昨年11月に｢悪人たちのビジネスモデル｣というお題で講演したんだけど、そのときに改めてXaaSビジネスモデルについて考えて、以来ずっと心に留まっている。嫌がらせのレベル以上にビジネスモデルを壊す方法は無いんだろうか、ビジネスモデルにインパクトを与える方法は？考えるとどんどん出てくるけど、使えそうなのはそう多くない。

おっと前提で言えば、悪人がXaaSビジネスモデルを効果的に使いこなすようになってしまい、結果として自身のビジネス、つまり犯罪の目的により集中できるようになった。近年すごく深刻な、人の命に関わる病院をデータ人質の標的にして大儲けしているのもそうした流れがあるからとも思える。ランサムウェアのビジネスモデルの弱点を突くのは容易ではないけど、考え続けたいしもっといろんな知恵を使いたい。摘発でもテイクダウンでも大々的な嫌がらせでも何でも良い。

アイディアソンをしたいね。ついつい法的なこととか国際連携とか条約とか調整とかそんなことばかり考えてしまいがちだけど、それこそそういうところはXaaS的に専門家に任せて、実際にできそうかどうかくらいの尺度のみでアイディアを出しまくりたい。この数年、アイディアの捻り出し方についていろいろ考えてきたり、学んできたり読んだり調べて来たことを、そういうアイディアを出す場面で使ってみたい。

とはいえ良くあるブレストや、一般的なアイディアソンのように、その場でのみウケるアイディアばかりではつまらないし、現実味を出して行きたいしあわよくば社会実装したい。SecHack365に使う的色気は置いておき、みずからプロジェクトとして考えをまとめていく必要がありそう。抱えるプロジェクトの数と種類から見てけっこうしんどそうだけど、研究ネタとして揉んでいきたくはある。さて。腹をくくる必要がありそうだな。

前提となるネタをどこかでまとめて資料として公開しておくか。昨年の講演資料とかをもとにして。

SecHack365の学習駆動コースの中でコンテンツゼミという何でも良いからセキュリティ啓発とかに使える使う利用できるモノを作ろうぜゼミをやり始めることになって、こりゃーラノベとか言い出すヤツ出るだろうなーと思ってこれまで一冊も読んだことが無かった異世界転生とかそういうのを大量に読んでみた。意外とこんなのでも本として出ちゃうのねーとか、打ち切り多いなージャンプかよとか、諸事情含めて興味深かったけどさすがに最近は飽きてきてる（笑）。それにオーバーラップする形で、今年度はショートショート！ということになって自宅の短編集、アンソロジー本を文字通り発掘して短編を読み始めたんだけど、目ざといあっしはとにかくおもしろい本をたくさん貯蔵しているので発掘する本する本だいたいおもしろい。習慣化実装ということで毎日1篇を緩めに読むようにしていて現在70篇。意図して消そうとしつつある異世界ラノベの方は徐々にシュリンクしていっているけれどもついつい読んでしまう。結果その手のものに割く読書量が増え、他のSFやらミステリやら技術書やらビジネス書やらが滞り始めているので、どういうバランスに落着させるかを思案しているところではある。
それにしても読むモノの変遷って自分ながらおもしろいね。
実は昔から読書録作るのが割と好きだったんだけど、短編もリスト作ってログ＋簡単な評価や随筆的な文章を書いていたりする。こういうのがホイホイできる今ってほんと良い時代だなぁｗ。

前置き：

記事タイトルの犯人の言葉に触発されてプロットを書いてみたけど、自分で小説にする気は無いのでこっそり公開してみようと思った。創作として後味が悪い小説（プロット）を書いてみたかっただけで、現実のあっしとしてはあの事件については犯人に憤りしかない。何てことしてくれたんだと思う。

プロット：
「死刑になっても良い」とうそぶく犯人。対して与えられた刑罰はユニークなものだった。自分が書いた小説のどこが盗まれたのか（盗まれてなかったのか）を専門家によって徹底的に分析し、それを犯人に解説し続けるというもの。犯人が書いた（書き終えていないものも含め）「小説」は正直駄作ばかり。どこがどう駄作だったのかと言うと、独りよがりな文章、いろいろ説明が不足しているなど技術的な欠陥もさることながら、最も致命的なのは展開が予想できすぎるのだ。簡単に言えば陳腐。どこかで見たようなものばかり。それを徹底的に突き付ける。最初は黙っていた犯人も、容赦のない指摘に半狂乱になったり、心を閉ざすような態度を採り、精神的には地獄のような責め苦であることがうかがえた。
しばらくして犯人は冷静になっていき、自分がしたことの重さを実感し始め、悔いを口にするようになる。ではこのあと君はどうするの？と問われると、罪を償いたいが、到底許されるものではないので、死刑になったとしても受け入れます、と、以前の「死刑になっても良い」とはかなり異なるニュアンスで言い始める。そして犯人は死刑になり、異例の早さで刑は執行される。
犯人の遺品から小説が見つかる。専門家の分析を延々聞かされていた犯人は、いつの間にかそれを自らの血肉とし、オリジナリティのある小説をものにしていたのだ。すいすい読める、ページを繰る手を止めない小説。この犯人が喪われることの文化としての意味はどうなのか？
さらに後味が悪いことに、疑問に感じた専門家が追跡調査をしてみたところ、犯人のプロットがアニメーションの原作者の目にとまっていた可能性があることがわかった。本当に盗まれていなかったのか？拙い技術や全体の出来の悪さ、そういうものに隠蔽されて、表に出てこなかっただけではないのか？あるいは、研究などではよくある同時多発的発想事象があっただけなのか？当事者のどちらも今はこの世に無く、これ以上の追跡は無理だ。

☆グランドサイバーセキュリティキャンプ＠韓国・ソウル（2019年：https://www.security-camp.or.jp/event/gcc2018.html）
韓国の人材発掘育成プログラムBest of Bestの拠点を借りて、キャンプ事業初の国際展開に前半だけだけどアテンドしてきた。各国の思惑とかが交錯する中、実現にこぎ着けたkanaさん始めとする各国の方々に感謝したい。それほど可能性を感じる、でも難しいプロジェクトだと思った。
ちなみに2020年の開催情報はこちら＞https://www.security-camp.or.jp/event/gcc_tokyo.html

☆IHSI2019＠アメリカ・サンディエゴ（2020年の開催情報しか見当たらないｗ＞http://www.ihsint.org/）
サンディエゴは久しぶりでしたが、散歩道がたくさんある気候の良いところなのでとてもリラックスできた。この学会は3回目くらいだったんだけど、数理モデル的なアプローチでやってる人たちは他に居なくてどうなの？とは思った。ただ、似たアプローチの萌芽はあり、今後に期待できるかな。

☆Offensive Security Conferece2019＠ドイツ・ベルリン（https://www.offensivecon.org/agenda/2019/）
初参加。昨年から始まったカンファレンス。こういうカンファレンスは本当に貴重。スポンサーもとても少なくて（https://www.offensivecon.org/sponsors/2019.html）こぢんまりとしているのも良かった。日本人は他に一人しか来ていなくて、帰国したら自慢したるって思った（笑）。ま、アンソニーにはみっかっちゃったけどｗ
ちな2020年情報>https://www.offensivecon.org/

☆RSAカンファレンス＠アメリカ・サンフランシスコ（これも2020年の情報しか見当たらないｗ＞https://www.rsaconference.com/）
Japanエリアを作ってNICTのサイバーセキュリティ研究室の方々もNIRVANAとかひっさげて参戦してた。セキュリティに関わるビジネスの総見本市って感じで、ブースの数はとても多く、1日じゃ見切れないほどだった。ビジネス的視点が必要な方々は様子見に行くと良いと思うけど、あっしの趣味とはちょっと違うかなぁ（笑）。

☆SXSW＠アメリカ・オースティン（これも2020年の情報しか見当たらないなｗ＞https://www.sxsw.com/）
2度目のSXSW。目的はSecHack365の若者達をハッカソンに送り込んだり、ベンチャービジネスってどんなもんなのか感触を掴んでもらったりすることだけど、2年連続してハッカソンでスポンサー賞をいただけたのは望外。日本企業が意外と躍進？しているのも興味深いけど（撤退する企業もある）、新しい何かが転がってるのがとにかくおもしろい。ゲームやe-Sportsのセッションとかもとても勉強になった。このイベントは若者にはとても良い刺激になると思う。

☆CanSecWest＠カナダ・バンクーバー（2019年情報：https://cansecwest.com/agenda.html ただ、サイトポリシーが怪しくてすぐ内容とか今年のに変わりそうではある（笑））
PWN20WNでテスラをやってた（笑）。あのコンテストは可視性とか全く気にしていないけれど（笑）、それがまた楽しいところではある。カンファレンスの講演は玉石混淆だった。目利き勢がパワーダウンしたからかな？

☆Hack in the Box＠オランダ・アムステルダム（2019年情報：https://conference.hitb.org/hitbsecconf2019ams/）
過去マレーシアでやってたのは行ったことがあるけどもアムステルダムは初。アムステルダムはすごく観光地化していて人が多かった。行ってる時にちょうどアヤックスがトッテナムとチャンピオンズリーグ準決勝セカンドレグ、しかも地元アレーナで戦う日だったりしたけれども、衝撃の敗退にもかかわらず暴れている人は見なかった（笑）。ただ、レストランで飲みながら観戦している人たちを横目に食事していたけど、衝撃の失点時「ざっけんなよ！」的に瞬間風速が吹いたくらいｗ。カンファレンスは楽しかった。春山さんのセッションを聞き損ねてしもうた（笑）。
2020年アムステルダム開催の情報＞https://conference.hitb.org/hitbsecconf2020ams/

☆AHFE2019＠アメリカ・ワシントン（2020年情報しか見当たらないｗ＞http://ahfe2020.org/）
畑田さんと飲んだ（笑）。ワシントンは2回目だけど、前回はトランジットだったので滞在時間はごくわずか。2回目の学会自体はけっこう大規模で、細分化されたさまざまなセッションが行われるもの。ポスターとかにちらほら日本の大学とかが来ていた。ここの学会は発表後なにがしかのフィードバックはあるんだけど、それほど活発なわけではない。数理モデルアプローチは学会では同志が少ないんだよなｗ。

☆BlackHat&DEF CON＠アメリカ・ラスベガス（2019年情報：https://www.blackhat.com/us-19/、https://www.defcon.org/html/defcon-27/dc-27-index.html）
アメリカのブラックハットは実は初参加。日本人がとても多かった。講演は新井さんも書いてたけど、なんか潮目が変わってきた感。AIAIしてなくなり、ハードウエア寄りのものが増えている。DEF CONは何気にキャンプ初日との絡みで2日くらいしか見られなかったけど、あいかわらずヴィレッジの勢いが凄くて、どんどん増えてる。来年はカンファレンスセンターが新設されてそこに移るようだし、さらに規模がでかくなるのかなぁ。世界中から2万とか人が来るから会費？的なものでもまかなえてるってことなのか。日本で同様な規模感でやろうとするなら幕張メッセとかビッグサイトとかになるんだろうけども、CCCもそうだけどどういう収支になってるんだろう？規模感はほんとうらやましい限り。
2020年情報＞https://www.blackhat.com/upcoming.html#usa

☆r2con＠スペイン・バルセロナ（2019年情報：https://rada.re/con/2019/）
これだけサッカー好きなのにバルセロナは初。いやー良い街だったｗ。r2conもOffensive Conと同じく小規模でスポンサーほぼ無し。ワークショップとかも開催されず、ハコひとつだけ。でもすごく楽しかった。開発者たちの集まりはやっぱ興味深いね。あとパンケーキさんはあり得ないほどパワフル。

☆ICEEL＠スペイン・バルセロナ（2019年情報：http://www.iceel.org/ ただし、いずれ内容は2020年のものに置き換わるはず）
まさかのバルセロナ2連発（笑）。ここではすごい出逢いがあって大収穫だったけれど、e-Learning系列の学会は初参加だったんですが、正直なところ質問とかゼロで出会い以外の収穫は無かったわー。残念。しかしほんとうにバルセロナは良いところだったなー。すごく古い歴史のあるバルセロナ大学にも行けたけれども、その横に日本料理屋というかラーメン屋がオープンしてて笑った。までもr2conで出会ったエンジニアたちも日本語ちらほら知ってたんだよな。嬉しい限りだけど何かブームとかあるんだろうか。アニメは好きと言ってたけどねー。アニメが偉大ってことかｗ。

☆CCC＠ドイツ・ライプツィヒ（2019年情報：https://events.ccc.de/congress/2019/wiki/index.php/Main_Page）
毎年行ってるけどやはりCCCはおもしろい。ワークショップがすごく充実してるし、講演もときどきだけどエポックなのが出てきたりする。今年はやっぱプレイステーションだったかなー。SecHack365の成果イルミパケットをデモれていろいろ感触を得たので、来年は出展やワークショップとかもっと大々的にやりたい。