ラスベガスへ行こう ~ FFRI 鵜飼裕司に聞いた Black Hat USA CFP 応募 必勝攻略法 第3回「選考プロセス」 | ScanNetSecurity
2024.06.17(月)

ラスベガスへ行こう ~ FFRI 鵜飼裕司に聞いた Black Hat USA CFP 応募 必勝攻略法 第3回「選考プロセス」

こういったものって割とテクノロジーが占める割合が多いので、割れることもあるんですけれども、大体皆さんがそろう傾向にあるというのは CODE BLUE でも同じだと思います。

研修・セミナー・カンファレンス セミナー・イベント
FFRI 鵜飼 裕司 氏(撮影 2019年)
FFRI 鵜飼 裕司 氏(撮影 2019年) 全 1 枚 拡大写真

 M1グランプリで優勝すれば芸人の人生が変わる。サイバーセキュリティの世界で、同様のインパクトを持つ「才能や能力を証明し成長のきっかけを得る手段」には、セキュリティキャンプや脆弱性報告、バグバウンティ、CTFなど数多あるが、もう一つのアプローチとして、CODE BLUE のような選考がガチなカンファレンスの CFP( Call for Papers :研究論文公募)に応募し、採択され、講演するのもひとつの方法だ。脆弱性の発見などとはまた異なる能力を示すことができる。

 サイバーセキュリティジャンルのガチ系カンファレンスの最高峰のひとつが Black Hat USA である。Black Hat USA の「 Briefings 」で公演すれば、長く価値を失わない「 Black Hat Speaker 」の称号を得ることができ、セキュリティ業界ならグローバルどこに行っても効力を持つ。そうなれば、あなたがやりたい仕事に好条件で取り組める可能性が、随分と上がることは間違いない。

 だが本誌 ScanNetSecurity としては、もっと通俗的な(低俗ではなく通俗です)欲望に着目し、特に Black Hat USA が開催されるラスベガスに、渡航費用等も含めて無料で招待されるというメリットこそを最大の眼目としたい。すなわち「セキュリティの研究をしてタダでラスベガスに行こう」というスローガンが本連載によって誕生した。

 奇しくも今月 2 月 7 日 月曜日 17 時(太平洋標準時 2/7 12:00 AM )から、今年の Black Hat USA 2022 の CFP が始まった。コロナ禍でフィジカルでの参加は容易ではないかもしれないが、2022 も昨年同様ハイブリッド開催とされており、国内からオンラインで登壇することも可能だ。

THE BLACK HAT USA 2022 CALL FOR PAPERS WILL BE OPEN FROM FEBRUARY 7TH
https://www.blackhat.com/call-for-papers.html

 CFP 応募論文の選考を行うのは「レビューボード」と呼ばれ、セキュリティ業界におけるいわば雲上人の集まりだが、日本にはこの男がいた。社長執務室とラボを行き来する経営者兼研究者、日本のセキュリティ業界の逸材こと FFRI 鵜飼 裕司(うかい ゆうじ)である。

 鵜飼氏は Black Hat 史上初、アジア人としてレビューボードメンバーに選ばれ、以降毎年 CFP に寄せられる多数の応募論文の査読と選考を行っている。この鵜飼氏に Black Hat USA の CFP の選考プロセスについて話を聞き、CFP に通るための = タダでラスベガスに行くための傾向と対策を明らかにする。

 CFP 応募の〆切は 4 月 5 日火曜日 15 時 59 分(太平洋標準時 4/4 23:59 PM )。本連載は 4 回または 5 回の予定で、遅くとも 3 月初旬には連載終了する。本稿を読んだ人の中から、Black Hat USA の CFP に応募し、そこからスピーカーが 1 人でも出たら大感激。1 人と言わず、2 人 3 人 4 人 5 人と出てくれたら、編集部一同嬉しくて卒倒するかもしれない。

●審査者による選考の仕組

――選考過程では、まず1,000 件集まって最終的に 100 件ぐらい残るというお話だったんですが、その 1,000 件というの全部でということですか。それともざっくり 3,000 件ぐらい集まったものから、要件を満たさないものを落として 1,000件 になるということですか。

いや、全部です。

――全部で 1,000 件ということですね。

CFP オープンからクローズまででそのくらい集まるということですね。

―― 1,000 件集まったものをレビューボードのメンバーが カテゴリーごとに分担して査読していく。

そうです。これも結構やり方が変わってきんたんですけど、まあ今でもそういうやり方もついてく感じですね。

――一審査員する人は一人でどのくらいの本数を読むんですか。

これですね、人によって違うんですよ。カテゴリーが分かれていて、そのキーワードごとに一人何個以上みたいのがあるんですけども、そのカテゴリーによっても当然分類が違いますし 、ミニマムをやる人もいれば、もちょっとやる人もいますし。全然やらない人もいますし。ちょっと人によって全然違うので。

――じゃあたくさん見る人が何人かいたら、ちょっと俺は忙しいから頼む、みたいなこともあったりするんですか。

レビューボード同士のそういったことはないですね。まあ内容についてどうのこうのというのはありますけれども。量がどうのこうのみたいなのはないです。そこは運営側が調整しています。CODE BLUE なんかは細かくやっていますけれども、Black Hat はそこまで数についてのことはやってないと思います。

――ひとつのカテゴリーの、レビューする人たちが、横で連絡をとるわけではないんですか。

内容についての一応会議みたいのはありますね。

――だと今年はこういう方向でいこうとか。

まあ、この論文が良いとか悪いとかそういう話ですよね。構成みたいなことについては、まあ出るカテゴリーもあるかもしれませんけど、出ないカテゴリーもあって。そこはそのカテゴリーを見る責任者みたいな人たちがいて、そこに依存するのかなというとこはありますけども。

――やり取りっていうのは、ネットで応募論文がどんどん上がってくると、レビュアーからのコメントが書かれていって、という。

コメントはやっぱりありますね。

――そこに、いいとか悪いとか、この点が気になるとか、ここを確認してみたいとか、そういうやりとりをするんですか。

そうですね。これは一般的な論文選考と同じやり方だと思います。

――例えば10人いて8人がこれいいっていうふうに言ってるから、ここでこのカテゴリーはこれを残そうとか。

スコアリングになっているんです。

――スコアがいくつ以上だと通る通らないとか。

大体そういう傾向ですね。100 %そういうわけでもないですけど。

―― スコアというのは 1 から 100 とか、1 から 10 とかそういうものですか。

そうです。 0.0 から 5.0 とかそんな感じなんですけど。

●見るポイント

――レビューする方っていうのはどういうところを見てるんでしょうか。


《高橋 潤哉( Junya Takahashi )》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

    イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

  2. 役に立たないメール訓練 もうやめません? by Googleセキュリティ担当者

    役に立たないメール訓練 もうやめません? by Googleセキュリティ担当者

  3. 「ネクストレベル」に不正アクセス、496,119 件のワーカーの個人情報流出

    「ネクストレベル」に不正アクセス、496,119 件のワーカーの個人情報流出

  4. ニデックインスツルメンツにランサムウェア攻撃、複数のサーバ内ファイルが暗号化被害

    ニデックインスツルメンツにランサムウェア攻撃、複数のサーバ内ファイルが暗号化被害

  5. KADOKAWA グループ複数サイトで障害、サイバー攻撃の可能性

    KADOKAWA グループ複数サイトで障害、サイバー攻撃の可能性

  6. 約 30 名の学生がフィッシング被害に ~ 明治薬科大学教員の M365 アカウントに不正アクセス

    約 30 名の学生がフィッシング被害に ~ 明治薬科大学教員の M365 アカウントに不正アクセス

  7. 日経BP従業員メールアカウントに不正アクセス、33名の個人情報流出の可能性

    日経BP従業員メールアカウントに不正アクセス、33名の個人情報流出の可能性

  8. オイレス工業にランサムウェア攻撃、生産活動に影響なし 出荷通常通り

    オイレス工業にランサムウェア攻撃、生産活動に影響なし 出荷通常通り

  9. IPA、中小企業向けの内部不正防止対策の報告書公開

    IPA、中小企業向けの内部不正防止対策の報告書公開

  10. 九州電力グループのキューヘンにランサムウェア攻撃、社内情報の一部が暗号化被害

    九州電力グループのキューヘンにランサムウェア攻撃、社内情報の一部が暗号化被害

ランキングをもっと見る