このページの本文へ

Black Hat USA 2017/DEF CON 25 ラスベガス現地レポート 第1回

フェイスブックCSO、これからのセキュリティコミュニティの成長に対する期待を語る

20歳になったBlack Hat、基調講演で「オトナになろう」提言

2017年08月01日 07時00分更新

文● 谷崎朋子 編集● 大塚/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

 7月26日、27日の2日間、米国ラスベガスでセキュリティカンファレンス「Black Hat USA 2017」が開催された。20周年を迎えた今年は、120の講演、300人以上のスピーカー、70のトレーニングコース、そして1万5000人超の参加者を集める一大イベントとなった。

基調講演が行われたマンダレイベイ・コンベンションセンター内のイベントセンター

セキュリティニヒリズム、こじらせてませんか?

 Black Hatは20年前の1997年、ベンダーニュートラルの、小規模なセキュリティコミュニティの集会として始まった。当時はITセキュリティの重要性が現在ほど認知されておらず、コミュニティ側の「安全なIT活用を促したい」という思いや純粋な探究心も誤解されがちだった。ときには「製品の脆弱性を勝手に暴く悪意のある行為」だと糾弾され、講演者が逮捕されたり、講演資料が配付できなかったり(開催当日に資料集から破り取られたり)したこともある。

 基調講演に登壇した米フェイスブックのCSO、アレックス・スタモス氏も、10年前の2007年に講演した際には「警察に踏み込まれることを想定して、会場の最前列に弁護士を待機させていた」と振り返る。

フェイスブックのCSO(最高セキュリティ責任者)、アレックス・スタモス氏

 スタートから20年、Black Hatの歴史は、こうした「ハッカー=犯罪者、悪」という見方との戦いの歴史とも言えるだろう。誤解を正すために、セキュリティコミュニティは対話を繰り返してきた。近年では世間の認識も、徐々にだが変わりつつある。

 そうした20年間の成果を認めつつも、スタモス氏は聴衆に「セキュリティコミュニティの人間自身は成長できているだろうか」と、あらためて問い直した。

 「たとえば、技術的に面白くて複雑な離れ技や高度な標的型攻撃への対抗策にばかり熱中していないか。セキュリティ対策が少しでも不完全な製品があれば厳しく追及し、自分たちと意見の異なる相手を断罪するような傾向はないか。自分たちは常に“賢く”、そんな自分たちの意見や視点を受け入れない人/企業は悪だという態度をとっていないか。相手の不備を責め、信頼性のある仕組みを構築する責任を相手に押しつけるだけになっていないか」(スタモス氏)

 “完全無欠な攻撃者”に対抗するためには1つのミスも許さず、誰もが使えるよう“やや妥協”したセキュリティ機能を実装するくらいなら理論上パーフェクトなセキュリティを極める方がマシ――。そう思い込んでいる人は「『セキュリティニヒリズム』をこじらせているかもしれない」と、スタモス氏は指摘する。本来は“Good Enough(十分事足りる)”なセキュリティ対策で良いはずなのに。

「セキュリティニヒリズム」。「攻撃者は完全無欠」「起きるのは最悪の脅威シナリオ」「機能的な妥協はバグと同じ」と信じ込んでしまう姿勢。そうして誰も実現できないほどセキュリティ対策のハードルを上げてしまうことに価値はあるのか、とスタモス氏は問う

 特に、自分たちの意見や視点を認めない相手を厳しく叩く傾向について、スタモス氏は、アップルに対するFBIの“iPhoneロック解除要請事件”を例に挙げてこう語った。

 「アップルに対するFBIのロック解除要請事件では、FBIのやり方に(セキュリティコミュニティからも)批判が集中したが、彼らは世界をより良くしようと戦っているだけ。私たちと何ら変わらない。わたしたちセキュリティコミュニティは、他のコミュニティに対して寛容になり、セキュリティ的に正しい解決策を考え、提案できる存在を目指したい」(スタモス氏)

 世間にその価値を認められ、注目を集めるようになった今だからこそ、セキュリティコミュニティには「大人になるための第一歩」を踏み出してほしいと、スタモス氏は期待を込めて語った。

 さらにスタモス氏は、セキュリティ人材が不足している現状を取り上げて、コミュニティをさらに大きく成長させていく必要があること、そのためには「セキュリティコミュニティの多様性を高める」ことを検討していかなければならないことを指摘する。

 スタモス氏が指摘する多様性とは、単に人種や性別だけでなく、モノの考え方、文化、分野や業界など、あらゆる種類の多様性を包含したものだ。これは「多様性=善」という話ではない。サイバーセキュリティにどんな課題が現れるかわからない時代に、理系や文系、その他さまざまな垣根を越えて、より多様な知見を出し合いながら一丸となって取り組み、わたしたちのポテンシャルをフルに発揮させることが重要になるからだと、スタモス氏は強調した。

 「未来の安全を一緒に語り合える、誰をも受け入れられるコミュニティになろう」(スタモス氏)

■関連サイト

カテゴリートップへ

この連載の記事
  • 角川アスキー総合研究所
  • アスキーカード