black Hat Europe 2014 の発表から見えるこれからのセキュリティ動向と、同氏注目の研究発表について聞いた。

--

全体的に、 Black Hat Europe は、Black Hat USA のような派手な発表はありません。そうはいっても、Black Hat USA は派手な発表が通りやすいというのがひとつ傾向としてあって、実用面よりも派手な発表というのが優先されがちです。これは、本当に必要とされる発表が一方で落ちているという現状でもありまので、そういった意味で、派手さは無いけれども、実用性のある硬派な内容が Black Hat Europe の方ではラインナップされたと思います。

これは Black Hat も同様ですが、セキュリティカンファレンスではグローバル全体で、派手な研究発表が採択される傾向があると思っていて、メディア受けするというのは確かにカンファレンスとしては重要なのかもしれませんが、これは変えていく必要があると思っています。

――ITやセキュリティの専門誌だけでなく、一般紙誌に掲載されることでイベントの知名度も上がりますね。

カンファレンスの認知度が上がって、それによってセキュリティの意識が高まるというのはありますが、枠も限られているので、有用な研究発表はしっかりと届けられる必要があると思っていて、そこのバランスを慎重に考えていく必要があるだろうなと思っています。これはレビューボードとしての私の考えです。

――これだけインターネットが社会基盤として普及すると、影響力の大きい脆弱性を Black Hat で発表して世界をあっと言わせたような、ハッカーや技術者像も今後変わっていくのかもしれないですね。

そうですね。過渡期だと正直思っています。

いろんな脅威分析をした結果を、どう扱うべきなのかというのは、そろそろ真剣に考えないといけない時期だろうと思います。「ある程度表に出す」というのがいままでの流れでした。「完全に」「悪用できるまで」「完膚なきまで表に出す」ではなくて、何となく「こういう問題があるよ」という感じです。

一方で、表に出さないという状況をずっと作っていくと、それはそれで問題が起こるでしょう。攻撃側も相当いろんな研究をやりますので、表に出ていない分、彼らが先に気づいてしまうことも大いにあると思いますから。

このバランスというか、さじ加減を、どうコントロールしていくのかというのはとても大きなテーマだと思います。これは真剣に考えないといけないと思っています。コンサバにふりすぎても、かといって何でも表に出すというのも問題だと思います。

社会的コンセンサスの作り方を含めて、どうしていくかは、当然国によって文化も違うでしょう、一方で、インターネットの攻撃者側はグローバルですので、グローバルなコンセンサスも必要だと思います。

非常に難しい問題だと思いますが、国内及びグローバルというところに目を向けて、どういう共通コンセンサスを作っていくかというところはそろそろきちんと考えないといけません。

こうした議論に登場するのは、いわゆる「ホワイトハッカー」という人たちではあるのですが、彼らも、グレー寄りの人から、真っ白な人まで様々で、この問題に対する考え方の違いは、けっこう大きくぶれています。そこをどうとらえるかを考えるのは非常に難しいと思います。

脆弱性や脅威分析の結果をどう扱うかという問題は、今後 IoT に関するデバイスが爆発的に普及したり、ネットが社会インフラ化している現状を捉えると、そろそろ共通のコンセンサスをしっかり作っていかないと、どこかで大きな摩擦が生まれたり、大きな事故が起きる可能性があるのではないかと思います。

結局、ゴールは何か、と考えたとき、やはり安全な社会をしっかり作っていくことだと思います。そこに行くために、どういう選択がいいのかということです。

――ありがとうございました。