1. 情報セキュリティブログ ホーム
  2. ITスペシャリストに聞く
  3. 三輪信雄のセキュリティ・ブートキャンプ(後編)

三輪信雄のセキュリティ・ブートキャンプ(後編)

いたずらっ子、世にはばかれ!
本当のハッカー文化を育てるために

前編では「いたずら少年」だった三輪さんがセキュリティ・ビジネスにおいてご活躍されるまでの経緯を振り返っていただきました。後編では、三輪さんが実行委員長を務められている「セキュリティ・キャンプ」のお話とともに、三輪さん独自の「ハッカー論」についてもうかがっていきます。
何が善で何が悪なのか?価値観は時代とともに変わるもの...。→前編はこちら

三輪信雄

三輪信雄氏

株式会社ラックにて、1995年より情報セキュリティビジネスを自ら立上げる。2003年株式会社ラック代表取締役社長就任、2007年辞任。現在は情報セキュリティコンサルタントとして情報セキュリティ対策事業を推進している。内閣官房情報セキュリティポリシーガイドラインWG委員を始め様々な委員を歴任。情報セキュリティ文化賞2005(個人)、経済産業大臣賞2005(ラック)などを受賞。著書に「セキュリティポリシーでネットビジネスに勝つ」(NTT出版)「ネットビジネスのセキュリティ入門」(日経新聞社)など。

幻の"ハッカー甲子園"とは?

★セキュリティ・キャンプについて教えていただけますか?

―経済産業省と(財)日本情報処理開発協会(JIPDEC)が行っている青少年のためのセキュリティ・イベントです。< http://www.jipdec.jp/camp/index.html > ひとことでいえば、ティーンエイジャーの交流の場です。一流の講師陣が最新の技術を教える。講師陣は、ほぼボランティアで参加しています。あれだけのコンテンツ内容のセミナーを普通にやったら途方もない費用になるでしょうね。それくらいクオリティの高いセミナーで、技術を徹底的に学ぶ。学ぶだけじゃなくて、学生同士の人脈を育てる。掲示板でいくら仲良くなっていたってだめなんです。一緒に寝泊まりして、学んで、リアルで会うことの大事さがわかる。そういう経験を、そのくらいの年齢の頃に持つことってすごく大切なんですね。 また、セキュリティ・キャンプに来る子どもたちというのは、それぞれの学校では一番の子たちばかりなんです。そういう子たちが全員集まってくるから、井の中の蛙だったことがわかるし、あと「話の合うやつにやっと会えた」という気持ちもあると思います。

★セキュリティ・キャンプの前に、大人の技術者同士が行っていたイベントがきっかけになったと聞いていますが。

―そう。日本で最初の頃に行われたセキュリティの大きなイベントに、FireWall Defenders(FWD)という団体による「秋の運動会」(2000年10月)というのがありました。これは、「攻撃側」「防御側」「検知側」に分かれて、閉じられたネットワークで攻撃や防御を行うというイベントです。なにもない部屋に手持ちのコンピューターを持ちこんで、ひたすら攻撃して防御、検知していました。とても楽しかったですね。なぜか照明を消して暗闇の中でやっていました(笑)。 そんなことがあって、あるとき、同じことを子供にやらせようと経産省に言った人がいたんですね。子どもたち同士に攻撃させて競わせよう、と。

★「幻のハッカー甲子園」ですね。

―はい。なくなりましたけどね。

★それは「ハッカー」という言葉の持つイメージの悪さみたいなものが原因で?

―いえ、10代の子供に攻撃をやらせるという行為自体がけしからん、ということです。で、有識者に聞いた結果とりやめとしました、というのが公式見解ですね。学生を集めてしまったので、その時は企業見学会などを行いました。それが「幻のハッカー甲子園」、または「第0回セキュリティ・キャンプ」と呼ばれているものです。

セキュリティ・キャンプは「技術」と「コミュニケーション」を育てる場

★その後、そのコンセプトは「セキュリティ・キャンプ」に引き継がれていったわけですね。現在はどのようなコンセプトで行われているのでしょうか?

―まず伝えたいのは「身につけた技術で、ちゃんと生活をしてほしい」ということ。ちょこちょこっと悪さをして、不正アクセス禁止法で逮捕されるんじゃなくて、ちゃんと生活をしていってほしい。身に付けた技術を世の中に役に立つことに使って、そのことによって自分も幸せになれる。例えば起業するとかもありでしょう。そういう意味で正しい道へ進んでくれ、というメッセージがまずひとつ。 もうひとつ、セキュリティ業界には直接来なくてもいいよ、ということも伝えています。セキュリティ・キャンプに来る子には、アニメのクリエイターもいるし、ネットで放送局をやってる子もいるし、プログラムを書いている子もいるし、さまざまです。将来進むべき道をセキュリティに限定するのではなく、むしろ自分たちが進むそれぞれの選択の中でセキュリティの重要性をわかっていってほしい。そして、繰り返しになりますが、人脈を作ること。今回のキャンプで知り合った友達が、将来、いろいろな業界に散らばっていったときに、それは立派な人脈になりますよね。セキュリティ・キャンプはチューター制度をとっていますので、年度の違う卒業生たちがうまくオーバーラップするようになっています。輪切りの人脈だけでなく、縦のつながりを大切にしています。そういう人脈が社会に出て行った時に活きてくるといいよね、というのがいつも学生たちに言うことです。

★10代の頃って頭がやわらくて、なんでも吸収してしまって、中途半端に技術力があると、どっちにでも転んでしまいそうな危うさがありますよね。そんな年代の子供たちに高度な技術を教えてしまうことについての危険はないのでしょうか?

―いくら止めても、知識欲のある子はいますからね。逆に、自分しか技術をわかっていなくて、そのすごさを誰もわかってくれない、となったときに、自己顕示欲が出てしまうんですね。それがいわゆるハッキングといわれている行為や、犯罪につながっていきます。 でも彼らにしたって、本当に技術を極めるとそういう小さな悪さってしなくなるんですよ。まず、自分と同じくらい、あるいは、自分よりもっとすごいやつがいることを知るというのは大事なことですね。そして、その技術を仕事にしてお金にしたほうがいいということがわかってくる。技術を知れば知るほど、犯罪をすれば必ず捕まるんだということもわかってくる。パーフェクトな犯罪ってITではほぼ無理なんですよ。インターネットカフェでやるっていったって、監視カメラがついてますしね。インターネットで完璧な犯罪をするというのはすごく難しいことなんです。そんなことに労力をさくぐらいなら、たとえば、シェアウエアのソフトを作ってお金儲けしたほうがいい、とかね。みんな褒めてくれますしね。そういうことをわかってほしいんですね。

★今みたいなざっくばらんなお話をキャンプでもなさるんですか?

―言って聞かせるというよりは、そういうのは自然にわかると思います。すごいやつらと出会えれば自己顕示する必要もなくなるんですよ。自分のことをわかってくれて、自分のことを認めてくれるやつがいれば、バカなことはしない。 だから、別に青少年の犯罪防止のために...ということではなくて、話のわかる仲間に出会って、今ある能力を伸ばしていってほしいというのが第一の目的ですね。

★やはり若いうちに学んでおくことが大事なのでしょうか。

―インターネットは、技術とコミュニケーションを同時に学ぶ必要があるんです。技術だけ学ぶとおかしなことになる。コミュニケーションっていうのはインターネットの本質。技術も本質。その2つを同時に学ぶ必要がある。やっぱり小学校くらいからやっているのがいいですね。

★なるほど。「セキュリティ・キャンプ」の成功で、「ハッカー甲子園」というコンセプトはなくなってしまったわけですが...

―いや、全然なくなってないですよ。僕は今でも綿々と持ち続けています(笑)。 僕はいつも言っているんですよ、「来年こそはハッカー甲子園をやろう!」って。 セキュリティ・キャンプを毎年続けていきましょう、といっても、やはり内容が変化しないのはよくない。ITがこれだけ変化しているんだしね。毎年、去年とは違うものを入れようと講師陣に無理言って作ってもらっているんです。毎年、よりレベルの高いものにしよう、と。 セキュリティ・キャンプとしては、そろそろ次のステップにいきたいなあ、と考えているところですね。

★次のステップというのは?

―燃えるもの。

★具体的にいうと・・

―わかんない(笑)。
でも、来年こそはハッカー甲子園をやりたいですね。

日本にハッカーはいる?いない?

★ところで、ここまでのお話で「ハッカー」という言葉が何度か出てきましたが、「ハッカー」というのは、なにかと物議を醸す言葉でもありますね。今日はその辺りのこともお聞きしたいと思います。三輪さんは「日本にハッカー文化はない」とおっしゃっていますが、そうなんですか?

―ハッカーはもともとマサチューセッツ工科大学(以下、MIT)の鉄道研究会の学生を指す言葉だったんです。鉄道研究会というのは、部屋の中で鉄道模型の線がゴチャゴチャになっていて、それを理解すると一人前だというのがはじまりです。で、それがだんだん「創造的ないたずら」をするクールな奴、みたいな意味に変わってきます。センスの良いいたずらが許されていた時代の話です。そういったいたずらの中で、今度は電話のただかけを始めるんですね。米国で、2600ヘルツの音を受話器から流すと電話がただでかけられた時代がありました。それをもとに2600マガジンなんていうハッカー雑誌も出ました。これが由緒正しきハッカーの歴史です。MIT博物館には、今でも過去のいたずらの歴史が残っているんですよ。ちゃんと記録写真付きで、いたずらの歴史がちゃんと飾ってある。素晴らしいことだと思いませんか?日本の大学で絶対ないですよね。それがもともとあったハッカーです。ハッカーという頭のいい学生とそれを許した社会、この両方を合わせてハッカー文化というんです。 そんななりたちがあって、やがてMIT以外でも使われるようになって、誰かが勝手に後付けしたのが、「コンピューターに精通しているひと」という定義です。それからあとは、みんなああだこうだと好き勝手に論じているだけです。

★クラッカーっていうのもありますよね。クラッカーは悪いやつ、みたいな認識がありましたが。

―クラッカーという用語は最近マスコミでは見なくなりましたね。今はもう、英語で検索してもおそらく、食べ物のクラッカーしか出てこないでしょう。 クラッカーはもともとクライム(犯罪)とハッカーをくっつけた造語ですね。言葉っていうのはそうやってできていくものだからしょうがないけど、そういうことを今一番気にしているのは日本人だけではないでしょうか。頭が良くていいことをするやつも悪いことをするやつも、どっちも「Hacker」で話題に応じてどちらの意味か通じるのですが、日本語で「ハッカー」って書くと、ひとつの意味しか通じなくなってしまいますね。ハッカークラッカー論については日本人が守っている文化みたいなものでしょうね。

★ハッカーという言葉が出てきた文脈で意味を判断しなさい、ということですね。しかし、そうすると、日本にはいわゆる「いい意味でのハッカー」はいないのでしょうか?

―過去の米国での自由なハッカー文化とは遠くかけ離れた日本の社会では、昔の意味のハッカーって存在できないですよね。現代の意味におけるコンピューターに精通した人、という「現代のハッカー」ならいるんでしょうね。

★三輪さんはハッカーではないんですね?

―全然違います。いたずらしませんから。勘弁してください(笑)。

消えたハッカー文化
「いたずら」なしに新しいものは生まれない?

★米国でも今はいたずらが許されない時代となりましたね。米国のハッカー文化も消えようとしている?

―そうですね。昔はホームページを書き換えても犯罪にならなかったですしね。今はホームページなんか書き換えようものなら、サイバーテロリスト扱いでしょう。昔はある程度のいたずらが許されていたわけですよ。だからベンチャー企業がいっぱいできた。頭のいい若者たちのいたずらを許容する文化ですね。彼らは頭を使っていたずらするんだけど、20過ぎると大人社会に目覚めて、起業する。それで若くして成功して億万長者になるというケースが多かったんですね。ITベンチャーなんてだいたいそうです。いたずらを許容する文化、つまり、国策とも言えますね。

★国策としてのいたずら。深いですね。

―日本ってがちがちに規制するじゃないですか。ひとつのいたずらや遊びも許さない。だけど、それじゃ何も育たないと思いますね。「そのいたずらかっこいー」っていう懐の深さよりも規律を重んじる国民性ですから。

★では「日本に(昔の)ハッカーはいない」という三輪さんがおっしゃるところの「ハッカー甲子園」というのは、ある意味「いたずらを許容する文化」を育てたい、というような思いがあるのでしょうか?

―そう。でもそれが難しい。だからみんなで考えようよ、と。どうやったら、今の若い世代がどうやったら合法的にハメをはずせるか。 じゃあどうしたらいいんですか?って聞かれるんだけど、それは僕が考えたって意味ないんですよ。おじさんの考えだから意味がないんです。そうじゃなくて、若者から案が出て、こういう風にやりたいって出ればいいなって思っています。それで毎年「ハッカー甲子園をやろう!」といっているんですけどね。でも具体的なアイディアについては、僕が口を出すところではないのです。今の若者のほうが自分で自分を縛っているように感じますね。

何を何から守るのか―セキュリティはむずかしくない!

★いたずらはしないとおっしゃる三輪さんですが、「いたずら」が三輪さんのパーソナリティの核心であるように思えます。
三輪さんご自身は、今後、どのような「いたずら」をしようと考えていますか?

―真面目な話をすると、今まではお金持ちのセキュリティをやってきたので、今度はお金持ちじゃない人でもできるセキュリティをやりたいですね。 セキュリティはひとつの弱点もあってはいけない、ということがこれまで言われてきました。蟻の穴からダムが崩れる、とかね。でも、そうやって脅かして売ってきた業界なんですね。 そうじゃなくて、本当に役に立って、そんなにお金もかからなくて、みんな本来の仕事に集中できるようなセキュリティ。セキュリティのために1日講習受けるとか、もったいないからやめましょう、と。しかも座ってるだけで覚えていなくて、眠くて、ますますモチベーションが落ちる。企業は「講習した事実」が大事。 そうではなくて、セキュリティは、強く意識しなくても安全で、企業活動に専念できるものでなければならない。情報セキュリティが経済活動の足をひっぱっちゃいけないんですね。今、問題になっている建築法もそうですよね。規制を厳しくしたら家が建たなくなってしまった。あれもある意味セキュリティの失敗例ですね。それに近いことを今やってるじゃないですか。

★J-SOXとか?

―J-SOXそのものは正しいことなんですが、それをネタに商売している方もサービスを受けたい方も、何を目的にしているのかだんだんわからなくなってきていますよね。本当に役に立って、お金がかからなくって、安全で、強く意識しなくてもいいサービスをやりたいですね。それができればいいかな、と思っています。

★もはや全然「いたずら」ではなくなってますね...。

―新しいサービスを生み出すことによって既存のサービス事業者が慌てるじゃないですか。それが正しい方向であるとしたら、楽しんでもいいと思います。 なんて冗談はさておき、セキュリティを理解するのはそんなに難しくないんです。個々の製品とかパーツの話をされると、どんどんわからなくなっていくんだけど、セキュリティの本質はいたってシンプルなものです。 セキュリティで考えなければいけないのは、何が大事で、何が守りたいかということ。何から何を守りたいかということだけなんです。まずそこからスタートして、今度はそれがどこにあって、どう洩れるかとか、どうクラッシュするかといったことを考えればそんなに難しいことではないんです。それが、個々の技術論になったとたんにみんなわかんなくなっちゃうんですね。

★確かに「これはMACアドレスがどうのこうの...」と言われたとたん、一般人は思考停止に陥りますね。

―さしあたっては、細かい技術の話はわからなくてもいいんです。まずは机上の絵の上で、何が何を何から守りたいかということを描いてみる。それはさすがにわかるでしょう。それがわかれば、それをどうやって守るかということを考えればいいわけで、そういう考え方で進めていけばわかるんです。セキュリティポリシーから理解しようとするから「難しい!無理!」ってなっちゃうんですよ。 一般に言われている論理も結局のところは過去の事件からの経験から対策をまとめたものなんです。 そして、もっと分かりやすくするには「攻撃側の気持ち」になることです。どんな球が来るのかわからないのにゴールは守れないですよね。

<おまけコーナー>
【結局、三輪さんっていい人?わるい人?】

★何から何を守るのか?そう考えるとセキュリティって面白いですよね。

―でしょう?結局は人間の行動なので。 カードなくすわ、パスワード書きとめてデスクに貼るわ、ルール作れば例外処理がどんどん出てくるわ...。僕は、セキュリティというのは、人間の心理とか、行動学だととらえています。だから面白い。

★いもしない天才ハッカーについて論じたり?

―そんなすごいやつはいないのにね。いや上には上がいる、とかいって。そんなにいませんから(笑)。

★いたらいいな、みたいな(笑)。

―クールないたずら、攻撃というものが全く許されない文化、規制社会のもとではハッカーは育たないでしょうね。 攻撃するときの心理って、すごく高ぶるし、楽しいんですよ。やってみたらわかると思いますが、攻撃するときのモチベーションってものすごい上がるんです。そういう心理で技術を学ぶとすごく吸収するんですね。そして、守ることもわかってくる。技術ってそうやって成長していくものでしょう。それを、守ることだけ考えて、攻撃は禁止、セキュリティだけやりなさいって言ったって無理です。攻撃したこともされたこともないのに、守るなんて無理ですよ。

★三輪さんのお話を伺っていると、善悪の彼岸に立っていらっしゃるというか、価値観がスレスレのところにあるというのがとても興味深いところです。ラック時代の侵入検査サービスもそうですが、何が良くて何が悪いのかわからなくなってきますね。

―当時、ラックには「不正アクセス技術部」というのがありましたね。もちろん、ちゃんと顧客と契約したうえで許可されて攻撃していたんですよ。許可されたら、よし、やっていいんだな?と(笑)。まあ、楽しいのは最初の3日くらいですけど。あとは苦痛ですね。ああ、また侵入できちゃったよ、なんてね。

★攻撃を極めた三輪さんが、日本のセキュリティ界にいらっしゃるというのは、私たちにしてみれば、とても心強いことです。今日は刺激的なお話をありがとうございました。

三輪信雄のセキュリティ・ブートキャンプ 前編へ

関連キーワード:
  • 「PM格言カルタ・SE出世双六大会」開催
  • カテゴリートップへ
  • スパム送信元偽装?中継国ワーストランキングにロシアが急浮上?