【特別インタビュー】多様なITコミュニティの構築 /Tanya Janca

We Hack Purpleは、Tanya氏の最も有名な事業のひとつです。彼女はこの事業で、安全なソフトウェアを作るための教育を中心とした、ブログ、オンライン学習アカデミー、コミュニティ、ポッドキャストを展開しています。We Hack Purple は、サイバーセキュリティを広く普及させ、この業界における平等と多様性に関する意識を高めることを目的とした、包括的で多様性に富んだコミュニティです。コミュニティ活動とは別に、Tanya氏はMicrosoft、Adobe、Nokiaといった大手ハイテク企業で働いた経験もあり、プロフェッショナルとしての経験も豊富です。

Tanya氏は常に、高度で複雑なITの問題を、親しみやすくわかりやすく説明し、技術に精通していないユーザーに対して、ITを身近に感じてもらうように働きかけています。彼女の2020年の著書「Alice and Bob Learn Application Security」は、その好例です。Tanya氏に、サイバーセキュリティ業界の多様性、ハッカーのステレオタイプ、そして彼女の華やかなITキャリアについて語ってもらいました。

サイバーセキュリティやエシカルハッキングに興味を持たれたきっかけは何ですか？

私は以前、ソフトウェア開発者だったのですが、バンド活動もしていました。同じ職場の人が倫理的ハッキングを始めたんですが、彼も別のグループでバンドをやっていたんです。自然な流れで私たちは友達になり、私たちのバンドは一緒に演奏することになりました。知り合って1年半くらい経った頃に彼から、「君は本当にサイバーセキュリティ業界に入った方がいい。とても素晴らしい存在になるから。僕の弟子になるんだ。知っていることを全部教えてあげるよ」と言われましたね。

私がサイバーセキュリティ業界に入りたいと思うようになるまで、さらに1年半かかりました。そして、弟子として始めることに同意し、彼はさまざまなことを教えてくれました。その後、さらにプロのメンターを見つけ、ペネトレーションテスト（ペンテスト）よりも、アプリケーションセキュリティの方が自分には合っていると実感しました。

どのような音楽を演奏していましたか？

私は長い間、ソロのフォークシンガーでした。歌って、ギターを弾くだけだったけど。今でも私の楽曲はSpotifyで配信されていますし、いろいろな場所で私のアルバムがありますよ。それ以外には、パンクロックバンドもたくさんやっていました。ジャンルは、パワーポップ、ポストハードコア、エレクトロパンク。ドラムとシンセサイザーを操って、ギターを弾いていました。ただ、全部同時にはできないから、同時にできるのはそのうちの2つだけ。

複雑なITの問題をシンプルな言葉で、親しみやすい方法で表現しているところに魅力を感じます。今まで、シンプルにするのが最も難しいと感じたトピックは何でしたか？また、その課題をどのように克服しましたか？

自分ではできないような抽象的なコンセプトが一番難しいと思っています。たとえば、Kubernetesのコンテナオーケストレーションは非常に複雑ですが、絵にすることはできます。Kubernetesのクラスターを作れば、それを自分の目で確認することができるからです。しかし、たとえばガバナンスのような複雑なコンセプトは、実際に私がガバナンスを行うことができないので、もう少し難しいかもしれません。私はよく、図を描いたり、人にたくさん質問をしたりして理解を深めます。

カンファレンスの講演もよく見に行きます。苦手なことがあれば、その講演を聴くようにしています。そして、自分に合った説明をしてくれる人を見つけたり、絵を描いてもらったりすることもあります。私の場合、その物事について読んでから実行することが、メンターのトピックを自分で表明する最も簡単な方法なんです。

教育全般に言えることですが、サイバーセキュリティ教育は今後どのようなことに重点を置き、どのような方法で成果を上げ、意識を高めていくべきだとお考えでしょうか？

私たちは、本当に教育に熱心に取り組む必要があると思います。また、教育にはもっと、価格、言語、利用可能なフォーマットなどのコストがかからないようにする必要があります。というのも、前回の質問で申し上げたように、私は何かを聴いて、それを実行することで上手くいってきました。それが必要ない人もいます。だから、さまざまな学習スタイルをカバーするために、私たちは努力すべきなのです。セキュリティにおいて、教育は最も弱い部分のひとつだと思います。

セキュリティは、学校で教えるべきだと思っています。コンピュータサイエンスを教えている大学では、セキュアコーディングを教えるべきだと思うんです。建築を教えるのであれば、セキュリティアーキテクチャを教えるべきでしょう。これは、業界全体が取り組むべき課題だと思います。

また、セキュリティ担当者は、ソフトウェア開発やQAなど、安全性を確保しようとするものについての教育が必要だと思います。たとえば、クラウドをセキュアにしようとしている人は、そのクラウドの内側と外側を知る必要があります。クラウドで何をしようとしているのか、どのように機能するのかを理解していないのに、どうしてクラウドの安全確保に貢献できるのでしょうか？そうですよね？

ソーシャルメディアが普及する前と今を比較した場合、ユーザーの意識は向上したと思いますか、それとも低下したと思いますか？

サイバー攻撃や問題に対するユーザーの意識は高まっていると言えますが、それに対する防御の準備が整っているかというと、そうでもないような気がします。多要素認証（MFA）をオンに戻している人の統計を見たことがありますが、11〜15％というかなり低い数字でした。すべてにMFAが必要なわけではないことは理解していますが、多くのユーザーを不安にさせていると思います。自分を守る自信がないのでしょう。「ユーザーの意識は向上したのか？」という問いに対する答えは「イエス」ですが、知識が増えたけど、脅威も増えたと言えます。

このような状況を打破し、ユーザーの意識と新たな脅威を両立させるために、企業や機関は何をすればいいと思われますか？

私は、2つあると思っています。1つは、システムを簡素化し、一般ユーザーが知っている情報を普及させること。たとえば、私は車に乗っていますが、自分の乗っているエアバッグの銘柄を知りません。自分でエアバッグを取り付ける必要はないですが、エアバッグがいくつか付いていて、私の安全を守ってくれるものだということは知っています。運転の仕方は覚えなければなりませんが、車のセキュリティ機能をすべて覚える必要はありませんし、自分でインストールする必要もないでしょう。

もう1つは、iPhoneやAndroidのスマートフォンを購入するときに、VPNが必要と知るべきだということ。しかし、ほとんどの人はそれを知りません。パスワードマネージャーも購入すべきです。しかし、ほとんどのユーザーはそのことについても知りません。一般的なユーザーは知らないのです。でも、もしそういったものが内蔵されていたらどうでしょう？

ただ、私たちはユーザーにたくさんのことを知ってもらうことを期待していると思うんです。車を運転するのに、そこまで理解させておいて、たまに車が理由もなくランダムに爆発したら、自動車は違法とみなされるのに、ITはなぜか大丈夫なんですよね。データ流出もしょっちゅうだし、私が一般ユーザーだったら、ITシステムをあまり信用できないと思わざるを得ません。サイバーセキュリティの人間としては、間違いなく信用していません。

データ漏洩やランサムウェアの事例が増えていることを考えると、今後数年間で、一般的なサイバーセキュリティの状況はどのように変化すると思われますか？

ある意味では改善されると言えますが、ある意味ではそうではないでしょう。ランサムウェアを仕掛けてきたサイバー犯罪者は極悪だと言いたいところですが、彼らの革新性には感心させられます。サイバーセキュリティ業界は、より優れた防御を構築するために、ますます賢くなりつつあります。しかし、より良い防御を構築することは良いとして、多くの民間人がサイバー攻撃により傷つくのはかなり酷いことです。ですから、システムを設計し、新製品を発売する際には、セキュリティがより前面に、あるいはより頻繁に頭の中に出てくるようになると私は考えています。

データを提供することに関しても、人々がそれを行う前によく考えるようになることを望んでいます。すべてのプロジェクトにおいて、セキュリティが優先されるようになることを期待しています。本当にそのようなことが可能なのでしょうか？現時点での答えは「ノー」です。でも、そうなってほしいと心から願っています。サイバー犯罪者が引き起こした被害が大きいからこそ、そう思うのです。

2020年のサイバー犯罪は、確か世界全体のGDPの1％で、犯罪者の利益は60億ドル（約7,800億円）だったと言われています。これは完全に狂っていて、異常なことです。ですから、サイバーセキュリティの強化は明らかに優先事項です。これだけの金額が失われ、これだけの損害が発生したのであれば、優先的により真剣に取り組むべきなのです。

コロニアル・パイプライン社のハッキング事件のように、ランサムウェアが生命を脅かし、インフラ全体を不安定にすることがあることを念頭に置くと、そう考えますよね。

そうですね、恐ろしいことです。ランサムウェアによる最初の死者は2020年に出たと思います。サイバー犯罪者が病院を攻撃して、誰かが亡くなったんです。犯罪者がお金を得るために人間を死なせるなんて、考えるだけで嫌になりますね。でも、そういう価値観に共感できないから、私が犯罪者になることはないのでしょう。しかし、悲惨な状況になってきていると感じています。

サイバーセキュリティの専門家、倫理的ハッカーとして、職業やサイバーセキュリティ全般について、最も一般的な誤解は何でしょうか？

よく人から「ハッキングしないでね」と言われます。私はその言葉にユーモアを感じるのですが、それは明らかに私がハッキングしないからです。もし私が悪質な活動をしていたら、良いキャリアは築けません。サイバーセキュリティの仕事をしていると言うと、多くの人がまず「ハッキングをするのですか？」と訊いてくるのが面白いですね。そして、私はたいてい、「時々、セキュリティの仕事をするのですが、それは倫理的ハッキングと呼ばれるもので、通常はかなり退屈です。たくさんのツールを使って、ただ座って壁に頭を打ち付けているだけの仕事なんです」と答えます。

ハッキングは華やかで、とてもかっこいいものだと誤解している人が多いのですが、それは映画の中の話であって、現実ではありえないのです。「お医者さんが一回メスを入れたら、患者さんが助かる！」みたいな感じです。でも、それはテレビの中だけのこと。でも、サイバーセキュリティの仕事をしていると、とても知的だと思われるのは嬉しいことです。そのステレオタイプは、いつでも歓迎ですね。

ITにおけるジェンダーダイバーシティを推進する組織「Women of Security」を共同設立されましたね。ITはかなり長い間、男性優位の分野でしたから、このような取り組みは嬉しいです。この分野での状況はどのように改善されたと思いますか？また、現在、最も大きな課題で、まだ取り組むべきことは何ですか？そして、IT業界におけるジェンダーダイバーシティを実現するには、どうすればいいでしょうか？

その答えがわかれば、私はもっと豊かになっているはずです。しかし、プロフェッショナルの場でやってはいけないことをした人には、ポリシーを徹底し、罰を与えることが、大きな抑止力になると思います。最近、Defconが女性に対して不適切なことをたくさんしていた人物をブロックしたことを発表しましたが、ご存知でしょうか？これは、組織が行動規範を強制している例です。多くの組織は、行動規範を持たないか、持っていても、「でも、あの人は本当によく貢献してくれるし、いろいろなことを企画してくれるし、彼がいなかったらどうなっていたかわからない。男の子はいつまでも男の子なんだよ」で済まされてしまう。

そして、男性ばかりとは限りません。時には、やってはいけないことをやってのける女性もいます。そのような人たちを取り締まって責任を取らせれば、そのような行為を続ける人は少なくなると思います。なぜなら、行為には実際に結果が伴うということを理解するからです。行動に結果が伴わない限り、本質的に悪い人間は悪いままなのです。

その辺りの説明責任をもっと真剣に、もっと意図的に果たせば、事態はもっと友好的になり、そうすれば、IT業界に参加したいと思う女性ももっと増えるでしょう。個人的に、事態は改善されていると感じていますし、それは素晴らしいことです。しかし、私たちの業界では、他の業界ではあまり起こらないような、非常に愚かなことが定期的に起こっているのも事実です。

教育や社会的な取り組みについて、今後どのようにお考えですか？

あと数カ月で次の本を書き始める予定です。最初の本が出たのが2020年なので、しばらく休みがありました。より多くの人々が、セキュアコーディングを学ぶ必要があると思うんです。この2年間は、セキュアコーディングをたくさん教えてきました。

そして、We Hack Purpleのコミュニティも広げています。最初は数人で始めたのですが、だんだん大きくなってきました。昨年は、誰でも参加できるように無料にしました。今はボランティアの集まりのようなものですが、もう一人スタッフを雇って、どんどん成長し始めているんです。ですから、私たちのコミュニティで初めてブログ記事を書いたり、初めて講演ができるような人たちに来てほしいと思っています。仕事中に何をしたらいいかわからなくなったら、私たちに聞けば誰かが答えてくれる、そんな場所にしたいんです。

私たちは非常に厳格な行動規範を設けており、その結果、非常に多様なオンラインコミュニティプラットフォームとなっています。そして、女性や有色人種、障害を持った人たちがたくさんいます。アクセシビリティは私たちのコアバリューのひとつなので、視覚障害者のために変えたい3つのことをプラットフォームに提案したところです。ですから、インターネット上で学ぶ人たちにとって安全な場所を増やすために、コミュニティを成長させようとしているのです。また、コードセキュリティとしてのインフラに関する無料のコースも追加する予定です。コミュニティも無料です。何かサービスや製品を売りつけたりすることはなく、すべて無料で利用できるようにします。

コミュニティを多様化し、多くの人を巻き込もうとする中で、最も大きな課題は何ですか？

私の一番の悩みは、人数の多さです。ありがたいことに、現在多くの人が参加してくれています。1,300人くらいでしょうか。一人で運営するのはとても大変なんです。そこで、有志でチームを作って取り組んでいるので、今では多くのモデレーター、コンテンツを投稿する人、新しいメンバーを迎える人などがいます。ボランティアによって規模を拡大するのは、ほとんどのコミュニティの運営方法だと思います。率直に言って、ボランティアチームがあるということは、たくさんのアイデアを持っているということです。そして今、私たちのチームがあるからこそ、実際に実現できるのです。

また、Tanyaのコミュニティだけでなく、参加者のためのコミュニティでありたいと思っています。というのも、中には本当にシャイな人もいて、「どこでも発表するつもりはないし、人前で話すことはありません」という人もいます。でも、私が聞かないような質問をする人になるかもしれないし、毎週何十本もの記事を読んで、その中からベストなものを見つけて、「この記事はきっとあなたの役に立つよ」と助言する人になるかもしれない。貢献の仕方は人それぞれです。

私は文系出身で、最初はITの世界全体が冷たく傲慢に思えたので、このような話が聞けるのは嬉しいです。このような取り組みがあることで、サイバーセキュリティがより親しみやすいものになるのは喜ばしいことです。本当にありがとうございました。

私の活動は、私たちにとって必要なことだと思います。私がサイバーセキュリティの世界に入ったとき、17年のソフトウェア開発者としての経験を積んだ後だったので、驚きました。「なぜ、みんな私に意地悪をするのだろう？どうしてみんな敵対的なんだろう？どうしてみんな噂話をしているんだろう？」と疑問を抱かずにはいられない、傲慢なペンテスターたちにたくさん会いました。そのことに驚いたので、自分の柔らかい性格が合う場所を見つけ出しました。

私はアプリケーションセキュリティの専門家ですが、一日中ソフトウェア開発者たちと一緒に過ごしています。そして、彼らは私の部下という感じです。新型コロナが深刻になる前にパーティに行った際、友人たちが「いつかTanyaが隅っこにいるのを見かけると思うよ」と冗談を言っていたのが懐かしいです。一人か二人、私と静かに話している人がいるのですが、それはいつもソフトウェア開発者なんです。