こんにちは。JPCERT/CC 国際部の中野です。2023年8月9日から13日にかけて、世界最大のセキュリティカンファレンスの1つであるBlack Hat USA、そしてハッカーの祭典とも言われるコンベンションDEF CONに参加してきましたので、その様子をご紹介します。
なお、私がカンファレンスで聴講した発表は技術的な内容のものではなく、ポリシー（法や政策）にフォーカスしたものになるため、このブログ記事でそういった国際セキュリティカンファレンスの「ポリシーサイド」を知っていただければ幸いです。

各カンファレンスの様子

Black Hat USAは1997年からアメリカ、ネバダ州のラスベガスで開催されているセキュリティカンファレンスで、マルウェアや攻撃手法、脆弱性の分析だけでなく、サイバーセキュリティに関する法律・制度、サイバーセキュリティ業界の雇用など、サイバーセキュリティについて幅広い発表が行われます。100を超える講演（Briefings）が行われ、最新のツールを紹介するためのブースが数多く設置されるArsenalと呼ばれる会場も設置される他、トレーニングも開かれます。

DEF CONも同じくラスベガスでBlack Hat USAと同時期に開催されるセキュリティのコンベンションで、今回で31回目の開催となりました。こちらもBlack Hat USA同様にDEF CON「公式」の講演が行われますが、それとは別にVillage（村）と呼ばれる、興味関心によって分かれたコミュニティーが存在します。今回のDEF CON開催の時点ではAI、航空宇宙、アプリケーションセキュリティ、自動車のハッキング、クラウド、暗号とプライバシー、ハードウェア、ICS、IoT、ブルーチーム、レッドチーム、ポリシー、ソーシャルエンジニアリング、選挙等、合計31のVillageが存在しました。各Villageには会場内に部屋が用意されており、DEF CON期間中はそれぞれの部屋で講演やトレーニング、ワークショップ、CTF、その他多様なイベントが同時進行で常時開催される形になるため、Black Hat USAよりも混沌としています。また、参加者の中にはコスプレのような恰好をしている人、（おそらく自作したであろう）光ったり動いたりする帽子をかぶっている人、さらには着ぐるみを着ている集団までおり、セキュリティに関する専門的な内容を取り扱っておきながら、会場の雰囲気は「お祭り」の様相を呈しています。

アメリカのサイバーセキュリティ関係者の興味関心

この5日間を通して感じられた、アメリカのサイバーセキュリティ関係者の興味関心として、AI、セキュアバイデザイン、Liability、プライバシー等がありました。まずAIについては、（私は技術的な面を取り扱う発表の聴講はあまりしておりませんが）、AIがテーマではない発表においても一部AIについて言及することが多く、また日本に比べ、ChatGPTを主としたAI技術をすでに業務で多く利用しているように見られました。Black Hat USAもAIについてのキーノートで始まっており、まさに今年最大のトレンドであると言わざるを得ません。直近の影響として、2024年に実施されるアメリカ大統領選への干渉の可能性があり、政府関係者の発表を中心にかなり危機感が高まっていることがうかがえました。

政策・法律面でのトレンドとしてはまず、セキュアバイデザインが挙げられます。両イベントには多くのCISA（米国サイバーセキュリティ社会基盤安全保障庁）職員を中心としたアメリカ政府関係者が参加していましたが、その誰もが口をそろえて、それこそ口が酸っぱくなるほど、一貫してセキュアバイデザインについて話し続けていました。このBlack Hat USAの期間中、ホワイトハウスはオープンソースソフトウェアのセキュリティとメモリセーフなプログラミング言語に関するRFI（情報提供依頼）を開始[1]しており、これの周知を図ることが、今年のラスベガスにおけるCISA職員の一大ミッションであったであろうことがうかがえました。「上位1パーセントに位置するテックカンパニーが（半ばデファクトスタンダードにする形で）サイバーセキュリティのルールを決めていくのではなく、ポリシー作成のプロセスを民主的に進める（democratizeする）必要がある」と会場にいる人々に対し協力を呼び掛けていたのが印象に残っています。

これに関連して、Liabilityに対する参加者の関心も高かったように感じられました。これは、ソフトウェアのベンダー等がセキュリティを考慮した開発を行うインセンティブを与えるために、業界全体でWarranty（保証・補償）ではなく、liability（責任）によって改善していこうという動きになります。Warrantyとは、セキュリティベンダーが自社製品が侵害された際に代金を返金することを指しますが、これには①そもそもセキュリティを向上する等より良い資本の使い方がある点、および②ユーザー側がベンダーの示すベストプラクティスを守る必要がある等の「利用規約」が存在する点が問題視されています。一方で、liabilityはベンダーが一定の条件（製品の仕様または製造におけるプロセス）を満たした場合に違反や罰金の対象にならないsafe harbor（安全港）を設ける制度を指します。これは先述のセキュアバイデザインに関連する法律に実行力を持たせる際に必要な概念と言えます。また同様に、ベンダーが製品の内容を説明できること（accountability、explainability）を重視する動きもあり、これはAIに関する発表でもよく使われている表現でした。

一口で「プライバシー」と言ってもさまざま

最後に、プライバシーについても人々の関心が高かったように思います。プライバシーに関する発表は大きく分けると、①一部の権威主義的な国家における監視や検閲について、ポリシー・技術両面から対策や改善ができないか議論する発表、②企業等からアメリカの消費者を保護するためのプライバシー法に関する発表、そして③アメリカ政府からの監視の対象になり得る国民を守るための活動に関する発表の3種類がありました。

まず、①一部の権威主義的な国家における監視や検閲についての発表では、一部のアメリカの大学に設置されたCitizen Clinic（市民クリニック）という取り組みの発表が非常に興味深いものでした。これは特定の権威主義的国家やグループからの監視の目をかいくぐる必要があるような個人や人権団体等に対し、低予算でも安全に活動や通信を行えるよう、ツールや知識の提供を行う取り組みで、同クリニックの「クライアント」には、権威主義的な政権下において民主主義を訴えたために刑事訴追されている団体、難民キャンプで医療サービスを提供しているものの、ナショナリストからの攻撃の危険がある団体、カルテルの支配または経済戦争が発生している地域で、自身の土地を守ろうとしている原住民を支援している団体等があるとのことでした。
発表者の所属する大学であるカリフォルニア大学バークレー校では、こうしたCitizen Clinicの活動を授業として行っており、受講する学生とはそれぞれNDA（秘密保持契約）を結び、授業で起こったことを家族・友人等外部で話すことは禁じられ、授業の成果物も学内のサーバーではなく、特定のサーバーに保存され、またクライアントとのやり取りにはエイリアス（偽名）が用いられるとのことでした。たった一つの個人情報の漏えいがクライアントと学生両方の生命の危険にも繋がりかねないため、常に “Do not make one mistake.”（一つの失敗も許されない）であると話されていたのが印象に残っています。
非常に緊張感があり責任の伴う授業ですが、学生からは「サイバーセキュリティは結果や成果が見えにくいが、この活動はそれが明確に見えるため、非常にやりがいを感じた」とのフィードバックが多く寄せられたということでした。また、Googleは今後こういったサイバーセキュリティのクリニック[2]を20の大学に拡大するために2000万ドルの援助[3]を行うと発表しており、今後アメリカの大学で徐々に広がっていくことが予想されます。

②企業等からアメリカの消費者を保護するためのプライバシー法については、今まさにアメリカの多くの州でプライバシー法が制定または改訂されている状況で、そうした法律について説明・議論する発表がありました。州単位で内容も進捗も異なるのが非常にアメリカ的ですが、現時点で13の州でComprehensive privacy laws（包括的なプライバシー法）が制定されており、今後さらに増えることが予想されます。連邦レベルでは、Children's Online Privacy Protection Act（COPPA, 児童オンラインプライバシー保護法）によって、13歳以下の子供の情報収集、利用、公開が規制されるようになりました。保守的な州では子供のプライバシーに関する同意やデータへのアクセスについて親が決定権を持つ、Parental rightsに関する法が制定される動きもあるとのことです。

③アメリカ政府からの監視の対象になり得る国民を守るための活動についての発表は非常にインパクトがありました。DEF CONのとある発表では、人工妊娠中絶が違法となったアメリカの州において、人工妊娠中絶を必要とする女性およびそういった人々を支援する個人・団体に対して、オンラインでの監視を免れるための技術的サポートを行う団体が、その活動内容を紹介しました。
アメリカでは1973年に最高裁が人工妊娠中絶を禁止するのは違憲だという判断を下し、以後約50年間、女性の人工妊娠中絶の権利は認められていましたが、2022年6月にこの決定が覆されたことで、保守的な13州において、人工妊娠中絶が違法となりました。発表者によると、こうした州では人工妊娠中絶を計画している女性を取り締まる目的で、インターネット上でのやり取りが監視され、SNSを運営する企業やISPが実際に警察にデータを提供しているとのことでした。実際にある女性が妊娠をし、人工妊娠中絶をしようと計画をしていたところ、ある日突然警察が家のドアのノックする、といった事例が発生しているとのことでした。
発表者は、こうした州において人工妊娠中絶を必要としている女性、およびそういった女性に支援の手を差し伸べようとしている個人・団体に対し、インターネット上のやり取りを監視されないための技術提供をしており、これを監視自己防衛（surveillance self-defense, SSD）と呼んでいました。また、こうした活動を行うにあたり、過去のDEF CONに参加することで、非技術者の発表者自身が必要な技術的知識を他の参加者から教えてもらえたとして、DEF CONというイベントおよびコミュニティーを高く評価していました。
また、FBIの職員が講演をしている部屋のすぐ近くの部屋でこうした発表が行われており、「ハッカーの祭典」とも呼ばれるDEF CONというイベントの「カオスさ」を非常によく体現していました。

ただのカンファレンスではない、コミュニティーだ。

Black Hat USAおよびDEF CONの多くの発表、とりわけプライバシーに関する発表からは、個々人の人権を守ろうという意識、特にマイノリティや弱き者を見捨てない姿勢が見られました。これは両イベント全体の雰囲気にも言えることで、多様な個人が参加できるよう配慮がなされていました。Black Hat USAでは、女性やマイノリティがサイバーセキュリティ業界により多く参加するための施策について議論する発表もあり、また、会場には子供を預かるスペースや礼拝のためのスペースが用意されていました。また、DEF CONはそのCode of Conduct（行動規範）にWe do not condone harassment against any participant, for any reason. （私たちは、いかなる理由であれ、いかなる参加者に対するハラスメントも容認しません。）と掲げられており、あらゆる人々を受け入れることを最重要視しています。また、会場の男性トイレには生理用品の入ったバスケットが設置されており、これは（トランスジェンダーの男性等）すべてのジェンダーに配慮したものである旨記載がありました。日本でトランスジェンダーとトイレの議論がなされる際、無意識のうちに女性トイレの話になってしまっていますが、これは全体の50%しか見えていないことに気付かされ、日本ではなかなか気付けない私自身の視野の狭さを実感しました。こうした知見は今後、JPCERT/CCや、JPCERT/CCが関わる国内外のコミュニティーがカンファレンス等のイベントを開催する際にも活用していきたいと思います。
このようにBlack Hat USAもDEF CONもただのカンファレンスやコンベンションではなく、すべての人を受け入れ、学び合い、楽しむ、「コミュニティー」としての性質が強いように感じられました。これは心持ちの問題ではありますが、来年以降両イベントに参加される方は、ただ「カンファレンスを聞きに行く」のではなく、「このコミュニティーに参加している」という意識で臨むと、会場の空気から吸収できるものが増えるかもしれません。以上、Black Hat USAおよびDEF CONの参加レポでした。ここまで読んでくださりありがとうございます。

国際部　中野巧

参考情報

[1] THE WHITE HOUSE
Fact Sheet: Office of the National Cyber Director Requests Public Comment on Open-Source Software Security and Memory Safe Programming Languages 
https://www.whitehouse.gov/oncd/briefing-room/2023/08/10/fact-sheet-office-of-the-national-cyber-director-requests-public-comment-on-open-source-software-security-and-memory-safe-programming-languages

[2] Google.org
Google Cybersecurity Clinics Fund Investing in America's cybersecurity workforce
https://cyberclinics.withgoogle.com/

[3] CYBERSCOOP
Google announces $20 million investment for cyber clinics 
https://cyberscoop.com/google-investment-cyber-clinics/