日の当たる場所で、セキュリティの話をしよう：「寝ている人がいないカンファレンス」、第2回CODE BLUE開催へ

2014年12月18日、19日の2日間に渡って、日本発の国際セキュリティカンファレンス「CODE BLUE」が開催される。事務局の篠田佳奈氏に、開催に向けた思いを聞いた。

[高橋睦美，＠IT]

　　2014年12月18〜19日の2日間にわたって、日本発の国際セキュリティカンファレンス「CODE BLUE」が開催される。2014年2月に続き2回目の開催で、国内外の専門家が最先端の研究成果を紹介する予定だ。

　第1回には、有料のセキュリティカンファレンスとしては異例ともいえる、400名を超える参加者が集まった。特筆すべきは、「来場者アンケートの結果を見ると満足度が大変高く、『寝ている人がいないカンファレンスだ』と評価していただいた」（CODE BLUE事務局の篠田佳奈氏）ことだ。今回もその期待に応える内容を提供したいという。

　プログラム予定を眺めると、自動車や組み込み機器、さらにはドローンなど、IoT（Internet of Things）に関連する単語が目立つが、「レビューボードで内容を審査した結果、自ずとこうした講演が残った。40件以上集まった投稿の中から、『日本に紹介すべき内容』『日本から紹介すべき内容』、特に新規性や創意工夫の見られる内容が選ばれた」（篠田氏）

この10年あまりで変わったセキュリティカンファレンスを取り巻く環境

CODE BLUE事務局の篠田佳奈氏

　長年セキュリティ業界に関わってきた篠田氏だが、特にこの1〜2年、セキュリティの社会的な重要性、必要性が認識されつつあることを感じるという。「政府がセキュリティ人材育成の必要性を指摘し、具体的な手段として国際会議の招聘（しょうへい）を盛り込んでいる。また、さまざまな企業がセキュリティインシデント対応のためにCSIRT（Computer Security Incident Response Team）の整備に取り組む流れもある」（同氏）。

　一方で、攻撃側に比べ、守る側が不利な状況にあることに変わりはない。そうした中で重要なのは「まず1人1人のスキルを高め、セキュリティ人材を増やすこと。そして言語や業界、産官学の壁を超えて、専門家の連帯を作り上げていくこと」（篠田氏）。CODE BLUEを、そうしたつながりを作る場にしたいという。

　過去10年あまりの間、国内でも「Black Hat Japan」をはじめ、セキュリティをテーマとしたカンファレンスがいくつか開催されてきたが、その多くが「海外発」だった。

　これに対しCODE BLUEは日本発。セキュリティはもちろん、IT関連の情報となると、米国など海外の方が先進的……というイメージが強いが、篠田氏は「海外のさまざまなCTF（Capture the Flag）大会に足を運んでいるが、そこで見る限り、日本のセキュリティ技術者のレベルは決して引けを取るものではなく、十分通用する。中には、CTFの問題作成者が日本のチームに『いったいどうやってこれを解いたんだい？』と尋ねるシーンも目にした」と振り返る。

　そしてCODE BLUEを通じて、「SECCON」をはじめとするCTFとはまた異なる形でトップクラスのセキュリティ人材を発掘し、世界に飛び立つチャンスを提供していきたいとした。ちなみに、前回の講演者の中には、早速ヘッドハンティングを受けた人もあったそうだ。

脆弱性を指摘する人がいなくなった世界はどんなものに？

　CODE BLUEとは別だが、篠田氏自身は2014年10月18〜19日に開催されたイベント「TEDxKids@Chiyoda 2014」にスピーカーの一人として参加し、会場の子供たちに向け、脆弱（ぜいじゃく）性を見つけ、議論することの意味を訴えたそうだ。

　「脆弱性を指摘する人は決して悪い人ではなく、『ここに問題があるよ、直そうよ』と指摘しているだけ。そうした声を無視したからといって、問題がなくなるわけではない。脆弱性を指摘する人がいなくなった世界を想像してみてほしい、といった内容でスピーチをした」（篠田氏）。

　そもそも、見つけられない問題には対処もできない。利用者が安全に、安心してさまざまなサービスを楽しめる環境を整えるという最終目的を達成するためには、バグバウンティプログラム（脆弱性報奨金制度）をはじめ、脆弱性を適切に報告する方法を活用して指摘に向き合い、対処に取り組むプロセスを回していくことが必要だと言う（関連記事）。

　一方で、脆弱性情報が「カネ」になり、それをやり取りするマーケットやブローカーが活性化しているのも事実だ。こうした状況の中では「黙ってもらうことは簡単だが、報告せず黙られてしまう方が脅威。脆弱性を見つけた人たちを萎縮させるのではなく、日の当たる場所でオープンに話し合い、『よくぞ見つけてくれた』と評価できるような価値観を広めていきたい」（篠田氏）。

　一般の人から見れば、セキュリティやハッカーといった単語には、「よく分からない」「何となく怖い」といったイメージがつきまといがちなのだそうだ。だが女性向けのCTFワークショップ「CTF for Girls」に多数の参加者があったことからも分かるように、潜在的に興味を持つ人は多いし、実際に技術に触れ、知識を共有することで、そうしたイメージは払拭できると篠田氏は言う。CODE BLUEでも、セキュリティが社会に役立つものだということをあらためて訴えていきたいという。