Slack をプラットフォームとして今年 2023 年に立ち上げられたセキュリティのコミュニティが 1,000 名の参加者を超える成長を見せている。コミュニティの名称は、「Cyber-sec+(サイバーセキュリティ プラス)」で、通称で「Security Slack」と呼ぶという。
運営元は、一般社団法人サイバーセキュリティ連盟と、一般社団法人日本ビジネステクノロジー協会。本稿の記事執筆に着手した12 月 13 日現在で 1,145 名の登録者を数え、本稿改稿時の 12 月 19 日では1,163名。
Security Slack には「スキル向上」「セキュリティ運用」「エンドポイント」「パブリッククラウド」などなど 16 のチャンネルが設けられ、トピックの共有や、質問とそれに対する回答などの意見交換が行われている。参加者の多くが、ユーザー企業で情シスやセキュリティを担当し、企業規模は中小がメインと推定される。
2023 年 6 月の開設以来、半年足らずで 1,000 人の参加者数を超えた理由を分析すると、大きく三つあると思う。
ひとつは参加のハードルが極端に低いことだ。既に Slack を使っているなら、1 分もあれば参加完了する。そう、驚くべきことに参加にあたって審査が何もないのだ。これは冗談ではなく事実である。
以前記者が、あるセキュリティ企業がセキュリティの情報交換のオンラインコミュニテイを立ち上げた際に、プレスリリースでそれを見つけて、取材のために登録してみたところ、何日も経ってから「いろいろ機微な情報交換も行われる可能性がある場のためメディアの方の参加は認められません」という、シャッターがガラガラピシャンと閉じるような連絡が届いたことがあった。
何かこう書くとそのコミュニティが狭小のように見えてしまうかもしれないが全くそんなことはない。これ以外の正解はないだろう。むしろ Cyber-sec+ の方が、これまでのセキュリティコミュニティに存在した「掟破り」を行っていると言える。Cyber-sec+ は、無審査どころか「匿名参加 OK」とすら公式にうたっており、これによってセキュリティコミュニティとしては逆説的な開放性を獲得した。
ふたつ目の特徴は、他人のやりとりをただ眺めるだけ、すなわち「ROM 歓迎」をこれも公式がうたっていることだ。他の参加者同士のやりとりを読むだけであれば、なんらかの不用意な発言をして、徳丸さん的なセキュリティの重鎮的人物に叱られてしまうような恐れがない。
誤解のないように書いておくが徳丸さんはいい人で、過去もそして現在も ScanNetSecurity の記事に対していろいろご指摘をいただいている。以前「DIT」を「DTI」と、「IPS」を「ISP」とそれぞれ記事の中で誤記したときに、すぐにご自身の旧 Twitter 現 X でご指摘いただいたことを今日の朝起こった出来事のように思い出す。こっ恥ずかしい事態ではあったものの、徳丸さんの言動には、良心的な生活指導の先生のような温かさと、隠れたユーモアがいつも感じられ、都度感謝の気持ちを忘れたことはない。
話がそれたが Cyber-sec+ は、「深い議論の必要のない話題」を、扱うテーマにそもそも限定している。
長らく、デジタル技術を活用してビジネスを行っている企業とは、日本の全法人の中のひと握りのひと握りに限られていた。もちろん、社員に PC を支給し、文書作成や集計に Word や Excel を利用したり、決算には弥生や SAP を使っていたかもしれないが、それはどちらも業務効率化の範囲であって、現在のようにデジタル技術そのものによる新サービス開発や付加価値創造に、本格的に日本全体が取り組み始めたのは、せいぜいここ数年の話である。
Cyber-sec+ は、こうした DX(デジタルトランスフォーメーション)以降の新しい世代のセキュリティへの興味と関心を掴んだと思う。
最後の三つめのポイントは、運営元である一般社団法人サイバーセキュリティ連盟の中立性である。前身となるセキュリティ連盟は 2022 年 2 月 に任意団体として、株式会社サイバーセキュリティクラウド入社 2 年目の西澤将人らによって立ち上げられた。
それが後に法人格を取ったのは、自治体や中央官庁などと連携する際に必要であることと、もうひとつは「連盟なんて言ったって、どうせサイバーセキュリティクラウド社のマーケティング活動の一環なんだろ。見え見えなんだよ。そもそもなにが『攻撃遮断くん』だよ。仮にもセキュリティ製品にどんな名前つけてんだおまえ」という色眼鏡で見られていることを西澤が肌身でひしひしと感じたから、というのも理由にある。
サイバーセキュリティ連盟はオンラインでの講演や情報共有を積極的に行っており、これもほとんどすべて YouTube に公開している。いくつか動画を閲覧したが、セキュリティ企業の登壇者が自己紹介のところとまとめの部分で自社製品について言及すること等はあるものの、「モノ売り」の性質はほとんどなかった。
付記しておくと講演では女性登壇者が多い。公開されている 6 本の動画のうち 3 本が該当する。サイバーセキュリティコミュニティが男子校状態にあることは海外のセキュリティ業界でさえ大きな問題になっており、「ジェンダーバランス」がここ数年の Black Hat USA の論文のテーマとさえなっているほどだ。だからこれは、少なからず意味と意義があることだと思う。さらに付け加えると登壇者が全般に若い(ただし「始動記者会見」は除く)。
さて、賢明な ScanNetSecurity の読者にあっては、Cyber-sec+ に一度登録しようものなら、株式会社サイバーセキュリティクラウドから「WAF を買え」「WAF を買え」「WAF を買え」と、1 日に 10 万通宣伝メールが届くと信じて疑わないであろうし、他ならぬ記者がそう思っていた。しかし事実は全くそういうことはなかった。というか一通のメールも届いていません。
「参加ハードルが低い」「初心者歓迎 ROM 上等」そして「押し売り無し」。考えてみると、こういうセキュリティ情報共有の場はこれまで意外に少なかったと思う。この記事を一読して何か響くところがあったなら、登録を検討してはいかがだろうか。年末年始休暇中に、自分自身の業務に関連のある過去ログを探したりすることもできるだろう。
