情報セキュリティのテクニカルカンファレンス「PacSec 2007」が11月29日、30日に東京の青山で開催されました。今回で5回目になるカンファレンスでは、セキュリティ技術者や研究者をターゲットに、最先端のテクニカルな発表が繰り広げられました。

PacSecは、カナダのCanSec、ヨーロッパのEuroSecに続くアジアで開催されるセキュリティカンファレンスで、1日中セキュリティトレーニングを受けるセキュリティマスターズ道場と、注目されるセキュリティテクノロジーや最先端の研究結果を発表するカンファレンスからなります。日本からの参加者だけでなく、海外からの参加者も多く、国際色豊かなカンファレンスです。

日本からは、LACの川口氏による「日本におけるサイバー攻撃の現状⁠」⁠、マイクロソフトの小野寺氏による「Microsoft Officeのゼロデイと悪いヤツら⁠」⁠、NTTデータの原田氏による「TOMOYO Linux:Linuxサーバを理解し守る実践的な手法」が発表されました。日本発の情報が国際的なセキュリティカンファレンスで発表される機会はこれまで少なく、今回は貴重な発表の場になりました。目立ったのは、fuzzing技術に関する発表とPythonを採用した研究が多いことでした。攻撃者側と同様に、防御側もフレームワークの作成と自動化を進めて、多様化する攻撃手法に追いつく努力を怠っていないようです。

カンファレンス終了後、Sourcefireの設立者のひとりでもあるカンファレンスの主催者のDragos Ruiu氏にPacSecを始めた理由やその特色をインタビューしました。

Dragos Ruiu氏はプログラマー、システム管理者、セキュリティ研究者で、現dragostech.com Inc.のCEO。Sourcefireの設立者でSnortの開発者、OpenBSDプロジェクトにも深い関係を持つ。カナダ在住。セキュリティのテクノロジーカンファレンス、PacSecの主催者。ラジコンヘリが大好きで、秋葉原のラジコンショップはすべて制覇済み。

日本のセキュリティコミュニティは外部からまるで見えていなかった

「HPとYokogawa Hpでプロトコルアナライザーとスニッファの開発を7年間していて、その当時に日本のテクノロジー文化の難しさを知りました。その時は大手通信事業者や放送事業者向けのアナライザーや映像機器に関わっていて、何度も来日するうちに日本企業には巨大な研究開発部門がたくさんあることに驚いたんですね。しかし、多くの欧米企業はほとんど知らなかったんですね。日本には機材メーカー、エンジニアや技術がたくさんあるのに、外部からは見えていなかったんです。」

「1997年にHPを辞めてからセキュリティに関わるようになったのですが、セキュリティの専門家やソフトウェア開発者が交流を持っていないことに驚いたんですね。そこで、カナダでカンファレンスを開催したんです。3年目にして世界各国から参加者が訪れるようになったのですけど、日本からの参加者はいなかった。何度も来日していたこともあって、日本企業と海外の企業との交流が文化的な障壁のせいでうまくいっていないことも知っていました。それに、北米の企業も（程度の差はあれヨーロッパの企業にも）日本を学ぶという点で、どこかズレているところがありました。それをなんとかしたいと考えたのです。言語や社会的な要因で起きる問題を解決できれば、双方のコミュニティにコミュニケーションを持たせられるはずだと。日本のセキュリティコミュニティは外部からまるで見えていなかったですし、外部のコミュニティも日本に話しかけようしていませんでした。PacSecはその架け橋になるべくして始まったのです。」

「それから、日本のエンジニアが知っておくべきセキュリティの研究がたくさんあります。セキュリティの研究者を日本に招き、研究内容を翻訳すれば、日本のセキュリティコミュニティが最高のセキュリティトレーニングを受けられるでしょう？セキュリティは優れた才能同士のコミュニケーションであって、かつてそうであったように、信頼のウェブを作ることでもあるんですね。もうひとつ、アルコールや食事を通じて、友人をつくり、他の人たちから学ぶことも大切です。HPで働いていた頃に、PacSecで行われているスタイルならそれが可能だと学びました。（⁠特に）北米企業やヨーロッパ企業は気が短くて、日本文化とのコミュニケーションはうまくいかないことが多いのです。そこで、両方の文化を知っている人間が取り持って、両者を一同に集めるイベントを開けば、双方にメリットのあるコミュニケーションが生まれるだろうと。」

「ついには日本人が自分たちの研究成果を発表するように」

「カンファレンスを開催するようになってからの変化はたくさんあります。技術的な面で言えば、OSを攻撃する低レベルの攻撃やネットワークの脆弱性を突く攻撃から、クライアントサイドにフォーカスした弱点を狙った攻撃にシフトしています。OSを作る会社もセキュリティがもたらす結果や脆弱性の重要性に目を向けるようになり（ようやく、ですけど⁠）⁠、悪いヤツらも次々に新しい手を編み出し、セキュリティ研究者がそれを追いかけるという構図ですね。発表内容の選別は国際色豊かなセキュリティの専門家（日本人もいます）によって行われているので、変化しつづけるセキュリティの傾向をよく反映するものになっています。ネットワーク越しのハッキングやワームなど（また、それに関連するファイアーウォールやIDSといった対策）からクライアントソフトウェアやソーシャルアタックへ、という流れですね。」

「人的交流という点でも、うれしい変化が起きています。開始当初の数年は、海外からの参加者は日本の参加者とあまり交流を持とうとしませんでした。しかし徐々に、カンファレンスに毎年海外から参加してくれる人々は日本に慣れてきましたし、日本人も海外からの参加者に慣れてきました。ついに、両者にコミュニケーションができて、お互いから学ぶようになりました。中には共同研究を始めるところも出てきたんですよ。見ていてこんなにうれしいことはありません。それから、社会的、文化的な障壁が崩れはじめ、ついには日本人が自分たちの研究成果を発表するようになりました。最初は、日本人はあまりセキュリティに関心を持っていなかったのに、日本人の研究者が技術的な発表をするに至ったのです。こうした研究成果はこれまでも日本に存在していたのですけど、公の場にでてくることがなかったんです。」

「こうした点が、PacSecとブラックハットとの違いだと考えています。PacSecはよりエンジニアリングとテクノロジーにフォーカスしていて、海外と日本の人材交流のるつぼなんです。カンファレンスは海外からも日本からもたくさん参加していますし、翻訳に力を注いで日本人にも海外の研究成果にアクセスできるよう配慮しています。それに、ブラックハットより日本での実績が長いことも違いかな。」

「あ、最後の部分は気をつけて翻訳しておいてよ（笑）（⁠※注⁠）⁠」

※注）

ブラックハットはPacSecとよく比較の対象になるライバルのセキュリティカンファレンス）

PacSec 2007を振りかえって

「個人的には（ペネトレーションテストやセキュリティコンサルティングが仕事なので⁠）⁠、ハイバネーションファイルの話がとてもおもしろかったかな。この手のネタは誰も関心を寄せていなかったし、とても新しい話だったね。Windowsのローカライゼーションネタもよかったね。これは大きな問題だったのに、誰もきちんとリサーチした人はいなかったし。でも、参加者の興味の対象によって、良かった発表というのも変わるから、一概にどれがいいということはできない。発表内容の選定に委員会形式を取っているのも同じ理由で、参加者によって興味対象は変わるから、できるだけ様々なトピックから目新しい研究内容を選んでいるんだ。CanSecWestを始めた当初は、ぜんぶ自分で選んでいたんだけど、自分はあまり魅力的ではなかった内容でも、他の人にはすごく魅力的に映ったりして、1つだけでなく多くの頭脳を問題に当たらせた方が、より良い決定プロセスと結果を残せるとわかったんだ。これはPacSecだけでなくセキュリティ全般にも言えることだけど。」

「セキュリティに必要なのは、常に実践と学びを怠らない優秀なセキュリティ技術者とソフトウェアエンジニア」

「参加してくれたエンジニアはきっと、セキュリティの攻撃と防御両方で新しいことを学んだと思う。研究結果からセキュリティについてより新しい視点をもつことができたんじゃないだろうか。そして、彼ら独自の方法論でセキュリティを改善するようインスパイアできたらいうことないね。発表内容のスライドを見るだけでもいいかもしれないけど、実際に発表者から内容をライブで目にするっていうのはものすごく違う。スライドからは伝わってこない細部をたくさん得ることができるからね。それに、直接会って、本人と意見を述べあったり、質問もできるしね。そんな交流の中で、本当にクールな人と会えたり、友人になったりする。こういうのが知識を学ぶのにはとても重要なんだ。」

「みんなセキュリティの魔法の杖を欲しがるけれど、そんなものは残念ながら存在しない。セキュリティってのは総合格闘技みたいなもので、常に学びと実践が必要とされるんだ。セキュリティ製品を買ってきて、設置して、何一つ問題が起きない…そんな製品をみんな欲しがるけど、そんなのは現実的じゃない。セキュリティに必要なのは、常に実践と学びを怠らない優秀なセキュリティ技術者とソフトウェアエンジニアなんだ。ベンダーが「魔法」の製品をいくら売りつけようとしてもね、教育、コミュニケーションや学びをセキュリティ製品で置き換えるなんて無理。それが、セキュリティのめんどうな点でもあるんだけど。こんなに多くの人がコンピュータと呼ばれる変な箱を安全にしようとしているのに、ぜんぜん良くなっている気がしない。ある部分を直した途端に、別の部分を破ろうとするヤツがいて、改善のスピードは遅いし…。とは言っても、これまでにだいぶ良くなったとは思う。やることはまだいっぱいあるけれど。」

「日本の研究者にはぜひ、気が進まないとか恥ずかしいという気持ちを捨てて、PacSecで研究成果を発表して欲しいです。日本には興味深い成果がたくさんありますし、日本人だけでなく海外の人も日本の研究成果から学ぶことができるはずです。みなさんも、PacSecというこの機会を利用して、セキュリティをともに学ぶ人たち、セキュリティを改善しようと努力する人たちにつながって欲しいですね。カンファレンスに参加して、国際的なコミュニティに触れて、セキュリティのネットワークを作りましょう。まだまだ日本と海外のセキュリティコミュニティには、できることがたくさんあるはずですから。」