6月28日～7月3日にかけて、京都において「FIRST Kyoto 2009」という国際会議が開催された。この会議は、セキュリティ対策やインシデント対応をするCSIRT組織の世界的な組織であるFIRST（Forum of Incident Rsponse and Security Teams）の年次会合である。日本での開催は今回が初となり、50ヵ国以上の国と地域から300名を超えるセキュリティ担当者やインシデント対応チームが参加しており、メンバーは企業、政府機関、研究機関と多岐にわたっている。

このうち「インシデント対応におけるソーシャルメディアの利用方法」というセッションでは、ブログやSNSといったソーシャルメディア上のセキュリティ情報、脆弱性情報、対策情報などをどのように判断し、適切に使うかという議論が行われた。講演者は、米国で「Network Security Blog」を運営するMartin McKeay氏だ。後半はパネルディスカッション形式で講演者、パネラー、参加者、セッションチェアなどの討論となっていた。

まず、ブログやSNSなどの新しいメディアは、いわゆる玉石混合であるという前提のもと、情報の取捨選択が重要になるわけだが、その基準が難しい。技術的な内容を含んでいれば信頼性が高いというものでもなく、詳細な検証がなされていない「見解」のようなセキュリティ情報も見受けられる。新しい情報や緊急性の高い情報のように見え、重要度が高いと思えるものでも、その裏付けや検証は自分がしなければならないという。

とくにCSIRTのような活動を行っている場合はなおさらだ。情報のスピードはWebのほうが格段に速いが、速すぎても裏付け情報が乏しければ、正しいとは判断できないかもしれない。また、早い段階で正確すぎる情報もかえって危険な場合もあるそうだ。新しいマルウェアの情報や対処方法なども注意しないと、鵜呑みにはできない。情報が少ない段階でなぜそこまで詳しいのか、なぜ知っているんだろうという考え方も必要という。そのような記事は、恣意的な情報かもしれないし、事実のように書いている憶測なのかもしれないからだ。

次に、話がTwitterについても及んだ。Twitterは、米国で急激に利用が増えており、ブログを利用したCamcast（携帯カメラなどでその場の事件などを即座に配信する）のようにTwitterで事件や事故の速報が流されていることが紹介された。その一方で、現在のところブームのような動きを見せている部分もあり、専門家は冷静な目が要求されているとの意見もあった。ブログも初期のころはジャーナリズムか日記なのか、というような議論が沸き起こったように、このようなスタイルが定着するかはまったく未知数だという。

そして、ブログやSNSは双方向性という特徴があるので、情報を利用するにあたってはこの機能はむしろ活用したほうがよいそうだ。コメントを返したり質問したりすることが、その情報の信頼性を高めることがある。既存メディアのような多重チェックはされていないかもしれないが、読者との対話が多重チェックの機能をするということだろう。

このセッションのタイトルは「ソーシャルメディア上のセキュリティ情報の利用方法」（⁠“⁠Using Social Media in Incident Response⁠”というものだが、議論はすぐにセキュリティ情報だけに限定した話というより、ソーシャルメディア上の情報の扱い方や判断の仕方についての話題になっていった。パネルディスカッションでは、主に既存メディアと新しいメディアの違いや類似点などの意見交換となった。

このセッションでは、情報が均等に公開されるWeb上では、その情報がセキュリティに関するものかどうかよりも、その情報はセキュリティにとってどのような意味があるのか、どんな位置づけにあるのかを、受け手が認識しながら接する必要があるのだと認識させられた。

第21回 FIRST Annual Conference 京都 のご案内（日本語）

URL：http://www.jpcert.or.jp/event/first-conference2009.html