開催10回目、サイバーセキュリティカンファレンス CODE BLUE 2022 講演みどころ

　グローバルから注目されリスペクトされるサイバーセキュリティ国際会議を毎年日本で開催する。

　当時としては、そして現在に至っても規格外である、こんな夢に取り憑かれた一人の女性が、開催を支援してくれるスポンサー探しで、都内のセキュリティ会社を訪問すると、相対した社長から「もしあなたに 10 年やる覚悟があるのなら応援する」という極めて具体的な条件をまるで刃物のように突きつけられた。

　10 年も何も、まだ開催できるかすらわからない。真意を試す緊迫したやり取りになったが彼女がひるむことはなかった。持ち前の強い視線で社長をまっすぐに見返した。後になってその質問が早い段階で自分が腹をくくる手助けになったと彼女は感謝した。その気持ちは現在も変わらない。

　その後、彼女 篠田佳奈は、セキュリティカンファレンス「CODE BLUE（コードブルー）」の第 1 回となる「CODE BLUE 2013」を東京で開催した。CODE BLUE とは医療用語で「緊急事態」。心停止などによって患者の顔が真っ青になった状態を指す。つまりまだ生きている。そこが重要である。

　篠田他の立ち上げメンバーが目指したのは、スポンサーをなるべくたくさん集めて来場者のセールスリードをざっくざくに納品するタイプの一般的商業イベントとは対極。世界各国のサイバーセキュリティ領域の天才・鬼才・多才・異才、いわゆる超エッヂかつ札付きの技術者・研究者たちが出席にしのぎを削るようなハイレベルのハードコア技術カンファレンスだった。

　今月、2022 年 10 月下旬の開催で CODE BLUE は 10 回目を迎える。開催時期調整のため年に 2 度開催した年があるから厳密に言えばまだ 10 年経ってはいないがそれは言うまい。ついにあの日社長とかわした約束が果たされるのだ。10 回の開催をふり返った篠田はそれを「奇跡」と形容した。

　2022 年 10 月 27 日（木）、28 日（金）の二日間にわたってオンライン／オフラインでハイブリッド開催される CODE BLUE 2022 の事務局 篠田に、今回の開催の見どころについて話を聞いた。

--

　第 10 回を迎える CODE BLUE はセキュリティの原点に立ち返る講演で構成される。すなわち「セキュリティホール」＝「脆弱性」をどう見つけ、どう技術的あるいは法的・政治的に管理・共有し、いかに迅速にパッチを当てるか、そしていかに自動化していくか。また、オープンソースソフトウェアの脆弱性はどのように管理していくべきか。これらセキュリティ管理の最大の柱のひとつである「脆弱性管理」という骨太のテーマに関連したセッションが複数予定されている。

　一つめはニール・ワイラーによる基調講演「サイバーセキュリティの圧倒的な課題を理解するために」である。サイバーセキュリティの世界で、攻撃者が圧倒的に有利であるとされる状況のもとで、ソフトウェア開発の視点から取り組む組織的対抗策を考えるという。

　現代のセキュリティは「Security through obscure（隠蔽することによる安全確保）」を否定することで発展してきた。あの「BadUSB」の発見者ことカールステン・ノールによる講演「5G ネットワークのハッキング」は、CODE BLUE 事務局の斉藤健一によれば、アブストラクトからはまだ詳細は明らかではないものの、オープンRAN で 5Gインフラ構築を行う欧州のキャリアから依頼を受けてセキュリティ監査を行った経験から、脆弱性を公開することが攻撃者有利に拍車をかけているかもしれない現状に対し疑問を呈する内容になる可能性があるという。これが二つめの脆弱性に関わる講演だ。

　三つめは「脆弱性と法律」という国際的にホットなテーマである。サイバー攻撃を、諜報や外国のインフラ破壊等の、外交及び戦争手段のひとつと考える国は当然、脆弱性を兵器とみなしているから、兵器をどう国家が管理するかは、政治と、ひいては法律の問題になっている。

　ちなみに「Log4J」と呼ばれる脆弱性を発見して世界に報告したのは中国企業の技術者だが、中国政府はその企業を処罰している。中国政府が当該脆弱性を国際的に未発表のままに据え置いて、諜報やサイバー攻撃に利活用する機会を失わせたことがその理由のひとつとされている。

　「パネルディスカッション：協調された脆弱性開示の現在と未来」では、合衆国からアラン・フリードマン、ヨーロッパのシンクタンクからロレンツォ・プピロ、日本からは独立行政法人情報処理推進機構の板橋博之がパネルとして参加し、まとめるのは高橋郁夫 弁護士。これ以上の人選がないほど贅沢かつバランスがとれたパネルであり、間違いなく RSA Conference USA のキーノートに放り込まれてもおかしくないような内容である。

　Airbnb の二人の女性技術者 キザイア・プラットナーとカディア・マシャールの講演「Sisyphus と CVE フィード：大規模な脆弱性管理について」は、超大規模 Web サービスの脆弱性管理の自動化への挑戦が語られるという。規模の大小に関わらず、すべてのユーザー企業の参考になるだろう。

　また、カミンスキー基金（註）の助成によって成立した研究、ジョナサン・ライチューによる「セキュリティ研究者を増強することで OSS 系脆弱性を淘汰する」は、オープンソースの脆弱性に関する新しい研究成果が発表される。

※編集部註：「カミンスキーアタック」等を発見し 2021 年に 42 歳で亡くなったアメリカ人セキュリティ研究者ダニエル・カミンスキーを記念して設立されたセキュリティ研究助成基金

　以上五つが今年の CODE BLUE の内臓ともいえるような注目セッションだ。なるべく五つ通しで聞いてメモをして、自分の考えにまとめてほしい。

　他にもいくつか注目セッションを挙げておこう。

　デジタルガレージ社による秘密計算に関する発表があり、本稿執筆時点で Web に情報がないので詳細が不明だが、取材時のコメントによれば年金や健康保険などの日本の公共サービスが持つビッグデータを、秘密計算によって安全に利活用する研究とのことで、社会的な意義とポテンシャルの高いテーマである。

　選りすぐりの精鋭が集まった CODE BLUE レビューボード内で特に評価の高かったセッションは、IIS のハッシュテーブルを研究し発見した攻撃手法を解説する、オレンジ・ツァイ「キャッシュで踊ろう-Microsoft IIS ハッシュテーブルへの攻撃」と、APT マルウェアの C&C サーバとの通信を解析した春山敬宏による「氷山全体を追跡する- 長期にわたる APT マルウェア C2 プロトコルのエミュレーションとスキャニング」のふたつだという。

　いずれも自由でオリジナルな研究ばかりで、セキュリティ管理とは実務と各種調整でひたすら擦り減っていくだけの業務などでは決してない、ということを思い出させてくれる。

　なお本誌に「朝日新聞に書ききれなかった『あの話』」の連載を持ち、「ハッカージャーナリスト」「日本のブライアン・クレブス」と ScanNetSecurity が勝手に呼んでいる朝日新聞編集委員の須藤達也による講演「偽プレスリリースの背後に『認知作戦』の影 サイバー情報戦の謎に迫る」を本誌推薦枠として挙げておく。

--

　冒頭の「10 年やる覚悟があるか」という言葉を篠田は壁にぶつかるたび思い出した。取材時に CODE BLUE の 10 年をふり返っての感想を求めると篠田は「奇跡が 10 回続いた」という言い方をした。それを「素晴らしい仲間や厚意に恵まれカンファレンスを軌道にのせることができた」そういうキラキラした話としてだけ受け取るには、それを語る篠田の視線は厳しすぎた。

　「持ち前の強い視線」と書いたが、この人物の瞳の表情は、頂点捕食者の猛禽のような眼と、反対にそれに追われる小型哺乳類のような眼が交互に循環し現れる。いずれにしても、生き残るために必要な情報は一つ残らず取り込もうと、瞳孔が限界まで大きく開いている共通点がある。

　「10 回の奇跡」と聞いて思いだしたのは、記者がどこかで読んだことがあるこんな寓話だった。細部はすっかり忘れてしまったがおおよそこういう話だったと思う。

　ある若者が大金持ちに呼び出されると、年老いた大富豪は若者にライターを手渡す。いまから 3 分以内に、このライターで 10 回連続で火をつけることに成功したら、外にあるものをお前にやると言われる。外を見るとそこには潜水艦のような豪華なロールスロイスにハリウッド女優のようなゴージャスな女性が座っている。ただし、と大富豪はもうひとつ条件を出す。10 回連続ではなく、途中もし一度でもライターの火がつかなかったら、お前の手首をここで切り落とす。篠田にとって CODE BLUE の 10 年とは、この寓話にある 3 分間が 10 年間に引き伸ばされたものだったのではと思えてならない。

　もちろん冒頭の言葉を語った西本逸郎に寓話の大富豪のような邪悪な意思は当然ない。むしろ親心でありそこには優しさ以外ない。しかし、要はそれをそのくらいの覚悟で篠田が（勝手に）受領したのではないかということだ。しかしそうしなければ奇跡は起きなかったかもしれない。

　一方で、奇跡が 10 回も連続して起こったら、そこから派生して他の奇跡も起こらざるを得ない。

　CODE BLUE のもうひとつの特長が若者への積極的な門戸開放である。「U25 枠」を設けており、今年はスロバキアと日本の参加者による講演が行われ、MAX 50 万円の研究奨励金が提供される。また、CODE BLUE は会場運営のために、学生ボランティアスタッフの募集も行っている。無給ではあるが、決して安くはない参加費を支払わずに、講演の一部に触れることができるほかレセプションにも参加して、一流の講演者や同じく一流の受講者と話をし、知り合うチャンスを得ることができる。だから約 30 名の定員に、毎年 100 名超の応募がある狭き門だ。

　かつて小学校 5 年の児童が保護者と一緒に正式なバッヂを得て CODE BLUE に参加したという。会場で話をした親切な学生ボランティアスタッフにその子は魅了され、「いつか自分も」と考え、その後学業に打ち込んだ。その小学生は今年大学に入学。ボランティアに応募して念願の CODE BLUE 学生ボランティアスタッフになった。講演の見どころとは直接関係のない余談に属する話かもしれないが、このエピソードこそ、このイベントが、そして篠田が起こした奇跡のひとつであるように思えたので記す。