ネット技術の悪用・不正行為と闘う業界団体「JPAAWG」設立、国内企業の目指すセキュリティ対策の未来と、11月の初回イベントの見どころを聞いた

左より、株式会社インターネットイニシアティブの櫻庭秀次氏（ネットワーク本部アプリケションサービス部担当部長）と株式会社TwoFive代表取締役の末政延浩氏

　メールやモバイルセキュリティ、マルウェアなどの対策を検討・実施する国内の業界団体「JPAAWG（Japan Anti-Abuse Working Group、ジェイピーアーグ）」が設立された。

　JPAAWG設立にあたり、11月8日には第18回迷惑メール対策カンファレンスとの併催イベントとして、「JPAAWG 1st General Meeting」が開催される。参加受け付けは10月22日より開始。同イベントでは主に通信事業者のセキュリティ担当者やメールサービス担当者、メール配信業者、クラウド・ホスティングサービス提供者が、最新情報や意見を共有する場として機能することに期待し、参加を呼び掛けている。

日本独自のネットセキュリティついて議論するワーキンググループ

　JPAAWGは、世界30カ国230以上のネットワークオペレーターやセキュリティベンダーが参加するグローバル組織「M3AAWG（Messaging, Malware and Mobile Anti-Abuse Working Group）」と連携し、日本独自のインターネットセキュリティについて議論するワーキンググループとして、国内のISPやクラウド・ホスティングサービス事業者、メッセージング事業者、ソフトウェア・ハードウェアメーカーなどが共同で立ち上げた。

　運営事務局のリーダーは株式会社インターネットイニシアティブ（IIJ）ネットワーク本部アプリケションサービス部担当部長の櫻庭秀次氏が務める。メンバーは、株式会社ブロードバンドセキュリティ（BBSec）の安藤一憲氏、VadeSecure株式会社の伊藤美佳氏、株式会社TwoFiveの末政延浩氏と加瀬正樹氏、東京農工大学の北川直哉氏、ソフトバンク株式会社の北崎恵凡氏。

　JPAAWGの参加企業は、現時点で10組織ほど確定しており、公表されているのは、株式会社クオリティア、IIJ、BBSec、VadeSecure、TwoFive、東京農工大学、ソフトバンク。

　初回となるGeneral Meetingでは、M3AAWGで議長を務めるSeverin Walker氏や副議長を務めるJanet Jones氏など、M3AAWGで活躍するネットワークオペレーターも参加し、送信ドメイン認証DMARC、ビジネスメール詐欺（BEC）など最新のセキュリティ情報を提供するとしている。

　JPAAWG立ち上げの経緯や、今回開催されるイベントの見どころついて、JPAAWGでリーダーを務めるIIJの櫻庭秀次氏と、TwoFive代表取締役の末政延浩氏に話を聞いた。

クローズドな活動の中で、メッセージング、マルウェア、モバイルの不正行為対策に取り組む「M3AAWG」地域分科会的な活動を高める中でJPAAWG設立へ

――M3AAWGの活動概要とJPAAWGを設立した経緯について教えてください。

櫻庭氏：

　M3AAWGは2004年に設立され、同年6月からNPOとして活動を本格的に開始しました。立ち上げ時より日本からはIIJが参加しています。現在、メンバー構成は「Sponsor」「Full Member」「Supporter」の3段階に別れており、SponsorがM3AAWG全体の運営を決める組織で17社が所属しています。IIJはFull Memberで、SupporterにはBBSecやTwoFive、楽天、クオリティアが属しています。LINE株式会社もM3AAWGへメンバー申請しており、近々承認されると思います。

　立ち上げ当初はメールなどのメッセージングを対象とした「MAAWG（Messaging Anti-Abuse Working Group）」でしたが、2012年からはMalwareとMobileの対策を考える状況になり、M3AAWGへと名称が変更されました。

末政氏：

　メールの新しい認証の規格やセキュリティ対策の施策はM3AAWGを中心に議論されて世に出されていく動きになっています。ベストプラクティスに関しては、パスワードを盗まれて悪用される問題への対策についてなど、大手のクラウドサービス事業者や通信事業者のためになるようなものも用意されています。

　メールがコアではあり続けますが、インターネット全体のセキュリティを議論する場になっています。“オレオレ詐欺”などへの対策について、電話サービス事業者の人たちが集まることもあります。

櫻庭氏：

　M3AAWGではGeneral Meetingが年3回行われています。2月は米国西海岸（主にサンフランシスコ）、6月は欧州、10月は北米東海岸で実施されることもあり、欧州と北米のメンバーが中心に集まっています。ゲスト参加枠はあるものの、原則会員のみの参加に限定されており、イベントでの写真撮影や動画、音声での記録、SNSへの内容の投稿も禁止になっています。これがM3AAWGの知名度が広まらない要因にもなっていますが、手口を明かすと攻撃者から狙われることもあるため、慎重にやっているところでもあります。

　このイベントは3日間行われます。初日の「Training Session」で、従来の技術に関する解説セッションが行われ、中日はコネクションを作るためのソーシャルイベント「Night Out」が行われます。「Open Round Table」で個別のテーマごとに小グループでディスカッションを行い、そこで新技術に関する議論を行ったり、ベストプラクティスを文書化する活動につなげています。文書化されたベストプラクティスは各国語版に翻訳され、日本語版も存在します。このイベントだけでなく、メーリングリストでの情報共有も行われています。

　M3AAWGのGeneral Meetingは日本での開催も検討されていましたが、2004年、2005年時点では参加者数や会場の費用面の課題から、日本を含むアジア地域では今も実現できていない状況です。しかし、2017年にはラテンアメリカやカリビア諸国で「LAC-AAWG（Latin America and Caribbean Anti-Abuse Working Group）」が立ち上がり、今後はアフリカ地域で「AFR-AAWG（African Anti-Abuse Working Group）」の設立が予定されるなど、地域分科会的な活動を高めていこうという方向になっています。その流れや、我々が働きかけてきた経緯もあって、日本でのJPAAWGの立ち上げについてM3AAWGからオファーがあり、全面的なバックアップも得られるかたちになりました。

　3月にはM3AAWGを紹介する場として、ISPなどの関係者を集めてIIJで「Post M3AAWG meet-up」を開催しました。議長のSeverin Walker氏も参加しています。そして、11月にはJPAAWGの1st General Meetingを開催する運びとなりました。私は迷惑メール対策カンファレンスにもかかわっているので、今年はそこでジョイントして、お互い相乗効果で人を集めてプレゼンスを高めていこうというのが目的の1つになります。JPAAWGでは最低年1回はGeneral Meetingを実施したいですね。

「JPAAWG 1st General Meeting」の参加登録はウェブサイトで受け付けている

オープンな場も設けつつ、M3AAWGと対等に付き合うための土台作りを目指す

櫻庭氏：

　JPAAWGはメッセージング、マルウェア、モバイルとM3AAWGと同じ検討範囲で、日本独自の課題についても議論していきます。グローバルにも通じる内容であればM3AAWG側にも持っていきますし、M3AAWGからの情報も日本に入れて相互的に議論していきたいです。

末政氏：

　M3AAWGにはGoogleやAmazon Web Services（AWS）、マイクロソフトなど大きなサービスを提供している人たちがいます。例えば、日本のISPからメールを送信しても受け取ってもらえない場合、言葉の問題もあってコミュニケーションがうまくいかなかったり、誰に相談したら良いか分からない。実際、岡山県では災害情報メールが届かなかった問題がありましたが、そういったことについても向こうの担当者と直接話すための手助けをしていきたいです。

櫻庭氏：

　実際、コンシューマーはGmail、企業ではOffice365を導入していて日本の問題だけでは済まなくなっています。もし、彼らが日本の事情も知らずにポリシーを作って適用すると日本も困るし、彼らも多分困ると思います。そこを意思疎通するための窓口をM3AAWGに来ればある程度作れます。

末政氏：

　通信の秘密など日本のローカルな環境の理解が進んでいないので、そこを分かるようにM3AAWGにも情報を発信していきたいです。日本での意見を吸い上げるような仕組みとしてJPAAWGがうまく働くと良いなと思っています。

――1st General Meetingは、オープンなかたちで実施し、JPAAWGの活動もオープンにしていくのでしょうか？

櫻庭氏：

　M3AAWGとの兼ね合いもあって、全部オープンで進めていければいいのですが、こちらがある程度クローズドではないとM3AAWG側も多分納得しないと思うんですよね。調整していきますが、今後はクローズドなかたちも作りつつ、発表の場もどうしていくか考えていかなければいけません。しばらくはカンファレンスのようにオープンな場を設定すると思いますが、議論の場としてクローズドでメンバーを決めないとやりずらい部分が出てくるかもしれません。

末政氏：

　JPAAWGで公開された情報を悪用されるといけないので、今後の形態もGeneral Meetingで話し合う議題の1つです。本国のように半分クローズドにしておいて、それでより深い議論ができるようにするべきなんじゃないかという意見もありますが、今は人を集めるべきだろうというところでオープンではあります。

櫻庭氏：

　オープン、クローズドの割合は決まっていませんが、これからメンバーをどう確定して運営していくかは確認取りながら進めていくつもりです。今回企画したメンバーを中心に構成していきますが、ある程度全体の方向性を決めるためのボードメンバーが必要だと思っています。

　現時点で運営事務局ができたところで、JPAAWGの会員については、何社かお声掛けしてご回答いただいたところもあります。今回のカンファレンスはアドバタイズして取り上げてもらうことが1つと、それを利用して東京だけでなく、地方のISPも含めて入っていただきたいという思いもあります。今後組織化していく中で、M3AAWGと対等に付き合うための土台作りを目指していきます。

　M3AAWGのリージョンとして抜けているのがアジア地域なので、JPAAWGというかたちですが、アジアへの活動も広めていきたいと思っています。JPAAWG、LAC-AAWG、AFR-AAWGは分科会のような位置付けになっていますが、組織としてそれぞれ独立するはずなんですよね。実際、JPAAWGもどこで線引すればいいか分かりませんが、活動主体としては独立している組織です。M3AAWG側はバックアップすると言ってますが。

――JPAAWGの日本での活動に関して、M3AAWGからは何を期待されているのでしょうか？

櫻庭氏：

　グローバルスタンダード的な、これからM3AAWGが良くしようとしている部分を日本でもやって欲しいということを期待されているのは間違いないです。日本がスパムボットの温床になっていて海外にDDoS攻撃かけても困るでしょうし、全部インターネットはつながっているので。

　レギュレーションの部分は国同士の話なので、なかなか一致できない部分はありますが、M3AAWG自体はUCENET（Unsolicited Communications Enforcement Network）というかたちで、ここ数年、他国の法執行機関の集まりでジョイントしています。そういった組織とも情報交換しつつ、遅れているものがあれば民間サイドや行政サイド、団体含めて良い方向に持っていく活動が必要なんだと思っています。

　いずれ東南アジアでも同じ問題が出てきます。そのときにベストプラクティスとして同じフレームも東南アジアに持ってこれますし、実績をもとに話すと地域でも同じような組織を作らなければいけないと思ってくれるかもしれないです。そこで連携して進められる土台にJPAAWGがなれればなと。そこはM3AAWGも期待しているところだと思います。

初回イベントは国内外の企業が取り組むセキュリティ対策や苦労話を紹介来場者も巻き込んだパネルディスカッションも

――11月8日に行われる1st General Meetingの概要や見どころを教えてください。

櫻庭氏:

　午前中から1日いっぱいセッションを予定しており、オープニングで私とSeverin Walker氏が登壇します。午後からは体裁としては迷惑メールカンファンレンスとJPAWWG 1st General Meetingに分かれていますが、どちらも同じような内容を扱っているので、細かい仕切りはないですし、どちらに行ってもらっても構いません。

末政氏：

　Keynote 1では、Janet Jones氏がメール通信においてデータ保護をするにはどうすれば良いのかという技術の展開の話をします。Keynote 2ではメールだけでなく、DNSも含めてインターネットでどういった脅威が発生しているのか、対策について各最先端のセキュリティベンダー、テクニカルのリーダーが集まり、海外の問題点について話してもらいます。WMC GlobalのJaclyn Abrams氏も登壇します。

櫻庭氏：

　迷惑メール対策推進協議会は今年で10周年を迎えます。総務大臣より平成30年度の「情報化促進貢献個人等表彰」を受賞したので、記念も含めて座長の新美育文氏が挨拶をします。

　後半は国内のメール配信業者の取り組みをM3AAWGのベストプラクティスと合わせて日本ではどう取り組んでいくかという内容になります。裏側ではDMARC.orgのSteven Jones氏がDMARC技術の最新情報、グローバルでの課題や進展について話します。

　最近ではビジネスメール詐欺が社会問題になっており、日本でも実際に被害が出ているので、情報処理推進機構（IPA）からは最新の事例などを紹介します。また、LINEにはフィッシング対策への取り組みについて話してもらいます。メール業界にしては珍しくLINEの取り組みをシェアしてもらえる良い場になりますね。

　DMARCはなかなか普及が進まないので、DMARCのレポートの活用含めてメリットがある話を東京農工大学助教の北川直哉氏とクオリティアの平野善隆氏に語ってもらいます。

　さくらインターネットは迷惑メール対策カンファレンスでここ2、3年話していただきましたが、今回はGeneral Meetingにて、迷惑メール送信でクラウドサービスを悪用される方法とその対策方法について話します。日本特有の問題もあるようで、そのあたりの苦労話を毎回されています。

　休憩を挟んだあとは、警察庁にも最近のサイバー犯罪の事例や取り組みの状況についてご説明いただきます。裏側では、10月ブルックリンで開催されたMM3AAWG第44回定例会の状況を、参加メンバーを中心にお伝えしたい内容をパネル形式でご紹介します。来場者からの質問も受け付けます。

　国内のISPに来ていただき、現状の苦労ややらなければいけないことなどについて吐露してもらいます。珍しいのは中部のコミュニティネットワークセンター（CNCI）や、関西のケイ・オプティコムなど、東京だけじゃない企業の方々にも参加してもらえますので、面白いんじゃないかと期待しています。

　最後に、17時30分～18時20分と大きな時間を取ってJPAAWGと迷惑メール対策カンファレンスの登壇者がいくつかのテーマについて議論するパネルディスカッションを行います。会場に来ていただいている方も含めて議論する場を設けます。M3AAWGのように双方向的な内容を目指し、来場者からも質問してもらいたいですね。

末政氏：

　テーマを決めて会場でグループを作って実際に議論していただき、参加者がお互い知り合いになってもらいたいと思います。メール配信業者とISPでメール管理している方とは利益が相反することが多く、「こっちは多く送りたいけど、こっちはたくさん受け取れない」みたいなことも日夜やっているのですが、実際会って話をすると落とし所が見つかるはずなので、そういうところも含めてパネルディスカッションでお互い仲良くなってもらいたいと思っています。

櫻庭氏：

　現場のオペレーターや業者同士が知り合うことで簡単に解決できることもあるはずで、そこをちゃんと信頼できる相手を見極めてお話していただければ。

末政氏：

　エンタープライズ等々のメールのセキュリティを見ている方にとっても、自分の会社だけでなく、インターネット全体を見たときに自分たちがどういう対策を今後していかなければいけないのか、世界でどういったことが問題になっているのかを知る良い機会になるので、ぜひご参加いただけると嬉しいです。

　もっと細かい、日常的なパスワードをどうやったら良いのかなどを真面目に議論しているのがM3AAWGであるので、そういったところの情報を手に入れていただけると役に立つんじゃないかと思います。