ラスベガスへ行こう ~ FFRI 鵜飼裕司に聞いた Black Hat USA CFP 応募 必勝攻略法 第2回「個人が余暇時間で挑んで勝ち目はあるのか」 | ScanNetSecurity
2024.04.16(火)

ラスベガスへ行こう ~ FFRI 鵜飼裕司に聞いた Black Hat USA CFP 応募 必勝攻略法 第2回「個人が余暇時間で挑んで勝ち目はあるのか」

通すということを追求するとまあ確かに通りやすいんですけれども、それが果たしていい流れなのかとかというと別の話になってくると思います。

研修・セミナー・カンファレンス セミナー・イベント
FFRI 鵜飼 裕司 氏(撮影 2019年)
FFRI 鵜飼 裕司 氏(撮影 2019年) 全 2 枚 拡大写真

 M1グランプリで優勝すれば芸人の人生が変わる。サイバーセキュリティの世界で、同様のインパクトを持つ「才能や能力を証明し成長のきっかけを得る手段」には、セキュリティキャンプや脆弱性報告、バグバウンティ、CTFなど数多あるが、もう一つのアプローチとして、CODE BLUE のような選考がガチなカンファレンスの CFP( Call for Papers :研究論文公募)に応募し、採択され、講演するのもひとつの方法だ。脆弱性の発見などとはまた異なる能力を示すことができる。

 サイバーセキュリティジャンルのガチ系カンファレンスの最高峰のひとつが Black Hat USA である。Black Hat USA の「 Briefings 」で公演すれば、長く価値を失わない「 Black Hat Speaker 」の称号を得ることができ、セキュリティ業界ならグローバルどこに行っても効力を持つ。そうなれば、あなたがやりたい仕事に好条件で取り組める可能性が、随分と上がることは間違いない。

 だが本誌 ScanNetSecurity としては、もっと通俗的な(低俗ではなく通俗です)欲望に着目し、特に Black Hat USA が開催されるラスベガスに、渡航費用等も含めて無料で招待されるというメリットこそを最大の眼目としたい。すなわち「セキュリティの研究をしてタダでラスベガスに行こう」というスローガンが本連載によって誕生した。

 奇しくも先週 2 月 7 日 月曜日 17 時(太平洋標準時 2/7 12:00 AM )から、今年の Black Hat USA 2022 の CFP が始まった。コロナ禍でフィジカルでの参加は容易ではないかもしれないが、2022 も昨年同様ハイブリッド開催とされており、国内からオンラインで登壇することも可能だ。

THE BLACK HAT USA 2022 CALL FOR PAPERS WILL BE OPEN FROM FEBRUARY 7TH
https://www.blackhat.com/call-for-papers.html

 CFP 応募論文の選考を行うのは「レビューボード」と呼ばれ、セキュリティ業界におけるいわば雲上人の集まりだが、日本にはこの男がいた。「ビジネスマインド」と「ハッカーマインド」を併せ持つ、稀有のセキュリティ技術者、日本のセキュリティ業界の逸材こと FFRI 鵜飼 裕司(うかい ゆうじ)である。

 鵜飼氏は Black Hat 史上初、アジア人としてレビューボードメンバーに選ばれ、以降毎年 CFP に寄せられる多数の応募論文の査読と選考を行っている。この鵜飼氏に Black Hat USA の CFP の選考プロセスについて話を聞き、CFP に通るための = タダでラスベガスに行くための傾向と対策を明らかにする。

 CFP 応募の〆切は 4 月 5 日火曜日 15 時 59 分(太平洋標準時 4/4 23:59 PM )。本連載は 4 回または 5 回の予定で、遅くとも 3 月初旬には連載終了する。本稿を読んだ人の中から、Black Hat USA の CFP に応募し、そこからスピーカーが 1 人でも出たら大感激。1 人と言わず、2 人 3 人 4 人 5 人と出てくれたら、編集部一同嬉しくて卒倒するかもしれない。


●キャッチー&揺り戻し

【FFRI鵜飼】まずポイントというか Black Hat の最近の状況をちょっとお話しをするとですね。10 年前ぐらいと比べるとだいぶ変わってるんですね。私が Black Hat に出て講演してた頃と本当にガラリと変わってしまっていて、まず全体的な通過する難易度というのがもの凄く上がってますと。

 採択されるのは 1 割ぐらいで、競争率もそうなんですけれど、端的に言うと、ものすごく内容がよくって素晴らしいものが通るとも限らないというそんな状況です。

 というのも Black Hat のような カンファレンス っていうのは、いわゆるアカデミックカンファレンスとは大きく違うところがあってですね、アカデミックなカンファレンスとは通すためのポイントが全然違うんですね。アカデミックな研究をしていくためのやり方とかアウトプットの出し方というのはある意味 Black Hat で採択されるための条件と通じるところもあるんですけども。

 端的に言うと「受けが悪いもの」というか「キャッチーじゃないもの」は非常に通りにくい。キャッチーなものとはどういうものかというと「新規性」があって、要は「メディアへのインパクトが大きい」みたいな、アカデミックなカンファレンスでいうところの「 IMPACT FACTOR 」みたいな、そういう感じですかね。それが非常に求められる。新規性と含めてですね。

 キャッチーと書くと語弊があるのかもしれませんけれども、いずれにしても新規性がものすごく際立ってないと通りにくいというのがありますね。「どこでも見たことがない」「誰も聞いたことがない」みたいなもので、かつ「社会的インパクトが大き」そうなもの、こういうものが比較的通りやすい傾向にある。

 逆に言えば、そこが満たせていれば、たとえば「技術的難易度」というか、結果を出すための技術的ハードルがものすごく高くて、それをうまく超えてきたみたいな論文よりも、新規性があってインパクトがある方が圧倒的に重要視されることが多いので、そういった意味ではテーマ選びが非常にポイントになってくるかなと思います。

 かつですね。数年前ぐらいだとそういったものでも割と通ったんですけれども、逆にそういうところを追い求めすぎて、なんとなくインパクトはあるように見えるんだけれど「ハリボテ感」みたいなのがあって、実際大したことない研究がわりと表に出た時期があって。そういうことがあってクオリティに問題が出るんじゃないかみたいな議論があってですね、そういったものに対して結構厳しいジャッジをされるようになってきてると。

 ということがあるので、キャッチーなものであれば通るというわけでもない。というのが最近の傾向です。

 いっときの、ものすごくキャッチーだというところよりは揺り戻しが来た感じではありますけれど、同時に技術というところもかなり細かく見られるようになってきてるというのが、現状なので、余計通りにくくなってきてるというのが現状かなと(笑)。


《高橋 潤哉( Junya Takahashi )》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

    東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

  2. マリンネットサイトに SQL インジェクション攻撃、メールアドレス流出

    マリンネットサイトに SQL インジェクション攻撃、メールアドレス流出

  3. 「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート

    「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート

  4. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  5. プルーフポイント、マルウェア配布する YouTube チャンネル特定

    プルーフポイント、マルウェア配布する YouTube チャンネル特定

  6. 警察庁、サイバー事案通報の統一窓口を設置

    警察庁、サイバー事案通報の統一窓口を設置

  7. 委託事業者が回収処理した国民健康保険証、拾得物として警察署に届く

    委託事業者が回収処理した国民健康保険証、拾得物として警察署に届く

  8. チラシ記載の QR コードを誤って管理者用 URL から作成、申込者の個人情報が閲覧可能に

    チラシ記載の QR コードを誤って管理者用 URL から作成、申込者の個人情報が閲覧可能に

  9. マイクロソフトが 4 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 1 件

    マイクロソフトが 4 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 1 件

  10. 「落ちていたので」と手紙が届く ~ 中学校の教育相談アンケート票を紛失

    「落ちていたので」と手紙が届く ~ 中学校の教育相談アンケート票を紛失

ランキングをもっと見る