インターネットを守るための技術、法律、そして世界――標準化団体JPAAWGに聞いた：セキュリティ・アディッショナルタイム（36）（2/2 ページ）

日本におけるセキュリティ技術の標準化団体「JPAAWG」が2019年5月に正式に発足。その活動の狙いと今のインターネットの課題を、会長を務める櫻庭秀次氏と事務局の末政延浩氏に尋ねた。

[高橋睦美，＠IT]

「ブロッキング」のような乱暴な議論を生み出さないために知るべきこと

櫻庭氏　2019年11月に予定されている2nd General Meetingでは、まずビジネスメール詐欺（BEC）や送信ドメイン認証技術をはじめとするメールの問題を取り上げます。これはわれわれのメインエリアであるので、引き続き、しつこいくらい伝えていきたいと思っています。

　また、DNSもホットトピックです。最近、DNS over TLS/HTTPSといった技術が登場してきました。クエリの内容が秘匿されており、いろいろなブロッキングを回避できるいい面もあるのですが、クラウド事業者やメジャーなプレイヤーに全部クエリが集まっていくことになります。それがいいことなのか、悪いことなのか。「技術的にできるからやる」「エンドユーザーが便利になるからやる」という考え方もあるでしょうが、仕組みの提示も含め、今後どうあるべきかを議論できたらと思っています。

末政氏　最近のトレンドでは、5Gネットワークに関して、セキュリティの観点からは何が問題になるかをGSMAの方に講演してもらったり、国内で話題になっているネットワークサービスのアカウントの不正利用なども取り上げたりしています。

櫻庭氏　それとDDoS対策ですね。これもM3AAWGからグループのチェアマンが来て、取り組みと現状について講演する予定です。もう一つはドメイン名の管理です。M3AAWGでも注意喚起していますが、ドメイン名のハイジャックや似たようなドメイン名を取得して悪用する事件が後を絶ちません。世の中にはドメイン名を簡単に取得できる事業者もあるため、なかなか防げないところです。このように、アプリケーション層でもインフラに近いところ、具体的にはメールやDNSを中心に、盛りだくさんの話題を取り上げます。JANOG（JApan Network Operators' Group：日本ネットワーク・オペレーターズ・グループ）など他のコミュニティーや組織でも議論していると思いますので、そういったところと連携し、コラボレーションできればと思っています。

　多くは海外と共通する課題ですが、もちろん日本特有の問題、日本のISP特有のいろんな苦労もあります。そもそも背景となる法律も違います。日本の場合、やはり「通信の秘密」という大きな枠組みがあります。そこを緊急避難や正当防衛という形で対策する、という組み立てを総務省などと議論した上で、Outbound Port25 Blocking（OP25B）やDMARCなどの対策を実現してきました。

　最近、その辺りをすっ飛ばして、ブロッキングという形で乱暴な規制をする動きもありましたが、それは違うだろうと思います。きちんと法律を踏まえて、通信の話ですから、知財の側面だけでなく総務省も入れてちゃんと議論してから対策を検討していくべきだと思います。そりゃ、できるなら、ISPだって攻撃やスパムの通信を勝手に止めますよ。できないからいろいろ苦労しているのですし……だいたい簡単なものには裏があって、無理を通せば道理が引っ込み、いろいろ困ることがたくさん出てくるんですよ。

　一方、米国などは関係なくばんばん通信を止めます。法律的な背景も含めたその違いについてはM3AAWGのような場で何度も説明し、理解を得てもらっています。

末政氏　米国の場合、Webやメールは「情報サービス」であり、通信の秘密が求められる「通信」ではないという位置付けです。どちらが良いか、悪いかの問題ではなく、国の仕組みがそうなっていることをお互いに説明し合い、理解し合えたらいいのかなと思っています。

櫻庭氏　アジア地域もまた、国によって法律体系が異なるでしょうから、われわれの知見がそこで生きるかもしれません。過去には、日本と似たような法体系を持っており、簡単に遮断ができない制度になっているブラジルに行って、OP25Bについて説明したことがありました。おかげでブラジル発のスパムメールはだいぶ減っており、地球の裏側まで行ったかいがあったなと思います。

末政氏　プライバシーも重要なアジェンダの一つだと思います。事業者や利用者側の意見をきちんと出し、政府や規制当局との間でうまく調整する役を担えればと思っています。

櫻庭氏　その意味でも、関係者が集まって議論し、常日頃からコミュニケーションを取っていくのが大事だと思うんですよ。そうでないと、先日、リクナビで起きた内定辞退予測問題のような事件が起きてしまうのだと思います。もしかすると、世代間のギャップもあるかもしれません。そのため、JPAAWGでは若手エンジニアが参加しやすい場も目指しています。

JPAAWG事務局の末政延浩氏

末政氏　2nd General Meetingでは、「メールの通信プロトコルってどうなっているんだっけ」といった、基本的な技術を解説するトレーニングセッションも幾つか設けています。できれば若いエンジニアの方々に、「面白いのはWebと仮想化技術だけじゃないよ」ということが伝わればいいなと思っています。また、会社の外に出ていろんな人と話すだけでも、いろんな会社のやり方を知って考え方の風通しが良くなったり、自社のやり方を相対化できたりすると思います。

櫻庭氏　2日目の午前中には、幾つかのテーマを用意して集まった人たちで議論する「オープンラウンドテーブル」を実施する予定です。M3AAWGのミーティングではよくやっている方法ですが、日本でもチャレンジしてみます。

末政氏　多要素認証など幾つかのテーマに関して、集まってきたエンジニア同士で「自分たちはどうしたらいいのか」「導入できない障壁は何か」といった事柄を議論し、共有してもらおうと思っています。

櫻庭氏　ここでは内容もそうですが、議論の仕方も学んでいただければと思っています。エンジニアというと「部屋にこもって技術を追求する」イメージがあるかもしれませんが、それだけではなく、議論をする。それも人をディスらず、相手の言うことをちゃんと聞き、自分の意見もちゃんと話す……。そういうポジティブな議論を通して、新しい解決策が出てきたり、世の中がもっと良くなったりするんじゃないかなと思います。

末政氏　そもそも本家M3AAWGの趣旨の一つが、業界のエンジニアが会って交流するのを後押しすることですからね。

櫻庭氏　M3AAWGに行くと、GoogleやYahoo!といったビッグプレイヤーのエンジニアがその辺をうろうろしていて、率直に話ができます。「利害が相反する企業同士でも、お互いのことを理解し、信頼関係を築いて前向きに議論していこう」という場になっています。われわれの共通の敵は「攻撃者」です。同じ業界の中でメールやセキュリティをより良いものにして、攻撃者が入り込めないようにする施策を考えていければと思います。今回のJPAAWGのミーティングを足掛かりに、M3AAWGに行ってみるのもいいと思います。

インターネットは人の手の及ばない「自然」ではなく、自分たちが作り、守れる仕組み

末政氏　ジャスミン革命のときも、それに今の香港のデモでも、SNSやインターネット上のコミュニケーションが非常に重要な役割を担っていますよね。

櫻庭氏　一昔前は革命があるとまずテレビ局が押さえられたと思うんですが、ひょっとすると今はインターネットを押さえにくるかもしれません。また、フェイクニュースがインターネットに流れることも珍しくありません。そう考えていくと、インフラを運営する人間には、それを維持していく意思を強く持つことが求められるのだと思います。

末政氏　そういう意味では、M3AAWGやJPAAWGに出れば、米国やヨーロッパだけではなく、ロシアや中国といったいろいろな国のネットワーク技術者と話ができます。為政者と民衆という上下のベクトルではなく、オペレーター同士の水平のベクトルで、文化や制度が違う国のエンジニアとフィールドレベルで付き合いができるのはとても大事なことだと思います。

櫻庭氏　日本には法律があり、きちんと通信の秘密が守られているため、「明日はわが身」とはならないと信じています。けれど、世界を見渡すと危ないことがけっこう起きています。それを知る、それも当事者の言葉で聞くのはとても大切ですよね。

末政氏　「知らない」のと、「知った上で対処していく」のとでは全く違います。先ほどお話しした通り、スパマーや悪質サイトのブロックに対する考え方は、日本と米国とでは全く違いますが、どっちも正しくて、どっちも間違っていません。そこを俯瞰していく視点が必要だと思います。

櫻庭氏　何かをブロックしたり停めたりするのは簡単ですが、止めると、そのシステム、そのサービス自体が衰退していくんですよ。「メールが使われなくなったら、他のアプリを使えば別にいいじゃん」と思うかもしれませんが、SNSというのはどこかの企業一社が牛耳って、全部中身を見ているわけです。その危険性についてはもっと考えた方がいいと思います。「Don't be Evil」などと言っていても営利企業ですから……。そういう意味では、よくできていますよ、インターネットの仕組みは。広域分散になっていて堅牢（けんろう）な、メールやDNSというシステムはとても面白いと思いますし、それを守るための施策をできる限りやっていきたいなと思います。

末政氏　特に若いエンジニアにとっては、ネットがある状態は「当たり前」。既にある世の中の仕組みの一部であって、自分の手でどうこうできるものではない、という感じにとらわれているのではないかな、と思うこともあります。けれど、山や川といった元からある自然ではなく、裏側で人間が動かしているものであり、自分たちも関わっていけるものだということを感じる機会であってほしいと思います。

櫻庭氏　たとえ重鎮であろうとビッグプレイヤーであろうと、スジの通っていないことを言えばきちんと批判されるのも、人のネットワークの良いところだと思います。

末政氏　1つの攻撃、1つの脆弱（ぜいじゃく）性について深掘りしていくことも重要ですが、複数の人間が関わっているインフラについて、キープレイヤーや参加者が集まって何らかの意見交換をしたり、互いに評価し合ったり、そういう場があるべきですよね。

櫻庭氏　立場やスキルによって、いろんな「ビュー」があるはずです。ですから1人でもんもんと考えるだけではなく、いろんな人が集まって議論して、問題提起して、「こうすればできるんじゃないか」と提案していく方が、いろんな道ができると思います。若いエンジニアにもぜひ参加し、守るべきものは守りながら、変えるべきものをどんどん変えていってほしいですね。