Defcon 15：明らかになった秘密と不満（2/2 ページ）

[Joe-Barr，Open Tech Press]

両展示会で最悪のプレゼンテーション

　“セキュリティ業界の知られざる秘密（Dirty Secrets of the Security Industry）”と題したブルース・ポッター氏のプレゼンテーションを聴く席を確保するために、会場に予定されているホールに開始の30分ほど前に入った。そこでは、まだ情報開示に関するパネルの議論が続いていた。

　このプレゼンテーションは昨年のBlack Hatでもひどい内容だったのだが、今年も進歩は見られなかった。今や“情報の全面開示（full disclosure）”という言葉はハードウェア、ソフトウェア、セキュリティの各種ベンダーのいいように使われ、本来の意味はすっかり失われてしまった。それに飽き足らず、ベンダーは“責任ある開示（responsible disclosure）”という言葉を根付かせようとしている。責任ある開示などという言葉にはベンダーにとって不都合な意味合いがまったくないため、彼らの嘘や隠蔽、それらに対する法的措置が不問に付され、連中のやりたい放題になってしまう。

　組織に属さない研究者としてBlack Hat/Defconで発表を行ったレイブン・アルダー氏は、脆弱性を明らかにしたのにベンダーによる本格的な法的脅迫によって沈黙してきたことが一度ならずあった、と聴衆席から発言した。この言葉は、Black Hatでの第1回Pwnie賞（First Annual Pwnie Awards）の表彰の場でジェフ・モス氏が述べた意見の裏付けにもなった。

　ある出席者から企業の行動と倫理をひとくくりにして言及しようとしている理由を問う質問が出たところ、パネリストの1人が倫理的企業の本来の姿やEnronが極端な例外だったことについて数分間まくしたてた。倫理と法的義務という2つの異質な概念を1つにまとめあげ、倫理観のかけらもない企業のやり方を批判する声を沈黙させた彼の如才なさには感心させられたが、それ以外の点では何の感銘も受けなかった。コンピューティングの世界には、この手の熟練したプロの詭弁家がずっと以前から棲みついているのだ。

知られざる秘密

　情報開示のパネル討論が終わると、ホールはポッター氏のプレゼンテーションを聴こうとする人であふれ返った。部屋は満員の状態で出入口は塞がれ、座席の間や周りにも人の列ができるありさまだった。プリーストという名のスタッフ（Defconスタッフはgoon［ならず者の意］と呼ばれる）は、会場の防火責任者によってカンファレンスエリア全体から人々が強制退去させられないように、膨れ上がった聴衆の一部を部屋の外に追い出した上で、ポッター氏のプレゼンテーションを開始させなければならなかった。

　ちなみに、プリースト氏は大柄な人物で、伝え聞くところによれば元諜報員もしくは現役の諜報員であり、北京語が堪能だという。展示会の場にいる姿を見る限り、Defconでの彼は多忙を極めているようだ。以前、わたしが彼を見かけたのは2004年だった。そのときには反体制的な発表者を相手に最初はその非常識な発言を止めさせようとし、その後は政治的意見の違いから怒りを露わにした参加者たちから彼の身を守ろうとしていた。

　この件にリンクされたYouTubeビデオでもプリースト氏を見かけた。今年の“捜査員を探せ”セッションで、ダーク・タンジェント氏（ジェフ・モス氏の異名）を紹介しているところだった。だが、Defcon 2007で最も記憶に残るプリースト氏の姿といえば、カンファレンスガイドに掲載された写真のものだろう。確かな筋の情報ではないが、 Photoshop使いの解析によれば、6ページ（Got Pr0n?のページ）にわずかに見える全裸でありながら慎み深い男性の姿は間違いなくプリースト氏だという（国家機密にかかわるため、名前は削除されている）。

　ようやくプレゼンテーションを開始できる状態になり、Shmoo Groupの創設者にしてBooz Allen Hamiltonのベテランコンサルタントポッター氏が姿を現した。確かに彼は、話し方、押さえどころ、見せ方を心得ている洗練されたプレゼンターだった。残念ながら、話の内容が広い範囲にわたっていたのと主催者側が聴衆を法的に問題のない数にまで減らすのに時間がかかったせいで、彼が取り上げようとしていた話題のすべてが披露されることはなかった。だが、彼は2つの重要なポイントを確実に押さえていた。セキュリティ業界で最も一般的な方針の1つである“防御の多重化（defense in depth）”はまったくの無意味だ、と彼は語った。セキュリティの問題がコードや設計の不適切さから生じるとすれば、高い金を払って間に合わせの対策をしても解決にはならないというわけだ。あらゆる人にスキルを習得させることはできない、とも彼は述べていた。どんなに人々を教育しても成果の現れない人が出てくるだけであり、新人やおつむの弱い人には教育内容について十分に説明した上で、受けるかどうかを決めさせる必要がある、と彼は言う。ポッター氏は、情報の全面開示は終焉を迎えているとも主張していた。あまりに多くのお金が絡んでいるため、そうした透明性の存続は不可能だという。

カフェイン抜きのコーヒーなんて御免

　Full-Disclosureメーリングリストで毎年恒例のCoffeeWars（コーヒー戦争）について知り、今年の第8回にはわたしも参加してきた。主催者のFoofus氏は手短にルールを説明してくれただけでなく、CoffeeWarsの歴史についての囲み記事の執筆も快く引き受けてくれた。

　わたしは、午前10時の正式開場前にルタマヤの中深煎りの有機コーヒー豆1ポンド（約450グラム）分を持ち込み、Foofus氏たちがテーブルやコーヒーミル、コーヒーを入れる器具のセッティングを行うのを眺めていた。審査員たちはコンテストの審査を楽しみにしている様子だったが、コーヒーに関しては非常に真剣な態度を見せていた。

　開場してからは、わたしがテーブルのそばを通り過ぎるたびにその周りに集まっている人の数が増えていくように見えた。そして2時間後、後片づけを始めた主催者たちの口から、CoffeeWars 8は成功だったという声が聞こえてきた。コンテストの結果は、Foofus氏の側で準備ができた時点で、CoffeeWarsのサイトで公表されるという。

まとめ

　わたしが参加したのは初日だけだったが、今年のDefconはその翌日の土曜日に正式に幕を閉じた。Black Hat BriefingsとDefconでセキュリティの専門家たちとほぼ一週間にわたって対面してきて、セキュリティ業界内部からの不満の声が大きくなっているのを感じた。そうした不満はジェフ・モス氏からも聞かれ、その発端は問題について沈黙を守る研究者を選り好みしようとするベンダーの法的におかしな態度にあった。情報セキュリティの分野で最も尊敬を集めている一人、ベッキー・ベイス氏もこうした状況を憂いている。また、レイブン・アルダー氏は情報開示に関するパネル討論の中で聴衆席から意見を述べ、ブルース・ポッター氏は自身のプレゼンテーションの冒頭で明瞭かつ声高に次のようなメッセージを伝えていた。「誰も信用してはならない。例えセキュリティ業界であってもだ。いや、セキュリティ業界だからこそ信用してはいけないのかもしれない」

CoffeeWarsを始めたのは誰か

　昔、ある白熱した議論がdc-stuffメーリングリストで展開された（当時は無秩序かつ知性派のメーリングリストだったが、世間一般の電子メールからは遠くかけ離れた世界だった）。議論のテーマは「ハワイのコナコーヒーとジャマイカのブルーマウンテンのどちらが上質か」だった。

　当然、この議論にはメーリングリストのほぼ全員が無関心だったが、キャンサー・オメガ、ロブ・ニールセン、グリフジョン、Etaoin Shrdluの4名はあくまでもこのテーマに固執した。ある意味ではこの議論がことの起こりだったが、当時はCoffeeWarsという名前もなく、まだDefconに影響を及ぼすものでもなかった。それでもなお、きっぱりとこの問題に決着をつける場が必要だという意向が表明された。

　ロブ・ニールセン氏はCoffeeWarsの名とともに信望を得て、実際に最初のコンテストを行うきっかけを作った。そのため、この催しが始まったのはそのときだといえるだろう。しかし皮肉なことに、ロブは第1回のCoffeeWarsに参加しなかったため（彼は人前に出たがらない）、この催しの企画と実行はほかのメンバーに委ねられることになった。

――Foofus記

原文へのリンク