IT技術者はもちろん、幅広い分野の人々がセキュリティに関する情報や意見を交換し合う場として、国際カンファレンス「CODE BLUE 2017」が2017年11月7〜10日に開催される。社会的なニーズの高まりを受け、幅広い分野の講演が行われる予定だ。
ランサムウェアや不正アクセスといったサイバー攻撃の増加を背景に、企業はもちろん、政府としても対策に本腰を入れ始めている。が、そのためには最新の情報や知見が欠かせない。
そこでIT技術者はもちろん、幅広い分野の人々がセキュリティに関する情報や意見を交換し合う場として、国際カンファレンス「CODE BLUE 2017」(2017年11月7〜10日、東京)が開催される。トレーニングやワークショップに加え、2日間のカンファレンス(11月9〜10日)では、内外の専門家による講演やコンテストを開く。5回目という節目を迎える今回は、新たな試みとして、「Day0」と題したサイバー犯罪対策に特化した特別トラックを設ける予定だ。
テレビドラマでも有名になった「コード・ブルー」という言葉は医療用語で「関係者の全員招集」を意味する。ネットワーク社会の安全な発展に関心を持つ「あらゆる」人々が集まり、議論してもらう目的がある名付けだ。
とはいえ、2013年のスタート当初は、いわゆる「トップガン」と表現されるとがった人々をはじめ、エンジニアをターゲットにした技術的なトピックが中心だった。しかし、その傾向は変わりつつある。インターネットが広がり、あらゆるものがつながるにつれ、誰もがセキュリティとは無縁ではいられなくなってきたからだ。
「古き善き1990年代、インターネットが普及しボットネットが課題となった2000年代を経て、今では社会の基本的なインフラが全てインターネットの上に載るようになった。生産管理も電力管理も、あるいはコンテンツ産業ならば映画の製作管理もその上にある。ネットワークという小さなムラが社会に変わり、国になり、さらに国家間の話まで出てくる」と、CODE BLUEの実行委員の1人である高橋郁夫氏(駒澤総合法律事務所)は語る。
同じく実行委員の丸山満彦氏(デロイト トーマツ リスクサービス)も「かつてはインターネットがつながっている範囲、TCP/IPが届く範囲は狭かったが、範囲が広がっていくに従って、さまざまなサイバー攻撃の対象となる領域も広がっている」と述べた。
何らかの機器を開発するメーカーにとってこれまで、まず重要なのは機能要件を満たすことだった。それはかつてのIT業界も同じ。「CPUがどれだけ速いかなど、ソフトウェアならばどのような新機能があるかといったところにフォーカスしており、セキュリティのような非機能要件は後回しにされてきた。だがそれらがネットワークにつながることによって、思いもよらないところから攻撃を受ける可能性があることに、皆が気付き始めている」(丸山氏)。いわゆる組み込み機器や自動車のみならず、電力制御や鉄道管制、工場の制御システムやプラントなど、あらゆる分野でセキュリティとの関わりが広がり始めている。
こうした変化を踏まえてはせがわようすけ氏(セキュアスカイ・テクノロジー)は、「もはや、セキュリティという枠組みだけでくくるのは難しいのではないかとも思う。一昔前のセキュリティはIT分野のほんの一部でしかなかったが、徐々に『IT』という言葉と同じくらい幅が広がっている」と述べ、単なる「セキュリティ」から一歩踏み込み、「何のセキュリティか」を問うことが重要になっているとした。
もう1つは、社会的な要請の広がりだ。範囲の広がりと同時に、技術者のみならずさまざまな立場からセキュリティを論ずる必要がある。このような考え方から、今回はCall For Paper(CFP:論文募集)の時点で「情報セキュリティの技術面に加え、社会との関わりも含めて、法的、政策的、経済学的、心理学的その他の観点からの優れたリサーチも歓迎」と呼び掛けていた。
高橋氏は「国との関わり、政策との関わりを抜きにしてセキュリティを語るのは健全ではない。技術だけでなく、法律や心理学、経済学といった観点からの研究成果を発するような場になれば、議論の厚みが増すのではないか」と述べている。
その意味からも、ITに興味を持つ学生や技術者、情報システム担当者だけでなく、実際に機器の製造に当たるメーカーや運用担当者、メンテナンス担当者、あるいは法曹関係者など、さまざまな分野の人々に広く参加し、議論してほしいと委員らは語る。
「もちろん、セッションの内容を全部理解できる人はいないと思う。けれども発表を聴いて『そうだったのか、でもここは違うんじゃないか』という具合に、上下の関係ではなく、聞く方もしゃべる方も同じ土俵で議論できれば、そこから何かが始まるのではないか」(丸山氏)。ゆくゆくはそうした人たちに、スピーカーとなって壇上に立ってほしいと述べた。
CODE BLUEは、国や言語の壁を越えて日本に集った専門家らが、世界に向けて最先端の情報を発信する場でもある。FFRIの鵜飼裕司氏をはじめとするレビューボードが査読を行い、百数十本に上る応募の中からプログラムを決定した。「よくある『いつもと同じ顔ぶれのセミナー』というのではなく、フレッシュな顔ぶれ、話題のトピックを網羅している」(丸山氏)。
例えば今回の基調講演には、iPhoneやプレイステーションのジェイルブレイクで知られるジョージ・ホッツ氏や、NATOの法律顧問を務めるパトリック・オキーフ氏が登場する。米国だけでなく、ヨーロッパやアジアなど、非英語ネイティブのスピーカーも少なくない。
日本人のスピーカーも登壇予定だ。その1人、坂井弘亮氏は「Step-Oriented Programmingによる任意コード実行の可能性」というタイトルで講演を行う。「セキュリティ・キャンプなど国内のその道で知られている方を、海外にも知っていただく機会になると思う。もともとは組み込み系の技術者が、セキュリティのカンファレンスでスポットライトを浴びるというのも面白い」(はせがわ氏)
はせがわ氏はさらに、「実は日本はコミュニティーの力が強く、日常的に情報交換が行われている。発表できるさまざまな場が草の根ベースで存在することもあって、日本人スピーカーの質はとても高い。そこは自信を持っていい」と述べた。そして、かつてBlack Hat Japanで講演したことをきっかけに、海外も含めさまざまなコミュニティーとのつながりが広がった自身の経験を踏まえ、「自分がこれまでコツコツやってきたことを話せば、誰かの役に立つのではないか、誰かが救われるのではないかとちらっとでも思う人は、ぜひ次のスピーカーにチャレンジしてほしい」と呼び掛けた。
若手の講演者を発掘するという意図から20歳以下に限定した「U-20枠」を設けていることも、CODE BLUEの特徴だ。中でも、橋本早紀氏、武田真之氏の発表「事例から考える脆弱性と法」は、文字通り法律分野に若手が切り込むもので、「非常に楽しみ」とはせがわ氏は述べている。
今回は「Day0」として、サイバー犯罪に特化したプログラムも用意した。構想自体は以前からあったが今回、サイバー犯罪の実情を聞きたいというニーズと、スピーカー側の応募がうまくマッチしたこともあり、丸一日かけてロシアや中国のアンダーグラウンド事情、ランサムウェアのビジネスモデルなどを紹介する予定だ。高橋氏はここで、サイバー犯罪捜査において法執行機関はどう対応すべきか、どんな問題を抱えているかという視点から講演を行う。
近年、セキュリティ関連のニュースが取り上げられる機会が増えてきたこともあって、以前に比べるとセキュリティへの関心や意識は高まってきた。だが「グローバルと比べると経営者の意識はまだまだ低く、これが問題の要因になっている。セキュリティ対策が進まなかったり、目に付くところだけに手を付ける偏った対策になったり、全体像を見た上でのセキュリティ対策が進んでいない」と丸山氏は指摘する。
日本では過去、官公庁に対する不正アクセス、あるいはYahoo! BBの情報漏えいなど大型の事件をきっかけにセキュリティ対策の機運が盛り上がり、「Black Hat Japan」などさまざまな海外発のセキュリティカンファレンスが一度は上陸した。だが、その後、撤退してしまった過去を振り返り、高橋氏は、「やはり他国に比べ、マネジメント層の理解や投資の感覚が低かったこと、これが一因ではないか」とした。
こうしたカンファレンスは世界とつながる「窓」の役割も果たす。世界的に課題となっているセキュリティのトピックを知り、解決を担う人々とのつながりを作る場としても重要だ。CODE BLUEにはそんな役割も期待されているという。
それでなくとも、シンプルに考えることができた2000年前後の時期とは異なり、「フロンティアが全てに広がっている。ネット社会からリアルな社会に広がり、国と国をまたぎ、主権までからむ。物理的にも純粋にネットだけだったものが、モノと関わり、産業と関わり、宇宙と関わる」(高橋氏)時代だ。
そんな中でセキュリティは、攻撃者とのいたちごっこの最前線となっている。「それ故に最新の情報にキャッチアップすることが重要だ。貪欲にキャッチアップをしてほしい。同時に、さまざまな可能性をシャットダウンするのではなく、『もしこんなことがされたらどうしよう』と考える柔軟な発想が必要だ。桶狭間の戦いではないが、攻める側は思わぬところから攻めてくる。そんなときにどうするか考えることは重要だ」(丸山氏)
Copyright © ITmedia, Inc. All Rights Reserved.