第１６回TKTKセキュリティ勉強会

こちらのイベントにおじゃましていました。
https://tktksec.connpass.com/event/339269/

今回はSoftEtherやシン・テレワークシステムで有名な登大遊さんの講演です。
馴染みのない話もありましたが、可能な範囲でメモを書いてましたので整理してみます。テクニカルの深いところは、誰かが書いてくれるハズ。

オリエンテーション

追加席の用意が必要なくらいの参加者数。有料イベントでこれだけの集客は素直にすごいっす
資料は参加者オンリー
実は毎回違うアンケートフォームのデザイン。過去記事見たら本当だった
- 過去記事
TKTK presentsのフォレンジック講座というものが開講されるらしいです

講演第一部：インターネット全般

別途参加者のみに配布された副読本をベースに展開。

イノベーション、経営企画､開発戦略、人材育成分野
- ブートストラップ問題
  - コンパイラとかの文脈で出てくる話ではなく「物事の取っ掛かりをどうすればよいか」という問題のことを表す
- 文章の信頼性はPowerPointスライドよりはるかに上
  - PowerPointスライド：表現方法と話し方でどうとでも解釈させることができる
  - 文章で書くと論理的に破綻していないかすぐにわかる
    （概ねAgreeだけど、相手が読みやすい文章にしないとそもそも伝わらないというのもあるよなあ・・・）
ネットワーク技術､フレッツ & 光ファイバ、インターネットサービス開発分野
- 若い人が通信の分岐部分を目にする機会が減った
  - 内容がそもそもややこしく、みんなめんどくさがってあまり文献化しなかった
  - 買収と再委託を重ねることで、中身のわかる人がいなくなった
- セキュリティでは権限の分散による均衡が大事（単一はダメ）
  - 海外はこの辺りの育成をきちんとやっていた
  - PPPoE IPoE
- OPTOS
- インターネット界と電話界は似ているようで非なるもの
  - 電話会社：閉鎖的/強権的思想
  - インターネット：自由民主主義思想（戦争ではなく目の前にあることをラクにしたいという考えから始まっている：ルーター）
  - 2000年代初頭「相互接続」（政府による介入：適正価格と適正利潤）
    　　【例】YAHOO！BB, フレッツADSL
  - 相互接続点（POI）
    - 2010年頃までネットワーク人材は一子相伝の文化だったため、後継ぎがいなくなった
    - 情報Webステーション
      - 相互接続ガイドブック
        （情報Webステーションにリンクがあるが、確かに見づらい・・・）
クラウド・IT コンサル・SI・公共・セキュリティ分野
法務､リスク管理､クラウド主権､プライバシー､行政分野
- ゼロトラスト
- BGP
- 多様性の確保と分散
  - 最近のクラウドはソースやオブジェクトコードが非公開なので、研究者よりもハッカーの方が先に脆弱性を見つけてしまう
- AIとの付き合い方
  - AIモデルの核はC++、ガワはPython
- 海外は自分で中間者攻撃して調べるなど、情報漏洩に神経をとがらせている。日本は外国のクラウドサービスを使う旨になってるw
- 米国クラウド法はヤバい
  - 米国企業が海外のサーバーに保存しているデータについて、米国の法執行機関が許可なく使ってよい

講演第二部：ビジネス

金儲けには実験室が必要
- 仮想環境
- かつてはgo.jpドメインの組織でも~付きフォルダにいろいろ置いてた
  - ~付きフォルダ禁止による学習機会の喪失（お金ある人しか自分で勉強できなくなった）
デジタルの本流と支流
クラウドサービスのベース技術
- KVM
- cgroup などなど
戦略立案のためには、クラウド型コンピュータシステムの基本構造を知る必要がある
課題：基礎技術はあるのに、日本でデジタル本流ができないのはなぜか？
- 素質のある者が勝手に構築して技術開発できる環境にない
  - 「一応業務と合理的関連性があると説明可能な」試行錯誤に適したコンピュータやネットワークを黙認するべし（自由にできる環境を与えるべし）
- 品質保証されたソフトウェアやソフトウェアサービス（SaaS）の購入が進み、ブラックボックスへの依存度が大きくなった
- 金持ち病
- 大量の人の雇用による混乱
- 外注による責任転嫁（ノウハウが全く残らない）
  - 外注こそ明らかなコスト
  - 中の人が勉強することは資本（つまり投資）と考えるべし
- イノベーション機会の欠如
- 予算を消化することが目的化してしまっている
  - 金持ち病だから問題にならないので余計に厄介
- 利権の発生
  - コア部分は自社で保守するべし
- 説明責任の増大
- 計画主義
- 全資源を一点掛けしてしまう
- 多様性の欠如
- 短期間で見かけ上の成果を出す必要性の発生
- Googleの初代サーバーの事例
  - 落ちても大丈夫なように作る（可用性の確保）
解決策：多数の多様なプロジェクト（遊び）を比較的少額の予算で、同時並行し特に締め切りなく進める
（「締め切りなく進める」を日本企業でやるの相当なエネルギーいりそうな気がする・・・）
- 一つのプロジェクトは1～5名がよい（チーム編成の分野でピザ2枚の理論とかあったけど、それと似たようなもんかな）
- コンピュータ史：ノイマン型コンピュータ
- 日常的な個人あるいは職場で直面する面倒な問題を、適当に解決して、快適にしたいという意欲によって開始する
  - 半導体の事例
    - アメリカの半導体技術を日本が学んだ→日本が台頭→アメリカが日本に対する半導体を締め付け→中国が半導体を学ぶ→中国が台頭（イマココ）
  - サーバー置き場は普通の部屋のような、いつブレーカーが落ちるかわからない、しかも1つの部屋が十分広くなく複数の場所に分散せざるを得ない場所を利用する（日本のデータセンターは品質が良すぎる）
  - これらの資源を用いて、金持ち病の手法では決して達成できない、高い品質・性能・スケーラビリティを実現するための、比較的小規模な基盤部分のソフトウェアを簡単な言語で自作する
  - 品質保証がない多数のオープンソースソフトウェアの活用、改良
  - 多種多様なイノベーション機会（副産物）の創出
    - Sun Microsystemsの語源は太陽ではなくStanford University Network
  - 20世紀末に巨額の富を得たが、それを継続する方法が確立されていない
  - 十分な分散ができ、ユーザー企業が技術の核心部分を自ら運用することができるようにする
技術と胡散臭いところがうまくかみ合うと物事が進む

質疑応答

Q1
- けしからんから起こった基盤技術は、特許権周りの知財処理が個人ではどうしようもないくらい難しいと思うが、その中でも対価を得るにはどうすればよい？
A1
- かつてはユーザからライセンス料もらうというやり方だった。今はサブスクリプションもしくはOSS。著作権料はタダでもテクニカルサポート分で金をもらえるというビジネスがある（【例】RedHat,Ubuntu）
- 技術研究組合法
  - 複数の企業が絡んで主体がわからなくなった場合の解決策として20世紀に流行った（【例】超LSI技術研究組合）
Q2
- 探求心が育つ秘訣は？
A2
- 遊べる場所、ラクに入れる本屋（知識が無料で並んでいる）
- 登さんの事例
  - 大阪日本橋で電子工作（小学生の時にワイヤレスマイクを自作した）
  - 梅田の紀伊國屋
    - 結城さんのPerl入門（たぶん結城浩さんのPerl言語プログラミングレッスン入門編）
Q3
- 何かするにもセキュリティセキュリティ云々のお役所的な部署を説得するにはどうすればよい？
A3
- 催促、規定、ガイドラインをちゃんと読みこんで、それベースで攻めると意外とうまくいったりする（お役所部署が実はガイドラインをまともに読んでなかったりするので、そこで理詰めするとだんまりになることも）
Q4
- IPAに機器を持ち込んで運用を依頼してきた自治体の人はどういう気概の人か？（講演中にこの事例があったので、それを受けての質問）
A4
- 自分で運用してやらかすと速攻で調べられて問題になるので困る人
- 上長クラスから若い人まで千差万別
- 内製していたものがいつの間にか業者任せになってしまった人
  - デジタル庁の国地方研究会のつながりで、地方自治体を回ってみると、実は1960年～70年代は内製開発をやっていた。汎用機が分散環境になったことを皮切りに業者任せになっておかしくなった