ラスベガスへ行こう ~ FFRI 鵜飼裕司に聞いた Black Hat USA Call for Papers 応募必勝攻略法 第5回「落とされるだけでなく出禁になる行為」 | ScanNetSecurity
2024.05.17(金)

ラスベガスへ行こう ~ FFRI 鵜飼裕司に聞いた Black Hat USA Call for Papers 応募必勝攻略法 第5回「落とされるだけでなく出禁になる行為」

CFP 応募論文の選考を行うのは「レビューボード」と呼ばれ、セキュリティ業界におけるいわば雲上人の集まりだが、日本にはこの男がいた。国産セキュリティ R&D 企業として 4 回転(Fourteenforty)を決めた企業 FFRI を創設した鵜飼 裕司(うかい ゆうじ)である。

特集 特集
facebookLINE
FFRI 鵜飼 裕司 氏(撮影 2019年)
FFRI 鵜飼 裕司 氏(撮影 2019年) 全 1 枚 拡大写真

 M1グランプリで優勝すれば芸人の人生が変わる。サイバーセキュリティの世界で、同様のインパクトを持つ「才能や能力を証明し成長のきっかけを得る手段」には、セキュリティキャンプや脆弱性報告、バグバウンティ、CTFなど数多あるが、もう一つのアプローチとして、CODE BLUE のような選考がガチなカンファレンスの CFP( Call for Papers :研究論文公募)に応募し、採択され、講演するのもひとつの方法だ。脆弱性の発見などとはまた異なる能力を示すことができる。

 サイバーセキュリティジャンルのガチ系カンファレンスの最高峰のひとつが Black Hat USA である。Black Hat USA の「 Briefings 」で公演すれば、長く価値を失わない「 Black Hat Speaker 」の称号を得ることができ、セキュリティ業界ならグローバルどこに行っても効力を持つ。そうなれば、あなたがやりたい仕事に好条件で取り組める可能性が、随分と上がることは間違いない。

 だが本誌 ScanNetSecurity としては、もっと通俗的な(低俗ではなく通俗です)欲望に着目し、特に Black Hat USA が開催されるラスベガスに、渡航費用等も含めて無料で招待されるというメリットこそを最大の眼目としたい。すなわち「セキュリティの研究をしてタダでラスベガスに行こう」というスローガンが本連載によって誕生した。

 奇しくも今月 2 月 7 日 月曜日 17 時(太平洋標準時 2/7 12:00 AM )から、今年の Black Hat USA 2022 の CFP が始まった。コロナ禍でフィジカルでの参加は容易ではないかもしれないが、2022 も昨年同様ハイブリッド開催とされており、国内からオンラインで登壇することも可能だ。

THE BLACK HAT USA 2022 CALL FOR PAPERS WILL BE OPEN FROM FEBRUARY 7TH
https://www.blackhat.com/call-for-papers.html

 CFP 応募論文の選考を行うのは「レビューボード」と呼ばれ、セキュリティ業界におけるいわば雲上人の集まりだが、日本にはこの男がいた。国産セキュリティ R&D 企業として 4 回転(Fourteenforty)を決めた企業 FFRI を創設した鵜飼 裕司(うかい ゆうじ)である。

 鵜飼氏は Black Hat 史上初、アジア人としてレビューボードメンバーに選ばれ、以降毎年 CFP に寄せられる多数の応募論文の査読と選考を行っている。この鵜飼氏に Black Hat USA の CFP の選考プロセスについて話を聞き、CFP に通るための = タダでラスベガスに行くための傾向と対策を明らかにする。

 CFP 応募の〆切は 4 月 5 日火曜日 15 時 59 分(太平洋標準時 4/4 23:59 PM )。本連載は 4 回または 5 回の予定で、遅くとも 3 月初旬には連載終了する。本稿を読んだ人の中から、Black Hat USA の CFP に応募し、そこからスピーカーが 1 人でも出たら大感激。1 人と言わず、2 人 3 人 4 人 5 人と出てくれたら、編集部一同嬉しくて卒倒するかもしれない。


●セールスピッチを出すと出禁に

──研究がイケてるイケてないとは別次元で絶対NGというような内容だったりというのはありますか。

あーなるほど。それは製品に絡むものとか、事業に絡むものを出した瞬間に、たぶん落とされるんですよ。無条件で落とされると思います。「 Sales Pitch 」って書かれてそこで終わって、たぶん出禁になる可能性があって。たとえばうち(編集部註:FFRI社)とかもマルウェアに関する発表とかは、相当気をつけないと。それだけで落とされる可能性があって。

というのは、Sales Pitch が通ったみたいなのが過去何回かあって、それが一番大きな問題になって。それがいかに素晴らしかろうがとにかく無条件に落とすみたいな風潮はありますね。ベンダーニュートラルっていうのは、これはもう昔からですけれども、一番重要視をしているところで。とにかくテーマ選びのところで、セキュリティ会社が一番気をつけなくちゃいけないのは、自社の事業とかぶってないかどうかというところですね。ちょっとでもかぶっていると、相当気をつけないと。

たとえばアンチウイルスベンダーが、マルウェアに関する研究を応募してきているだけで、まずフラグが立つというのがあって。たとえば、そういう検出技術をいろいろこうやったとか、新しいテクニックを使って今まで検知できなかったやつを検知できるようになるとか。そういうことが書かれている時点で、まずは Sales Pitch じゃないかと、普通にみんな疑うっていうのがある。

だから「オープンソースでまず全部を公開します」とかよほど中立性があることをアピールしないと、普通は落ちると思います。

――「うちの製品ではこんなことができます」なんて言おうものなら、その場で落ちて、以降出禁ということですか。

そうです。

●セールスピッチの末路

――セキュリティ会社だとハードルがあるんですね。

あるんですよ。そこは Sales Pitch じゃないことを、きちっとアピールをしないと。まあ普通そういうバイアスが、まずかかるんで。私もまずセキュリティ会社からそういうのがあると、必ず Sales Pitch かどうかっていうのを疑ってかかる。Sales Pitch をBlack Hatに通しちゃったってなると。レビューボード自身も。

《高橋 潤哉( Junya Takahashi )》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入

    ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入

  2. 範を示す ~ MITRE がサイバー攻撃被害公表

    範を示す ~ MITRE がサイバー攻撃被害公表

  3. 東急のネットワークに不正アクセス、連結子会社のファイルサーバでデータ読み出される

    東急のネットワークに不正アクセス、連結子会社のファイルサーバでデータ読み出される

  4. 個人情報漏えいの疑いも ~ 八尾市立斎場職員が加重収賄罪ほかの容疑で逮捕

    個人情報漏えいの疑いも ~ 八尾市立斎場職員が加重収賄罪ほかの容疑で逮捕

  5. 認証とID管理にガバナンスを ~ NTTデータ先端技術「VANADIS」で実現する「IGA(Identity Governance and Administration)」とは

    認証とID管理にガバナンスを ~ NTTデータ先端技術「VANADIS」で実現する「IGA(Identity Governance and Administration)」とはPR

  6. 脆弱性管理クラウド「yamory」SBOM 機能に関する特許取得

    脆弱性管理クラウド「yamory」SBOM 機能に関する特許取得

  7. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  8. 「マルカワみそ公式サイト」に不正アクセス、カード情報に加えログイン用パスワードも漏えい

    「マルカワみそ公式サイト」に不正アクセス、カード情報に加えログイン用パスワードも漏えい

  9. 検診車で実施した胸部レントゲン検診が対象、川口市の集団検診業務委託先へランサムウェア攻撃

    検診車で実施した胸部レントゲン検診が対象、川口市の集団検診業務委託先へランサムウェア攻撃

  10. 脆弱な DMARC セキュリティ・ポリシーを悪用、北朝鮮スピアフィッシング詐欺

    脆弱な DMARC セキュリティ・ポリシーを悪用、北朝鮮スピアフィッシング詐欺

ランキングをもっと見る
ホーム 特集 特集 記事
TOP