脆弱性診断技術やサイバーセキュリティに関する情報を発信するブログメディア

インターネットを支える「ID」「認証」「標準化」 デジタルアイデンティティ分野の面白さと難しさ

イエラエセキュリティの顧問を務める川口洋が、イエラエセキュリティを支える多彩なメンバーと共に、サイバーセキュリティやサイバーリスクの今を語り合う座談会シリーズ、第6回をお送りします。

 

川口洋氏は、株式会社川口設計 代表取締役として、情報セキュリティEXPO、Interop、各都道府県警のサイバーテロ対策協議会などで講演、安全なITネットワークの実現を目指してセキュリティ演習なども提供しています。


2018年からはサイバー攻撃をゲーム感覚で楽しむプロジェクト「Micro Hardening」で全国ツアーを開催するなど、サイバーセキュリティに関するコミュニティ活動にも長年貢献してきた人物です。


そして今回から2回に渡りゲストとして登場するのは、イエラエセキュリティ取締役の林達也です。情報技術の研究開発支援・コンサルテーションを行うレピダムの創業者である林は、2009年頃からインターネット技術の標準化活動に参加してきました。近年は認証・認可技術やプライバシー分野に精通し、OpenIDファウンデーション・ジャパン理事(2019年6月末退任)として、デジタルアイデンティティ分野の技術者および企業コミュニティをリードしてきました。
「IDの専門家」として長年活動してきた林達也と、顧問・川口洋が、“セキュリティ”という視点を軸に語り合います。どうぞお楽しみください!

 

イエラエセキュリティ顧問/株式会社川口設計 代表取締役

川口 洋

2002年 大手セキュリティ会社に就職。社内のインフラシステムの維持運用業務ののち、セキュリティ監視センターに配属2013年~2016年 内閣サイバーセキュリティセンター(NISC)に出向。行政機関のセキュリティインシデントの対応、一般国民向け普及啓発活動などに従事2018年 株式会社川口設計 設立。Hardening Projectの運営や講演活動など、安全なサイバー空間のため日夜奮闘中。

株式会社イエラエセキュリティ 取締役

林 達也

エンジニア、コンサルタントを経て、2004年に情報技術の研究開発支援・コンサルテーションを行うレピダムを創業。2009年頃から主にW3CやIETFを中心としたウェブ及びインターネット技術の標準化活動に参加。 研究機関等の客員研究員や所員、各省・各団体の委員等を歴任し、各種講演等を多数行う他、サイバー(ネットワーク)セキュリティに10年近く従事。 近年はOpenIDファウンデーション・ジャパン理事(2019/6月末退任)なども務めつつ、認証・認可技術やプライバシー分野に精通。デジタルアイデンティティ分野の技術者および企業コミュニティをリードしている。

“IDの専門家として、テッキーな会社に関わり続ける面白さ”


川口洋
(以下、川口):今日はよろしくお願いします。林さん、まずは自己紹介お願いします。

林達也(以下、林):イエラエセキュリティの取締役をしている林です。ココングループの1社である、情報技術の研究開発支援・コンサルテーションを行うレピダムの創業者でもあります。レピダムがココングループに入った時に、一度イエラエの取締役になったことがあります。また最近、出戻って取締役となりました。

川口イエラエでは、何を取り締まっているんですか(笑)。

何も取り締まっていないですね(笑)。イエラエはテクニカルなことについてはほとんど心配がないし、数字の話もちゃんと見えてる人がいる。イエラエ代表取締役の牧田さんが両方できるスーパーマンなので、僕は牧田さんの補助線を引く感じの仕事かなと思っています。戻って改めて感じますが、最近のイエラエは面白いですよね。仕事の幅と人の幅、両方すごく広がってます。

川口ココンでは、何をされているんですか。

ココンの中では、技術領域投資室っていう1人室なんです。有望そうなスタートアップを探して投資をするという、面白い仕事をしています。

レピダムという会社を創業してずっと代表取締役をしていたのですが、自分も年を取ったので若手に譲らないといけないということで、去年2代目に引き渡してしまいまして。そこで、最前線で戦わなくなった後「何やろうか」と考えて周りを見回してみると、僕のやってきたインターネット標準化の専門家達の“次のキャリア”は、国内外共にVCや投資家がすごく多かったんです。

何でかと聞いてみると「標準化がわかるってことは、その領域のこと全部分かってるってことでしょ」と。実は、ちゃんと技術がわかるVCって少ないんですよね。VCがスタートアップの評価をがちゃんとできてないということは、海外に行ってすごく痛感しました。ココン代表の倉富さんも同じようなことを考えていたこともあり、そういうポジションで仕事をしています。

川口ココンとイエラエの両方に足をかけてみてどんな感じですか。

イエラエはグループ内で売上トップですからね。それはとても大きいことですし、セキュリティみたいなコストセンターと言われがちな事業で売上トップって凄いことですよ。

でもセキュリティって、ビジネスとしての専門性も高いし技術としても難しいじゃないですか。ココンはテックの人がまだまだ少なくて、イエラエの話を分かる人も少ないんですね。これは僕が取締役だったときからの課題なんですが、どうにかできる立場には今いないのが残念なところです。イエラエの取締役としては、ココン側に「ブリッジをする役割の人」がもっと増えるといいと思います。

川口ココン、イエラエと2つ会社が出てきましたけど、他にも色々と関わっておられますよね。

その他にはパロンゴという会社でCTOをやっています。この会社は基本的に海外のセキュリティ製品を販売しています。単純に売るだけじゃなくてオペレーションもセットで売ったりしていますね。扱ってる商品はいくつかあるんですが、1番面白いのは「ProtectWise GRID」っていう可視化の商品。全パケットを容赦なくフルキャプチャして、全部クラウドに取り込んで、解析して可視化するというような内容です。(注※インタビュー後、買収によりVerizon NDRという名称に変わりました。 )

今はこの3つですね。テッキーな会社に関わっていることがほとんどで、非常に面白く仕事をさせてもらっていると思います。

“「ID」と「認証」と「本人確認」の狭間で”

川口実はずっと林さんのプロフィールで気になっていたことがあるんです。twitterのアカウント、3文字(lef)なんですよね。アカウント転売屋に狙われそうな短さで、珍しいですね。すごく早い時期に取ったのだろうなと思って見てました。

IDの専門家として言うと、3文字は愚かしいと思います(笑)。

川口愚かしい・・・何故ですか。

広い、ユニークじゃないといけない空間で3文字って、スパムの餌食になるに決まってるじゃないですか。分かりやすい以前の問題だろうと。

川口じゃあ、なんでそのアカウントを取ったんですか。専門家なのに。

ぼく、小学生の時から「lef」なんですよ。ゲームセンターでハイスコアを出したときに名前を入れる文化があったんですが、3文字しか入力するスペースが無くて。そのころからずっと「lef」だったんです。

川口こだわってたんですね。

Twitterアカウントに関しては、みんな「Twitter面白いよ」って言ってた時期に「じゃあアカウント取るか」くらいの軽い気持ちで、何も考えずにスッと取りましたね。当時は新しいサービスが出ると、とりあえずアカウントを取ってました。最近は4文字以上が増えて、3文字は取らせてくれなくなってきましたね。

川口林さんはIDの専門家ということなんですが、実際には何をやっているんですか。すごく大事なことなのにテーマに取り上げにくいというか・・・誰かがやらないといけないことだというのも分かるし、やってくれるのはすごいと思うんですが、そこの大事さを理解してもらうのはなかなか難しいなと思っています。

「ID」ってつい気楽に言ってしまいますけど、多分すごく難しくてマニアックなものですよね。「認証」も世の中にいっぱいあるんですが、可能なら自分で触らない方が安全なものの1つだと思います。

川口下手に手を付ける方が恐ろしいですよね。どこかにあるライブラリとかを使った方が安全だし、ラッピングされてて分からない。

たぶん多くの人が「ID」と言う時に意味しているのは「Identifier(識別子)」のことなんです。でも、Identity(身元、正体)を指す場合もあるんです。日本語ではシステムの人が「アイデンティティ」という言葉を使う機会はあまりないですよね。最近だと英語のインターフェースでクラウドサービスを使うと見る機会もあると思います。その辺を意識して整理して、体系立てて触ることってあまり無いんですよね。

セキュリティに近いジャンルだと「認証」(Authentication)や「認可」(Authorization)に繋がるんですが、その範疇には収まらないことも多いです。日本だと、もっと広い意味での「個人情報」まで扱う、扱わざるを得ないジャンルになります。この時点でだいたいテクノロジーの境界線を越えたところの“文化”っぽい話もあり、法律もあり、とても幅広いジャンルを扱うテーマになります。

川口なんでそんなところの専門家になったんですか。

認証技術の標準化をしたいという(国立研究開発法人)産業技術総合研究所とご一緒したことがきっかけで、認証やアイデンティティ系の技術に身を置くようになりました。「Webの認証っていったらあそこだよ」ということで、(IETF)OAuthのワーキンググループに参加するようになって、ずぶずぶとその道に入っていった感じになります。

川口OAuthが使われている身近な事例について教えてください。

ソーシャルログインってあるじゃないですか。facebookでログインとか、twitterでログインとか。あれです。OAuthは、許可を出す認可のプロトコルです。OAuthの他にOpenID Connectっていう認証の仕様があります。

そして、僕が事実上、師事しているといっていい崎村夏彦さんというデジタルアイデンティティの大家から、ある時、「idcon(Identity Conference #idcon )という勉強会に登壇しない?」と言われたのがキッカケで、楽しいコミュニティワークが始まりました。

認証について学ばなきゃと思ってたら、認証の人たちが認証技術そっちのけで本人確認の話をしていたり。本人確認がめっちゃ大事なことは分かりますが、なんでそんなに大事かは、その瞬間はわからなかったんですよ。でも、関わりだして少し経ってから、個人情報保護法の改正があって、その改正案のパブコメに関わったりしたりしてるうちに、意識が変わっていきました。

当時「認証」とは関係なく、通信の標準化に関わって総務省の政策支援的なこともしていたので、法律を変えるのってめちゃくちゃインパクトあるんだなって思って。そこから、いわゆる個人情報やプライバシーのところまで必然的に手を広げることになった感じですね。

“活気あるカンファレンスに若手を送り出す重要性”

川口「標準化」っていうワードがさりげなく出てきましたけど、標準化ってどこで管理しているものなんですか。

国内での分類としては、標準には3つあって、「デファクト標準(市場で支配的となった事実上の標準)」と「フォーラム標準(関心のある企業や団体が決める標準)」、あとは国際機関などによって公的に決められる「デジュール標準」と呼ばれるものもあります。

川口林さんはどれを中心にやってたんですか。

僕は前者の2つ、特に「デファクト標準」をやっていました。インターネットエンジニアの標準を決める技術仕様(プロトコル)をIETF(Internet Engineering Task Force)という場で行って、RFC(Request For Comments)という名前で文書化するという活動ですね。何本か名前を載せてもらってるんですが、HTTP/1.1の改訂版とかHTTP/2とか、ずっとそういう標準化を10年くらいやっていました。

川口さりげなく言ってますけど、順序から言うとインターネットの通信の基準を作ってたってことですよね。

だいたい合ってますが、そういう点では僕はニワカですね。IPv6を作っていた人とか、もっと先を行っていた人達がいるわけですから。インターネット屋さんって、下のレイヤーから上のレイヤーみたいな言い方するじゃないですか。僕はOAuthとかHTTPとかWebとか、超アッパーレイヤーの、でも歴史的にはまだ下が大変だった時代にいたので。上は常にニワカで下の人たちが基本的にエライんですよ。

川口見えないヒエラルキーがあるわけですね。

OSを作ってる方がエライ、TCP/IPが作れるのもスゴイ。僕たちは上でアプリケーション書いてるだけだし、HTTPのパラメータを決めてるだけだもんな、みたいな感じですね。

川口そんな卑下しなくても(笑)。

でも、やっぱりそういう感触があります。面倒くさいこと言ってるかもしれないですけど、下があるからこそ上があると今でも思ってますし。

川口そういう人たちが、日本のインターネットの基盤を作って支えているわけですね。

「支えてくれていた」が正しい気がしますね。人がどんどん減ってきてますし。自分もIETF行かなくなっちゃいましたけど、若手にはどんどん行って欲しい。オフサイトミーティングに行くと年を取ってるのは、日本人の僕たちくらいなんですよ。

外国の若いエンジニアが活気づいている場を見ると、もっと海外出ていかないとなって思いますよね。DEF CONもBlack Hatも海外の若いエンジニアめちゃくちゃ多いじゃないですか。イエラエが良いなって思うのは、DEF CONにいっぱい人を出すのが普通になってるカルチャーです。いろんなスタートアップを見てますが、そういう会社って何となく伸びる感じがあります。活気もあって、レベルも高い。

川口そこがモチベーションの1つになっているところはありますよね。イエラエがDEF CONやBlack Hatに人を送り込めない会社になったら、メンバーも離れていく気がしますね。

でも、DEF CONとBlack Hat行ってる人は僕のタイムラインでもよく見るんですが、IETF行ってる人を林さん以外に見たことないんですよね。僕のクラスタにいないだけかもしれませんが、若い人がそこに興味を持っているのかは気になりますね。

行ってる人はいますけど、昔に比べたらやっぱり数は減ってますよね。存在を知らない、面白さが分からない、予算がない(仕事として認められない)、みたいな感じですかね。最後が一番大きい気がします。

川口標準化ってすごく大事なことで、誰かがやらなければいけないことですが、一方で、大手企業の研究所でこういう活動に予算を割くのが難しいという事情もありますよね。活動には資金が必要だと思うんですが、林さん達には誰かがスポンサーとして付いていたんですか。

うちの場合は必死に探してたこともあって、お客さんが付いてましたね。自分達でもファンディング予算を取ってきたり、総務省からスポットで予算があったり。競争的研究資金を申請するときに「標準化」って書くと評価が高かったんですよ。

川口予算が付いてた時代と、それで予算が付く時代じゃない今では違いますよね。

そういうのは大きいですよね。

“アイデンティティの専門家は、今、引く手数多”

川口IDという分野も、クラスタが小さいからこそ、「このポジションを今やれば自分がこの分野でトップになれる」という野心家がいたら面白いですね。

そう思います。アイデンティティのプロフェッショナルってグローバルでも全然人がいない。2ヶ月くらい前までOpenIDファウンデーションジャパンの理事をしてたんですが、とにかく人がいない。呼ばれて行く人たちはほぼ全員一緒だし。これは日本だけじゃないです。

時事ネタですが、仮想通貨やキャッシュレスサービスのインシデントもあるように、いろいろIDに関係するコンテンツはあって、実は仕事はめちゃくちゃあるんですよね。需要はあって、サラリーもそこそこ良くて。専門家としてポジションを見つけて交渉するのは難しいかもしれませんが、基本的に人がいなくて重要性もある。

川口根幹ですもんね。それが動かないといろんなアプリケーションも動かないわけで。

ユーザーが分からないと何もできないですからね。課金決済系の話をすることが多いんですが、課金と認証ってほぼセットですからね。

川口OpenIDファウンデーションの代表理事は、あの楠正憲さんなんですね。有名人がいますね。

昔はNRIさんが事務局をやってたんですが、僕が事務局長になったときに、NRIさんがその部門は止めるから体制を変えて欲しいと言われて。そこで当時、楠さんに代表になってもらったのも含め、理事候補の選定をさせて頂きました。OIDF-Jの中の人は皆さん優秀で、Identity愛に溢れていますよ。

川口社員企業は、伊藤忠テクノソリューションズ・Japan Digital Design・NRI・ヤフー・リクルートテクノロジーズ。ここにレピダムが入ってるわけですね。会員企業には、いろんな会社さんが入ってますね。

順当に会員数増えてるはずです。本当は大きいIT企業は全部入ってほしいんですけどね。当時はヤフーさんがOpenID ConnectやOAuthに力入れてたので外せないでしょう、と。あとは大きなIDプロバイダとしてリクルートさんとか、楽天さんとか。

川口どんな活動をされてるんですか。

2種類あって、会員向けの「OpenID BizDay」というイベントと、「OpenID TechNight」というオープンなイベントをやっています。あと、4年に一度、「OpenID Summit Japan」というのをやってます。もっと知名度を上げないといけないですね。

川口いろんな方に、この業界に興味を持ってもらうのは大事なことですよね。セキュリティキャンプでは講義を持たれるんですよね。どんな講義をやるんですか?(編集註※なお、この対談収録はセキュリティ・キャンプの会場で行われました)

僕は主に座学の20分で、その後90分のハンズオンがあります。そこでは、セッションを見てみたり、トークン置換攻撃を試してみたりしますね。

川口いいですね。興味を持って飛び込んでくる学生が毎年1人でも出てくるといいですよね。毎年やってみてどうですか。

「キャンプ」の主な参加者は大学生なんですよ。ですから、就職したあと、仕事をする中で「あー、何か聞いたことあるな」くらいに結びついてもらえればいいなと思って、入門ステージをやっています。そこからOpenIDファウンデーションなど仕事で関わる機会ができたら、セキュリティキャンプにIDの講師枠に入ってくれたら、嬉しいですね。

今回一緒にやるヤフーの倉林さんは、僕が入った時は超若手で、10歳以上、年下なんです。まだ若手がいるジャンルですね。インターネット業界は、母数から考えると若手の育成に失敗した業界だと思うんですよね。一定以上の母数がいないと、下って増えないじゃないですか。ID業界は、その母数を失わないギリギリの感じだと思います。

川口若い人たちに期待したいですね。セキュリティキャンプ参加者は80人もいると変わり種もいるじゃないですか。それぞれ興味も違うし。

あとは継続性が大事ですよね。標準化もそうですし、コミュニティワークもそうですし、続けないと駄目だなと。けっこうメンバーが途中で入れ替わっちゃうので、続けられる人間が頑張ってちゃんと続けていくことが、地味に効いてくると思います。

川口定期的な人事異動が仕組みに入っているような上場企業はやりにくいでしょうね。

やりにくいと思います。でも、だからこそやらないといけない。若手を育てていくのが自分の役目かなと思ってます。

川口もっとキラキラしたイメージ付けた方がいいんじゃないですか。奈良先端の門林先生も「お前ら、稼いでフェラーリでも買え」って言ってますよね。

そこは新聞にデカデカと出た門林先生がやれって話ですよ(笑)。門林さんには標準化のコンテキストでお世話になってます。この前もTTC(The Telecommunication Technology Committee )でご一緒しました。

川口次の世代を惹きつけていくために、セキュリティキャンプにも期待したいですね。最後にIDや標準化、プライバシーの専門家として、これからの世代を担う皆さんにメッセージをお願いします。

今のAPIエコノミーの時代、必ず「認証」が関係してきますし、セキュリティもエンジニアリングもめちゃくちゃ面白いところです。しかも、絶対に必要なところ。法律みたいなこともやる必要があるので大変なところもあるんですけど、自分の好きなところを伸ばせる。いろんなジャンルに広がっているので、すごく自分の幅を広げるチャンスになります。

国際的に通用する分野だし、シリコンバレーに行くよりも楽でやりやすくて、伸び率も大きくて、ブルーオーシャンだと思ってます。すごくおススメな分野ですね。ちょっと「面白い」と思ったら、是非そこを触りに来て欲しいです。

セキュリティ診断ならお任せください

Webサービスやアプリにおけるセキュリティ上の問題点を解消し、収益の最大化を実現する相談役としてぜひお気軽にご連絡ください。
国内トップクラスのセキュリティエンジニアが診断を行います。

ホワイトハッカー

セキュリティ診断
ご相談はこちら