NSA長官によるDefCon出席の意義と語らなかったこととは

2012年8月10日初版公開

7月27日、米国国家安全保障局長官とサイバー司令部の司令官を兼任するキース・アレクサンダー大将が、ラスベガスで開催されたDefConに出席し、「サイバースペースを安全にする」と共に、「海外のサイバー攻撃と諜報活動から国を守るため、ハッカーたちの支援を呼びかけた。アレクサンダー大将の今回の出席には、三つの意義がある。第一に、DefConは、今年20周年を迎えるが、アレクサンダー大将は、米国政府関係の出席者としては最高位にあたり、Black HatとDefConが政府との懸け橋において果たしてきた一つの成果と言える。第二に、米空軍大将が直接DefConに出向いて、ハッカーたちに支援を呼びかけなければならないほど、米国政府は人材確保において緊急の必要性に迫られている。政府とハッカーが、従来折り合いが悪かったことを考えると感慨深い。第三に、アレクサンダー大将は、政府によるサイバー空間の防御任務に焦点を当てて話をしている点である。

第一に、アレクサンダー大将は、DefCon史上、最高位の出席者であるが、Black HatとDefConが今まで政府関係者たちに対して果たしてきた役割は見逃せない。政府関係者たちにとって、Black HatはDefConへの緩衝材である。政府機関は、DefCon 6頃から非公式に参加を開始し、「Meet the Feds」というセッションが毎年開かれるようになった。政府からの出席者たちの多くは、匿名で他のDefCon参加者たちと交流をしている。一方、政府機関が公式に出席できる場であるBlack Hatにおいては、2008年には、ロッド・ベックストロム国土安全保障省サイバーセキュリティセンター所長が、2012年には、ショーン・ヘンリー元FBIサイバー犯罪副部長が、基調講演をしている。

Black HatとDefConの創設者であるジェフ・モス氏は、NSA長官の今回の出席がハッカーたちの間で問題になりうることを予想していた。「中には『NSAの誰かに話してもらうことで、おべっかを使っているんだろう』という人もいるだろうことは予測している。」それでも、同氏がアレクサンダー大将にDefConに来てもらいたかったのは、「ハッカーたちの一部でもいいから、いつもの安全地帯から一歩足を踏み出し」、「普段は話を聞けないような人から話を聞く機会を作りたかったから」だという。聴衆からの長官の出席やスピーチに対する反応は、おおむね好意的だった。Black Hatでの政府高官による基調講演に触れることで、ハッカー側の政府に対する心理的抵抗感が小さくなっていることもありうるだろう。

第二に、空軍大将自らがわざわざDefConに出向いて、ハッカーのリクルート活動に乗り出すというのは、サイバーセキュリティ人材の確保において、米国政府が相当の危機感を持っていることの表れと考えられる。Black Hatにおいては、政府機関は今までもキャリアブースを出してきたが、NSAがDefConにキャリアブースを出すのは今回が初めてである。Black HatとDefConを連動させようとする主催者側の努力の結実が、ここで見られる。若いハッカーたちにアピールできるよう、非常にくだけた言葉づかいで、DefCon用のキャリアウェブサイトも作っている。危機意識が高まっていなければ、ウェブサイトに次のような普段ではありえない文章が出てくるはずはない。「過去に軽率な行動がちょっとばかりあったとしても、心配しないで。雇ってもらえないと決めつけないで欲しい。本当に興味があるんだったら、試してみるべきだ。」

同大将はDefConで言及しなかったものの、サイバー諜報活動やサイバー攻撃をめぐる戦いが世界中で熾烈化し、要員が不足してきているのであろう。2009~2011年にかけて、電力供給網、水道、コンピュータネットワーク、携帯電話ネットワークなどの米国のインフラに対するサイバー攻撃が17倍に増加しているとのアレクサンダー大将の発言が、会議の直前の7月26日に出たNew York Times紙に引用されている。Tシャツにジーンズ姿でDefConに登場した同大将は、「侵入検知と防止システムを実際に構築し、市民の自由とプライバシーを守れるということを世界に見せつける上で、我々を助けてくれる人がこの中にいるだろう」と呼びかけた。

第三に、アレクサンダー大将は、サイバー空間の防衛任務に的を絞った発言をしているが、6月1日付のNew York Times紙によって、米国とイスラエルがイランのナタンツのウラン濃縮施設にサイバー攻撃をしかけたことが暴露された後、少し皮肉に聞こえる。7月1日付のDefenseNewsによると、米国にはサイバー攻撃能力を有する要員が不足している。同紙は、上院軍事委員会の出した2013年度国防予算案付属報告書を引用している。軍事委員会は、米国防総省に対し、ネットワークを整理統合し、その要員をサイバー司令部の攻撃任務に就かせるよう求めている。

しかし、米国政府は、どれだけ多くのハッカーたちが政府のポジションに引きつけられるか、今後見極めていかなければならない。ハッカーの中には、フルタイムの仕事や政府の規則によって制限がかかるよりも、自由とプライバシーを優先させる者もいるからだ。また、どの程度まで「過去の軽率な行動」が許容され、雇われるのか不明だが、ハッカーというバックグラウンドがある以上、どこまで実務に触れられるのか分からない。脆弱性を逆手にとり、創造的なテクニックを駆使した攻撃を楽しんできたハッカーであれば、そうした実務が許されるかどうか確信が持てないまま、「過去の軽率な行動」を政府に記録として果たして出したいかどうか、疑問が残る。

参考情報:
Kate Brannen and Zachary Fryer-Biggs, “U.S. Short on Offensive Cyber Experts,” DefenseNews, July 1, 2012,
http://www.defensenews.com/article/20120701/DEFREG02/307010002/U-S-Short-Offensive-Cyber-Experts?odyssey=tab|topnews|text|FRONTPAGE
Lucian Constantin, “NSA Chief Asks Hackers at Defcon for Help Securing Cyberspace,” PCWorld, July 29, 2012,
http://www.pcworld.com/article/260007/nsa_chief_asks_hackers_at_defcon_for_help_securing_cyberspace.html
Stacy Cowley, “NSA wants to hire hackers,” July 29, 2012, CNN,
http://money.cnn.com/2012/07/27/technology/defcon-nsa/
Damon Poeter, “DefCon: NSA Boss Asks Hackers to Join the Dark Side,” PC Magazine, July 29, 2012,
http://www.pcmag.com/article2/0,2817,2407783,00.asp
Jim Finkle, “U.S. spy agency chief to meet with hackers at ‘Defcon’,” Reuters, July 20, 2012,
http://www.reuters.com/article/2012/07/21/net-us-usa-security-hackers-idUSBRE86K01U20120721
National Security Agency, “Careers at the National Security Agency,”
http://www.nsa.gov/careers/dc20/
David E. Sanger, “Obama Order Sped Up Wave of Cyberattacks Against Iran,” The New York Times, June 1, 2012,
http://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-wave-of-cyberattacks-against-iran.html?pagewanted=all
David E. Sanger and Eric Schmitt, “Rise Is Seen in Cyberattacks Targeting U.S. Infrastructure,” The New York Times, July 26, 2012,
http://www.nytimes.com/2012/07/27/us/cyberattacks-are-up-national-security-chief-says.html
Kim Zetter, “NSA Chief Tells Hackers His Agency Doesn’t Create Dossiers on All Americans,” Wired, July 27, 2012,
http://www.wired.com/threatlevel/2012/07/nsa-chief-denies-dossiers/

※ 各会社名、団体名、商品名は各社、各団体の商品名称、または登録商標です。