インフラ整備で日本のセキュリティ事情は米国同様に--Black Hat代表インタビュー

　コンピュータセキュリティに関する業務に従事する高スキルのエンジニアのためのイベント「Black Hat Japan Briefings 2004」が10月14日と15日に開催される。Black Hat Briefingsは1997年に米国で始められたイベントだ。NSA（米国国家安全保障局）などのエージェントも人材採用のために参加することからも分かるとおり、高レベルなセッションが催されることで知られている。セキュリティ専門家や企業や行政のセキュリティ担当者を対象に、コンピュータセキュリティに関する最新技術動向について、第一級の専門家がプレゼンテーションやワークショップを行うイベントだ。

Black Hat代表ジェフ・モス氏

　日本では、日本インターネット協会（IAJapan）の後援のもとで米Black Hatがこのイベントを主催する。Black Hatは、今後は日本国内で活動を本格化させたいとしている。イベントに先立ち来日したBlack Hat代表ジェフ・モス氏に、日本でのBlack Hat Briefings開催の抱負などを聞いた。

--Black Hatの成り立ちを教えてください。

　Black Hatは1997年に、セキュリティに関する知識や対策に関する情報を求める様々な企業のニーズを出発点として始まりました。ちょうどその頃、米国でインターネットブームが始まり、コンピュータセキュリティに関連した需要が増え始めたところだったのです。

　私は当時、DEFCON（ハッキングに関連したテクノロジーカンファレンス。セキュリティ専門家からScript Kiddyと呼ばれる初心者ハッカー、ハッカーに憧れるティーンまで含め、参加者も多い）に関することをやっていましたが、企業や団体から、専門的なコンピュータセキュリティのイベントができないかと問い合わせを受けていました。

　そこで私は、そうしたニーズにこたえるべく、広くハッカーを対象としたイベントであるDEFCONとは異なる、ベンダーに対して中立的で、かつ高度なセキュリティ関連の技術を扱うイベントとしてBlack Hat Briefingsを始めました。

　毎年7月にラスベガスでイベントを開催するようになって以来、Black Hat Briefingsは事業としてもイベントとしても順調に推移しています。その後イベントで開催されるトラック数も増え、イベント自体がかなり大きくなり、今では1日に5トラックの講演を実施するに至りました。

　参加者の幅も広がりました。政府や軍関係の参加者が1/3、大企業からの参加者が1/3、独立系セキュリティプロフェッショナルなどの参加者が1/3くらいの構成になっています。

　また、ブリーフィングの前に、参加者を対象とした技術的なトレーニングの時間を設けました。その後トレーニングに対する参加者の関心が非常に高まってきたので、このトレーニングを4日間に拡大して行うようになりました。Black Hat Briefingsは、現在では各種セッションのために2日間を確保したうえで、全体で1週間のイベントとして構成されています。

　その後はBlack Hat Briefingsを国際的に展開し、アムステルダムとシンガポールでも開催していますが、日本で開催するのは今回が初めてです。Black Hat Japan Briefingsについては、当初は小さめのイベントとして開催し、数年かけて徐々に大きなイベントへと成長させていこうと考えています。

--現在、Black Hatはどのような組織になっているのでしょうか。

　私達は、ブリーフィングを実施するチーム以外に、エンジニアに対してセキュリティ関連の技術を教育するトレーニングと、セキュリティ全般に関するコンサルティングを実施するBlack Hat Consultingという部門も持っています。これらの部門は、マイケル・ベトナルティックが担当しています。また、数か月以内にBlack Hatのセキュリティ関連書やツールなどを販売するオンラインストアを立ち上げる予定です。これらの事業部門の中心にBlack Hat Inc.があり、私が全体の代表としての役割を務めています。これがBlack Hatの組織に関するおおよその説明になります。

　アジア方面の運営全般に関しては、今回来日に際して同行しているリム・キン・スーンが担当しています。彼はアジアでのブリーフィングとトレーニングの運営を担当しています。

　現在ではBlack Hat Briefingsに参加するほとんどの人達が、ブリーフィングの前にセキュリティ関連の技術トレーニングがあることを知っています。実は、イベントに併設して行うほかにも、顧客のもとを訪問し、現地顧客のニーズに沿った形でカスタマイズしたトレーニングを設定し、現地で実施することも考えています。実施する内容によって、1〜2日間のものから2週間ぐらいのものまで、様々なメニューを提供していきたいと思っています。

　一方、コンサルティング事業は現在拡大しつつあるところで、さらに技術的な部分に関する相談を受けていきたいと思っています。私達が実施したいと思っているのは、既存の企業や団体のネットワーク監査を行って、そこに内在する問題を取り上げるようなコンサルティングではなく、例えば、セキュリティに関するツールのリバースエンジニアリングを実施し、細かい作業内容にまで踏み込んだ分析を行うサービスです。一例として、あるセキュリティ関連企業の新製品のソースコードチェックを始めています。

　この他に、銀行やクレジットカード会社に対しては、ぺネトレーションテストも実施することがあります。ペネトレーションテストは現在ではある程度一般的になりつつありますね。

--Black Hat Briefingsは、コンピュータセキュリティのカンファレンスのなかでもかなりハイレベルなものとして認知されています。そういった認知はどのように醸成されてきたのでしょうか。

　それは様々な施策が複合的にもたらした結果だと思うのですが、カンファレンスの運営において最も重要なことだったと思うのは、ベンダーに中立的なポジションで始めたことです。Black Hat Briefingsにおいて重要なのは、講演に応募してくる人達をみな等しく扱ったということです。また、様々な企業と個人的な付き合いも続けるなかで、セキュリティトレンドに関する非常に詳細な情報が入ってくるようになったことも、カンファレンスのレベルを上げる大きな要因となっています。

　補足しますと、私達のイベントでは講演者に対して交通費や宿泊費、報酬等を支払う運営をしていますが、他のイベントであればスポンサーがこうした費用を提供する形になっており、スポンサーから見ると結果としてこうしたイベントは自社のマーケティングツールになると考えられています。私達はそうしたやり方は選びません。

　Black Hat Briefingsの参加者がセッションで聞くことは、具体的に学べる内容です。ですから、例えばベンダーのセールストークを聞くようには感じないと思います。様々なベンダーの製品に関する情報であれば、各ベンダーが主催する様々なイベントで聞くことが出来ます。Black Hat Briefingsはそうしたイベントとは異なるポジショニングをしています。

--日本のセキュリティ市場に関してどのような見方をされていらっしゃるのでしょうか。

　私自身90年代後半から来日していますが、現時点では日本のセキュリティ市場は順調に成長し、成熟しつつあると思います。例えば、ファイアウォールをインストールするだけのシンプルなセキュリティソリューションが様々な企業から販売されるようになったことをその証左として挙げることができるでしょう。

　その一方で、人々はさらに難しい問題に直面するようになってきているとも感じています。例えば、携帯電話や無線LANなどモバイル機器に関わる問題や、セキュリティ対策への信頼性に関する疑問など、様々な問題が噴出していると思います。つまり、日本はある意味ではアメリカなどで直面している問題と同じ問題に直面し始めたところまできていると言えるでしょう。日本の通信インフラが高度化したために、アメリカと同様の様々なセキュリティ問題に直面するようになったとも言えます。

　他の国を見てみると、かつてアメリカで遭遇した古い問題にいまだに直面しているだけのところもあります。セキュリティに関する先進的なトレンドを扱うBlack Hatは、既知の問題を扱うだけではなく、現在から近未来にわたり広く発生する可能性のある問題に、いち早く直面し始めた国に対して意味があると思います。

　古く、またよく知られているセキュリティの課題についての論文や資料は、すでにいろいろとありますが、将来起きる可能性のある問題に関する、あるいは今起きている問題に関する情報はあまり多くありませんから、Black Hatとしてはこうした事柄が重要だと思っています。こういった情報は、例えば企業のセキュリティ管理者やセキュリティ担当者にとって重大な意味があります。それは彼らがセキュリティ上の先進的な問題に直面しつつあるからですね。

--日本市場における Black Hatのポジショニングを聞かせて下さい。今後Black Hatの知見をどのように活用して、日本のセキュリティ市場に参入していくのでしょうか。

　日本市場に参入するには、日本市場の方々が価値あり、と実感できるものを提供していかければなりません。そのためには、セキュリティ対策にどのように向き合えば良いのかといったことや、さらにはセキュリティの実務に携わる方々には技術的な情報を提供していくなど、セキュリティに関する広く誠実な議論が必要だと考えています。そこで私はBlack Hat Japanを、アメリカや他の国からのスピーカーが日本にやってきて、日本のセキュリティ関連の方々と様々な話をし合う場として設けたいと思います。そうすれば、海外と日本の方々がともに利益を得られると思います。

　とにかく最高のイベントを、そこに来た人達がまた来たくなるようなイベントを作り、進めていくことだと思います。

--今後どのように他の企業や団体と提携・協力関係を作っていくのでしょうか。

　現在、他の団体と付き合いを深められるようにいろいろと尽力しています。例えばアムステルダムにおけるBlack Hatのケースでは、オランダのセキュリティ専門家団体、およびフランスのセキュリティ専門家の団体と協力関係を築きました。もちろん日本でも、セキュリティ関係の協会や団体と同様の提携・協力関係を作りたいと思っています。

--Black Hatの今後について教えてください。

　特に日本については、来年もまた Black Hat Briefingsを開催したいと思っています。長い目で見たBlack Hatの事業的なゴールというのは、結局このイベントを毎年続けていくことなのです。

　Black Hat全体として考えているのは、セキュリティコミュニティに対して様々な場や情報、サービスを提供していきたい、ということです。今までに実施したBlack Hat Briefingsの様々な記録、例えば講演の録音や画像などをオンラインで無料で提供できるように、ストリーミングなどを利用していきたいと考えています。合わせてセキュリティ関連のメーリングリストも現在立ち上げています。先に述べたとおり、ツールの開発の話もありますね。こうしたサービスについては無料のものもありますし、有料で販売するものもあります。

　また、グローバルな戦略としては、2005年には他にもう1か国、新しい場所でBlackHat Briefingsを開催しようと考えています。