Black Hat Japan Briefingsにかける意気込みを語るジェフ・モス氏：Interview（2/2 ページ）

[高橋睦美，ITmedia]

　現時点で予定されているスピーカーの1人が、ジョー・グランドで、彼は（認証などに用いられる）ハードウェアトークンのハッキングおよびセキュリティについて語る予定です。ハードウェアシステムにもコンピュータシステムと同様に攻撃手法が存在しており、これでセキュリティを強化したつもりでも安心してはいけない、といったことを説明してくれるでしょう。

　また、Qualysのゲハード・エシェルベックは「脆弱性の法則」が持ちテーマです。脆弱性が発見されてから攻撃が開始されるまでの期間には、ちょうど物理でいう「半減期」のような法則が見出されます。独自の研究結果に基づく脆弱性の法則についてのセッションは、マネージャレベルの人々がコンピュータについての考え方を改めるのに非常に適していると思います。

　いずれにしても大事なのは、まず1回目を成功させることだと考えています。そして、今年のBriefingsに対するフィードバックを受け、次回の内容に反映させていくつもりです。参加者の皆さんが学ぶのと同じように、われわれもまた参加者の皆さんから学びたいと思っています。

ITmedia　日本市場で顕著になるであろう問題、たとえば携帯電話のセキュリティなどに関するセッションは考えていないのですか？

モス　ワイヤレスは専門というわけではないのですが……ただ、多くの人がBluetoothやWi-Fiのセキュリティに関心を持っています。Bluetoothには、他人のデータなどを盗聴できるといった問題が指摘されていますが、これが携帯電話に組み込まれれば、同種の問題が発生する恐れがありますね。

　また、Bluetooth対応デバイスの存在は容易に検知できるため、その所有者の動きが把握できてしまうという問題もあります。いくつかのベンダーはこの問題に対処するため、機器の存在を隠す方式を組み込むようになりました。これは、セキュリティについて指摘することが、ベンダーに圧力をかけることになった例だと思います。

　セキュリティというと、とかく防御について語られがちです。ですがまずなすべきことは、問題そのものについて知ること。そして、問題を指摘するだけでなく解決策も提示していくことが重要です。

ITmedia　脆弱性の指摘や公開の方法についてはいろいろな議論があります。最近では、発見者とベンダーの間で調整を行いながら、対策とともに脆弱性情報を公開する手法が進められつつあります。

モス　ベンダーに対して問題を修正するための時間を与える、「責任ある開示（Responsible Disclosure）」という手法ですね。この問題に最も詳しい人物がデビッド・リッチフィールドで、彼もBlack Hat Japan Briefings 2004に参加する予定です。事実彼は、ある脆弱性を発見してベンダーに通知しており、解決策が用意されるまで一般へのアナウンスを控えています。そのシステムを脆弱な状態のままにしているという意味では顧客にとって不利益かもしれませんが、責任ある開示によって救済される人もまた多いはずです。

ITmedia　米国では、セキュリティ専門家から政府関係者まで、さまざまな人が参加していますが、Black Hat Japanの参加者層をどのように予測していますか？

モス　ITマネージャだけの集まりではなく、政府や学術関係者、あるいは独立系の研究者など、いろいろな種類の人に参加してもらいたいと考えています。コーヒーブレイクやレセプションといった場を用意し、スピーカーと直接話のできる機会を設けるつもりです。こうした場で情報やアイデアを交換することで、互いに収穫を得られると思います。

　ベンダーからは中立的なイベントであるというのも大事なことです。ニュースやベンダー、政治家などが言う話ではなく、セキュリティ専門家から直接、セキュリティの現実を聞けるわけですから。これも参加者にとって大きなメリットになると思います。

ITmedia　では、その参加者に向けて、セキュリティに取り組む上での心得をお願いします。

モス　NSAは「攻撃は高度化することはあっても、稚拙になることはあり得ない」と指摘していますが、このことを頭に入れておくべきでしょう。そして、セキュリティにはたった1つの即効薬など存在しないということも。テクノロジに依存すればするほど、脆弱性に留意しなければなりません。

　問題が拡散するよりも速く、セキュリティ対する意識が広がるよう期待しています。システムを守る方法よりも悪用コードのほうがすばやく広まってしまう状態は、持続可能な状況とは言えません。確かに、びっくり仰天するような事態はまだ起きていませんが、そんな事態が起きない限り解決する気にならないというのは嘆かわしいことです。インターネットの時間の進み方を考えても、問題が起きてからはじめて直す、というやり方には無理があると思います。

ITmedia　それでも、人々のセキュリティに対する考え方に進歩がないわけではありませんよね。

モス　ええ、ゆっくりでも確実に、セキュリティに対する意識が上がっていくことを期待していますし、Black Hatを通じてその一端を担えればと思っています。このBriefingを通じて、一般の人々を教育する立場にある人をまず教育し、その人々によって理解が広がるよう期待しています。