極楽せきゅあブログ

ときどきセキュリティ

XaaSというビジネスモデル

昨年11月に「悪人たちのビジネスモデル」というお題で講演したんだけど、そのときに改めてXaaSビジネスモデルについて考えて、以来ずっと心に留まっている。嫌がらせのレベル以上にビジネスモデルを壊す方法は無いんだろうか、ビジネスモデルにインパクトを与える方法は?考えるとどんどん出てくるけど、使えそうなのはそう多くない。

おっと前提で言えば、悪人がXaaSビジネスモデルを効果的に使いこなすようになってしまい、結果として自身のビジネス、つまり犯罪の目的により集中できるようになった。近年すごく深刻な、人の命に関わる病院をデータ人質の標的にして大儲けしているのもそうした流れがあるからとも思える。ランサムウェアのビジネスモデルの弱点を突くのは容易ではないけど、考え続けたいしもっといろんな知恵を使いたい。摘発でもテイクダウンでも大々的な嫌がらせでも何でも良い。

アイディアソンをしたいね。ついつい法的なこととか国際連携とか条約とか調整とかそんなことばかり考えてしまいがちだけど、それこそそういうところはXaaS的に専門家に任せて、実際にできそうかどうかくらいの尺度のみでアイディアを出しまくりたい。この数年、アイディアの捻り出し方についていろいろ考えてきたり、学んできたり読んだり調べて来たことを、そういうアイディアを出す場面で使ってみたい。

とはいえ良くあるブレストや、一般的なアイディアソンのように、その場でのみウケるアイディアばかりではつまらないし、現実味を出して行きたいしあわよくば社会実装したい。SecHack365に使う的色気は置いておき、みずからプロジェクトとして考えをまとめていく必要がありそう。抱えるプロジェクトの数と種類から見てけっこうしんどそうだけど、研究ネタとして揉んでいきたくはある。さて。腹をくくる必要がありそうだな。

前提となるネタをどこかでまとめて資料として公開しておくか。昨年の講演資料とかをもとにして。

トランプ大統領は罷免されるのか(タイトルと内容はあんまり関係無いw)

まぁされてもされなくても良いけど(笑)。
それにしてもトランプという人は変なプライドを持たず、自国の利益をアメリカンなビジネス感覚でずんずん追求する人だったなぁ(過去形(笑))。最後は負けを認めないとか、プライドがあるんだか無いんだかわからなかったけど、国としての動きはブレなかったというか。自国の利というものをシビアに見る感覚、ビジネスマンとしては割と普通の感覚だと思うんだけど最後までそのスタンスは崩さなかったよね。
アメリカという国は民主主義の総本山というか元祖というか、そのプライドがあるから、自国の利だけでなく世界の警察としての目線を持ちながら振る舞ってきたんだよな。逆に言えばそんなプライドという脆弱なものに依存してたってことか。冷や冷やだなぁ。
バイデンに代わってそれがどこまで「元に戻る」のか。プライドの原理主義者が居る党だから戻る力はけっこうあるんだろうけど、4年前は隠れていたけど今や多数がはっきりと表明しているトランプ支持者の数を無視できないんじゃないか。そう考えるのはトランプ支持者に考えが寄りすぎてるかな。議会でも辛うじて多数派となったので当初は「揺り戻し」を多くするんだろうな。しかし、選んでやるんじゃないか。そう思える。
・・・という前提で、戦略「物資」としての情報をどう考えるか。
トランプ政権誕生前夜に火種になりそうだったワッセナーアレンジメント。高間さんがコラム書いてるけど、
https://www.jnsa.org/secshindan/secshindan_24.html
結局トランプはこの手札を使わなかった。自国の利に聡いトランプなのに見逃したのか、それ以外のプレッシャー要素と秤に掛けて捨てたのか。とっておいたのか。それはわからないけど手札であることは変わっていない。アメリカはサイバーセキュリティの関連情報を生み出し続けていて、世界の少なくない国はそれに依存している。
そして世界のサイバーセキュリティ事情は、以前より国対国という色合いが濃くなっている。核のときもそうだったように、情報を今更(笑)統制しようと考えるかもしれない。ロシアや北朝鮮、そして中国をこの分野で脅威と考え、脅威の度合いが強くなっていると考えるなら、そういう方針になる可能性もある。そうなると、というか継続して課題であり必要なのは、ソフトウエア、システム、サービスの脆弱性を見つける能力、エクスプロイティング能力だろうなぁ。なかなか研究できていない部分。シンボリック実行以降どうなっているか。セキュリスト(脆弱性診断士)が立ち上がったけれども、それは相変わらず人間頼み、ということでもある。頼める人間を内製化できるほど増やすことは大事だけど、その手間を減らす研究も大事だよなぁ。CTFはそういう形になっていっているのだろうか。自動化は咀嚼されたものの、例えばSECCONを3連覇したCykorの「化け物」のようなノウハウがカジュアルになっているか、ツールに実装されているかというとそうでもない。「まだ」地的ゲームの域を出ていない。だからこそ熱中するのだろうけれども。
さてどうしていくか。

読書傾向の変遷

SecHack365の学習駆動コースの中でコンテンツゼミという何でも良いからセキュリティ啓発とかに使える使う利用できるモノを作ろうぜゼミをやり始めることになって、こりゃーラノベとか言い出すヤツ出るだろうなーと思ってこれまで一冊も読んだことが無かった異世界転生とかそういうのを大量に読んでみた。意外とこんなのでも本として出ちゃうのねーとか、打ち切り多いなージャンプかよとか、諸事情含めて興味深かったけどさすがに最近は飽きてきてる(笑)。それにオーバーラップする形で、今年度はショートショート!ということになって自宅の短編集、アンソロジー本を文字通り発掘して短編を読み始めたんだけど、目ざといあっしはとにかくおもしろい本をたくさん貯蔵しているので発掘する本する本だいたいおもしろい。習慣化実装ということで毎日1篇を緩めに読むようにしていて現在70篇。意図して消そうとしつつある異世界ラノベの方は徐々にシュリンクしていっているけれどもついつい読んでしまう。結果その手のものに割く読書量が増え、他のSFやらミステリやら技術書やらビジネス書やらが滞り始めているので、どういうバランスに落着させるかを思案しているところではある。
それにしても読むモノの変遷って自分ながらおもしろいね。
実は昔から読書録作るのが割と好きだったんだけど、短編もリスト作ってログ+簡単な評価や随筆的な文章を書いていたりする。こういうのがホイホイできる今ってほんと良い時代だなぁw。

コロナで封じ込められて考えたこと

昔々、といっても昭和くらいの時代。わからないことは職場の先輩に聞いていた。ベテランが蓄積してきた知恵は頼りになった。今でも、技能五輪とかで見られるものやいわゆる職人芸的なものは、醸造された知恵や感覚の結晶みたいなものを見せつけてくれている。
しかしコンピューター、IT、ICTの世界は全く違う。知恵に昇華する前に陳腐化してしまう世界。ある意味恐ろしいし疲弊するが、好奇心や食欲のような知識欲が衰えないタイプにとってはとても都合が良い世界でもある。
そういう世界になると職場に知恵者が居ることは稀になり(居ても長続きしない(笑))、外に知恵を求めるしか無くなる。あるいは知恵者の居る職場に転職するか。インターネット以前は知恵者の居る世界が遠かったけど、インターネットはそれを手元に強烈に引き寄せた。そのうち知恵を自分の中に留めているだけでなく、シェアし始めて世間はそれを称揚するようになった。
しかしインターネットはノイズも多い。知恵者は質問者に合わせて回答してくれるが、検索サイトは相当賢くなったけれども質問者に合わせる、ということをしてくれない。自分に合った良質な知識を探り当てるのに最低限の知恵が必要なのだ。ネットには単純にノイズも多いけれども、書き方を教わらずに見よう見まねで書いたテキストや、○○やってみましたー以上!というような若書き(よくある学生の研究発表ぽい(笑))も多い。良質な情報に行き当たるのにも知恵が必要な世界。
今はそれを埋めるものが出てきている。はてなに始まる良質なQAを蓄積共有するサービスは、Quaraなどに進化して、一流の専門家の丁寧な説明に触れることができる。その説明もRTされてシェアされる。
本体は行く末が気になるけれどもQiitaのような技術情報をシェアするサイト、サービスもネット上の情報群の質的向上に一役買っている。
クックパッドのような情報共有の仕組みの進化も興味深い。かつて地雷が多いと言われていたが、レピュテーションを事実の蓄積で示すつくれぽなどで情報の説得力を増している。Qiitaも良く玉石混淆だと言われるが、クックパッドのような使ってみました!という仕組みを採り入れたらおもしろいと思う。
対極的に、食べログのようにレピュテーションの使い方を誤った例も興味深い。
本質的には情報を集まる仕組みを構築し、ともかく集めたら勝ち、というのはある。グーグルは早くにそれに気づいてどんどん集めているし、Twitterフェイスブックも情報を集めまくっている。集めた情報をどうやって活かすか、社会として活かす方法、トラフィックを増やす=ビジネスモデルに活かす方法はこれも進化し続けているけど、さらにその上で、その質を担保する仕組みをうまく作れると知識の(おかしな表現だけど)純度が高まり、外部脳としてのインターネットの価値は途方も無いものになってくる。途方も無くなるんだけど、カジュアルにもなる。われわれはその先でどういうところで自分の頭を使うのか、使い所を模索し続けていかなければならない。ビジョンとして持っている必要があるのは、知識経済のその先の世界かも知れない。
コロナ禍は職場のノンバーバルなコミュニケーションから人間を隔離してしまった。ノンバーバルな部分を埋める方法を模索する一方で、じゃあ知恵をどこからどうやって借りるのか。↑の知恵を借りる世界、知恵の純度を高める世界は世間的にはまだ閉じられていて、世界の変化を見ている人にしか見えていなかった世界。家に封じ込められて仕事をする世界は、そうしたネットの知恵をより一層借りる必要がある。見えていなかった人たちを、ネットに拡がる良質な知恵の世界に誘導できるか。大げさに言うとそういうのが日本というコミュニティの力を上げることに繋がるように思える。
一方で知識を追いかける世界は、その分、ものを生み出さず新しいものを追い続けるという、地に足を着けていない感じ、新しい知識・技術ジャンキーみたいになってしまう恐れはある。次から次におもしろそうな情報が目の前に出てくる感覚。これに飲み込まれず、良質な情報を適量咀嚼して自分の生産性を上げていく。情報そのものの良質さと、その情報が自分の生産活動に役立つかどうかはまた別だろう。知識欲に流されず、適量にとどめて効率良くコンテンツを生産する。質の良いコンテンツは当然ながらネットの情報の質を上げる。知識を借りるものとしての恩返し。みんなで外部脳の質を上げる、こういう感覚が重要なのだと思う。

小説が盗まれた、だから火をつけた

前置き:

記事タイトルの犯人の言葉に触発されてプロットを書いてみたけど、自分で小説にする気は無いのでこっそり公開してみようと思った。創作として後味が悪い小説(プロット)を書いてみたかっただけで、現実のあっしとしてはあの事件については犯人に憤りしかない。何てことしてくれたんだと思う。

プロット:
「死刑になっても良い」とうそぶく犯人。対して与えられた刑罰はユニークなものだった。自分が書いた小説のどこが盗まれたのか(盗まれてなかったのか)を専門家によって徹底的に分析し、それを犯人に解説し続けるというもの。犯人が書いた(書き終えていないものも含め)「小説」は正直駄作ばかり。どこがどう駄作だったのかと言うと、独りよがりな文章、いろいろ説明が不足しているなど技術的な欠陥もさることながら、最も致命的なのは展開が予想でき
すぎるのだ。簡単に言えば陳腐。どこかで見たようなものばかり。それを徹底的に突き付ける。最初は黙っていた犯人も、容赦のない指摘に半狂乱になったり、心を閉ざすような態度を採り、精神的には地獄のような責め苦であることがうかがえた。
しばらくして犯人は冷静になっていき、自分がしたことの重さを実感し始め、悔いを口にするようになる。ではこのあと君はどうするの?と問われると、罪を償いたいが、到底許されるものではないので、死刑になったとしても受け入れます、と、以前の「死刑になっても良い」とはかなり異なるニュアンスで言い始める。そして犯人は死刑になり、異例の早さで刑は執行される。
犯人の遺品から小説が見つかる。専門家の分析を延々聞かされていた犯人は、いつの間にかそれを自らの血肉とし、オリジナリティのある小説をものにしていたのだ。すいすい読める、ページを繰る手を止めない小説。この犯人が喪われることの文化としての意味はどうなのか?
さらに後味が悪いことに、疑問に感じた専門家が追跡調査をしてみたところ、犯人のプロットがアニメーションの原作者の目にとまっていた可能性があることがわかった。本当に盗まれていなかったのか?拙い技術や全体の出来の悪さ、そういうものに隠蔽されて、表に出てこなかっただけではないのか?あるいは、研究などではよくある同時多発的発想事象があっただけなのか?当事者のどちらも今はこの世に無く、これ以上の追跡は無理だ。

テレワーク、リモートワーク、在宅勤務で実践してること

テレワークやリモートワーク、在宅勤務が中心の生活をもう16年やってきましたが、そこで実践していることとかを書いておくと誰かの役に立つかな(笑)。
(1)外部ディスプレイ(液晶)はこまめに電源を切る
液晶テレビ、ディスプレイって何気に電気食うんだよね(笑)。あと心理的にペースを変える効果がある。
(2)ポモドーロタイマーやその類のもので目の前のタスクにかける時間をコントロールする
締め切り効果とかもあって集中しやすくなるし、見積もりの精度が上がる(=スケジュールをより正確に組めるようになる)ことも期待できる。ペースを意識すると効率化に意識が向いて生産性の向上を図ることに繋がる。25分+5分としてサイクリックにするポモドーロテクニックというのも応用が利く。
https://www.sensei.biz/pomodoro_app/
https://play.google.com/store/apps/details?id=com.superelement.pomodoro&hl=ja
(3)↑と共通する経験則ですが、意識して休み時間を作り、その時間はディスプレイ、パソコンの前を離れて散歩したり家事したりコーヒー淹れたりすると心理的にペースを変えることができる。
根詰めて同じ姿勢で効果的にやれるのって長くて1時間だと思う(体感)。ポモドーロテクニックはやっぱ良いよね。家事は体を動かす掃除や洗濯モノを干すとか、料理の仕込みとかがあっしの場合は良いっすね。
(4)空調重要。空気の流れが無く、それほど広い空間で無いときは、二酸化炭素が滞留するのでボーッとしやすくなる。二酸化炭素は基本重たくて下に沈むんだけど、机の上とかにも滞留するので、扇風機とかでも良いから空気を動かすことを意識した方が良い。
(5)音や音楽の効果を意識すると集中に良い効果が期待できる。
https://r25.jp/article/564374415183230643
によると「人間であれば静かな喫茶店くらい、50デシベル程度の雑音があるといいでしょうね。それくらいの雑音があったほうが、学習は進みます。」、あるいは「「ほどほどに音楽が好きな人は、音楽を流したほうが作業効率がいい」というデータがあります。ただし効果は単純作業に限ります。数学の難問を解く、論文を書くといったことには当てはまりません。
デスクワークの内容にもよりますが、企画書を書いたり、メールの文章を考えたりということには向いてないかもしれません。」だそうですが、あっしの経験的な体感にも合致してますね。好きとか、思わず一緒に歌ってしまうような音楽ではなく、ノイズと同等に感じることができる音楽であればノイズと同等の効果が期待できます。あっしの場合グレン・グールドというピアニストの「フランス組曲」は、音楽として楽しめて聴き込めるんだけど、ノイズと同等に意識することもできる希有な例です(笑)。大体において関心が薄いジャンルの音楽はノイズとみなすことが容易ですね。
https://president.jp/articles/-/27940
という記事にもあるように先人達、有名人はそれぞれ独自のBGMによる集中のノウハウを持っていますが、↑のようなノウハウを読んで覚えるだけでなく、自分でいろいろな組み合わせを試してみるというのが重要かもしれませんね。
(6)ペースを変える意識。↑のやってることに共通するテーマですが、同じ状態での集中は長続きしないので、ペースを変える意識が重要だと思います。例えば場所としても食卓机、別な机、外をローテすると良いと思いますし、ノートパソコンとスマホというのも変えてみると良いと思います。typetalkにいろいろ書き込むのは歩きながらでもできるので、あっしは散歩しながらやったりします。

2019年行ったところ(海外)を振り返ってみた

☆グランドサイバーセキュリティキャンプ@韓国・ソウル(2019年:https://www.security-camp.or.jp/event/gcc2018.html
韓国の人材発掘育成プログラムBest of Bestの拠点を借りて、キャンプ事業初の国際展開に前半だけだけどアテンドしてきた。各国の思惑とかが交錯する中、実現にこぎ着けたkanaさん始めとする各国の方々に感謝したい。それほど可能性を感じる、でも難しいプロジェクトだと思った。
ちなみに2020年の開催情報はこちら>https://www.security-camp.or.jp/event/gcc_tokyo.html

☆IHSI2019@アメリカ・サンディエゴ(2020年の開催情報しか見当たらないw>http://www.ihsint.org/
サンディエゴは久しぶりでしたが、散歩道がたくさんある気候の良いところなのでとてもリラックスできた。この学会は3回目くらいだったんだけど、数理モデル的なアプローチでやってる人たちは他に居なくてどうなの?とは思った。ただ、似たアプローチの萌芽はあり、今後に期待できるかな。

☆Offensive Security Conferece2019@ドイツ・ベルリン(https://www.offensivecon.org/agenda/2019/
初参加。昨年から始まったカンファレンス。こういうカンファレンスは本当に貴重。スポンサーもとても少なくて(https://www.offensivecon.org/sponsors/2019.html)こぢんまりとしているのも良かった。日本人は他に一人しか来ていなくて、帰国したら自慢したるって思った(笑)。ま、アンソニーにはみっかっちゃったけどw
ちな2020年情報>https://www.offensivecon.org/

RSAカンファレンス@アメリカ・サンフランシスコ(これも2020年の情報しか見当たらないw>https://www.rsaconference.com/
Japanエリアを作ってNICTのサイバーセキュリティ研究室の方々もNIRVANAとかひっさげて参戦してた。セキュリティに関わるビジネスの総見本市って感じで、ブースの数はとても多く、1日じゃ見切れないほどだった。ビジネス的視点が必要な方々は様子見に行くと良いと思うけど、あっしの趣味とはちょっと違うかなぁ(笑)。

☆SXSW@アメリカ・オースティン(これも2020年の情報しか見当たらないなw>https://www.sxsw.com/
2度目のSXSW。目的はSecHack365の若者達をハッカソンに送り込んだり、ベンチャービジネスってどんなもんなのか感触を掴んでもらったりすることだけど、2年連続してハッカソンでスポンサー賞をいただけたのは望外。日本企業が意外と躍進?しているのも興味深いけど(撤退する企業もある)、新しい何かが転がってるのがとにかくおもしろい。ゲームやe-Sportsのセッションとかもとても勉強になった。このイベントは若者にはとても良い刺激になると思う。

☆CanSecWest@カナダ・バンクーバー(2019年情報:https://cansecwest.com/agenda.html ただ、サイトポリシーが怪しくてすぐ内容とか今年のに変わりそうではある(笑))
PWN20WNでテスラをやってた(笑)。あのコンテストは可視性とか全く気にしていないけれど(笑)、それがまた楽しいところではある。カンファレンスの講演は玉石混淆だった。目利き勢がパワーダウンしたからかな?

☆Hack in the Box@オランダ・アムステルダム(2019年情報:https://conference.hitb.org/hitbsecconf2019ams/
過去マレーシアでやってたのは行ったことがあるけどもアムステルダムは初。アムステルダムはすごく観光地化していて人が多かった。行ってる時にちょうどアヤックストッテナムチャンピオンズリーグ準決勝セカンドレグ、しかも地元アレーナで戦う日だったりしたけれども、衝撃の敗退にもかかわらず暴れている人は見なかった(笑)。ただ、レストランで飲みながら観戦している人たちを横目に食事していたけど、衝撃の失点時「ざっけんなよ!」的に瞬間風速が吹いたくらいw。カンファレンスは楽しかった。春山さんのセッションを聞き損ねてしもうた(笑)。
2020年アムステルダム開催の情報>https://conference.hitb.org/hitbsecconf2020ams/

☆AHFE2019@アメリカ・ワシントン(2020年情報しか見当たらないw>http://ahfe2020.org/
畑田さんと飲んだ(笑)。ワシントンは2回目だけど、前回はトランジットだったので滞在時間はごくわずか。2回目の学会自体はけっこう大規模で、細分化されたさまざまなセッションが行われるもの。ポスターとかにちらほら日本の大学とかが来ていた。ここの学会は発表後なにがしかのフィードバックはあるんだけど、それほど活発なわけではない。数理モデルアプローチは学会では同志が少ないんだよなw。

☆BlackHat&DEF CON@アメリカ・ラスベガス(2019年情報:https://www.blackhat.com/us-19/https://www.defcon.org/html/defcon-27/dc-27-index.html
アメリカのブラックハットは実は初参加。日本人がとても多かった。講演は新井さんも書いてたけど、なんか潮目が変わってきた感。AIAIしてなくなり、ハードウエア寄りのものが増えている。DEF CONは何気にキャンプ初日との絡みで2日くらいしか見られなかったけど、あいかわらずヴィレッジの勢いが凄くて、どんどん増えてる。来年はカンファレンスセンターが新設されてそこに移るようだし、さらに規模がでかくなるのかなぁ。世界中から2万とか人が来るから会費?的なものでもまかなえてるってことなのか。日本で同様な規模感でやろうとするなら幕張メッセとかビッグサイトとかになるんだろうけども、CCCもそうだけどどういう収支になってるんだろう?規模感はほんとうらやましい限り。
2020年情報>https://www.blackhat.com/upcoming.html#usa

☆r2con@スペイン・バルセロナ(2019年情報:https://rada.re/con/2019/
これだけサッカー好きなのにバルセロナは初。いやー良い街だったw。r2conもOffensive Conと同じく小規模でスポンサーほぼ無し。ワークショップとかも開催されず、ハコひとつだけ。でもすごく楽しかった。開発者たちの集まりはやっぱ興味深いね。あとパンケーキさんはあり得ないほどパワフル。

☆ICEEL@スペイン・バルセロナ(2019年情報:http://www.iceel.org/ ただし、いずれ内容は2020年のものに置き換わるはず)
まさかのバルセロナ2連発(笑)。ここではすごい出逢いがあって大収穫だったけれど、e-Learning系列の学会は初参加だったんですが、正直なところ質問とかゼロで出会い以外の収穫は無かったわー。残念。しかしほんとうにバルセロナは良いところだったなー。すごく古い歴史のあるバルセロナ大学にも行けたけれども、その横に日本料理屋というかラーメン屋がオープンしてて笑った。までもr2conで出会ったエンジニアたちも日本語ちらほら知ってたんだよな。嬉しい限りだけど何かブームとかあるんだろうか。アニメは好きと言ってたけどねー。アニメが偉大ってことかw。

☆CCC@ドイツ・ライプツィヒ(2019年情報:https://events.ccc.de/congress/2019/wiki/index.php/Main_Page
毎年行ってるけどやはりCCCはおもしろい。ワークショップがすごく充実してるし、講演もときどきだけどエポックなのが出てきたりする。今年はやっぱプレイステーションだったかなー。SecHack365の成果イルミパケットをデモれていろいろ感触を得たので、来年は出展やワークショップとかもっと大々的にやりたい。