特に協会設立直後に発生したCoinhive事件を継続的にサポート、クラウドファンディングによる裁判費用の支援等を行ったことは記憶に新しい。その後Coinhive事件は裁判で無罪を勝ち取った。もし日本ハッカー協会が存在していなかったら、もっと別の暗い未来があったかもしれない。
2月6日(木)17:50から東京会場で開催される Security Days 2020 での講演「公衆無線LANを使ったフィッシング」を控えた日本ハッカー協会 杉浦 隆幸 代表理事と、同協会 堤 大輔 理事に、2年弱の日本ハッカー協会の活動の成果と、今後の展望について話を聞いた。
――本日はお忙しいところお時間いただきありがとうございます。さっそくですが日本ハッカー協会についてあらためてミッションなどを教えていただけますか。
堤:協会を設立した目的は、「日本のハッカーがもっと活躍できる社会をつくる」ということです。ハッカーという言葉は、以前から複数の意味で使われることが多かった用語ですが、2010年ごろからマスコミなどが、正義のハッカーをもてはやす風潮が顕著になってきました。
杉浦:しかし、現実の業界をみると、日本において本当にそんな扱いになっているか? 活躍しているのか? という疑問があります。我々も協会設立時に大手企業に説明にあがったとき「『ハッカー』協会という名前を変えたら協力する」といった反応が少なからずありました。
――「ハッカー甲子園」お取りつぶしの頃と変わらないレベルの認識がいまも存在するということですね。
堤:問題は2つあると思っています。ひとつは今述べた、就職、キャリア形成の問題です。たとえば、セキュリティキャンプでペネトレーションテストに素晴らしい能力を発揮した学生が、大手に入社できたとします。しかし、そこに立ちはだかるのはジョブローテーションの問題です。待遇は悪くないかもしれませんが、入社後の配属先が総務部だったり、営業を経験させられたり。入社とともに優秀な人材が元気を失ってしまう。
もうひとつの問題は、ハッカーと呼ばれる人たちが、法的な理由でトラブルに巻き込まれたり警察に検挙されたりすることです。日本の場合、司法の判断によってサイバー犯罪の基準が変わってくることがあります。警察もスキルレベルがまちまちです。そのため、脆弱性の研究、マルウェアの研究など、いままで問題なかった研究やグレーゾーンの研究が、ある日突然、摘発されたり、一斉検挙の対象になったりします。警察のKPIに検挙率があるのも問題といえば問題です。
――セキュリティ月間が、本来の主旨とは離れて、検挙件数のポイントかせぎになっていないかという声があります。取材をしていて、まるで年度末のスピード違反検挙の口実になっている交通安全運動みたいだ、という意見を聞いたことがあります。
杉浦:そのことについて私は一切知りませんが、グレーゾーンの厳格な取り締まりや過剰な取り締まりで問題なのは、検挙され前科がつくと、一般的な企業の場合、それだけで採用の道が閉ざされてしまうことです。そうなると、才能のある人材が、アンダーグラウンドに生活の糧を求めざるを得なくなります。こういった負のスパイラルは絶対に避けなければ。
日本ハッカー協会の設立の目的、活動ミッションである「ハッカーが活躍できる社会」というのは、この2つの問題を解決することでもあります。活動内容の、人材紹介は、セキュリティに関する求人と、会員が登録したスキルや実績の情報をマッチングさせ、転職やキャリアアップを支援しています。
人材紹介は営利活動になりますが、その収益は、ハッカーやエンジニアが検挙された場合の弁護士費用を負担する活動にも利用されます。
――Coinhive事件やアラートループ事件で行った支援活動ですね。あれはクラウドファンディングの形でしたね。
堤:はい。設立は2018年ですが、認可の関係で日本ハッカー協会の人材事業が正式にスタートしたのは2019年の頭からです。あのときは弁護士費用にあてる収益がなかったので、やむを得ずクラウドファンディングの形をとりました。
――セキュリティ系人材紹介は、大手キャリア企業も力を入れている領域かと思います。一般的な転職サイトなどとの違い、優位性みたいなものはあるのでしょうか。
杉浦:法人会員や求人したい企業は、正会員や協会の目利きによる人材が期待できると思っています。大手企業の人事担当者は専門知識やスキルが限られますが、協会経由の就職・転職の場合、現場や実際の経歴に応じた精度の高いマッチングができると思っています。「〇〇コンテストで優勝」「××CTFで何位」といっても、さまざまなレベルがありますが、協会はその判断ができるからです。
また、登録は基本的にオンラインで完結し、多くのキャリアサービスにあるような登録時面談がありません。
――面談なしは、人材の評価に影響ないですか?
杉浦:ありません。理事や正会員は実際の企業でセキュリティエンジニアや研究者として働いている人ばかりですので、資格や前職の肩書だけで機械的に評価・判断することはありません。エンジニアの場合、面談する側に十分な知識や経験がないと正しい評価は難しいと思います。我々は実際に顔を合わせるよりも高い精度で、登録者の実力を見抜くことができていると思っています。
大手のキャリアサービスの場合、大卒以上や35歳以下などの各種制限で、才能や実績の有無にかかわらず、実質的にマッチングできないという問題があります。協会は、高卒でも35歳以上でも、スキルは高いが引きこもって就職したことがない人でも、企業を紹介できます。
堤:登録時に面談を行わない理由はあと2つあります。ひとつは登録に面談を必須にしてしまうと、当協会がある東京近辺に在住している方しか登録することができません。これでは、「日本のハッカーがもっと活躍できるようにする」という当協会の設立の目的を果たせなくなってしまいます。
もうひとつの理由は、エンジニア自身が転職を行うときに、技術がわからないキャリアカウンセラーの方に、面談時にセキュリティ技術を説明する事に対して、少なからず苦痛に感じている可能性があるということです。これは当協会を通じて転職していただいた登録会員様の転職エントリーにもそのような記載がありました。
参考記事:フォレンジックの会社を辞めてCSIRTの人になった
この記事に対するSNSの反応を見ると「技術がわからない人に技術の説明をすることなく転職したい」という潜在ニーズは思いのほか高いのではないかと感じています。
――登録する人はどのような人が多いですか?
堤:セキュリティ業界に就職したい、転職したいという人が基本ですが、求人情報が必要ないという人も登録できます。弁護士費用の相談をしたい、支援を受けたいという人も登録可能ですし、初心者でも問題ありません。また、企業によってはこれから育成する人材を募集することもあります。必ずしも高いスキルと経験が求められる訳でもないのです。
――話が尽きないのですが、 Security Days 2020 ではどのような講演をされる予定ですか?
杉浦:Wi-Fiについて講演する予定です。Wi-Fi6がリリースされましたが、WPA3、エンハンスドオープンのようなセキュリティ機能が実装され、保護が強化されますが、それにともなってベストプラクティスも変わってきています。これらのポイントをまとめたいと思っています。
フリーWi-Fiについては、簡単なデモで、どの程度、情報が盗られるのか、悪魔の双子と呼ばれる攻撃、キャプティブポータルの悪用なども紹介します。オリンピックでは、Wi-Fiサービスが増えると思いますが、対策はどうすればいいかのヒントになればと思っています。
――ありがとうございました。今後のご活動、メディアとして微力ながら応援できればと思っています。
●「公衆無線LANを使ったフィッシング」一般社団法人日本ハッカー協会 代表理事 杉浦 隆幸 氏講演
【大阪会場】1月31日(金) 13:30-14:10 残席僅
【東京会場】2月6日(木) 17:50-18:30 残席僅
とっていただいた代表理事。ありがとうございました
