HITCON & 台湾レポ

2018年12月20日木曜日

【この記事を書いた人】
ももいやすなり

セキュリティ本部セキュリティ情報統括室。IIJグループの緊急対応チームIIJ-SECTメンバーとして、FIRST、日本セキュリティオペレーション事業者協議会(ISOG-J)、日本シーサート協議会(NCA)などの活動や運営に参加。ヘヴィメタルと猫をこよなく愛し、時間を見つけてローカルなグルメを堪能しながらマイナースポットを訪ね歩く。最近は競技麻雀やMリーグ観戦にハマっている。

CONTENTS

【IIJ 2018 TECHアドベントカレンダー 12/20（木）の記事です】

こんにちは、ももいです。

先週、HITCON Pacific 2018 に参加するため、台湾に行っていました。今日はそのあたりを紹介します。

台湾のイメージ？

みなさん、台湾というと何を思い浮かべますか？

この blog を読みにきている方々だと、やはり IT 系の機器をイメージするかもしれません。あのスマホメーカー、あの PC メーカー、あのルータメーカー、あのマザーボードメーカー、あの半導体メーカー… たくさん思い付きますよね。

台北にも電気街があります。 MRT 忠孝新生駅の近く、光華國際電子廣場と光華商場を中心としたあたりです。台北の秋葉原と呼ばれているとか…？こちらは今もちゃんと「電気街」で、私にはよくわからない部品とかたくさん売ってます。昔の秋葉原を知っている方は懐かしく感じるんじゃないでしょうか。

“光華商場周辺”

私はプライベートでも台湾に十回以上訪れているんですが、そんな私のイメージはやはり「美味しい中華料理」です。

“小籠包や東坡肉”

今回も美味しいご飯を食べました！

“メニューがなかった熱炒店の品々”

屋台で売っている小吃(軽食)もいいんですよね。日本でも売ったら流行りそうだと思うものがいろいろ。しかも安い。

“台湾の小吃。炸蛋葱油餅やタピオカミルクティー”

あ、それと、あまり知られてないかもしれないんですけど、猫カフェって台湾発祥なんですよ。今のような業態の猫カフェを最初期に日本で始めた方が blog にまとめられてます。

というわけで、台北にも猫カフェが何軒もあります。全体に日本よりも猫たちが自由奔放な感じがします。日本ではもうちょっと管理されているというか、ある程度しつけられた猫が多いように思うのですが、これはお国柄でしょうね。前述の電気街にあったお店でも店内で飼い犬が寝ていたりして、とても自由な感じでした。

“台湾で会った猫たち”

HITCON の紹介

HITCON (Hacks In Taiwan Conference) は台湾で毎年開催されているセキュリティカンファレンスで、今年が14回目です。 HITCON は、夏に開催されるテクニカル系の発表が中心の HITCON Community と、冬に開催される企業や組織向けのセッションが中心の HITCON Pacific の2つにわかれています。学生なども参加してコミュニティの勉強会的に盛り上げる会と、商業イベントとしてしっかり開催するカンファレンス、という雰囲気でしょうか。

以前は特に分けず、または2つのカンファレンスを続けて開催されたこともあったのですが、2016年の第12回から今のフォーマットに落ち着きました。懇親会の席でスタッフの方からチラッと聞いたところでは、やはり性質の違うカンファレンスを、4日間連続で2つやるのはたいへんだったそうで…ｗ

“今回の会場、臺北文創”

今回の会場は「臺北文創」でした。松山文創園区という日本統治時代に煙草工場だった敷地の一角にあります。リノベーションされた工場跡を中心に公園や文化施設が整備されている、とても綺麗に整備された地区です。

“HITCON 受付”

受付を通ると、飲み物などと展示ブースがあるのは他のカンファレンスと同様です。

“HITCON 展示ブースの一部”

HITCON には中国語のセッションもあるため同時通訳のレシーバーを借りるのですが、写真付きの ID カードを預ける必要があるのをすっかり忘れていました。毎年、現地で見て「あっ」と思うんだけど、うっかり忘れるんですよね…

他にないとパスポートを預けることになる(実際に何冊か預けられていた)んですが、常時必ずスタッフがついているカウンターだとはいえ、さすがにちょっと抵抗があります。今年はたまたま社員証を持ってきていたので、それで借りることにしました。

HITCON Defense

HITCON は毎年いろいろなチャレンジをしていて、今年も昨年とはまったく違う試みがいくつもありました。金融系のセキュリティに特化したクローズドな FINSEC セッションもそのひとつです。

そのような試みの中で特に気になったのが HITCON Defense です。

“HITCON Defense 会場の様子”

その名のとおり防御側でスコアを稼ぐことを競う競技としてデザインされていて、昨年まで実施されてた CTF とは違う方向性のイベントになっていました。防御側の技術を競うというと、やはり WASForum が実施している Hardening Project を思い出します。

懇親会でスタッフの1人と話す機会があったのですが、彼は Hardening Project のことは知らなかったので、日本でも防御側の競技をやっていて年々進化しているというようなことを伝えてみました。話しぶりからすると今後も続けていくようだったので、HITCON Defense がどう発展していくのか楽しみですね。

HITCON のセッション

HITCON では、その時にホットなトピックについて幅広いジャンルのセッションが組まれます。

“HITCON 主催者代表、Team T5 の TT さん挨拶と Overview”

台湾で行われているということで、地理的、文化的に似た日本、韓国、北朝鮮、中国などの話題も多いです。
また、今年は AI や量子コンピューターについて、技術的な概要と現在の状況をまとめたセッションがありました。

“量子コンピューターのセッション”

そんな中から、特に興味をひかれたセッションをひとつ紹介します。

Towards a More Secure Operating System without Sacrificing Usability (Tobias Mueller / Leading GNOME’s Security Team)

GNOME のセキュリティチームの方が、GNOME のユーザビリティを踏まえたセキュリティデザイン方針について話しました。

“GNOME のユーザビリティとセキュリティ”

GNOME は Freedom を大事にしているけれど、そこには Freedom from fear (attack)、恐怖(攻撃)からの開放も含まれていて、速やかな脆弱性対応を重視しているという話から始まり、世界中に大勢のユーザがいるソフトウェアを、セキュリティを守りながらどうデザインしていくかという内容です。

「セキュリティに関する決定をユーザにさせる時に、ユーザの作業を中断させるのは悪である」というトピックも印象的で、実際に作業を中断するように表示されるダイアログを例示して、本来とるべきデザインについて考えを述べていくと会場もかなりウケていました。

アプリケーションの安全性を高める手段としてのコンテナ化では、Flatpak, Bubblewrap を紹介。最後に GNOME USB Protection Project の解説がありました。

漢字の力

以前の台湾出張で、その時のカンファレンスに来ていたメンバーとクラフトビールのお店に入ったことがありました。

“クラフトビールのメニュー”

そのお店には30種類ほどのビールがあり、客がそれぞれの好みを書き留めるために、お店の用意したメモがありました。そのメモには味の傾向などを書き留める欄があるのですが、最初に「啤酒」「名(Name)」と書かれていました。「啤酒」は中国語でビールのことです。

「漢字文化圏以外からきた人たちと飲みに来ると、この紙だと Name のところに自分の名前を書いちゃうんだよね」という話を聞いて、漢字の部分がなんとなく読めるということがどういうことか、それでどれだけ安心感が増えているのかということを、私は実感したのです。

駅名や地名、街にある看板や注意書きなど、漢字になれている日本人はなんとなく識別して読めるんですよね。発音はできないし、もちろん正確な意味はわからないことも多いですけど。

で、台北も国際都市ですから、場所によっては漢字に英語が添えてある。ある程度意味がわかることがある漢字と英語が並べて書いてあったとしましょう。たとえ漢字も英語も多少苦手だったとしても、よくわからない文章を読もうとした時にどちらの文字も識別できていれば、それはつまり読み解くためのヒントが増えた状態になってるわけですよ！

“台湾の看板など”