セキュリティの専門家が語る「不思議の国、日本」：Next Wave（1/2 ページ）

情報セキュリティの最先端で日夜闘う人々にとって今年以降のホットな話題とは何か。毎年日本で開催されているセキュリティテクニカルセミナー「PacSec」の主催者であるドラゴス・ルーユー氏に話を聞いた。

[富永康信（ロビンソン），ITmedia]

Windows７に対するハッキングコンテストも

　世界の情報セキュリティ産業の専門家と日本の研究者が交流し、コンピュータネットワークへのハックアタックの最新手腕と技術を論じ合うことで知られるセキュリティテクニカルセミナー「PacSec」カンファレンス。毎年、コンピュータセキュリティに関する最先端の研究やリサーチを中心に、脅威に対する防御策、システム監査や実践報告などが話題となるが、内容も先鋭的なもののため、広く一般に知られることの少ない特異なイベントでもある。その主催者で、カナダに本社を置くコンピュータセキュリティ企業のドラゴステックコムのCEOであるドラゴス・ルーユー氏が来日。昨年11月に開催された6度目となるPacSecカンファレンス2008の成果と今年以降の情報セキュリティの見通しについて聞いた。

「日本は世界で最もセキュリティ教育が徹底されている国」と語るドラゴス・ルーユー氏

ITmedia　はじめに、日本で開催されるPacSecとはどのような位置づけのカンファレンスなのか教えてください。

ルーユー　世界でセキュリティテクニカルセミナーを開催する団体の「secwest Conferences」では、インターネットセキュリティのコミュニティを支援する目的で、2000年から毎年3月にバンクーバーで開催する「CanSecWest」をはじめ、2002年から毎年11月に東京でPacSecを、さらに2005年からは5月にロンドンでも「EUSecWest」として開催し、そして去年からはブエノスアイレスでも「BA-Con」を開催しました。

　特に、日本のPacSecは半数が海外からの参加者で国際色豊かなセミナーになっています。新しい技術やサービスに対するセキュリティ上の脅威や、今後起こりつつある脅威にフォーカスして、時には白熱した議論になることも珍しくありません。研究者と参加者の距離が近く、直接的な対話の機会が多いのも特徴です。

　また、エキスパートも多く、まだβ版であるWindows７に対するハッキングコンテストなども行っています。

PacSec 2008で注目した3つの報告

ITmedia　専門家同士のオフ会といった雰囲気もあるPacSecですが、セキュリティ業界や技術者へはどのような貢献につながっていると考えますか。

ルーユー　世界中からレベルの高い専門家が集まり、お互いに自分たちが取り組んでいる研究成果を惜しげもなく見せ合うことでオープンな議論が生まれ、参加者に対しても最先端の脅威に関する情報をいち早く入手できる環境を提供しています。また、このようなカンファレンス自体がコミュニティになって、信頼の輪が形成され、そこから重要なコラボレーションや共同研究のプロジェクトが数多く生まれています。

ITmedia　去年の11月に開催されたPacSec 2008ではどのような成果があったのでしょうか。

ルーユー　恐らく今まで開催したどのカンファレンスよりも、質の高いものとなりました。例えばWebアプリケーションを初めとして、現在私たちが目を向けなければならないさまざまな脅威に対する研究成果が、まるでイルミネーションのように連なっていた場だと感じました。

　中でも、注目すべきものが3つありました。1つは、開催前から話題となっていたWPAの脆弱性報告です。報告は数式が多く、脆弱性も込み入った難解なものでしたが、インパクトという意味では2つ目の、スイス人の方々が発表したNICにSSHサーバを設置するというNICのハッキングの発表が注目を集めました。

　3つ目は、2人のフランス人チームが「Malicious Origami in PDF」というテーマで報告したPDFの脆弱性についての発表でした。PDFは機能追加を繰り返す中で、外部プログラムの起動や外部リソースの読み込み、JavaScriptの実行といった機能に対する制限の実装に脆弱性があるとの指摘が非常に興味深いものでした。