迷惑メール対策の最前線はここ！技術者が集結する「JPAAWG 6th General Meeting」の見どころを紹介

左より、ソフトバンク株式会社の北崎恵凡氏、株式会社インターネットイニシアティブ（IIJ）の櫻庭秀次氏、株式会社クオリティアの平野美賢氏

　迷惑メール対策などメッセージングのセキュリティに関する対策を検討・実施する国内の業界団体「JPAAWG（Japan Anti-Abuse Working Group）」は、カンファレンスイベント「JPAAWG 6th General Meeting」を11月6日～7日に開催する。会場は金沢市文化ホール（石川県金沢市）で、一部セッションをオンライン配信するハイブリッド形式をとっており、会員以外も登録して参加できる。

　JPAAWGは、メッセージングの不正利用対策を中心に、マルウェア、DDoSなど幅広い攻撃への対策を検討・実施する日本国内の業界団体で、ISPや通信事業者などが参加している。同様の目的を持ち、グローバルで200以上のネットワークオペレーターやセキュリティベンダーが参加するグローバル組織「M3AAWG（Messaging, Malware and Mobile Anti-Abuse Working Group）」とも連携している。

　コロナ禍でのオンライン開催を経て、再び現地中心の開催となったJPAAWG 6th General Meetingの狙いや見どころについて、JPAAWGで会長を務める株式会社インターネットイニシアティブ（IIJ）の櫻庭秀次氏と、JPAAWG運営事務局メンバーである、株式会社クオリティアの平野美賢氏およびソフトバンク株式会社の北崎恵凡氏に話を聞いた。

今年もハイブリッド開催ながら「現地中心」にして議論を盛り上げる

――M3AAWGとJPAAWGはどのような活動を行っているのでしょうか。

［櫻庭氏］欧米を中心としたグローバルのM3AAWGという組織があって、JPAAWGはその日本版と言ってしまうと正確ではありませんが、後押しを受けて連携する組織として2018年から活動を行い、2019年に設立しました。

　成り立ちとしてはメッセージング関連の対策が中心ですが、対象はより広がっています。M3AAWGが元々「MAAWG（Messaging Anti-Abuse Working Group）」という名前でしたが、2012年に「Malware（マルウェア）」「Mobile（モバイル）」の対策を考える状況になり、M3AAWGへと名称を変更しました。JPAAWGも同じ範囲を見つつ、日本独自の課題について議論しています。今年で設立から5年が経ちますが、少しずつ会員も増えています。

――今回のJPAAWG 6th General Meetingの概要を教えてください。

［櫻庭氏］1回目となる「JPAAWG 1st General Meeting」は2018年に開催されましたが、その後も毎年実施しており、今回が6回目になります。コロナ禍により、3回目と4回目はオンライン開催でしたが、前回の5回目からハイブリッド形式で現地開催を再開しました。

　今年も現地とオンラインのハイブリッドになる予定です。ただ、前回は同時に進行するプログラム2トラックのうち、両トラックともオンラインで配信しましたが、今年は1トラックだけ配信するという、前回より現地中心の形式になります（編集部注：後述するが、今回は全3トラックでの開催となる）。それはなるべく現地に集まって議論してほしいという思いからです。

　また、1回目と2回目は東京で開催しましたが、前回は長崎県、今回は石川県で開催します。日本中の方に多く参加して議論していきたいという考えで、これは可能であれば当面続けていきたい思っています。

　若手のエンジニアの方にも来ていただきたいです。割と歴史のある分野ですが、遠慮なく飛び込んで議論に参加してもらえればと思います。あと、東京以外で開催するので、東京と距離感があって普段から温度差を感じている人がもしいたら、ぜひ参加していただきたいです。

――General Meetingの参加者数にこれまで変化はありましたか。

［櫻庭氏］1回目から少しずつ増えています。3回目はオンラインのみ開催で登録しやすいこともあったのか大きく増えました。

　ただ、4回目のときは少し減っています。フルオンラインではさまざまな議論がしづらいのではないかと考え、やはり現地で対面で議論することをやりたいと思いました。General Meetingの特徴はさまざま議論をする場であり、単に一方向でカンファレンスのように話すのではなくて、質問をどんどん受けて識者が答えるというのを目指していたので、それがオンラインだと不十分だと感じました。

　同時に東京以外の場所で開催することも考えました。賭けの部分はありましたが、実際にやってみるとイベントへの登録者数が増えました。

　今回は、現地により集まっていただくために、現地でしか見られないものを増やしています。プログラムはこれまで2トラック構成でしたが、今回はハンズオン形式でさまざまな技術を学んだり議論できる「トレーニングセッション」を増やした3トラック構成になります。

トレーニングセッションが復活、メール関連のRFCやAIも学べるように

――今回加わったトレーニングセッションは、どんな内容になりますか？

［櫻庭氏］トレーニングセッションは2回目のときにも実施しました。今回は特に、現在政府の施策でもDMARC推進が大きなテーマとなっているので、DMARCについてトレーニングセッションを用意しています。メールの仕組みの基礎から始めて、SPFやDKIM、DMARCまで扱います。ハンズオン形式で、メールを送信したときの認証結果をどう見るのかなども含めて一通り習得することを目指しています。

　またメール関連のRFC（Request for Comments）のトレーニングセッションもあります。RFCはインターネットの技術標準として難しいことが書かれています。そういった、ISOやJISといった普通の規格と違うところを、古くからの関係者にお話してもらって、若い人などに基礎的な部分を学んでもらうのを目指しています。

　このほかに、実践AIのトレーニングセッションもあります。インターネットのセキュリティ対策にAIを使ってさまざまなことはできるのではないかと考えました。

［平野氏］弊社（クオリティア）の担当者が、AIを利用してメールの件名を提案したり、受信したメールの送信者が問題のない相手かを判定したりするツールを開発しており、その技術を、初日のセッションで紹介します。その流れで、実際にどのようなライブラリや技術でAIを利用したツールを開発できるかなどについて、トレーニングセッションで実践する予定です。

メールサービス運用者の現場の苦労話も聞ける!?業界の「若手の主張の場」などさまざまなセッションを用意

――現地重視で、実際に手を動かして参加できるトレーニングセッションもあるということで、濃い学びの機会になりそうですね。プログラムの中で、これに注目、というセッションを教えてください。

［櫻庭氏］それでは、目玉となるセッションをいくつかピックアップして紹介しましょう。1つは、毎回恒例の最終日のパネルセッション「現場発！メールサービスを支える運用者の集い」です。ISP／メールサービス運用者の方たちが、24時間ずっと対応しなきゃいけないといった苦労話や、現在のメールサービスを取り巻く状況はどうなっているのかといったことをシェアして、さまざまな議論をするセッションです。

　もう1つが、ずっと続けてきているモバイル関連のセッションですね。昨今ではスミッシング（SMSフィッシング）が大きな問題になっているので、そういったものを取り上げます。モバイルの運用は限られた事業者の話なので、それを中の人がちゃんと表に出てきて対策について話し、正しく使ってもらうことを目指しています。

［北崎氏］携帯キャリアのセッションは1回目のころから毎年やっていますが、内容は変わってきています。当初は携帯キャリアメールの対策がメインでしたが、途中からスミッシングや、セキュリティの脆弱性をついたマルウェアなどが増えて、テーマが移っています。

　今年も去年に続いてスミッシング対策について話す予定です。今年の2月にKDDIがSMSのフィルター機能を導入したことで、携帯キャリア4社のスミッシング対策のフィルタリングサービスが整いました。その後、実際に対策が進んだかどうかといったことがテーマになると思います。

［櫻庭氏］目玉はあと、2回目から始めた「Open Round Table」です。全員参加で、業界のさまざまなトピックについて議論していくというものです。自分の所属の会社のことはひとまず置いておいて、いろいろと抱えている問題や課題などをシェアして議論します。

　そのほか、政府系のセッションも現在調整中です。さきほども言ったように、政府がDMARCやDNSSEC（DNS Security Extensions）などを含めてセキュリティ対策を普及させようとしているので、それを参加者に知ってもらうためにも登壇していただく予定です。

　M3AAWGのチェアパーソンによるセッションもあります。MicrosoftのJanet Jonesさんという新しいチェアパーソンの方に、M3AAWGが現在どのような議論をしていて、何が問題になっているのか、またM3AAWGはどういう組織・体制でやっているのかも含めてお話しいただく予定です。我々としては、日本からのM3AAWG参加メンバーを増やしたい思いもありますし、M3AAWGでも欧米だけでなくラテンアメリカやアフリカなども含めて世界の地域AAWGを守り立てていこうという動きがあります。

　ちなみに同時通訳を用意します。質問を日本語でしてもらっても構いません。直接グローバルの識者と話ができるのは非常にいい機会だと思います。

［平野氏］「業界の若手・新人Lightning Talks」も注目ですね。

［櫻庭氏］これは以前一度やって非常に面白かったので、今回も実施します。若手や新人に5分ぐらいで好きなことを言ってもらうものです。どの業界でもそうですが、長くなると、新人が議論になかなか入りづらくなります。そこを打開するために、若手の主張の場を用意しました。

　また、DMARCをモバイル事業者の中で先駆けて導入したNTTドコモと、なりすまし対策でDMARCを早くから採用した楽天には、同じセッションで話していただきます。導入後の状況や、お客さんの反応などを聞けたらいいかなと思います。

　そのほか、JPCERT/CC（一般社団法人JPCERTコーディネーションセンター）はフィッシング対策協議会の事務局をやっているので、フィッシングの現状と対策についてまとめてお話をします。

　ほかにも、暗号化分野のCRYPTRECの話や、Yahoo!メールとLINEの取り組みの話などもあります。

気軽なコミュニケーションで技術を次のステップへ

――業界のキーパーソンが一同に会する場という意味でも、現地に集まることの意義はとても大きそうですね。

［櫻庭氏］現地で参加していただく意義として、一番大きいのは、講演者に質問して議論できることです。オンラインになるとタイムラグがあったり、質問を拾うのに結構大変だったりするので、現地で手を挙げてそのまま話す形のほうが楽です。

　また、有料ですが懇親会も用意します。セッションのときは気恥かしくて講演者と話をできなかった人も、気軽にコミュニケーションをとってもらえればと思います。

　また、Open Round Tableはオンライン配信なしで現地のみです。現地で目を見て、言いたそうな人に何か言いたいことがありそうな人にはトークの機会を提供し、徐々に皆さんが慣れて、自分から話せるようになってもらって……と、そのようなディスカッションを行うには、現地が向いていると思います。

　Open Round Tableは、対策技術や普及活動のネックなどについて当事者に直接聞ける、いい機会です。こうした議論から新しい技術やドキュメントなどにつながればいいなと期待しています。

――過去に行われたOpen Round Tableで盛り上がった話や、そこからの成果の例があれば教えてください。

［平野氏］私が覚えているものでは、DMARCで「p=reject」（なりすましと判定されたメールを受信拒否するようドメイン所有者が指定するポリシー設定）にできるかという議論がありました。多くの場合は、DMARCを導入しても緩い設定から始めるのですが、「p=reject」という厳しい設定をかけるべきか、できるのか、といった議論になって、面白い話でした。

［櫻庭氏］厳しいポリシー設定にしていない現場の人から、なぜ厳しくできないかのリアルな事情を聞くこともできますし、厳しいポリシー設定にして大丈夫かと不安に思う人が、厳しい設定で実際に運用している人の話を聞いて、参考にすることもできます。直接目に見える効果は難しいかもしれませんが、気持ちを下支えするような場になっているのではないかと期待して毎回やっています。

講演者登壇の様子。画像はヤフー株式会社の中村成陽氏

前回のOpen Round Tableの様子

――Open Round Tableでの議論の結果は、どこかでアウトプットしたりするのでしょうか。

［櫻庭氏］私の場合では、ドキュメントを書いたり政府と議論したりするときに活かされると思います。

［平野氏］「p=reject」の議論については、その後のGeneral Meetingで、「p=reject」にしてこういう運用になっているという、運用者の発表がありました。

［櫻庭氏］議論の結果を受けたあとで発表するということは、参加者に“刺さった”ということですよね。やらなければいけないと思っていたことをやってセッションで話すということも、増やしていきたいと思っています。

グローバルスタンダードの技術をいち早く日本に届けてきた

――今回でGeneral Meetingも6回目の開催となりますが、これまでの内容が、世の中に変化をもたらしたという例はあるでしょうか？

［櫻庭氏］迷惑メール対策の歴史は割と長いですが、意識がだいぶ変わってきたと思います。DMARCや、その先のBIMIとか、グローバルスタンダードの技術を、いち早く日本に届けられたのではないかと自負しています。M3AAWGやIETFの海外で開催されるミーティングに参加できない場合でも、JPAAWGのGeneral Meetingに参加していただければ、最先端のことが分かるようになるのではないかと思います。

　M3AAWGはSPFやDKIMの普及の段階でスタートして、DMARCやARCもM3AAWGの議論から出てきたものです。我々はそういう姿を見てきたので、日本でも技術的な問題は技術で解決し、技術を正しく適用できるよう運用も改善していくという方針で、議論を進められるよう取り組んでいきたいです。

　日本発のグローバルスタンダード技術というのは難しいですが、少なくとも普及に関して遅れるのは損失です。きちんとグローバルスタンダードの技術で問題を解決していくためには、意識付けを含めて、みんなで集まって議論していきたいと思っています。

志を一緒にやっていける人の参加に期待

――ちなみにみなさんは金沢に行かれたことはありますか？

［櫻庭氏］このあいだ下見に行ってきました。外国の観光客の方もたくさんいらっしゃいました。魚介類など食べ物も美味しかったですよ。11月の金沢は観光も食べ物もいい時期なんじゃないかと思います。

［北崎氏］会場の場所もよくて、金沢城址公園や兼六園、金沢21世紀美術館といった見どころも近くにあります。

［平野氏］金沢はバスの便がいいんですよね。駅からバスがたくさん出ているし、バスで結構見どころを回れる感じです。

［櫻庭氏］金沢から参加される方も多く、学生含め、現地の方にも参加してもらいたいと思っています

――今後のGeneral MeetingやJPAAWGで取り組んでいきたいことはあれば教えてください。

　General Meetingは試行錯誤しながら毎回すこしづつ変化させています。ぜひたくさんの方にご参加いただき、一緒に良いイベントにしていければと思っています

　また、M3AAWGの欧米以外にも、ラテンアメリカのLAC-AAWGや、アフリカ、東南アジアなどの活動もあります。私はJPAAWGがアジアのハブになるべきではないかと思ってはいますが、どうするか皆さんの意見を聞きながら、来年あたりは視野に入れて考えていきたいなと思っています。

　General Meetingの開催を含めてJPAAWGの活動が安定的に継続するためにも、JPAAWGの会員を増やすことも検討していきたいです。規模を大きくすることが目的ではなく、同じ目的を持った技術者らが集える場にしていきたいと考えています。

［北崎氏］最近は、国内で徐々にJPAAWGの知名度や認知度が上がっていると感じます。問い合わせや、会員になりたいという連絡が増えている実感はあります。

［櫻庭氏］今年は現在まで3社の新規入会がありました。我々の活動や実績、継続性などが少しずつ評価、浸透しているのであれば嬉しいです。

　参加したいと思う人は歓迎します。繰り返しになりますが、単に規模を大きくしていきたいとは考えていませんし、商業的なイベントにしたいとも思っていません。あくまで技術者らを中心に、さまざまな課題について議論が行える場を目指しています。

　運営体制が追いつかない部分もあって、会員の方々には申し訳ない部分もあります。そこも来年に向けて少しずつ整理していきたいです。

――ありがとうございました。