昨日、「16歳の高校生です。よろしければセキュリティ甲子園延期について質問に答えてください。」という表題のメールが来た。その内容は、スラッシュドットでセキュリティ甲子園の延期を知ったとのことで、「高木様がセキュリティ甲子園を延期するように経済産業省のほうに言ったということを耳にしたのですが」というのだ。なんでここで私が出てくるのだ?
スラッシュドットを見に行ってみると、「セキュリティ甲子園が来年に延期」というストーリーがあり、「高木ひろみちゅ先生のゴネゴネ攻撃らしいですが」などと書かれている。
「ゴネゴネ」の意味がわからないが、私が「経済産業省に働きかけをしたか」ということで言えば、そのような事実は一切ない。
そもそも、産総研の研究員に経済産業省の役人さん達がそうしたことで相談してくるということはまずもってない。関係機関であるはずでありながら、両者はそういう関係にないのだ。同様にこちらから役人さん達に働きかけようと思っても、そのようなチャネルは存在しない。
それ以前に、経済産業省に働きかけするほどまでにセキュリティ甲子園は実施してはならないとする考えが、私にあるわけでない。
スラッシュドットによると、話のソースは東京新聞の記事なのだろうか。だが、私は、これとは異なる考えを持っている。せっかくなので、私の意見を書いてみるとする。
まず、世の中のセキュリティ対策を実のあるものとするにあたって、優先しなくてはならない課題と私が常々考えてきたのは、一般の人々の頭の中から「『ハッカー』という虚像」を払拭することだ。
このことについて、昨年9月の日経ネット時評で次のように書いた。
「ハッカー」という虚像
これらのファイル流出事故の報道では、たびたび、「不正侵入されたのが原因」とする当事者の言い分が伝えられた。ある事例では、「何者かが暗証番号がなくてもアクセスができるようプログラムを書き換えたらしい」という具体的な原因を示唆するコメントも伝えられた。...(略)
では、なぜそのような知識に欠ける担当者が、「プログラムを書き換えられた」という発想を持ってしまうのだろうか。これは、世のかなり広い層の人々の間に、「ハッカー」という得体の知れない虚像が広まってしまっているためではなかろうか。「ハッカーは人知を超えた高度な技術で攻撃してくる」、「ハッカーなら何でもできてしまう」といったイメージを持つ人は多いはずだ。「ハッカーの攻撃を防ぐことは無理」と端からあきらめている人もいるかもしれない。
なぜこのような虚像が生まれてしまったのか。ひとつにはこれまでのマスメディアの報道に原因があったと筆者は見る。しばしば新聞紙面を踊る「ハッカー攻撃」、「ハッカー被害」などの文字。「ハッカーとは元々は高度なコンピュータ技術を持つ人の尊称だ」とする意見もある中で、日本語の文法的にも奇異な「ハッカー被害」などという言葉が繰り返し使われるのは、それ以外の表現手段を報道側が持ち合わせていないのであろう。「他の言葉を使っても読者が理解できないからだ」という理由もあるかもしれない。しかし、いずれにしても、「何だか実態は不明だがとにかくいわゆる『ハッカー』の仕業」という程度の意味で使われている。こうしたことの繰り返しが、消費者に、企業担当者に、そしてマスメディア自身にも、「ハッカー」という虚像を当たり前のものとして定着させてしまったのではないだろうか。
そのおかげで、昨今では、何でもハッカーの仕業とすれば責任を免れられるという思い込みが生まれているようにも思える。5月の漏洩事故では、...(略)
「ハッカーの攻撃を防ぐことは無理と端からあきらめている人」については、実際に思い当たる人物がいて書いたものだ。私があるWebアプリケーションの発注者側の立場にいたとき、元受業者に対して、ずさんな欠陥ぶりを指摘したところ、営業担当者は苛立ちながらこう言い返してきた。「お客様はどのレベルまでのセキュリティをお求めですか?」と。指摘した欠陥は、アクセス制御が全くなされていない最も初歩的なパターンだったのに、その営業は、私が特殊な能力を持っているからそれができていると理解したようだった。
同様の発想は金融機関にさえ見られる。以下のように、ハッカーによる攻撃は不可抗力であり、責任は負えないとしているのだ。
Q インタ−ネットを利用するとセキュリティが心配なのですが?
A SSL(128bit)を採用し、お客様の重要な情報を保護するために世界標準のインターネット暗号技術を使用しセキュリティ対策を行っています。
しかし、インターネット上の内容は完全な専用線接続と異なり、技術的に他(サイバーテロ:ハッカー、クラッカー等の不可抗力)に漏洩する危険性はあります。
当組合では当該情報セキュリティに関し責任を負いかねますのでご了承ください。
○ご注意
当行では、お客様が入力されました店番・預金口座番号・暗証番号等は機密面での配慮を、最新技術により最高度にセキュリティを確保しております(SSL128ビット暗号化や電子認証等)が、インターネット上の内容は完全な専用線接続と異なり、技術的に他(サイバーテロ:ハッカー、クラッカー等の不可抗力)に漏洩する危険性はあります。当行では当該セキュリティに関し責任を負いかねますのでご了承ください。
セキュリティ対策として真に必要なのは、個別に作りこまれたシステムの脆弱性監査であるわけだが、それにかかるコストの価値を評価しない経営者が多いために、監査業の需要は十分に喚起されていないという話をよく耳にする。監査の価値を感じない理由のひとつに、「どんなに対策したってハッカーには歯が立たない」という思い込みもあるのだろうと、私は考える。
だからこそ、「ハッカーという虚像」をまず払拭しなくてはならないのだ。
欠陥のあるシステムはザラに存在し、それを不正に利用する手順がいとも簡単なものであることが少なくない。「侵入」は誰にだってできる。神業ではないのだ。単に手順を知っているか知らないかでしかない。
「高校生ハッカー」と聞いて一般の人は何をイメージするだろうか。おそらく、「若人の柔軟な頭だからこそハッカーぶりを発揮できる」とイメージするだろう。
セキュリティ甲子園の開催が発表されたとき、新聞でどのように報道されたかを見れば、一般の人が、ハッカーにどのようなイメージを抱いているかを窺い知ることができる。たしか最初の報道は朝日新聞のこの記事だった。リンク先は既に消えているので、同じ記事と思われるものを探してみたところここにあった。引用すると、
ハッカー顔負けのコンピューター知識や技術を持った若者を発掘し、優秀な開発者に育てる――。 こんな狙いから経済産業省はこの夏「第1回セキュリティー甲子園」を開く。全国の高校生、専門学校生の20チームが、お互いのサーバーに侵入する腕前を競い合う。優勝者はコンピューター研究で有数の米カーネギーメロン大やダートマス大に留学させる計画だ。 ...
大会を通じて優秀な人材を集め、英才教育を受けさせることで、ソフトウエア産業の国際競争力をつけるねらいだ。
とある。
朝日新聞のIT関連記事は素人同然であるので、これが本当に経済産業省の考えを正しく表したものかどうか疑わしい。しかし、いずれにせよ、一般の人が「ハッカー甲子園」をこのように受け止めたという点が重要である。
そもそも、「セキュリティ甲子園」という名称なのに、どこの新聞でも「ハッカー甲子園」という表題で報道しているのが、なぜなのかを考えてみるとよい。朝日新聞と違ってITに詳しい記者もいる共同通信でさえ、「「ハッカー甲子園」8月開催へ 経産省、国主催は世界初」と報道している。専門家の集まりであるスラッシュドットジャパンでさえ、編集者がセキュリティ甲子園のことを指して「ハッカー甲子園」と書き、指摘されて訂正している。それでもなお、その編集者は「間違えた訳ではありませんが、指摘はもっともなので」と訂正している。専門家から見てもこれは「ハッカー甲子園」で間違いないのだ。
なぜこうもわざわざ名前を取り違えて扱われるかというと、「セキュリティ甲子園」という名前が、どうにも据わりの悪い名前からだろう。そもそも「セキュリティ」という言葉は非常に広範な意味で使われる言葉で、最低でも「情報セキュリティ甲子園」という名前にしないと正しくない。当然そのような名前は語呂が悪いので採用されない。最初から「セキュリティ甲子園」や「セキュリティスタジアム」という名前で考え出すはずもなく、意識的にであれ無意識的にであれ、最初に頭にイメージした名前は「ハッカー甲子園」であり「ハッカースタジアム」であるはずだ。「ハッカー甲子園」ではマズいことを認識しているから、代替名として「セキュリティ甲子園」ということになる。そのことは世間の人々に見え透いているから、いくら「セキュリティ甲子園です」と言っても、「ハッカー甲子園」と呼ばれてしまう。
「ハッカー甲子園」では何がマズいのか。「『ハッカー』という言葉はいろいろな意味で使われているから」という理由だけではなかろう。たしかに「ハッカー」は昔から多義的な言葉だ。ハッカー達はその多義性を楽しんでハッカーという名称を使ってきただろう。だが、「甲子園」という別の言葉と結びつくことで、多義性は失われ、セキュリティホールを突く技術を持つ者という意味に収束するのであり、言葉の多義性が理由ではなかろう。その競技が世間に批判されることを予想できているがゆえに、あくまでも「セキュリティ甲子園」でなくてはならないのだろう。
実際、セキュリティ甲子園で予定されていた内容を見てみると、
競技の実施に先立ち、情報セキュリティのルールやモラルについての有識者からのセミナーや、一線で働く企業の方々等とも懇談の機会を設けることにより、情報セキュリティに対するバランスのとれた理解や、セキュリティを守る現場についての認識を深める機会を提供します。
と、競技そのものよりもこうした点が重要だとする気遣いが見て取れる。
これが中止と報道されると、「防衛のためには攻撃の方法を学ぶのが不可欠だというのがどうしてわからないのか」といった反発の声が多数出ていた。「防衛のために攻撃方法を学ぶことが不可欠」というのは、独立した論理としては真であるが、次の必然性を説明するものにはなっていない。
なぜ高校生に学ばせることに世間が関心を持つかといえば、「ハッカーの養成は若いうちからやる必要がある」という思い込みがあるからだろう。主催者にその考えがあったかは知らないが、少なくとも朝日新聞はそのように報道している。
ハッカー顔負けのコンピューター知識や技術を持った若者を発掘し、優秀な開発者に育てる――。こんな狙いから経済産業省はこの夏「第1回セキュリティー甲子園」を開く。
大会を通じて優秀な人材を集め、英才教育を受けさせることで、ソフトウエア産業の国際競争力をつけるねらいだ。
「リナックスのように、革新的なソフトを開発するスーパーハッカーが、大会から生まれてほしい」と期待を込める。
高校生ハッカーが世間を騒がす事件がかつては多発していた。これは、頭の柔軟な高校生だからハッキングできたというわけではなく、社会性のない、あるいは失うものがない、もしくは、法やモラルに対する認識が不十分な者が犯しやすい行為であるがため、発生率が高いというだけだろう。たいていの成人の技術者は、侵入方法を知っているが、行使していないというだけだ。
そもそも、システムの開発に携わる技術者は、どういう欠陥を作ってはならないのかを知っている。知っていなければまともなシステムを作ることができない。
技術を全く知らない人達からすれば、テレビや携帯電話やコンピュータがどうして作れるのか不思議でならないだろう。作り方が全くわからない人からすれば、セキュリティホールを突くハッカーが天才のように思えてしまうかもしれないが、実際はそれとは違う。
正しいシステムの作り方や、正しいシステムの設定方法の習得は、知識の積み重ねであって、天才的センスを必要とするものではない。誤解を恐れずに極端に言えば、詰め込み型の教育で可能なことだろう。
ただし、ここまでの話は、既知のセキュリティホールを突いたり埋めたり、作らないようにすることの話だ。未知のセキュリティホールを見出すことには、独特のセンスが必要であり、若い人材を発掘することにも意義があるだろう。ただし、ここで言う「未知のセキュリティホール」とは、既知のパターンの未知の穴(例えば、製品に存在する典型的なバッファオーバーフロー穴など)のことではない。未知のパターンの穴のことだ。個別システムにおける設計上の弱点を探すのにも、独特のセンスが必要だ。
そうしたセンスを持つ人材を育てることは急務であるが、競技会というスタイルでそれを発掘するのは無理がある。少なくとも、「セキュリティ甲子園」の競技ルールは、そうしたセンスを引き出すものではないだろう。セキュリティ甲子園の概要には次のような競技だと説明されている。
(2) 事務局から提供される「安全なサーバー構築の手引き」を参考にして、実施日までに、このサーバーを可能な限りセキュアなものとするための設定を練習していただきます。
(3) 実施日には、当該サーバーは一度クリーンアップします。参加者は、練習の成果に基づき、再度、「安全なサーバー」を構築していただきます。自分のサーバーを守りきると同時に、他の参加者のサーバーの脆弱性を探索することによってポイントが得られます。相手方から自らのサーバーのセキュリティホールを探索された場合には、それを検出し、復旧させるスキルを試されることとなります。
このタイプの競技は、かつて存在したコミュニティ「電脳火消隊(Firewall Defenders)」で「運動会」と呼ばれていたもののように、日ごろ蓄えたテクニックを披露したり試すというお楽しみ会のためには適合しているが、人材発掘目的には無理がある。
毎日新聞の報道によると、
来年度は、セキュリティーを含めたITの幅広い分野を競技対象にする予定で、「与えられた制約条件の中で最高の性能を発揮するプログラムをオープンソースで開発するコンテストなど、技術の悪用が強調されにくい形」に変更される予定だ。
とあるが、それはもはや、普通のプログラミングコンテストであって、上に述べたセンスを有する情報セキュリティの人材を育成するものではない。後退しすぎだ。
私は、「裏をかくセンス」や「裏をかいて先回りするセンス」を磨いたり発掘する何がしかをやったらいいと思う。専門的な知識を前提とせずにこれらのセンスを引き出す、面白い競技は考えられないものだろうか。
このように、セキュリティ甲子園は必然性に欠けていたにもかかわらず、その一方で、世間の人々に「ハッカーという虚像」をますます増長させる結果をもたらした。朝日新聞の報道には、
学校の教師や専門家から「学校のセキュリティーが破られたら困る」「防衛庁がハッキングされたらどうするのか」などの抗議が相次いだ。
とある。こうした抗議は、(ある一面で)頓珍漢なものであるが、経済産業省がこのようなイベントを発表したことで、「やはりハッカーとは高校生から発掘しなくてはならないような天才で、不可抗力を生むものだ」という虚像が拡大した結果だろう。
この虚像の拡大はイベントを中止したところで消えるものではない。計画を発表した時点で虚像は拡大してしまった。
今後の経済産業省に期待したいのは次の点である。
「平均的な人材を詰め込み型教育で確保」というのは、なんともつまらないことのように思えるかもしれない。「セキュリティ技術者を「憧れの職業」にするには?」にあるように、「子どもの夢にはならないセキュリティ技術者」という問題を解決したい中で、このように「詰め込み型で」とするのは、夢を打ち砕く話のように聞こえるかもしれない。だが、だからといって、「ハッカー(穴を突ける人)=憧れの的」であってはならないのだ。この記事の中でキムタクの話が出てくるが、これは基本的にはジョークであるが、あり得ない例を示すことで、「カッコいい」では解決しそうにないことを示唆した発言でもある。
7月7日の毎日新聞の記事にはこう書かれていた。
セキュリティ甲子園に関しては、高校生による「ハッカー甲子園」になりかねず、教育上の疑問を上げる声もあるが、同省では「守る技術がしっかりあることが前提で、攻撃だけでなく、全部の要素が入っている。イベントを通じて、セキュリティーを守るということはどういうことかを分かりやすく説明したい」としている。
また、現在のセキュリティ甲子園事務局のページには、次のように書かれている。
競技会当日には、専門家からの情報セキュリティに関するルールや心構えについてのレクチャーなど、健全な情報社会を構築する担い手を育むための教育プログラムも予定しておりました。
つまり、参加者には心構えをきちんと教え込むから問題ないということを説明しているのだろう。しかし、参加しない者にはそのレクチャーは届かない。参加しない者には、「日本政府が高校生向けハッカー甲子園を主催するほど、ハッカーとはそういうものなんだ」という理解だけが残る。
「専門家の集まりであるスラッシュドット」と書いたことについて、28日の「k3cの日記」などで、「そうではない」と話題になっている。「専門家」という言葉の定義にズレがあったようだ。朝日新聞の「ネット最前線」がコンピュータ利用の素人と言いたいのに対比させるために、スラッシュドットをコンピュータ利用の「専門家」と表現したのだった。撤回して、「ハイテクオタクの集まりであるスラッシュドット」としましょうか。これに対比するなら朝日新聞のネット最前線は、「デジタルデバイドの負け組」といったところか。
ところで、最初の朝日新聞の報道を読み返してみると、改めてそのデジタルデバイドぶりにあきれてしまう。
ハッカー顔負けのコンピューター知識や技術を持った若者を発掘し、優秀な開発者に育てる――
「ハッカー顔負けの」ということは、朝日新聞ネット最前線の人達からすると、「この世で最高のコンピュータ技術を持つ者はハッカー(侵入技術を持つ者)である」という認識らしいことがうかがえる。ここで「ハッカー」が「寝食を忘れてソフト開発などに没頭する人」のことを指しているとは思えない。そうならば「顔負け」とは書かないだろうし、「開発者に育てる」と続けないだろう。「ハッカーという虚像」を払拭するには、こういうデジタルデバイド新聞に梃入れすることから始める必要がありそうだ。まずは、いかなる意味であれ「ハッカー」という言葉の紙面での使用を禁止したいが、どうにかならないものか。
それにしても、どうして最初の報道は朝日の単独だったのだろう? 私なんぞは、こういったレベルの新聞社から取材が来るかもしれないと思うと、徴兵の召集令状を待つかの如くガクガクブルブルしてしまうのだが。
ところで、
来年度の実施に当たっては、例えば、与えられた制約条件の中で最高の性能を発揮するプログラムをオープンソースで開発するコンテストなど、
この場合の「オープンソースで開発する」というのは何を意味しているのだろう? プロプライエタリなプログラミングコンテストってのがあり得るのか?
たしか最初の報道は朝日新聞のこの記事だった。リンク先は既に消えているので、
と書いたが、別の場所にまだ掲示されていた。「ハッカー」の用語説明がついている。