ラスベガスへ行こう ~ FFRI 鵜飼裕司に聞いた Black Hat USA Call for Papers 応募必勝攻略法 第5回「落とされるだけでなく出禁になる行為」 | ScanNetSecurity
2024.05.01(水)

ラスベガスへ行こう ~ FFRI 鵜飼裕司に聞いた Black Hat USA Call for Papers 応募必勝攻略法 第5回「落とされるだけでなく出禁になる行為」

CFP 応募論文の選考を行うのは「レビューボード」と呼ばれ、セキュリティ業界におけるいわば雲上人の集まりだが、日本にはこの男がいた。国産セキュリティ R&D 企業として 4 回転(Fourteenforty)を決めた企業 FFRI を創設した鵜飼 裕司(うかい ゆうじ)である。

特集 特集
facebookLINE
FFRI 鵜飼 裕司 氏(撮影 2019年)
FFRI 鵜飼 裕司 氏(撮影 2019年) 全 1 枚 拡大写真

 M1グランプリで優勝すれば芸人の人生が変わる。サイバーセキュリティの世界で、同様のインパクトを持つ「才能や能力を証明し成長のきっかけを得る手段」には、セキュリティキャンプや脆弱性報告、バグバウンティ、CTFなど数多あるが、もう一つのアプローチとして、CODE BLUE のような選考がガチなカンファレンスの CFP( Call for Papers :研究論文公募)に応募し、採択され、講演するのもひとつの方法だ。脆弱性の発見などとはまた異なる能力を示すことができる。

 サイバーセキュリティジャンルのガチ系カンファレンスの最高峰のひとつが Black Hat USA である。Black Hat USA の「 Briefings 」で公演すれば、長く価値を失わない「 Black Hat Speaker 」の称号を得ることができ、セキュリティ業界ならグローバルどこに行っても効力を持つ。そうなれば、あなたがやりたい仕事に好条件で取り組める可能性が、随分と上がることは間違いない。

 だが本誌 ScanNetSecurity としては、もっと通俗的な(低俗ではなく通俗です)欲望に着目し、特に Black Hat USA が開催されるラスベガスに、渡航費用等も含めて無料で招待されるというメリットこそを最大の眼目としたい。すなわち「セキュリティの研究をしてタダでラスベガスに行こう」というスローガンが本連載によって誕生した。

 奇しくも今月 2 月 7 日 月曜日 17 時(太平洋標準時 2/7 12:00 AM )から、今年の Black Hat USA 2022 の CFP が始まった。コロナ禍でフィジカルでの参加は容易ではないかもしれないが、2022 も昨年同様ハイブリッド開催とされており、国内からオンラインで登壇することも可能だ。

THE BLACK HAT USA 2022 CALL FOR PAPERS WILL BE OPEN FROM FEBRUARY 7TH
https://www.blackhat.com/call-for-papers.html

 CFP 応募論文の選考を行うのは「レビューボード」と呼ばれ、セキュリティ業界におけるいわば雲上人の集まりだが、日本にはこの男がいた。国産セキュリティ R&D 企業として 4 回転(Fourteenforty)を決めた企業 FFRI を創設した鵜飼 裕司(うかい ゆうじ)である。

 鵜飼氏は Black Hat 史上初、アジア人としてレビューボードメンバーに選ばれ、以降毎年 CFP に寄せられる多数の応募論文の査読と選考を行っている。この鵜飼氏に Black Hat USA の CFP の選考プロセスについて話を聞き、CFP に通るための = タダでラスベガスに行くための傾向と対策を明らかにする。

 CFP 応募の〆切は 4 月 5 日火曜日 15 時 59 分(太平洋標準時 4/4 23:59 PM )。本連載は 4 回または 5 回の予定で、遅くとも 3 月初旬には連載終了する。本稿を読んだ人の中から、Black Hat USA の CFP に応募し、そこからスピーカーが 1 人でも出たら大感激。1 人と言わず、2 人 3 人 4 人 5 人と出てくれたら、編集部一同嬉しくて卒倒するかもしれない。


●セールスピッチを出すと出禁に

──研究がイケてるイケてないとは別次元で絶対NGというような内容だったりというのはありますか。

あーなるほど。それは製品に絡むものとか、事業に絡むものを出した瞬間に、たぶん落とされるんですよ。無条件で落とされると思います。「 Sales Pitch 」って書かれてそこで終わって、たぶん出禁になる可能性があって。たとえばうち(編集部註:FFRI社)とかもマルウェアに関する発表とかは、相当気をつけないと。それだけで落とされる可能性があって。

というのは、Sales Pitch が通ったみたいなのが過去何回かあって、それが一番大きな問題になって。それがいかに素晴らしかろうがとにかく無条件に落とすみたいな風潮はありますね。ベンダーニュートラルっていうのは、これはもう昔からですけれども、一番重要視をしているところで。とにかくテーマ選びのところで、セキュリティ会社が一番気をつけなくちゃいけないのは、自社の事業とかぶってないかどうかというところですね。ちょっとでもかぶっていると、相当気をつけないと。

たとえばアンチウイルスベンダーが、マルウェアに関する研究を応募してきているだけで、まずフラグが立つというのがあって。たとえば、そういう検出技術をいろいろこうやったとか、新しいテクニックを使って今まで検知できなかったやつを検知できるようになるとか。そういうことが書かれている時点で、まずは Sales Pitch じゃないかと、普通にみんな疑うっていうのがある。

だから「オープンソースでまず全部を公開します」とかよほど中立性があることをアピールしないと、普通は落ちると思います。

――「うちの製品ではこんなことができます」なんて言おうものなら、その場で落ちて、以降出禁ということですか。

そうです。

●セールスピッチの末路

――セキュリティ会社だとハードルがあるんですね。

あるんですよ。そこは Sales Pitch じゃないことを、きちっとアピールをしないと。まあ普通そういうバイアスが、まずかかるんで。私もまずセキュリティ会社からそういうのがあると、必ず Sales Pitch かどうかっていうのを疑ってかかる。Sales Pitch をBlack Hatに通しちゃったってなると。レビューボード自身も。

《高橋 潤哉( Junya Takahashi )》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  2. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  3. 2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査

    2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査

  4. クラウド型データ管理システム「ハイクワークス」のユーザー情報に第三者がアクセス可能な状態に

    クラウド型データ管理システム「ハイクワークス」のユーザー情報に第三者がアクセス可能な状態に

  5. 雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  6. GROWI に複数の脆弱性

    GROWI に複数の脆弱性

  7. セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  8. SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感

    SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感

  9. 「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

    「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

  10. KELA、生成 AI セキュリティソリューション「AiFort」提供開始

    KELA、生成 AI セキュリティソリューション「AiFort」提供開始

ランキングをもっと見る
ホーム 特集 特集 記事
TOP