前回の続きです。
モチベーションは人によって違います。例えば、セキュリティ関連のカンファレンスで講演できるであるとか、ブログなどで発表して注目を浴びたいであるとか、ビジネスとして会社の宣伝になるであるとかです。
ところが、この程度のモチベーションだと長続きしないのです。最初は、楽しくてワクワクした気持ちが技術者を突き動かすのですが、そのうちに疲れてくるということを経験するでしょう。
脆弱性の発見者はセキュリティ界ではヒーローですから講演などに呼ばれます。講演では自ら発見した脆弱性を自分の成しえた功績としてしばらくネタにできます。しかし、残念ながら少し時間が経つと人々は興味を失ってしまいます。また注目を浴びようとするとさらに新しい脆弱性を発見しなければなりません。こういう循環に疲れてしまうのです。
私が発見者をしていたときには比較的簡単に脆弱性が見つかっていました。あんまりたくさんみつかるので、「小出し」にしていたときもあったくらいです。今ではそんなに簡単には見つけることはできなくなってきています。しかし、見つけられるだけの技術的なスキルを備えた人材のセキュリティ業界からの流出は止まりません。
一方、ボットに代表されるように攻撃はまずます巧妙になってきていて、昔の「自己顕示欲」のためのウイルスばらまき、ホームページ改ざんという攻撃から、金銭目的の攻撃に変わってきていることは周知の事実でしょう。
私が脆弱性の発見者をやっていたころから指摘していたことですが、「セキュリティ関係者が見つけるよりも先に悪い人が見つけてそれを悪用した攻撃が来ると防げない」ということが現実となってしまいました。昔は脆弱性の発見者はセキュリティ業界の技術者で、悪用するのはウイルスの作者や実証ツールを悪用したスクリプトキディ(自分で脆弱性を発見したり攻撃ツールを作成できる能力がなくて、他人の作成したツールをダウンロードして使うだけのハッカー気取りの素人のことを指します)でした。
つまり、現在では発見者が疲弊しつつ、悪い人たちは高いモチベーションと技術力を備えつつあるということなのです。金銭目的で攻撃するサイドの人たちからすれば、今はチャンスなのです。自分たちで雇った技術者が発見した脆弱性を使って、ウイルスや攻撃ツールを開発して実行すれば、攻撃そのものが発見されたり防御されるまでに時間がかかるからです。
そういえば、私が活躍していたころに「次にあなたの発見した脆弱性情報を公開前に売って欲しい」という英文メールが来たことがあります。なにやら怪しそうな組織でしたし、その後連絡が途絶えたので「いくらで」買ってくれるかは分かりませんでしたが、同じような誘いは当時の主な脆弱性発見者に届いていたはずです。
この状況を改善するためには「セキュリティ業界の脆弱性発見者のモチベーションを上げること」が必要です。彼らに必要なものの一つは「名誉」です。今の状態では少なくとも親には説明できません。
例えば、優秀な脆弱性発見者を表彰するとか、コンテストを開催して脆弱性の発見の技術を競うなど、彼らを応援する施策が考えられます。これらを公的な機関の支援によって開催することによって、一般社会に認められるセキュリティ技術者になれるのではないでしょうか。
税金を使わなくても後援であるとか民間企業とタイアップするなどやり方があると思います。脆弱性の発見者が、悪い意味でのハッカーに近い存在であるかのように誤解されていることも少なくない現状を打破するには、脆弱性の発見者とその技術が金銭目的の攻撃に対応するためには欠かせないリソースであることを認めて欲しいと思います。
以前、通称「ハッカー甲子園」というようなコンテストを開くというアイディアが経済産業省を中心にありましたが、脆弱性発見の技術を競うようなコンテストが開かれてもいいのではないでしょうか。脆弱性発見のプロという存在の認知と応援がセキュリティ業界の底上げになると考えています。
