昨年設立され、11月14日(木)~15日(金)に都内で大規模なイベント「 JPAAWG 2nd General Meeting 」開催を控える、JPAAWG(Japan Anti-Abuse Working Group)会長の櫻庭 秀次 氏と、同事務局の末政 延浩 氏に、JPAAWG の目的と取り組む課題、そしてイベントの見どころについて話を聞いた(聞き手:ScanNetSecurity 編集人 上野 宣)。 ※文中敬称略――ジェイピーアーグ( JPAAWG : Japan Anti-Abuse Working Group )はどんな経緯で設立されたんですか。桜庭:母体となる、ネットワークや通信環境の脅威に対抗するためのグローバル組織 M3AAWG( Messaging,Malware and Mobile Anti-Abuse Working Group )設立が 2004 年で、ご縁があって私は IIJ として、立ち上げから参加していました。やがて M3AAWG が、議論をもっとグローバルに広げたいと考えるようになり、地域ごとの分科会を作りました。最初にラテンアメリカとカリビアン地域で、次はアジア地域じゃないかと。そして、昨 2018 年に JPAAWG が設立され、さまざまなサポートをいただき無事第一回目の General Meeting を開催することができました。M3AAWG からはたくさんの専門家が来て応援していただきました。あまりにたくさん人が集まりすぎてちょっと足りなかった反省で、今年は大きめにやろうと飯田橋ベルサールファーストを去年の倍の二日間借り切って開催します。――今年は何名ぐらいの規模になるんですか。桜庭:500 名弱を想定しています。去年は定員 300 で用意して、約 400 名の参加をいただいています。今年さらに増えて 500 名規模のエンジニアが集まれば、非常に良い議論できると思っています。――目玉になるセッションはなんですか。桜庭:M3AAWG のチェアマンである Severin Walker 氏が今年も来日して、M3AAWG で議論されている内容について話をします。また、昨年にひきつづいて M3AAWG からエキスパートを招待しています。DDoS の対策の、DDoS SIG( Special interest GROUP )のチェアパーソンと、モバイル通信の業界団体 GSMA( GSM Association )Asia Pacific の技術部門のリーダー David Turkington 氏の 5G になるとどんなセキュリティの問題が起こるのかなどをテーマとして基調講演が行われる予定です。末政:今回は初心者向けのトレーニングセッションも行います。去年はなかったものです。メールやセキュリティのエンジニアを増やさないと我々にとっても死活問題ですから(笑)。メールというとすでに知っているのがあたりまえで、なかなか聞けないと言う雰囲気があります。そういう今さら聞けない系の初心者向けセッションです。―― 昔ほどメールサーバーを自分で建てるみたいなことがなくなってきましたよね。桜庭:有料トレーニングではありますが我々は営利団体ではない。営利ではなく、来場者の方の動機づけになってほしいと思っています。―― ペネトレーションテスト実施の際の必要から、僕は Gmail 宛にどうやって添付ファイルに exe をつけて送れるかどうか、めちゃくちゃ研究してるんですけど、送れた試しがありません。桜庭:M3AAWG ではその手の話をよくやっています。―― でしたら僕も習いたいことがありそうですね(笑)。末政:むしろ JPAAWG に講師としていらしてください(笑)。末政:二日目はラウンドテーブルというセッションを作って、会場に来た方々でグループに分かれてそれぞれアジェンダを決め、議論した結果をまとめて発表するという試みも初めて行います。桜庭:議論する場に JPAAWG がなればいいと期待しています。そしてそれを継続していくことによって、個々人の問題意識も上がっていくでしょうし、お互い協力できる部分も出てくるでしょう。とにかく動くということ、自分の思いを言葉にすることが大事です。そういう場に JPAAWG がなってほしい。――ラウンドテーブルの各グループの議長はどうやって選ぶんですか桜庭:モデレーターと呼ばれる、議論を喚起して調整する係を何人かあらかじめ用意します。調整役には訓練が必要で M3AAWG ではモデレーター用の専門トレーニングを別途行っています。ケンカにならないような話の進め方や、いい議論を引き出すスキルなどを技術者向けに訓練します。今年はそこまで用意はできませんが、とりあえず実験的にラウンドテーブルを実施します。どういう結果になるか楽しみです。末政:JPAAWG に集まってくる方は、ISP のような通信事業者さんや、キャリアさんの中でメールやセキュリティを担当していらっしゃる方々です。そういう実際にオペレーションしている方々が日々どういう対応をしているのか、そういうお話しはすごくウケます。桜庭:悩みはみんな同じです。メールの運用はとても難しくて、ノウハウもあって、それが共感を生むので人気があるのだと思います。―― 正しいメール、正しいメールの運用ってなんだろうと思いますね。桜庭:最近の BEC などは具体的な被害が出ています。自分たちのビジネスという視点で見るだけではなく、もっとグローバルにメールをこれからどうしていくかという意識に持っていければと考えています。事業者はユーザーを守っていかなければなりません。にもかかわらずエンジニアのモチベーションが今落ちているような気がしてならないのです。何とかしてそれを変えていきます。
