4月に日本ネットワークセキュリティ協会(JNSA)さんで「学術界とのギャップ解消検討BoF」を開催させていただきました。私自身がネットワークセキュリティでの学術と企業(産業)側のギャップを感じていて、そこを埋める話ができないか、ということで場を設けさせてもらったものです。このブログでもその様子をまとめました。詳しくはそちらをご覧ください。
そして昨日(7月13日)、日本ネットワークセキュリティ協会(JNSA)さんで「第2回学術界とのギャップ解消検討BoF」を開催いたしました。第1回に参加できなかった方や、より多くの学術の方をお招きして、再び議論をさせていただきました。個人としては成功だと思います。参加する方の違いで議論内容も大きく変わったことが大きな理由です。
参加していただいたのは全部で16人。そのうち学術サイド(というよりはJNSA会員でない方)が私含めて6名。前回も参加していただいた方は私含めて4名、という構成でした。
まず私から前回のまとめと私自身のギャップ解消の考察を述べさせて頂き、
その後自己紹介がてらそれぞれのお考えを聞き、そしてフリーディスカッションへ、と流れていきました。ギャップの背景は当然純粋な技術的問題ではありませんから、議論が白熱するとあらぬほうに流れ出したりしたのですが、みなさま様々な背景と課題を持って、日頃から考えてらっしゃるのだなということを強く感じました。私の資料は私のWebページに公開しています。
以下、いくつか議論などで出てきたポイントをまとめました。ブログ掲載に関しては参加者のみなさまから個人名や所属組織名を出さないことを条件にお認めいただきました。
また幾人かのご意見をまとめたものもありますので、1つ1つがある個人の発言や意志というわけではございませんのでご注意を。
・ギャップ、あって良いじゃないか。
・学術は別に産業にしっぽを振らなくていい。
・ギャップがあった方がモチベーションが高まる。そもそもギャップを埋めたいモチベーションが不明。
・国はギャップをどう思っているのか?
・あえて歩み寄る必要はない。お互いの良い部分を殺すようじゃ駄目だ。
・理論と実践のサイクルをまわす場が必要。これはJNSAでも。作って終わり、ではだめ。そしてその「場」も形骸化してはいけない。形はなんでもいいので「場」が必要。
・「人材交流」という名のもとの動きはあるが、形骸化してる
・産と学、じつはそれぞれの中での連携もうまく行っていない。中できちんと連携することも重要。
・産と学、それぞれがGoogleの「20%ルール」のようなものを持ってもいいのでは?
・暗号2010年問題はまさに産学ギャップ。
・とある製品に関係していたときに、学術の研究会に行って驚いた。その製品がすでに実現しているようなことを、研究会で発表されていた。これはいけないと感じた。
・企業の中はブレイクスルーがおきにくい状況にある。学の中で新しい種がみつかり、相乗効果になれば。
・MWSはアンチウイルスベンダからみてもおもしろい発表がある
・ホワイトペーパーを出す側として。学術がそれに触手を伸ばしてもらえれば。
・日本独自の技術でできることがいっぱいあるのに、アメリカからばかり持ってきてる。日本は駄目じゃないのに。
・産学共同でやる場合の知財取り扱い。
→大学側はここ数年で良くなった面はある
→でも議論する前に唐突に「NDA結んで」って言ってくる先生がいたんだよ
・大学発で起業してしまえば?成功例が少ないのだろうが、研究者が直接的に産業側にやってくる構図も。そうすると企業とのネゴがやりやすくなる。
・日本の場合萎縮する。完璧主義というか。「失敗=悪」で「まぁ次がんばれよ」という文化がない。マスコミが誉めないということもある。
・企業にとって身近な脅威となる大学発ベンチャーがでれば企業も刺激に。「ほっとくとやばそう」と思わせる
・日本人のメンタリティである「額に汗して働け」ということが阻害していることもあるか
・草食系が多い。危機的。
・業界のカリスマ不在。「俺の言うとおりやっていればいいんだよ!」と言い切れるような。
・
・教育と産業のギャップ。即戦力が求められ、それに対応する大学という側面がある。現場の人を育てるのにはいいのだがそれで良いのか。
・インターンシップ。インターン生にFitする仕事を探すことが難しい。そのためお客さんのような扱いになるケースがある。
・学術のやる「最高のセキュリティ」。最高とは?安全性だけじゃないよ。コストと利便性を含んで「最高」じゃないと。
・研究者の「完璧」はスタートポイントの完璧。10年それを使う・運用するという中での「完璧」ではないし、そういう目線がない
・現在成功しているベンダの強みは製品の継続性。例えばシグネチャ管理とか運用など。
・セキュリティは「技術」と「運用」と「法制度」のバランスが必要。
・品質。日本のは高く海外のは低いところがあるが、「完璧なんだけどお金にならない(売れない)」と「そこそこだけど売れる(動く)」だったら後者が売れる。しかもその後者のほうにちゃんとビジョンがあれば。
・前回議論で「白浜や湯沢にJNSAがリーチしていくほうが」というものがあったが、白浜や湯沢はアカデミアの方も来ているがアカデミアの論理では動いていない。むしろアカデミアの参加を増やしていく方がギャップ解消という目線では良い。
・コミュニティの形成の面で言うと、「学生-教員間」の密なコミュニティも必要
・ギャップを埋めるのは誰だ?(to 「ギャップあっていいじゃないか」な人たち)
→埋めるモチベーションがないのでいらない
→多様性を認めることの重要性。大学はイキきった(ピーキーな)人がいる場所でいいじゃないか。
→ギャップの間に、ポチポチと人がいれば美しい形なのでは
→埋める行為そのものは企業。だけど企業が埋めたくなるネタが必要
今回の大きな特徴は「ギャップあっていいじゃないか」という意見の方がいらっしゃったことだと思います。また「多様性」というキーワードも出たように、学術でも産業でもそれぞれで突き詰めたことをやる人がいる一方で、その間にいる人たちがあることが美しいという意見もありました。まさにそれはそう思います。しかし、現在はその「間」、まさにギャップの場所に生きることが難しい(仕事の業績として認められない)社会であるというのが私の持論です。仕事の業績として認められなくても、馬力で、その間を埋めるあるいはその間で生きるという方はいらっしゃるでしょうけれども、それはまさに「肉食系」であって、世の中すべてが肉食系であらねばならないというのも違う気がしていて、「草食系」のような方でも入ってこれるような環境に持っていくことが重要なんじゃないかと思っています。
やはり議論は尽きることがありませんでした。
どういった形になるかはまだ判然としませんが、こういった活動はこれからも続けて行こうとおもいます。
また、前回と今回の議論のまとめや、私自身がおもうギャップとその解消に向けての検討をあらためて整理して、10月に開催される「コンピュータセキュリティシンポジウム」で発表する予定でいます。
ご覧の方でご意見がある方はどんどんおっしゃってください。コメントをしていただければと思います。または私のTwitterアカウント「akirakanaoka」に対してつぶやいていただいても全くかまいません。
そして早速(というか私のこのエントリより前に)、4403さんがご自身のブログで今回の点に触れておられます。非常におもしろい目線です。我々の仲間内で考えている「そこそこのセキュリティ」の重要性については今回の私のプレゼンでも触れましたが、それについての考察がされています。
・4403さん JNSA 第2回学術界とのギャップ解消検討BoF
<追記>
ゲリッピーさんからご意見をいただきました。SNS、確かに考えるところもあるのですが何をどうソーシャルにすべきかを悩んだりしています。悩まずに走ってしまえばよいのかな?
・ゲリッピーさん JNSA 第2回学術界とのギャップ解消検討BoFへの意見
<さらに追記 7/15>
Twitterでたくさんご意見をいただいています。
まずこの取り組み全般について、msaitotypeRさんより
masahikokatohさんより。ギャップあっても良いというご意見。
そして今回私からの資料に掲げた「そこそこセキュリティ」の話。いろいろとご意見が。shokohitsujiさん、takafumi_iさん、aho1goさん、expl01tさん、msaitotypeRさんから。
そして「そこそこセキュリティ」って何よ?ということを定めていかなくてはという流れに。(つぶやきの時系列はあっていませんが、文脈をそろえました)
<さらにさらに追記7/19>
参加してくださっていたtohkiさんがブログエントリをあげてくれました。お互いの知識欲求を提供する場、重要だと思います。
・tohkiさん JNSA 第2回学術界とのギャップ解消検討BoF
そして昨日(7月13日)、日本ネットワークセキュリティ協会(JNSA)さんで「第2回学術界とのギャップ解消検討BoF」を開催いたしました。第1回に参加できなかった方や、より多くの学術の方をお招きして、再び議論をさせていただきました。個人としては成功だと思います。参加する方の違いで議論内容も大きく変わったことが大きな理由です。
参加していただいたのは全部で16人。そのうち学術サイド(というよりはJNSA会員でない方)が私含めて6名。前回も参加していただいた方は私含めて4名、という構成でした。
まず私から前回のまとめと私自身のギャップ解消の考察を述べさせて頂き、
その後自己紹介がてらそれぞれのお考えを聞き、そしてフリーディスカッションへ、と流れていきました。ギャップの背景は当然純粋な技術的問題ではありませんから、議論が白熱するとあらぬほうに流れ出したりしたのですが、みなさま様々な背景と課題を持って、日頃から考えてらっしゃるのだなということを強く感じました。私の資料は私のWebページに公開しています。
以下、いくつか議論などで出てきたポイントをまとめました。ブログ掲載に関しては参加者のみなさまから個人名や所属組織名を出さないことを条件にお認めいただきました。
また幾人かのご意見をまとめたものもありますので、1つ1つがある個人の発言や意志というわけではございませんのでご注意を。
・ギャップ、あって良いじゃないか。
・学術は別に産業にしっぽを振らなくていい。
・ギャップがあった方がモチベーションが高まる。そもそもギャップを埋めたいモチベーションが不明。
・国はギャップをどう思っているのか?
・あえて歩み寄る必要はない。お互いの良い部分を殺すようじゃ駄目だ。
・理論と実践のサイクルをまわす場が必要。これはJNSAでも。作って終わり、ではだめ。そしてその「場」も形骸化してはいけない。形はなんでもいいので「場」が必要。
・「人材交流」という名のもとの動きはあるが、形骸化してる
・産と学、じつはそれぞれの中での連携もうまく行っていない。中できちんと連携することも重要。
・産と学、それぞれがGoogleの「20%ルール」のようなものを持ってもいいのでは?
・暗号2010年問題はまさに産学ギャップ。
・とある製品に関係していたときに、学術の研究会に行って驚いた。その製品がすでに実現しているようなことを、研究会で発表されていた。これはいけないと感じた。
・企業の中はブレイクスルーがおきにくい状況にある。学の中で新しい種がみつかり、相乗効果になれば。
・MWSはアンチウイルスベンダからみてもおもしろい発表がある
・ホワイトペーパーを出す側として。学術がそれに触手を伸ばしてもらえれば。
・日本独自の技術でできることがいっぱいあるのに、アメリカからばかり持ってきてる。日本は駄目じゃないのに。
・産学共同でやる場合の知財取り扱い。
→大学側はここ数年で良くなった面はある
→でも議論する前に唐突に「NDA結んで」って言ってくる先生がいたんだよ
・大学発で起業してしまえば?成功例が少ないのだろうが、研究者が直接的に産業側にやってくる構図も。そうすると企業とのネゴがやりやすくなる。
・日本の場合萎縮する。完璧主義というか。「失敗=悪」で「まぁ次がんばれよ」という文化がない。マスコミが誉めないということもある。
・企業にとって身近な脅威となる大学発ベンチャーがでれば企業も刺激に。「ほっとくとやばそう」と思わせる
・日本人のメンタリティである「額に汗して働け」ということが阻害していることもあるか
・草食系が多い。危機的。
・業界のカリスマ不在。「俺の言うとおりやっていればいいんだよ!」と言い切れるような。
・
・教育と産業のギャップ。即戦力が求められ、それに対応する大学という側面がある。現場の人を育てるのにはいいのだがそれで良いのか。
・インターンシップ。インターン生にFitする仕事を探すことが難しい。そのためお客さんのような扱いになるケースがある。
・学術のやる「最高のセキュリティ」。最高とは?安全性だけじゃないよ。コストと利便性を含んで「最高」じゃないと。
・研究者の「完璧」はスタートポイントの完璧。10年それを使う・運用するという中での「完璧」ではないし、そういう目線がない
・現在成功しているベンダの強みは製品の継続性。例えばシグネチャ管理とか運用など。
・セキュリティは「技術」と「運用」と「法制度」のバランスが必要。
・品質。日本のは高く海外のは低いところがあるが、「完璧なんだけどお金にならない(売れない)」と「そこそこだけど売れる(動く)」だったら後者が売れる。しかもその後者のほうにちゃんとビジョンがあれば。
・前回議論で「白浜や湯沢にJNSAがリーチしていくほうが」というものがあったが、白浜や湯沢はアカデミアの方も来ているがアカデミアの論理では動いていない。むしろアカデミアの参加を増やしていく方がギャップ解消という目線では良い。
・コミュニティの形成の面で言うと、「学生-教員間」の密なコミュニティも必要
・ギャップを埋めるのは誰だ?(to 「ギャップあっていいじゃないか」な人たち)
→埋めるモチベーションがないのでいらない
→多様性を認めることの重要性。大学はイキきった(ピーキーな)人がいる場所でいいじゃないか。
→ギャップの間に、ポチポチと人がいれば美しい形なのでは
→埋める行為そのものは企業。だけど企業が埋めたくなるネタが必要
今回の大きな特徴は「ギャップあっていいじゃないか」という意見の方がいらっしゃったことだと思います。また「多様性」というキーワードも出たように、学術でも産業でもそれぞれで突き詰めたことをやる人がいる一方で、その間にいる人たちがあることが美しいという意見もありました。まさにそれはそう思います。しかし、現在はその「間」、まさにギャップの場所に生きることが難しい(仕事の業績として認められない)社会であるというのが私の持論です。仕事の業績として認められなくても、馬力で、その間を埋めるあるいはその間で生きるという方はいらっしゃるでしょうけれども、それはまさに「肉食系」であって、世の中すべてが肉食系であらねばならないというのも違う気がしていて、「草食系」のような方でも入ってこれるような環境に持っていくことが重要なんじゃないかと思っています。
やはり議論は尽きることがありませんでした。
どういった形になるかはまだ判然としませんが、こういった活動はこれからも続けて行こうとおもいます。
また、前回と今回の議論のまとめや、私自身がおもうギャップとその解消に向けての検討をあらためて整理して、10月に開催される「コンピュータセキュリティシンポジウム」で発表する予定でいます。
ご覧の方でご意見がある方はどんどんおっしゃってください。コメントをしていただければと思います。または私のTwitterアカウント「akirakanaoka」に対してつぶやいていただいても全くかまいません。
そして早速(というか私のこのエントリより前に)、4403さんがご自身のブログで今回の点に触れておられます。非常におもしろい目線です。我々の仲間内で考えている「そこそこのセキュリティ」の重要性については今回の私のプレゼンでも触れましたが、それについての考察がされています。
・4403さん JNSA 第2回学術界とのギャップ解消検討BoF
<追記>
ゲリッピーさんからご意見をいただきました。SNS、確かに考えるところもあるのですが何をどうソーシャルにすべきかを悩んだりしています。悩まずに走ってしまえばよいのかな?
・ゲリッピーさん JNSA 第2回学術界とのギャップ解消検討BoFへの意見
<さらに追記 7/15>
Twitterでたくさんご意見をいただいています。
まずこの取り組み全般について、msaitotypeRさんより
msaitotypeR 正直に言うと、うまく行った時の姿がまったく思い描けない。想像力不足? お互いにやってほしいこととやりたいことのギャップだけなら、問題、課題の共有から滑り出せば何かの形になる気がするけど @akirakanaoka 昨日のBoFへのご意見をいただきました
akirakanaoka @msaitotypeR 個人としては、自分が出したもので事業して儲けてほしいです。も少し広い話だと、国内学術の成果がそんなに無理なく国内産業に流れていって、海外技術や製品に立ち向かえる、といい形なのかなと思っています。後者を進めるには、まず事業化成功例が欲しいなと思います
msaitotypeR @akirakanaoka とすると、やはりテーマドリブンで進めたほうがよくないですか。「産学ギャップ解消」って命題だと、「理学と工学のギャップ解消」と同じくらいに聞こえます。同じ手法で評価される分後者のほうが現実的に思える(BoFでないで勝手なこと云ってます)。
akirakanaoka @msaitotypeR なるほどテーマドリブンですか…。たしかに大きすぎるというかボンヤリしていて現実的な落とし所が見えない状態ではありますね。参考にさせていただきますありがとうございます!
masahikokatohさんより。ギャップあっても良いというご意見。
masahikokatoh @akirakanaoka 学術と産業なんて長距離走と短距離走くらい違うのでGAPはあって当然ですよね、というのが一つ。
masahikokatoh @akirakanaoka で、企業で時間のかかる基礎研究とかをやるとかいうのはこのご時勢なかなか難しいので、そこは学術にふんばって欲しい、尻尾振らなくてもいいというのはそんな感じ。
masahikokatoh @akirakanaoka あと、個人的には、学術サイドって何のために研究してるんですか?というのは聞いてみたいかなー。自分の研究を事業化しようと思って、もしくはそれがどう現場で使われるのかを想像してやってる人はどのくらいいるんだろう?
そして今回私からの資料に掲げた「そこそこセキュリティ」の話。いろいろとご意見が。shokohitsujiさん、takafumi_iさん、aho1goさん、expl01tさん、msaitotypeRさんから。
shokohitsuji セキュリティ機能を求めるならセキュリティ要件を明確にすべき。そこそこセキュリティは「セキュア」でなければ本末転倒。安全っぽい仕掛けだけ作って「ほら安全そうに見えるでしょ?」と主張されても困る。
akirakanaoka @shokohitsuji 「安全そうに見えるでしょ」ではなくて「ココに必要な安全レベルってこれ位ですよね、したらこんなオーバースペック求める必要ないんですよ、これくらいのそこそこの奴で十分ですよね」を提供したいのがそこそこセキュリティです。なので(つづく)
akirakanaoka @shokohitsuji (つづき) おっしゃるようにセキュリティのしかも安全性レベルの要件をしっかりとする/させることは肝心なところだと思います。これがブレると「そこそこ」が「適切」でなくなってしまい崩れてしまうので。
shokohitsuji @akirakanaoka 私も鋼さんのおっしゃる通りだと認識しています。この業界にいる人間の共通認識だとも信じています。確認のためにツイートしました。
そして「そこそこセキュリティ」って何よ?ということを定めていかなくてはという流れに。(つぶやきの時系列はあっていませんが、文脈をそろえました)
akirakanaoka そこそこセキュリティ、ちゃんと意味合いをはっきりさせないといけない段階に来た気がします。
takafumi_i @akirakanaoka 私にとって「そこそこセキュリティ」の定義は、「顧客のビジネス要件を前提に経済的合理性のあるセキュリティ」です。仕事でやっているのは、大体みんなそうですが・・・。
@takafumi_i ビジネス要件と経済的合理性。なるほどです。「そこそこセキュリティ」と言ってはいるものの、「何に対してそこそこか」「なにがそこそこか」などは合意がきちんとしているわけではないので、しっかりまとめてみることが必要ですね。
msaitotypeR 1次元の評価軸つくって下限と上限を設定し、その間に居ることと定義してみる。問題は下限に対して上限がイメージできないことと、今どこにいるかを把握できないこと かな。@akirakanaoka そこそこセキュリティ、ちゃんと意味合いをはっきりさせないといけない段階に来た気がします。
---
aho1go @akirakanaoka 小型人工衛星業界では,「ほどよし信頼性工学」というのが提唱されています.そこそこセキュリティに通じると考えています.
takafumi_i @akirakanaoka そういう意味では、「可用性」、「保守性」、「運用性」、「セキュリティ」、「信頼性」などのいわゆる非機能要件は、みんな「そこそこなんちゃら」になりますね。Cloud Computingの分散データ処理でいうところのBASEも「そこそこ一貫性」みたいな。
---
expl01t @akirakanaoka [ac] あ!Charter書いてって言ってなかった気がする.最近立ち上げの場面に出くわしたら必ず「重要だから早めに!」って言ってるんだけど.Charter重要.これ見て協力したくなるかどうかが大きく変わると信じてます.
akirakanaoka @expl01t charter把握。IETFのWG Charterみたいな感じですかね。 http://rfc-jp.nic.ad.jp/rfc/rfc1603.txt
expl01t [ac] まさにその通りです.よーく見るとタイムスケジュールがあったりしますよ.これ重要 RT: @akirakanaoka charter把握。IETFのWG Charterみたいな感じですかね。 http://rfc-jp.nic.ad.jp/rfc/rfc1603.txt
<さらにさらに追記7/19>
参加してくださっていたtohkiさんがブログエントリをあげてくれました。お互いの知識欲求を提供する場、重要だと思います。
・tohkiさん JNSA 第2回学術界とのギャップ解消検討BoF