[レポート][パネルディスカッション]CODE BLUE! レビューボード緊急招集！ – CODE BLUE 2020 #codeblue_jp

こんにちは、臼田です。

今回はCODE BLUE 2020で行われた以下のセッションのレポートです。

[パネルディスカッション]CODE BLUE! レビューボード緊急招集！

みなさん今年もCODE BLUEを楽しんでいますか？毎年「CODE BLUEは質の高い講演が多く参加する価値が大きい」とありがたい声をたくさん頂くのですが、我々レビューボードのメンバーは、そんな期待に応えなければというプレッシャーをひしひしと感じながら毎年CFPの選考をしています。レビューボードでありながらも応募を読んで「この分野がここまで進んでるんだ、すごい!」と自身の遅れに焦りを感じることもあります。そんなレビューボードメンバーが、このCODE BLUEというカンファレンスをどんなものにしていきたいのか、セキュリティという世界はどうなっていくのかなど、お互いの思いや考えをぶつけあってみるセッションです。

Presented by : モデレータ:新井悠 パネリスト:鵜飼裕司 パネリスト:竹迫良範 パネリスト:はせがわようすけ

レポート

• 今回はCODE BLUE 8回目だけどパネルは初めて
• パネリストはずっと参画している人たち
• これまでの中での話を聞きたい
• いくつか議題を用意している

海外のセキュリティ・日本のセキュリティこう違うというのがある。そのあたりの話を聞いていきたい

• 鵜飼さん
  • 昔は組み込みをしていた
  • 製品開発とバグハンティング
  • アメリカの文化を経験して返ってきて経営者になった
  • 大学にいたときからサーバーセキュリティを個人的にやっていた
  • 自分たちで技術研究開発をやっているのが日本ではなかなかなかったのでアメリカの会社に転職した
  • 0から1にしていくことをやりたくて北米に
  • 日本でやりたくなったので戻ってきた
  • 日本でもできる人たちはいるが、活躍できるフィールドが無いのでは
  • アカデミアじゃないところでできないのではないかと思っていてCODE BLUEを盛り上げたい
• はせがわさん
  • はせがわさんも組み込みをやっていた
  • 回路周り
  • ソフトはアプリに渡すところまで
  • ハードもやっていた
  • その部分でセキュリティに近いところがあった
  • そこから入ってきた
  • 20年ぐらい前の組み込みの話になるが、物理的な制約に頼っていたりした
  • 産業系にオープンなもの、TCP/IP対応みたいなところもこれからな状況だった
  • 今は国内の産業系の人もCFP出してくれていることもあり、各社真剣に取り組んでいるのでは
  • 今回のCODE BLUEもIoT絡みのセッションがある
  • 現実社会への影響が大きくなってきている
• 竹迫さん
  • 20年以上前から普通のプログラマーをやっていた
  • namazuという全文検索を作っていた
  •  はせがわようすけさんからUnicodeを入れるとディレクトリトラバーサルになるという指摘があった
    • 優しくやり取りしてくれた
  • セキュリティ研究者は怖いイメージがあったが変わった
  • それから勉強しようと思った
  • 余談だがIPAでもnamazuを使っていた
    • 脆弱性公開後も修正されていなかった
    • 公開日一致の原則が保たれていたのでは
• はせがわさん
  • 英語圏だとUnicodeの問題はあまりない、気にしていない
  • 英語圏の人はリーチできないし、他の言語圏で話されていてもたどり着けない
• 竹迫さん
  • 最近はラテンに似た文字を表示させることがフィッシングに使われていた
  • Googleなどは表示の仕方を変えて対策してきている
• 鵜飼さん
  • CODE BLUEだけじゃなくてBlackHatのレビューボードもやっているが違いはあるか？
    • あまりない
    • 片方でしかウケないみたいなのは無い
  • ITに関する技術もグローバルになっていてドメスティックなものはあまりないのでは
  • 産業界でいうとそれぞれのリージョンでアプローチの方法は違う
    • いろんなバイアスがある
    • 政治や法律、産業的なもの
    • 例えば北米ではいろんな企業が出てきて大きくなっていく過程で、金融商品としての側面がある
      • サイバーセキュリティもそれに含まれる
      • MAで売る前提であったりする
      • 一方ヨーロッパではプライベートでやっていく会社もある
      • 思想もいろいろある
      • アメリカ企業はどんどん変わっていく事が多い

CFPについてボードメンバーが査読するが、CODE BLUEのCFPの通し方はどうか？

• 鵜飼さん
  • ほかのところでもそうだが必要なことが過不足なく書かれているか
    • 例えばプロセスが不透明であったり結果が不透明であったり
    • 研究成果が素晴らしいと書くのはいいが、客観的に見てどうなのかがわからないものがある
    • モヤモヤする
    • 数値があると一番いいが、難しいものもある
    • BlackHatとかでも、盛る人がいる
    • 多少盛るのはいいけど、具体性がないものはダメ
• はせがわさん
  • 笑いはいるのか？
    • なくてもいいけど笑ってしまうのはいくつかある
  • 面白くても、きちんと話してくれるのかは不安
  • 聞いた人が得るものがあるかどうかが重要
  • 1つは具体性
    • やったことが明確か
  • 1つは持ち帰れるものがあるか
• 竹迫さん
  • CODE BLUEはアカデミアではない
  • 産業なので最新である必要はない
  • 課題設定が重要
    • 社会的な問題とか
    • 実務として役立つ研究か
  • ものを作っただけでは弱い
    • そういうのはBlueboxという場を設けている
  • ストーリー作りが大切
    • 自分の会社で使うために作ったものでも、それを公開して共有するのが大事
• 新井
  • 知的財産がある
  • 会社で作ったものを公表することについてどう考えるか
• 竹迫さん
  • 秘密に当たらない部分を内部でネゴる
    • 広報とか事業戦略とかと
  • テクニックとしては大学と研究開発をもってやるなど
  • いま大学でセキュリティのリサーチャーも多い
  • そういう人を巻き込むのがいいのでは
• はせがわさん
  • Webの会社なのでなるべくオープンにしていきたい
  • ただ何でも出していくのは難しい
  • 実装とは離れたものを出していくのはやりやすい
  • アイデアなど
• 鵜飼さん
  • 経営という観点でいうと研究成果は全部オープンにできなくてコントロールは非常に重要
    • 安全保障の面でも
  • 一方で研究成果を外に出していくことのメリットは非常に多い
  • 技術としてのブランドを作る上でいい
  • 技術研究に投資するのは北米でもみんなやっている
  • なるべくオープンにするのは事業に直結するメリットがある
  • 色んな情報にリーチしていけるので新たな気付きもある
  • どんどんいいサイクルになる
  • 研究開発をやるならどんどん出していく必要がある
  • 発表したい人は鵜飼さんの会社を受けていいのでは
• 竹迫さん
  • リクルートはR&Dもあるし自社にデータもある
  • データを使いたい人はそういう会社がいいのでは
• はせがわさん
  • Webの発表とか割と少ない
  • ただ技術レベルが高い人は多い
  • BlackHatとかCODE BLUEにあまり応募がないだけでは
    • どうしたら応募したくなるか教えてほしい
  • 実際に自身で登壇したときに海外のエンジニアからのコミュニケーションがいっぱいあって視野が広がった
• 新井さん
  • CFP通すためにストーリーをしっかり作る
  • いろんなメリットがあるのでぜひ応募してほしい

なぜコミュニティ活動をするか

• 新井さん
  • 日本ではコミュニティってなんだって人もいる
  • CODE BLUEでは年に1回あってそこに行けば会えるみたいな役割もある
• 鵜飼さん
  • 90年代からコミュニティの中にいる
  • 自分自身であんまりこのテーマを考えたことはない
  • 人生を生きていく中で仕事以外のフリータイムが多い
  • 自己実現をしていく中でどうせやるなら楽しくやりたい
  • 自分で能動的に取り組んでいくことが大事
  • 自分から課題を見つけたりきっかけを与えてくれるのがコミュニティ
  • やったほうが色んな意味で人生が豊かになるのでは
  • 経営者としてもそう思っている
  • 社員にもコミュニティに参加してほしい
  • 楽しそうに仕事できるようになっている
• はせがわさん
  • セキュリティに関わり始めたのがコミュニティから
  • 今ほど情報が整理されていない中でいろいろ探していた
  • 近いところで勉強会をやりますというのを見つけて参加したくなった
• 竹迫さん
  • 最初にアルバイトしていた会社の上司にLinuxのコミュニティに連れて行かれた
  • あんまり乗り気ではなかった
  • IPリーチャブルな温泉だった
  • セキュリティもみじでnamazuの脆弱性について話したらセキュリティ・キャンプに誘われた
  • 開発段階のセキュリティについて話たりした
• はせがわさん
  • コミュニティに携わるのは竹迫さんの影響は大きい
  • 周りの人が楽しくなっていた
• 竹迫さん
  • XSSだけをテーマにやったりもした
  • なかなかレアなイベント
• 新井さん
  • 相互作用的に面白くなるのがコミュニティなのでは
• 竹迫さん
  • 尖った人たちが集まって話せるのはなかなかない
  • 若いハッカーの人たちは広く伝わるように話せるわけではないのでハイコンテクストで語り合える場があるのは重要
  • ビジネスにするにはそれだと困るのでリテラシーの低い人に説明できるようになる必要はあるが
  • 昔は就社という感じだったが今は就職、職を選んで生きていくので、そうするとつながりが大事
• 新井さん
  • 結果としてコミュニティから起業している人が増えてきているのでは
• 竹迫さん
  • SecHack365で出会った人が起業したりしている
  • 志を持っていく人が増えてきたのでは
  • 日本でも起業が普通の選択肢になってきている
• はせがわさん
  • 学生時代会社作るのが面白そうだと思っていた
  • ただビジネスのビジョンはなかったのでその道を選ばなかった
  • 学校とか閉じた中だと実力がわからなかったけコミュニティで実感できた
  • まさに職を選ぶ時代なので会社を作るのはありでは
• 新井さん
  • 昔竹迫さんにワークシフトという本を進められて読んだ
  • 家で仕事する時代が来るわけ無いと思っていたけどあっという間に来た
  • より起業する壁が低くなったのでは
• 鵜飼さん
  • 昔一緒に働いていた同僚も起業している
  • 起業自体のハードルはほぼ無い
  • 心のハードルなのでは
  • 一方でビジネスを大きくしていくことを最初から考えるとコケやすい
  • 自分の力じゃなくて色んな人の力を借りることをやっていくと失敗のリスクは大きくなる
  • でもいちばん重要なのはパッションの強さ
  • 芯がしっかりしている人は苦しみもあるだろうが楽しみもある
  • 創業者が技術者だと経営が何もわからなくて最初は大変
  • でもチャレンジして良かった
• 新井さん
  • エンジニアは特に優秀になると言葉が通じなくなる
  • コミュニティ活動で仲間を探すというのはいいのでは

今までを振り返ってどうか、これからどうなるか

• 鵜飼さん
  • 今までのCODE BLUEは産業界のこういったイベントが無いところから始まって、大きく変わってきた
  • 影響としてほかのコミュニティも盛り上がっていたり、起業する人が増えたりチャレンジする人が増えた
  • 新しい技術的な課題に対してチャレンジする人が増えた
  • これから、自分たちで問題解決をしていく人が日本でもっと増えていくのでは
  • 今まで競合が北米ばかりだったので、日本でそういうことをやっていく人が増えてほしい
• はせがわさん
  • ちょうど今日の朝Youtubeを見ていて大変そうだなーと思っていた
  • 最初のときも200人くらいだったが、色々足りてなくて大変だった
  • 応援したくなった
  • 頑張ってくれている人がいっぱいいる
  • セキュリティは昔よりより一層色んな所で大事になっていることを実感している
  • セキュリティという言葉でくくっているがいろんな専門性がある
  • そうするとセキュリティと思って参加しても求めているものと違うということが出てくる
  • 参加する側も成長する必要がある
• 竹迫さん
  • 先に質問
    • 情報処理学会に通る論文とCFPの違いは何か
    • 論文は今まで人間が到達していないものをこじ開ける
      • ただすぐに役に立たない
      • ビジネスや現場の課題にはニーズがないもの
    • 解像度の違いがある
    • CFPは手近なところ
  • CODE BLUEはセキュリティの世界地図の解像度を上げるのにいい場では
  • 例えば最初のオードリーさんのセッションでポートスキャンはサイバー犯罪なのですか？という話で国によって違った
  • いろんな国の状況などが聞けるのはいい
  • 今後も色んな国の人の話を聞いて発展させていきたい
• 新井さん
  • 今まで継続してきたことを発展させていきたい
  • いろんな領域のセキュリティの話がある
  • これからもセキュリティの問題はいろいろあるのでそこに貢献していきたい

感想

コミュニティについていろいろ考えさせられるパネルでした。

ぜひコミュニティに参加してガンガンアウトプットしていきましょう！