ここから本文です

FFRI 鵜飼裕司の Black Hat USA 2018 注目 Briefings(1)日本はグローバルセキュリティ業界のインナーサークルにいない

8/6(月) 8:30配信

ScanNetSecurity

サイバーセキュリティのトレンドを牽引する国際会議 Black Hat 初のアジア人ボードメンバーとして、2012年から応募論文の審査にあたる、株式会社 FFRI の鵜飼裕司氏に、今週8月8日(水)、8月9日(木)の 2 日間にわたって米ラスベガスのマンダレイベイ コンベンションセンターで開催される Black Hat USA 2018 Briefings の注目発表を聞いた。

開催 20 周年の節目を迎えた昨年の Black Hat USA 2017 は、日本の花火大会やコミケを思わせる盛況となり、開会挨拶はスタジアムで開催され、参加者が約 17,000 人を超えるなど過去の記録を塗り替えた。


――今年の論文応募件数はどのくらいでしたか。

約 1,000 件で昨年並みです。採択数は 115 件で約 1 割。相変わらず、けっこうハードルが高い状態が続いています。

――ボードメンバーは全ての応募論文を見るんですか?

分散してるんですよ。全部見るのは無理でカテゴリを決めて分散しています。CODE BLUE も同じように、最初の頃は全数レビューしてたんですけど、数が増えてレベルも上がったので、担当を決めて分散してレビューしています。

―― CODE BLUE も! それはうれしいことですね。

CODE BLUE
https://scan.netsecurity.ne.jp/special/3264/recent/

―― 115 件の発表のなかで鵜飼さんが注目しているのは?

トラックはたくさんあるんですけど、やっぱり、足下で問題になりそうなところ、ちょっと先に問題になりそうなところ、我々は毎年このへんを注目しています。

現実的な脅威として見ておいた方がいいんじゃないか、というところですね。それ以外でも、いろいろ新しい「試み」みたいなものはあるんですけれども、そうはいっても、現実的な脅威を見ておいた方がいいんじゃないかなと。


――キーワードは「足下」ですか。

「足下」と「ちょっと先」です。Black Hat って、たまにアクセプトを狙いたいがために、アブストラクトをグイグイ盛って、ありもしないような脅威をあおるパターンもあると思うんですが、それが実際の脅威になりえるかどうかがポイントだと思っています。

以前ライフルがハッキングされましたという話があったと思うんですが、まず日本にライフルないですから関係ないですよねって話があったり(笑)。発表も「そう設計していたらそうなりますよね」っていう内容で、「技術的にはそれはそうでしょう」という話で、要は「ライフル」というところが異常にセンセーショナルに取りあげられていました。

センセーショナルなんだけれども、実際ほんとに知っておくべきなのかどうかは別問題で、そういった意味で Black Hat にアクセプトされてる論文は玉石混交で ― もちろん人によっては全部「玉」しかないのかもしれないですけれども ― 実際の対策を考えていく側からすると、やっぱり玉石混交なところもあります。

派手だからとか、お客さんがいっぱい入っているからという理由だけで聞くのは、時間がもったいないなというところもあるんじゃないかと思っています。もちろん時間に余裕があればいいんだと思いますが、時間に余裕がない人は地味だけど重要な発表もあったりしますので、その辺は見極めて行かれるといいと思います。

――取材しているとハイコンセプトなものや、ネタっぽいセッションもありますね。いいセッションの見分け方や秘訣はありませんか。たとえば、タイトルが派手だと中味はイマイチの傾向あり、とか。

それが、タイトルが派手でも内容がいい人たちもいますし、タイトルも内容も地味だったり、あるいはタイトルも内容もダメだったり、そこは判断難しいところで。

――発表者の所属組織や研究機関、それまでのバックグラウンドが大事なんですかね。

そこは重要だと思いますね。信頼性があるかどうか。そこはレビューボードも見ていて、突拍子もない何かがポーンと出てきたときに、そこはかなり入念にレビューをしています。レビューボードはたくさんいるので「こいつはどこそこで発表していたけど内容イマイチだった」みたいな話がすぐ出てきたりする。フィルタがされています。

ただ、レビューボードが見るだけでもなく、運営側から入ってくる発表もありますし、マスコミ受けしそうという理由でアクセプトされるのもやっぱりありますね。

――それはやっぱり Black Hat 自体の認知度を上げるとか下げないためですか。

ブランディングですね。


――8月9日(木)にIIJの発表がありますが、日本人の発表はめったに見かけないですね。

そうなんですよ。うち(FFRI)も、やっていかなきゃいけないなと思いながらも、なかなか発表用に何かまとめるみたいなことを最近できていなくて。

――そもそも日本人の投稿はどのくらいあるんですか?

ほんの少しですね。数件。そういった意味では 1,000 件発表があって圧倒的に US が多いんですけれども、そこそこの規模がある国のなかでは日本が一番発表していないかもしれません。数が圧倒的に少ない。1,000 件あって数件だと、セキュリティをやっている人口比率的にいえば非常に低いです。日本のサイバーセキュリティの市場規模は、世界全体の 10 分の 1 くらいですから、10 %くらいはあってもいいんじゃないかという気がします。もちろん市場規模を発表数に置き換えるのは乱暴な話ですが。

――そうなっている理由は何なんでしょう?

研究開発をやっているベンダが少ないというのは、要因のひとつかもしれないです。すごく少ないですよ。研究開発をやっている人たちが日本だと圧倒的に少ない。

――やっぱり Black Hat に論文を応募してくるのは、FFRI のような R&D の会社に在籍して、仕事としてやっていることをまとめたり、それに付加価値をつけて、というケースが多いんですか。

そうですね。圧倒的にそれだと思います。個人のスペアタイム使ってできるレベルには多分もうなくて ― 昔はそれでもできたんだと思いますけど ― ハードルもすごく上がってるので、それなりにちゃんと会社として取り組まないと、きつくなってきているんじゃないのかなって気がします。このままだと投稿数の差が開いていくというのは当然あると思います。


―― Black Hat のようなところで、日本企業の研究者が発表していくことはどういう意味があるんでしょうか。日本の企業や日本の研究者が、何か損をしていることとかあったりするんでしょうか。

たとえばですけれでも、シリコンバレーもいわゆる村社会じゃないですか、意外と。

「インナーサークル(編集部註:組織や集団内の権力中枢に近い、排他性のある支配的グループ [Google Dictionary の定義を和訳])」って言葉があって、サイバーセキュリティにも同じようにインナーサークルがあるんですね。中にいる人なのか、外にいる人なのかみたいなのがあって、中にいるとトラストチェーンがつながって、ビジネスにしても共同研究にしてもいろんな意味で話がしやすい。

グローバルのセキュリティコミュニティのなかで、日本の存在感はほとんどないので、日本の会社が行ったところで「で?」ってなりがちです。ビジネスの相手としては見てくれるんですけれども、やっぱり「中の人ではない」と見られてしまう。

その結果、どのくらい損をしているのかっていうと難しいんですけど、グローバルセキュリティ業界のインナーサークルに入れてないっていうのは、ビジネスっていう観点で言ってもだいぶ損をしている部分もあるんだろうなと正直思います。

――ではいよいよ、鵜飼さんの今年の Black Hat USA 2018 Briefings の注目セッションを教えて下さい。

今年は「CPU 関連の脆弱性」に関する 3 件の発表、「マルウェア関連」 4 件、「AI・機械学習関連」 2 件、「自動車セキュリティ」 3 件に注目しており、順にそれぞれの研究概要と注目している理由を説明したいと思います。(つづく)

(高橋 潤哉( Junya Takahashi ))

最終更新:8/9(木) 8:03
ScanNetSecurity