ハッキングコンテスト開催でセキュリティ技術の向上を図る？

　米国政府はコンピュータ犯罪について強気な発言を続けているが、ここラスベガスでは、連邦政府機関関係者を含むハッカーたちが、コンピュータへの不正アクセスを行うことにより、ネットワークの防御方法について学んでいる。

　この訓練は、「Root Fu」という名で知られる旗取り合戦のようなゲームの一部だ。ハッカーの祭典「DEFCON」で毎年恒例のこのコンテストでは、8チームが互いにネットワークの防御／ハッキング技術を競い合う。各チームは他の7チームのサーバーへの侵入を試みる一方で、自分たちのサーバやアプリケーションの防御も同時に行わなければならない。

　「この種の対戦型テストを実施することにより、セキュリティ面で可能なことと不可能なことが分かる」と語るのは、Linuxセキュリティを販売するImmunixの主任研究員で、ImmunixチームのリーダーでもあるCrispin Cowanだ。「我々はこのコンテストによって、一般的な基準よりも精度の高いセキュリティ評価が可能と考えており、その意味でこのコンテストを高く評価している」（Cowan）

　しかしこれらの発言と、依然としてハッカーを脅威と見る米政府の最高幹部たちの強気な発言との間には、食い違いが生じている。デジタルミレニアム著作権法（DMCA）やサイバーセキュリティ強化法（CSEA）といった法律では、主にハッカーに対する罰則に重点が置かれている。しかし事情に詳しいセキュリティの専門家たちは、セキュリティ技術を向上させるためにはRoot Fuのようなコンテストの中でそのようなスキルを実際に訓練することも必要、と考えている。

　各チームは、BSDという名で知られる、カリフォルニア大学バークレー校が独自に開発／配布しているUNIX OS上で、5つのWebサービスを運営した。各Webサービスは、音楽ストリーミング・アプリケーションの「IceCast」、Slashcodeに基づくウェブ・ニュース・ポータル、2種類の広告、マルチユーザーのテキストベースのロールプレイングゲーム「FurryMuck」で構成されていた。各チームは、アプリケーションを利用可能な状態に置くことにより、ポイントを加算していく。サービスがアップされている時間が長ければ長いほど、そのサービスを管理しているチームはより多くの得点を獲得でき、逆に管理しているサービスが危険にさらされると得点を失う仕組みだ。

　米Defense Information Systems Agency（DISA）のセキュリティ専門のエンジニア、Alan Harperは、Root Fuのような競技会を開催することにより、参加していない他の人々も、全てのハッキングが有害なわけではないことを理解しやすくなると考えている。

　「倫理的ハッキングについての理解が深まりつつある」とHarperは指摘する。「技術的には変わらないが、その意図は全く異なる。これは職場の同僚に隠さなければならないことではない」（Harper）。