インタビュー

ネット上の脅威と闘う現場の人たちの話が聞けるイベント「JPAAWG 2nd General Meeting」、今年は2日間開催で規模拡大

セキュリティやネットワークの基礎を学べるトレーニングセッションも新設

左より、株式会社インターネットイニシアティブの櫻庭秀次氏(ネットワーククラウド本部アプリケションサービス部担当部長)と株式会社TwoFive代表取締役の末政延浩氏

 「JPAAWG(Japan Anti-Abuse Working Group)」は、メールやメッセージングを中心に、スパムやマルウェア、DDoSなど幅広い攻撃への対策を検討・実施する国内の業界団体で、ISPや通信事業者などが参加している。

 同様の目的を持ち、世界30カ国230以上のネットワークオペレーターやセキュリティベンダーが参加するグローバル組織「M 3 AAWG(Messaging, Malware and Mobile Anti-Abuse Working Group)」とも連携している。

 JPAAWGは11月14~15日、2回目となるカンファレンスイベント「JPAAWG 2nd General Meeting」を開催する。会員以外も参加できるオープンなイベントだ。会場はベルサール飯田橋ファースト(東京都文京区)。IAjapanの「第19回迷惑メール対策カンファレンス」と共催となる。

 JPAAWG 2nd General Meetingの狙いや見どころについて、JPAAWGで会長を務める株式会社インターネットイニシアティブ(IIJ)ネットワーククラウド本部アプリケションサービス部担当部長の櫻庭秀次氏と、TwoFive代表取締役の末政延浩氏に話を聞いた。

今年は会場を拡大、新たにランチセッションやトレーニング、ラウンドテーブルを実施

――今回のJPAAWG 2nd General Meetingの特徴を教えてください。

[櫻庭氏]まず、去年の「1st General Meeting」が1日だったのに対し、今年は2日間に拡大しました。会場も、去年のアンケートで「部屋が狭い」という意見があったので、今年はより広い場所にして、600人までご参加いただけます。去年は300人の枠に500人が申し込む事態となっていました。

 2つ目は、新たにランチセッションを開きます。スポンサーの好意により、お弁当を無料で食べながら、メールセキュリティの話を聞けます。

 1日目はKevin San Diego氏の「A4:世界中で集めた脅威データから見える日本のメールセキュリティの傾向と対策」と、平野善隆氏の「B4:メールセキュリティ・トレイルマップ ~DMARCやその先にある世界~」の2セッションが、2日目は伊藤隼人氏の「A12:DMARC集計レポートを活用した、なりすましメールの見つけ方」の1セッションが予定されています。Kevin San Diego氏はCloudmarkの人で、データを集めているメッセージセキュリティのベンダーなので、その中から話してくれるのではないかと思います。

一部セッションの例。A、B、Cの各ホールで同時に実施される(「JPAAWG 2nd General Meeting」ウェブサイトより

[末政氏]ちなみに2日目のランチセッションの伊藤はTwoFiveの者で、DMARCの重要な機能であるレポートについて、その1つの例として弊社の可視化サービスについて話します。DMARC普及はJPAAWGの大きな命題なので。

[櫻庭氏]3つ目は、今年からトレーニングセッションを設けます。セキュリティやネットワークの基礎について学べるようにするもので、通常のセッションが2会場で行われるのと並行して、Cトラックとして開かれます。

 基本的には有料ですが、学生さんは無料です。なるべく事前にトレーニングの情報を出すようにしているので、自分の必要なセッションに積極的に参加してもらえればと思います。

 例えば、メールのエンベロープFromとヘッダーFromの違いのような基礎的な知識や、最近のさまざまな技術でヘッダーに付加する情報の見方、フェイクヘッダーを見極めるノウハウ、メールの送信認証技術の基礎など、メールセキュリティを知るのに押さえておかないといけない知識を扱います。メールの基礎以外にも、CSIRTの演習などもあります。

[末政氏]メールヘッダーが読めないとフォレンジックも進まないので、重要な知識です。

[櫻庭氏]4つ目の試みとしては、「A11:Open Round Table」としてラウンドテーブル形式のセッションを設けます。1つのセッションの中で、参加者がテーマごとにいくつかの小さなグループに分かれて、識者からエンドユーザーまで並列で議論するものです。

 M3AAWGでも必ず開催されており、そこからベストプラクティスが出たり、次のセッションのテーマになったり、やがてはRFCになったりしています。JPAAWGでも、次につながるアクティビティになればいいと考えてOpen Round Tableを開くことにしました。

[末政氏]例えばISPが、同業者がお互い何をやっているか話し合える場にしたいと考えています。結構、同じことに困っていたりするので、情報交換した結果から、自分たちに合った対策をとっていただければ。ISPだけでなく、企業の情シスなども同じことが言えると思います。

[櫻庭氏]一般メールユーザーがOpen Round Tableに参加してもらってもかまいません。

[末政氏]新しいテーマとして、地震や台風などの災害対策としてITエンジニアが何ができるかなども、ラウンドテーブルで議論できればと考えています。災害が起きると、メールやメッセージなどが重要なライフラインになるわけですが、それを運用する側も「ちょっとサーバーの様子を見てくる」といって被害に遭ってはいけない(苦笑)。

 そのために、システムをどうするか、DR(ディザスターリカバリー)で東西に分散するか、そういったことを可能な範囲でざっくばらんに話し合えればと思います。

[櫻庭氏]意外に落とし穴があるかもしれませんね。例えば、メールサーバーは大丈夫でも、DNSが落ちてメールを送れない、とか。

メールだけでなくDNSやCSIRT、GDPRもテーマに

[櫻庭氏]この4点のほか、今回は、テーマをメールに限らず、DNSやCSIRTなど盛りだくさんにしていることも特徴です。

 例えば、「A14:パネルセッション ISPから見たDoT/DoHとDNSの今後(仮)」では、DoT(DNS over TLS)/DoH(DNS over HTTPS)によるDNS暗号化について話し合います。DoT/DoHについてDNS専門家からは、暗号化自体は賛成だが、それが特定の業者に集まるのはどうか、ということで問題になっています。

[末政氏]これまでのDNSは分散していて、システムとして証明されたものでした。それをセキュリティのため、DoT/DoHでは、特定のプロバイダー、具体的にはCloudflareやGoogleに接続して名前解決するかたちになります。そのため、これまでのインターネットの進んできた方向として違和感があると考え、公明性に疑問を唱える人が多くいます。

[櫻庭氏]米国や英国の議会でも議論になっていました。また、チャイルドポルノのブロッキングへの影響など、運用を含めてちゃんと考える必要もあります。技術の問題ですが、政治的な側面もあるテーマで、議論していかなければいけないと考えています。

 DNSとメールが関係するセッションとしては、「B14:送信ドメイン認証とドメイン名調査からわかるメールの実態!」もあります。いまSPFは普及していますが、DMARCは普及が進んでいません。そうした最新技術の普及状況を、ドメイン名から調査した結果を、私と、東京農工大の北川直哉氏が紹介します。

――DNSやCSIRTのほかに、メールセキュリティから広げたテーマはありますか。

[櫻庭氏]毛色が変わった話として、GDPRに関する「A13:GDPR in Asia - How does it impact you?」があります。インターネットで世界がつながっているので、ヨーロッパ外でもGDPRに気を付けなければいけないことが多々あります。

[末政氏]メールはデータがあちこちに動くのが解釈の難しいところです。例えば、住所が書かれたメールが送られてきて、サーバーに置いてあるとき、どうしなくてはならないか。あるいは、忘れられる権利で、メールを消さなくてはいけないかどうか。そうしたことについて専門家の細かい解釈を聞ければと思っています。

[櫻庭氏]このセッションは急遽決まりました。M3AAWGでは法規制について議論をする場所がありますが、日本のセキュリティイベントでは珍しいと思います。

M3AAWG関連のセッションも、グローバルのセキュリティ動向を解説

――M3AAWGと関連したセッションについても教えてください。

[櫻庭氏]初日の最初のキーノートは、M3AAWGのチェアマンのSeverin Walker氏と、M3AAWGのDDoS SIGのチェアマンのRich Compton氏が登壇します。Walker氏にグローバルでのメールセキュリティの状況を解説してもらい、Compton氏にDDoS SIGの活動を紹介してもらいます。

 また2つ目のキーノートでは、M3AAWGで議論されている内容から、機械学習を使ったフィッシング検知と、5Gモバイルセキュリティについて、Sebastien Goutal氏が解説します。ちなみに、ホールAでは日英同時通訳が付きます。

 「B6:M3AAWG 47 Montreal報告」では、モントリオールで開催された「M3AAWG 47th General Meeting」に日本から参加した人たちが最新動向を報告します。これを機に、M3AAWGに参加する人が増えてくれればと思っています。

――JPAAWGの命題であるDMARCに関しても力が入っていますね。

[櫻庭氏]例えば「A7:送信ドメイン認証技術最新アップデート」では、DMARK.orgおよびLinkedInのSteve Jones氏が、技術情報の最新ステータスを解説します。

[末政氏]また、「A15:DMARC導入事例紹介」では、楽天株式会社の北浦顕志氏が事例を語ります。楽天は、大量のメールを送りつつ、なりすましを防がなくてはならない企業の代表です。そこでDMARCを導入してどういう効果があったかについて聞ければと思います。メールでB2Cサービスをしている会社の人に、ビジネス担当からエンジニアまで参考になると思います。

[櫻庭氏]楽天カードではなりすましメールが横行していました。そこでDMARCを導入したうえ、「p=reject」という、認証に失敗したら捨ててくれという一番厳しい設定にしました。あれだけ大規模なところで「reject」にして、何が起きたか、問題はなかったか、といった実例を聞けます。

メールの現場で経験している人たちの“生の話”が聞ける

――セキュリティ関連のイベントがいろいろ開催されている中で、JPAAWG 2nd General Meetingに参加するメリットは何でしょうか。

[櫻庭氏]メールのエンジニアがこれだけ一堂に集まる場は、他にはないと思います。

[末政氏]それも、研究者というより、現場で苦労している人の声が聞けるのが大きいですね。

[櫻庭氏]そういう人は、あまりほかのセキュリティイベントで話す機会はありません。例えば、「A8:教えて! モバイル宛Eメールの送り方、えっそうなの?! Abuse申告対応の裏側」では、モバイル3キャリア(NTTドコモ、KDDI、ソフトバンク)の担当者が、モバイルメールアドレスにメールを送るときに迷惑なメールと思われないようにするにはどうするかなど、サービス事業者に役立つ話をキャリアの現場の立場からしてくれます。キャリアの謎が垣間見える部分もあると思います。

 これに限らず、そうそうたるメンバーが現場で経験している生の話が聞けます。各分野の第一人者の人が来ているので。

[末政氏]これらの人と知り合いになれるのもメリットですね

[櫻庭氏]参加者には、話を聞くだけでなく、セッションの間で話に参加していただいて、交流を深めていただきたいですね。情シスやサービス事業者の人なども、同業者やお客さん、ベンダーさんとつながって、日頃の疑問点を晴らしてもらえれば。

 例えば運送会社やコンビニなどのIT系ではない業界の方も、セキュリティについて一人で悩んでいないで、業界横断で話をしてもらえればと思います。それで日本のセキュリティ業界がよくなるといいと思って毎年やっています。大変ですが(笑)。

 また、海外から招待講演者を多く呼ぶようにしています。これはグローバルな議論から外れないようどのような議論がなされているか知ったり、反対にグローバルに意見を届けたりできるようにするためです。そうした講演者とも屈託なく議論できる場だと思います。

[末政氏]一方向でなく、双方向のアクティビティに期待したいですね。

General Meetingはオープンかつ議論する場に、国際的な交流にも期待

――昨年の開催のときには、JPAAWGの活動はクローズに、General Meetingのイベントはオープンに行うという話がありました。

[櫻庭氏]コアな議論は、法的な事情などで、クローズドでなくてはいけない部分もあります。そのため、何段階かレベルが必要です。

 General Meetingは、クローズドなメンバーだけでなく、議論する場にしていきたい。まずはJPAAWGの知名度を上げて、参加メンバーを増やしていきたいと思っています。そして、JPAAWGでの議論した流れを、イベントで話して、メンバー以外も巻き込んでいく。関係者で密に議論する場と、業界全体へアプローチする場と、両輪でやっていければと思います。

[末政氏]例えば来年以降で、General Meetingの中でクローズドなセッションを設けるといったこともありえますね。

 今後の課題としては、もっと海外、特にアジアからも参加していただけるようにしていきたいと思っています。

[櫻庭氏]アジアから来てもらうためには、どうやってリーチするかなど、課題がありますね。

 まずはM3AAWGの人たちが来るので、ぜひ話し合っていただいて、いずれM3AAWGにも参加してほしいと思っています。若い人は国境とか気にしない人が多いと思うので。そうして、日本発のベストプラクティスも出していきたいです。