DARK MATTER

CDI Engineer's Technical Blog

2019 FIRST Conferenceに参加してきました

技術部の染谷です。今年6月16日から21日まで英国エディンバラで開催されたFIRSTの年次会合、 31st Annual FIRST Conference に参加してきました。当ブログでFIRSTの会合について初めての報告となりますので、FIRSTの概要を踏まえてお伝え致します。

FIRSTとは

FIRSTは "Forum of Incident Response and Security Teams" を表し、世界各地の官民学様々な組織のCSIRT (Computer Security Incident ResponseTeam) 等がメンバーとして参画しています*1。インシデントレスポンスやセキュリティに関する情報交換を行い、協力関係を構築する目的で1990年に設立されました。執筆時点では490チームがメンバーとして参加しており、メンバー数は年々増加傾向にあります*2。当社のCDI-CIRTは、2009年からメンバーとなっています。

Annual FIRST Conference (AC) の概要

FIRSTは様々な会合を開催しており、メンバのみが参加可能なクローズドのものと、メンバー以外も参加可能なオープンのものがあります。ACは基本的にオープンな会合で、毎年6月に開催されます。今年は英国エディンバラですが、昨年はマレーシアのクアラルンプール、来年はカナダのモントリオールと、世界の様々な地域において開催されています。開催場所が変わることで参加者も地域に沿った傾向が表れ、今回は近隣の欧州組の参加が例年より多かったように思います。全体では約1100名が参加していて、これまでで最大の規模だったそうです。ACでは、サイバーセキュリティに関する様々な講演や、特定のテーマごとの (SIG) ミーティング、CTF、FIRST運営に関するメンバーミーティング、そして参加者間の交流を促すための複数のネットワーキングイベント等が開催されます。それぞれについて簡単に説明します。

ネットワーキングイベントその1:Ice Breaker

初日である日曜日は、Ice Breaker Receptionがあります。このレセプションでは特にスピーチ等が行われるわけではなく、飲み物とちょっとしたおつまみが提供され、立食形式で参加者が交流する場となっています。ACの重要な目的の一つは、メンバーが顔を合わせて交流することにより相互の信頼関係を構築することですので、翌日から開始するセッションやミーティングの前にIce Breakerに参加し、リピーターは旧交を温め、初参加者も他の参加者と交流できる機会となっています。日本からは毎回そこそこの人数が参加しているので、その関連で知人を紹介してもらえることもあり、初参加でも気軽に色々な人と交流できる雰囲気があります。今回の開催地であるスコットランドのクラフトビールも振舞われていて、とても美味しくて大人気でした。

f:id:smyanda:20190815111910p:plain

講演

月曜日から金曜日まで5日間にわたり、様々な講演が開催されます。午前は招待スピーカーによる基調講演からスタートし、その後は3つのトラックに分かれて、事前審査を通過した内容について発表されます。領域はテクニカルな内容から、マネジメント寄りの内容まで幅広くあります。今回は全体的にIoTに関する発表が多く見られ、複数の基調講演で、IoTに関するサイバーセキュリティをどのように対応していくかという課題について、講演者それぞれの研究分野からのアプローチが示されました。例えば、既に市場に出ているIoT製品について調査を行い、具体的に悪用可能性を指摘して規制当局や消費者に訴えていこうとするアプローチや、英国の食品分野で既に実施されている安全度のラベル分けをIoT製品にも横展開できないか?といった研究内容等が共有されました。各発表内容の取り扱いはTLP (Traffic Light Protocol)*3 で管理されます。基調講演で私にとって最も興味深かった調査内容は、残念ながらTLP:REDで共有不可能でした。プログラムやセッションの概要、また公開されるスライドはウェブサイトから閲覧可能です*4。とはいえ、非公開の情報や、講演者との直接のやりとり、また時に盛り上がるQAもあるので、やはり自分で足を運んで生の情報を得ることはとても有益だと感じています。FIRST ACはセッション数が多く、また今回は時差もあり、後半疲弊してしまうこともありましたが、他の参加者とそれぞれ参加したセッションについて雑談を交えて意見交換などして、情報収集と士気向上に努めました。

f:id:smyanda:20190815121548j:plain

SIGミーティング

Special Interest Groups (SIG) が様々なテーマごとに立ち上げられていて*5、ACの開催中にミーティングが行われます。クローズドの場合もありますので、メンバー以外の参加については要確認となります。活発に活動しているグループもあれば、活動の方向性を模索中のグループもあるように思います。私が参加したIndustrial Control Systems (ICS) に関するディスカッショングループ*6では、今後実施していく内容についての意見交換が行われました。ミーティングによってはオンラインでのリモート参加も可能となっています。

CTF

ICS Simulation and CTFという、ICSのシミュレータを攻撃するCTFイベントが開催されていました。講演の会場とは別の部屋に設置され、参加者は自身のラップトップを持ち込んで参加する形態です。複数のチームが参加して得点を競い合っていました。

f:id:smyanda:20190815122711j:plain

ネットワーキングイベントその2:Banquet Cocktail Reception

水曜日の夜にはACで最大のネットワーキングイベントと言える、Banquet Cocktail Receptionが開催されました。こちらも立食形式で、お食事と飲み物が提供されます。AC参加者だけでなく、申し込めばご家族等も同行可能となっており、大人数で賑わっていました。今回はスコットランドということで、ウイスキーのテイスティングのサービスや、バグパイプがメインとなる人気バンドの演奏があり、大いに盛り上がりました。 中盤の時間帯は会場内の人口密度がとても高く、ちょっとした移動もスムーズにしにくいくらいでしたので、新たな人々との交流には、開始したばかりか、あるいは終わりころといった人が少なめで動きやすい時間帯がやりやすかったと感じています。

f:id:smyanda:20190815121438p:plainf:id:cdi-someya:20190819110015j:plain

アンオフィシャルイベント

オフィシャルなネットワーキングイベントの他にも、オフィシャルにほぼ近いように参加者に認知されている、サッカー、BYOB、フォトウォークといったイベントがあります。それぞれのイベントは毎朝の事務連絡の時間や、ウェブサイト、会場の掲示板等で告知されます。サッカーは毎回どこかしらの会場を借りて、セッション終了後の夜に行われています。BYOBは Bring Your Own Bottleの略で、各参加者がそれぞれ地元のお酒などを持ち寄り、説明してから飲み始める会合です。近年はサッカーイベントと合同で行われているようです。フォトウォークは、カメラ好きの参加者が、会場に近くてフォトジェニックな場所へ移動し、散策しながら個々に写真を撮り、なんとなく分散してご飯を食べて流れ解散する感じのイベントです。セッションの合間とはまた違ったゆるい雰囲気で参加者と交流できるので、打ち解けやすいこともあり、これもこれで貴重な時間となります。

FIRST ACに参加するべきか?

費用については、FIRSTメンバーでもACへの参加費が必要で(スピーカーになると参加費は不要ですが、ルール変更することもあり要確認です)、遠方で開催されることも多いので渡航費等それなりの費用が発生します。期間は丸一週間あるので、職場や家庭での不在中のフォローも必要になってくると思います。そういった負担に加え、「CSIRTメンバーと交流することにより信頼関係を構築」という目的は、達成度を定量化して評価しにくく、参加をためらう組織もあると聞きます。個人的な見解となりますが、セキュリティに関する様々なカンファレンスの中で、FIRSTのACはとても参加者間のネットワーキングがしやすいと感じています。そもそも交流を目的としたカンファレンスのため、前述のようなネットワーキングの機会が多く設定されています。年々参加者が増えて交流しにくくなるという声もありますが、そうはいってもまだ1000人ちょっとの参加者数なので、開催期間中に知り合いと出会うことはそう難しくはないと思います。また、同じ興味や課題を持つ参加者については、テーマに沿ったセッションやSIG等のミーティングで会える可能性が高く、有意義なネットワーキングや意見交換の場となります。様々な研究の権威と言える方々も参加しているので、会話して関係を構築し、また自分たちの取り組みも発信して、継続的に意見交換していく機会として活用できれば、参加する意義があると言えるのではないでしょうか。ACは2021年には福岡での開催が決まっているので、参加を検討している組織はまず福岡に参加して様子を見るのも良いかもしれません。

開催地のエディンバラ

カンファレンスの内容とは関係ありませんが、最後に開催地について少しご紹介します。エディンバラはスコットランドの首都で、岩山の上にエディンバラ城があり、周辺の歴史ある街並みもとても美しいところで、市街はUNESCOの世界遺産に登録されているそうです。会場のEICC (Edinburgh International Conference Centre) からエディンバラ城までは徒歩10-20分程度の距離でした。滞在中はちょこちょこ雨が降り、ダウンジャンパーを着ている人もいるくらいで、東京と比べるとかなり涼しく感じました。6月は夜21時頃まで明るく、また治安も良いので、カンファレンス後に美しい市街を散策して気持ちをリフレッシュすることができました。ビールやウイスキー、フィッシュ&チップスやハギス(Haggis: 羊の内臓を茹でたスコットランドの伝統料理)といった地元のお食事も美味しくて幸せでした。約一週間の滞在となるので、周辺を気楽に散策して飲食しに出かけられることは、多いに有難いことでした。

f:id:smyanda:20190815114448p:plain
f:id:smyanda:20190815121354j:plain
Haggis Tower
f:id:cdi-someya:20190819110356j:plain
BrewDog beers
株式会社サイバーディフェンス研究所 / Cyber Defense Institute Inc.