昨日、日本ネットワークセキュリティ協会(JNSA)にて「学術界とのギャップ解消検討BoF」を開催いたしました。開催にご協力いただいたJNSAのみなさま、ありがとうございました。
ネットワークセキュリティでの学術と企業(産業)側のギャップを感じている中、そこを埋める話ができないか、ということで意見交換をできる場を設けようと考えました。まずJNSAの方にご相談させていただいたところ快く承諾いただいたので、学術からの参加者を募るべくコンピュータセキュリティシンポジウム(CSS 2009)のナイトセッションでプレゼンをし、その後暗号と情報セキュリティシンポジウム(SCIS 2010)で「DoS/DDoS攻撃対策に見る学術界と産業界のギャップ」と題した発表をさせてもらいました。
そして昨日4/15日、BoFとして開催させていただきました。
私をふくめ参加者は全部で15名、学術サイドは3名、企業サイド(社会人学生さんのような立場、パブリックセクタ兼業の方も含む)は10名、あとパブリックセクタからも1名、そしてJNSAの方(そういえばこの方も企業の方だった・・・)。また都合で不参加になってしまった方からコメントもいただきました。BoFは、まず私から開催目的とモチベーション、背景などをプレゼンさせていただいて、その後議論をいろいろとさせて頂きました。
私のプレゼン資料は私のWebページに公開しておりますのでよろしければご覧ください。
ここでは、プレゼン後の議論で出た話題をいくつかご紹介させていただきます。
(参加のみなさまに許可いただきました)
・カナダの大学が「中国のグループがダライ・ラマの情報を盗んでいた」と発表したが、日本ではそういうようなケースってあるのかな?
→WEP解読はそれと近いかも。
・産官学での人の行き来、これができれば良いのでは。米だとそのケース多い。
・学校側は、業績評価の圧倒的なメインは「論文数」。論文を書いていればご飯が食べられる。そうやって割り切っている人はいるだろう。
・企業側でも、学術の研究会を聞きに行くことに会社からお金が出ないことがある。
・産学ギャップ、欧州や米国では少ないけど成功例があるだろう。そこから学ぶこともあると思う。そして、それをそのままやるのではなく「日本モデル」を作り上げるべき。
・法的側面の検討に関しては、学術でも別のグループがある
・ギャップは日本自体の問題では。学校側の既得権益と、企業側の既得権益。ここを結ぶインセンティブがない
・学校はなぜ企業に売り込みに来ないのだろうか?
・法的側面を最初から考えるのは難しい。結局判例がでるまで決まらないものだから。
・学術の情報は、企業側には届いていない。どこを見れば良いのか・・・。
→プレスとかを打つほうが良い?
→メディアはあまり。メディア自身も欲しい情報しか得ないし出さない。
→大学もなかなかプレスは打たない。
・自分の経験。ネットワーキング(注:人と人との繋がりだと思います)は重要。先頃まで米国にいたが、米国では学振の学生があつまって、1.5hで40-50人が発表する。西海岸と東海岸、どちらでもやっていた。そこには企業(シリコンバレーとか)の人もいっぱい。その後、パーティー。そういうイベント(エキシビション)がある。そこで数件成約していた。
・キーマン探しが重要では。白浜や湯沢にJNSAがリーチしていくほうが良い?
・大学院教育と産業とのギャップは、この業界だけでなく近年では全体の問題。
・MWS、参加したがアンチウイルスベンダが私しかいなかった・・・。
・大学がIDSやマルウェアを研究しようとしたとき、大学環境の中でしか試すことができない。より広い環境や、共通のデータなどが得られない。MWSがデータセットを配ってくれたことにより、マルウェアの方面では共通の土台で議論ができるようになってきた。
・マルウェア検体、渡すのは難しいが・・・。欲しいという気持ちはわかる。
・日本で、ベンチャー立ち上げ→大企業買い取り、ってケースある?
・基礎研究部隊と技術サイドの、議論前提の違い。基礎研究部隊は「きれいなシステム」「まっさらな世界」を前提に提案をしてくるけど、技術サイドは「既存技術」を捨て去ることができない。既存技術に追加されることがベスト。
・ネットワークセキュリティは、専業としてはパイのサイズが縮んでいくのでは。システムやネットワーク、そういったものの1つの要素として存在する方向なのでは。
・セキュリティは品質要件の1つ。その他の要件はたとえば、パフォーマンス、検索性、コストがある。
・学術と産業のギャップ。中間を担う組織が必要では。現状では適切な組織があるのか?
全般的な議論としてはやはり「情報の行き来は決定的に不十分」、という認識を持ちました。
たとえば「学術のやっていることが見えない」、これは学術のアウトプットの仕方が論文がメインであり、論文として仕上げた内容を他にもアウトプットするインセンティブがないからだと思います。
また「前提条件の違い」は、企業側から十分な前提条件が与えられていないという背景もあるでしょう。
まずはこのあたりの解消ができれば良いかと。具体的な動き方については、腹案(!)はあるものの
昨日の今日なのでまだ検討中ですが1歩目を踏み出せればと思います。
このエントリや私の資料をご覧になったみなさまで、ご意見があるかたはぜひコメントをしていただければと思います。または私のTwitterアカウント「akirakanaoka」に対してつぶやいていただいても全くかまいません。
<追記:2010年4月22日13:24>
その後、いくつかコメントいただきましたのでご紹介など。
4403さん JNSA 学術界とのギャップ解消検討BoF
おっしゃるとおりで、産業が求めるものが学術まで届いていないという面はありますよね。一方で、産業側に学術成果が届いていない、また見つけづらいものなのだ、という認識を今回のBoFで得ました。そこらへんがまず埋めていきたいところです。
horiyoさんからTwitterでコメントいただきました。
takefumi_iさんからのコメント
expl01tさん Re: JNSA 学術界とのギャップ解消検討BoF
「なにをぉー」となる人がいていいと思います。一方で、「なにをぉー」と思わない人も必要で、「顧客ニーズ!欲しい!」と思っている学者もいますよ、ということを声高に言いたいです(私ですが)。産業ニーズではなく「あるべき論」で研究を進める研究者も必要ですし、産業ニーズにきちんと答える研究者も必要。いまは産業ニーズが届いていないので、「あるべき論」型の研究が主流なのかと思っています。
これは私の資料が悪かったです。「民が実装してるのは超単純なやつでワロス」という意識というよりは、「こんな一杯の論文出しているのに全然使われてなくてバロス」「ニーズわかっていない可能性w」という意識で資料を作ってました。「顧客ニーズに対応したソリューションではないから民は使わない,という可能性」は高いと思っています。
ネットワークセキュリティでの学術と企業(産業)側のギャップを感じている中、そこを埋める話ができないか、ということで意見交換をできる場を設けようと考えました。まずJNSAの方にご相談させていただいたところ快く承諾いただいたので、学術からの参加者を募るべくコンピュータセキュリティシンポジウム(CSS 2009)のナイトセッションでプレゼンをし、その後暗号と情報セキュリティシンポジウム(SCIS 2010)で「DoS/DDoS攻撃対策に見る学術界と産業界のギャップ」と題した発表をさせてもらいました。
そして昨日4/15日、BoFとして開催させていただきました。
私をふくめ参加者は全部で15名、学術サイドは3名、企業サイド(社会人学生さんのような立場、パブリックセクタ兼業の方も含む)は10名、あとパブリックセクタからも1名、そしてJNSAの方(そういえばこの方も企業の方だった・・・)。また都合で不参加になってしまった方からコメントもいただきました。BoFは、まず私から開催目的とモチベーション、背景などをプレゼンさせていただいて、その後議論をいろいろとさせて頂きました。
私のプレゼン資料は私のWebページに公開しておりますのでよろしければご覧ください。
ここでは、プレゼン後の議論で出た話題をいくつかご紹介させていただきます。
(参加のみなさまに許可いただきました)
・カナダの大学が「中国のグループがダライ・ラマの情報を盗んでいた」と発表したが、日本ではそういうようなケースってあるのかな?
→WEP解読はそれと近いかも。
・産官学での人の行き来、これができれば良いのでは。米だとそのケース多い。
・学校側は、業績評価の圧倒的なメインは「論文数」。論文を書いていればご飯が食べられる。そうやって割り切っている人はいるだろう。
・企業側でも、学術の研究会を聞きに行くことに会社からお金が出ないことがある。
・産学ギャップ、欧州や米国では少ないけど成功例があるだろう。そこから学ぶこともあると思う。そして、それをそのままやるのではなく「日本モデル」を作り上げるべき。
・法的側面の検討に関しては、学術でも別のグループがある
・ギャップは日本自体の問題では。学校側の既得権益と、企業側の既得権益。ここを結ぶインセンティブがない
・学校はなぜ企業に売り込みに来ないのだろうか?
・法的側面を最初から考えるのは難しい。結局判例がでるまで決まらないものだから。
・学術の情報は、企業側には届いていない。どこを見れば良いのか・・・。
→プレスとかを打つほうが良い?
→メディアはあまり。メディア自身も欲しい情報しか得ないし出さない。
→大学もなかなかプレスは打たない。
・自分の経験。ネットワーキング(注:人と人との繋がりだと思います)は重要。先頃まで米国にいたが、米国では学振の学生があつまって、1.5hで40-50人が発表する。西海岸と東海岸、どちらでもやっていた。そこには企業(シリコンバレーとか)の人もいっぱい。その後、パーティー。そういうイベント(エキシビション)がある。そこで数件成約していた。
・キーマン探しが重要では。白浜や湯沢にJNSAがリーチしていくほうが良い?
・大学院教育と産業とのギャップは、この業界だけでなく近年では全体の問題。
・MWS、参加したがアンチウイルスベンダが私しかいなかった・・・。
・大学がIDSやマルウェアを研究しようとしたとき、大学環境の中でしか試すことができない。より広い環境や、共通のデータなどが得られない。MWSがデータセットを配ってくれたことにより、マルウェアの方面では共通の土台で議論ができるようになってきた。
・マルウェア検体、渡すのは難しいが・・・。欲しいという気持ちはわかる。
・日本で、ベンチャー立ち上げ→大企業買い取り、ってケースある?
・基礎研究部隊と技術サイドの、議論前提の違い。基礎研究部隊は「きれいなシステム」「まっさらな世界」を前提に提案をしてくるけど、技術サイドは「既存技術」を捨て去ることができない。既存技術に追加されることがベスト。
・ネットワークセキュリティは、専業としてはパイのサイズが縮んでいくのでは。システムやネットワーク、そういったものの1つの要素として存在する方向なのでは。
・セキュリティは品質要件の1つ。その他の要件はたとえば、パフォーマンス、検索性、コストがある。
・学術と産業のギャップ。中間を担う組織が必要では。現状では適切な組織があるのか?
全般的な議論としてはやはり「情報の行き来は決定的に不十分」、という認識を持ちました。
たとえば「学術のやっていることが見えない」、これは学術のアウトプットの仕方が論文がメインであり、論文として仕上げた内容を他にもアウトプットするインセンティブがないからだと思います。
また「前提条件の違い」は、企業側から十分な前提条件が与えられていないという背景もあるでしょう。
まずはこのあたりの解消ができれば良いかと。具体的な動き方については、腹案(!)はあるものの
昨日の今日なのでまだ検討中ですが1歩目を踏み出せればと思います。
このエントリや私の資料をご覧になったみなさまで、ご意見があるかたはぜひコメントをしていただければと思います。または私のTwitterアカウント「akirakanaoka」に対してつぶやいていただいても全くかまいません。
<追記:2010年4月22日13:24>
その後、いくつかコメントいただきましたのでご紹介など。
4403さん JNSA 学術界とのギャップ解消検討BoF
つまりは,産業界に技術を売りに行くのはごもっともだが,売りに行っても買ってもらえる代物がない!というのが現状で,買ってもらえるようにしたいんだけど,産業界が求めるものが全然解らないよ!というのが学術界の本音だと思う.そこを埋めたいねというのが,このギャップ解消の根底にあると思う.学術界としても論文を世に出すだけが社会貢献・社会奉仕ではないと当然考えているだろうし,産業界に貢献できるような研究ができれば,よりよいと考えているだろうし,それは最終的にWin-Winの関係に結びつくのではないだろうか.
おっしゃるとおりで、産業が求めるものが学術まで届いていないという面はありますよね。一方で、産業側に学術成果が届いていない、また見つけづらいものなのだ、という認識を今回のBoFで得ました。そこらへんがまず埋めていきたいところです。
horiyoさんからTwitterでコメントいただきました。
horiyo @akirakanaoka 接点において、お互いに利益(論文数、利益)を求めずスタートする余裕が必要。接点じゃない部分は、接する人がうまく説得(何しろ許してもらえればよい)。
akirakanaoka @horiyo なるほどです。利益を求めず接する余裕については、個人としての利益(お給料、業績)に紐付かせてあげられれば、ボランティア精神じゃなくても接することができるのかな、と考えています。
horiyo @akirakanaoka 「今は、紐付いていなくても、まあなんとか、将来紐付けばいいなっ!」位の余裕があるか、ないか。
akirakanaoka !確かに…!余裕持ちたいですね。偉くなって紐付け側にまわりたいです!RT @horiyo: @akirakanaoka 「今は、紐付いていなくても、まあなんとか、将来紐付けばいいなっ!」位の余裕があるか、ないか。
takefumi_iさんからのコメント
takafumi_i @akirakanaoka 短期的な利益は求めなくても、「先々なんか良いことあるかも?」ぐらいでないとモチベーションは維持できないですよね。学術界にも期待していますが、実際に役立つのはベンダーのホワイトペーパーだったりします。
akirakanaoka @takafumi_i コメントありがとうございます。ホワイトペーパーは学術から見ても、研究の背景としても重要だと考えています。産業・企業ニーズの現れの場として、もっと増えてくれると嬉しいのですが、なかなか多くは出してもらってない状況だと思っています。
expl01tさん Re: JNSA 学術界とのギャップ解消検討BoF
民の立場ですごい横柄な言いっぷりをすると「顧客ニーズを教えてあげる.それを解決する要素技術を研究してくれるなら,それを使ってあげる」ということになる.学から見ると「なにをぉー」ということになるんだろうけど「産業界の大半はギャップ解消を望んでいない(解消すればいいけど別に今のままでもいいよっていう意味)可能性が高そうな気がする」っていう意見はこの意識から来るものなのかもしれない.
「なにをぉー」となる人がいていいと思います。一方で、「なにをぉー」と思わない人も必要で、「顧客ニーズ!欲しい!」と思っている学者もいますよ、ということを声高に言いたいです(私ですが)。産業ニーズではなく「あるべき論」で研究を進める研究者も必要ですし、産業ニーズにきちんと答える研究者も必要。いまは産業ニーズが届いていないので、「あるべき論」型の研究が主流なのかと思っています。
DDoSを例にして
・学はすごいたくさん研究成果出してる
・民が実装してるのは超単純なやつでワロス
という解釈をされていたのがちょっと気になります.学の提案する方式が実用的で実装可能かどうかについては触れられていません.言い換えると,顧客ニーズに対応したソリューションではないから民は使わない,という可能性は無いのだろうか?
これは私の資料が悪かったです。「民が実装してるのは超単純なやつでワロス」という意識というよりは、「こんな一杯の論文出しているのに全然使われてなくてバロス」「ニーズわかっていない可能性w」という意識で資料を作ってました。「顧客ニーズに対応したソリューションではないから民は使わない,という可能性」は高いと思っています。