PR

 セキュリティ・エンジニア向けのイベント「Black Hat Japan」が10月5日に始まる。日本での開催は今年が5回目。Black Hatの創始者であるジェフ・モス ディレクタに,Black Hat Japanの見所や今後のBlack Hatの方向性について聞いた(メール・インタビュー)。

Black Hatはセキュリティ・エンジニアの間ではよく知られたイベントですね。ただ,専門家や研究者以外には縁遠い印象があるのですが。

 そんなことはありません。Black Hatのメイン・ターゲットは企業の中でセキュリティを担当する方達です。私たちは1997年に,研究者のほか,クラッカー(悪意あるハッカー)などが多く参加するDEF CONというイベントから独立する形でBlack Hatを立ち上げました。理由は,企業のセキュリティ担当者が参加しやすいイベントを設けるためです。

 当時,コンピュータ・セキュリティ関連では仕事がどんどん増えていて,多くの企業がセキュリティ関連で経験を持つ人材を探していました。ただDEF CONは,それこそ研究者などに閉じた狭いコミュニティの印象が強かった。だから,もっと会社に旅費を請求しやすくなるようなプロフェッショナルな響きのイベントにしてほしいという声がたくさんあって,DEF CONのプロフェッショナル版,つまりもっと企業向けにフォーカスした,実践的なカンファレンスとしてBlack Hatを立ち上げることにしたわけです。

-エンドユーザーも対象になりますか。

 はい。今のところは,参加者は技術系の開発者やエンジニア,セキュリティ専門家,CTO(最高技術責任者)がほとんどです。ただ,IT分野では広範囲にわたってセキュリティ対策が必要になります。あらゆるビジネスプロセスでセキュリティが必要になると言ってもいいでしょう。今後は,参加者層はもっと広がっていくと思っています。

 Black Hatにはブリーフィングとトレーニングがあります。ブリーフィングはその時々で異なる様々なコンテンツが売り物です。トレーニングでは,特定のトピックについて深い知識を得ることができます。

 特にトレーニングは規模がどんどん拡大していて,開始当初の2コマから,今では50コマ以上のテーマがあります。参加者数も,この数年はブリーフィングよりもトレーニングの方が速いペースで増えています。

Black Hat Japanの見所はどんな点でしょうか。

 今年のBlack Hat Japanは,とりわけコンテンツが充実しています。例えば基調講演は,今年の夏以降話題になっている「DNSキャッシュ・ポイズニング」のぜい弱性を見付けたダン・カミンスキー氏です。

 ほかにも,アリアン・エバンズ氏の「ビジネスロジックに隠された脆弱性を使い,高度なハッキングスキルを使わずに犯罪者がどのように資金作りをしているか」,米マイクロソフトのブルース・ダン氏による「OSのセキュア化およびMicrosoft Officeのドキュメントを使っ た攻撃についてその検知方法と防御方法」,長谷川陽介氏による「旧世代のソフトウェアシステムを、ユニコード変換を使ってオンライン化すること による問題点について語る『趣味と実益の文字コード攻撃』」など,多岐にわたるプレゼンテーションがあります(ブリーフィング詳細の発表資料)。

 Black Hatはセキュリティ研究者や現場のエンジニアが“いま”経験していること,そしてその先に見えてくることを映し出す“鏡”だと思っています。講演者の視点を通じて,我々は将来を感じ取ることができます。実際,私たちがいま経験している巧妙な攻撃は,Black Hatの講演者たちによって既に予測され,プレゼンテーションされてきました。驚きがあるとすれば,犯罪者がこのレベルに達するのにどうしてそんなに時間がかかったのかということくらいです。企業のセキュリティ担当者には,ぜひ,ブリーフィングに参加して,今後の傾向をつかんでほしいと思っています。

-今後,Black Hatをこうしていきたいというアイデアはありますか。

 今はまだセキュリティ・コミュニティは比較的狭い範囲に閉じたコミュニティになっています。セキュリティの専門家はBlack Hatを知っているでしょうし,我々はそういう方々に,他の専門家と出会い,意見交換できる場を提供してきました。Black Hatはテクニカルであると同時に,社交の場でもあり,どちらも専門家には重要です。

 ただ,この交流の規模をもっと広げたい。今年は,Black Hat Japanに続けて,AVTokyoという交流会を設けました。以前はBlack Hat参加者向けのプライベートな交流会でしたが,今回から公開イベントにしました。こうしたことを通じて,セキュリティ・コミュニティをもっとオープンで,ポジティブなコミュニティにしていきたい。Black Hatが,そのトレンドの一端を担えたらと思っています。

 さらに,特化型のイベントの殻を破って,Black Hatをもっとコミュニティを意識したものに変えていこうと思っています。まず,月1回の無料Webセミナーを公開し,これにセキュリティ・フォーラムやインタラクティブな仕組みを加えていきます。

 例えば2008年のBlack Hatでは,参加者のレビューや満足できたプレゼンテーションの投票をしやすくする仕組みを設けました。来年はこれをもっと強化します。新しいセキュリティ・フォーラムを立ち上げて,専門家がカンファレンス以外の場でも交流を続けやすくなるようなツールを提供するつもりです。