サイバーセキュリティの 7 人の女性リーダー
NASA で働き、「Hidden Figures(邦題「ドリーム」)」で映画化された彼女たちのように、何十年も前から情報セキュリティの分野の開拓と進歩に貢献し、素晴らしい功績を上げながら、正当な評価を得ることのなかった女性が数多く存在します。サイバーセキュリティの業界で働く女性の数は、この 5 年で 20 パーセント増加しましたが、その割合がわずかであることは今も変わりません。多様性の必要性は、サイバーセキュリティ分野では特に深刻であり、それは革新的かつ画期的なソリューションは多種多様な経験から生まれることが多いためです。
情報セキュリティ業界で働く女性の割合を極めて低くしている要因はたくさんあり、残念ながらその 1 つとして、性差別が今も残っているのは事実です。また、指導者や手本にすべき人物がおそらく不在であったこともこの問題の一因であり、どの分野でもそうですが、若い女性が自分もそうなりたいと憧れて、その道に進もうとするきっかけになる先駆者がいれば状況は変わっていたかもしれません。しかしながら情報セキュリティ業界にも先駆者的な女性のリーダーが実際には存在し、この分野をより良い方向へと変革させる素晴らしい功績を果たしてきたのです。そこで今回は国際女性の日と女性史月間を記念して、サイバーセキュリティの分野で活躍してきた先駆者とも呼べる何人かの女性を紹介したいと思います。
本題に入る前に、サイバーセキュリティの「最も傑出した」女性を選ぶのはほとんど不可能であることをお伝えしておく必要があるでしょう。そのため私がこれまでにその活動に注目してきたり、情報セキュリティ関連のカンファレンスで実際に講演を聞いたりしたことがある人物に限定しましたが、例外として歴史上特に重要な役割を果たした人物も取り上げました。もちろん、これからご紹介する女性たちの数百倍の女性リーダーが情報セキュリティの分野に存在することは言うまでもありません。
Agnes Meyer Driscoll(アグネス・メイヤー・ドリスコール)– 暗号解読者
歴史的背景から話を始めることにしましょう。「Hidden Figures」のモデルと同様、女性たちは情報セキュリティの歴史が始まった時から重要な役割を果たしてきましたが、これまでは、その事実があまり知られていなかったようです。「Hidden Figures」をご覧になっていない方のために説明すると、この映画の主人公は 1930 ~ 1960 年代の宇宙開発競争でアメリカの勝利に貢献した多くの黒人女性数学者です。人種差別と性差別によって最近までその話が正しく伝えられてこなかったため、私を含む多くの人は、彼女たちが NASA の成功にどれほど大きく貢献したかを知ることはありませんでした。
それと同じことが、初期の女性暗号技術者にも言えるようです。第一次世界大戦と第二次世界大戦の時代になって、米国はようやく、暗号分析や暗号解読を始めとする戦闘行為に関わらない分野の軍事活動への女性の参加を認めました。この 2 つの大戦、特に第二次世界大戦でコンピュータや暗号機の技術が発達し、アメリカの敵国が極めて強力な暗号アルゴリズムを開発して、戦争に関する通信やマニュアルを暗号化するようになりました。Agnes Meyer Driscoll を始めとする女性の暗号解読者は、多くの Axis 暗号化システムの解読で極めて重要な役割を果たしました。Driscoll は、日本の暗号や暗号化されたマニュアルに対する攻撃を主導し、成功させたとされています。彼女は米国海軍で暗号解読者として長年にわたって活動し、後に国家安全保障局(NSA)の一員となり、その功績は今日まで語り継がれています。Driscoll を始めとする当時の女性暗号研究者について詳しく知りたい方には、Liza Mundy 著「Code Girls」をお読みになることをお勧めします。
Joanna Rutkowska(ジョアンナ・ルトコウスカ) – コンピュータセキュリティ研究者
Joanna Rutkowska は、私が講演を実際に聞いたことのある女性コンピュータセキュリティ研究者の 1 人で、彼女のチームが実施し、2006 年の Black Hat セキュリティカンファレンスで発表された、ハードウェアハイパーバイザルートキット「Blue Pill」に関する調査研究は、我々に大きな影響を与えることになりました(ここからプレゼンテーションを視聴できます)。私自身、今は管理職という立場ではありますが、高水準言語をいとも簡単に解読して機械語に置き換えることのできる、高度な技術を持つ研究者を誰よりも尊敬しています。ハードウェアハイパーバイザルートキットの開発には、独創性だけでなく、平均的なコード開発者では到達することができない、システムやカーネルレベルの技術的なスキルが必要とされます。Rutkowska はその年の Black Hat カンファレンスで、並外れた才能の持ち主であることを講演の参加者に示しました。彼女はその後、Qubes OS と呼ばれるコンテナ化されたセキュアオペレーティングシステム(OS)の開発に参加し、現在は Golem Network の CSO としてクラウドのセキュリティ強化を推進しています。
Parisa Tabriz(パリサ・タブリズ)– Google の「セキュリティプリンセス」
Parisa Tabriz は、Google の「セキュリティプリンセス」と自称し、Google 自らのセキュリティの侵入テストを担当するチームの運営だけでなく、Google のユーザや顧客、特に Chrome のセキュリティの責任者でもあります。Black Hat 2018 で彼女の基調講演を聞く機会がありましたが、セキュリティ業界においては過去の常識にとらわれることなく、デジタルセキュリティの戦争に勝利するための新しい方法を常に追求することが重要だと力説していました。
Eva Galperin(エヴァ・ガルペリン) – EFF のサイバーセキュリティ担当ディレクタ
私が長年にわたってファンである EFF(Electronic Freedom Foundation、電子フロンティア財団)は、すべての人のデジタルプライバシー、セキュリティ、インターネット理由の自由を求めて戦う非営利団体です。Eva Galperin は、EFF のサイバーセキュリティ担当ディレクタであり、世界のデジタルプライバシーと言論の自由の戦士と呼ぶべき人物です。彼女が推進してきた数多くの活動の 1 つである、EFF の Tor Relay Challenge と呼ばれるキャンペーンは、Tor リレーのセットアップと運営を多くの人に呼びかけ、個人のオンラインでのプライバシーを保護するツールとして利用しようというものでした。最近では Black Hat 2016 で Galperin(とそのチーム)が講演し、国家が背後で支援する攻撃やマルウェアについて解説しました。
Window Snyder(ウィンドウ・スナイダー) – Intel のプラットフォームセキュリティ部門の CSSO
Window Snyder は、Mozilla、Apple、Fastly といった米国を代表する大企業で活躍し、現在は、Intel のプラットフォームセキュリティ部門で CSO(最高セキュリティ責任者)を務めています。私は、Microsoft が真剣にセキュリティに取り組むようになった頃に彼女の存在を知りました。Microsoft は 2000 年代に、社内にセキュリティの文化を確立する目的で、Trustworthy Computing(信頼できるコンピューティング)と呼ばれる部門を立ち上げました。Snyder は 2006 年に、セキュリティ研究者と透明性の高い対話の手段として Blue Hat Security Conference を呼ばれる、Microsoft 主催の Black Hat のようなイベントを企画しました。Snyder はそれ以降も多くの大企業で製品のセキュリティ向上を主導し、外部のセキュリティ研究者を活用して製品を改善する取り組みを積極的に推進しました。
Amanda Rousseau(アマンダ・ルソー) – Facebook の攻撃的セキュリティ研究者
「MalwareUnicorn」というオンラインネームで知られる Amanda Rousseau は、FireEye や Endgame を始めとするマルウェア対策で名高い企業でマルウェアを研究してきた、マルウェアのリバースエンジニアであり、フォレンジックのエキスパートです。今日の高度なマルウェアのリバースエンジニアリングには、称賛に値するシステムレベルの深い知識が必要とされますが、彼女のこの分野での才能は群を抜いています。彼女のその優れた才能の一部は、おそらくは、国防総省で法医学審査官として働いた経歴の中で培われたものでしょう。最近では、Black Hat / DEF CON 2018 の講演での Xori に関する研究結果の発表が記憶に残る所です(Xori の詳細は、こちらを参照してください)。余談ではありますが、オンラインネーム「MalwareUnicorn」が示すように、彼女は、エラーコードにユニコーンを隠すことで知られています。マルウェア研究にとって完璧な、知性と悪戯心という組み合わせに感服するばかりです。
Ambareen Siraj – Women in CyberSecurity イニシアチブの創設者兼議長
最後にご紹介するのは、テネシー工科大学(TTU)コンピュータサイエンスの教授である Ambareen Siraj 博士です。Siraj 博士は、大きな注目を集めるとは言えないものの、情報セキュリティ分野で最も重要な仕事の 1 つである、サイバーセキュリティの次世代の女性の教育と指導のおいて極めて重要な役割を担っています。彼女は NSA/DHS 認定の TTU Cybersecurity Education, Research and Outreach Center のディレクタであり、サイバーセキュリティで働く女性の育成を目的とする非営利団体、Women in CyberSecurity Initiative(WiCyS)の設立者でもあります。残念ながら直接お目にかかったことはありませんが、私自身、彼女が我々の業界の将来にとって最も重要な仕事に取り組んでいることに心から感謝しています。
今回ご紹介したのは、私の個人的な経験から知り得た、極めて複雑なセキュリティの問題に取り組む数多くの女性リーダーのほんの一部に過ぎません。セキュリティ分野のリーダーは、性別、性的指向、人種、宗教などの多様性が最も重要なセキュリティ資産の 1 つであることを忘れてはなりません。それは多様な環境を形成することで、枠にとらわれない柔軟な思考が可能になり、複雑なセキュリティ問題の新しい解決策を見つけられるようになるからです。国際女性の日を記念し、ここでご紹介した 7 人に代表される、情報セキュリティの分野で働く数多くの女性たちに心より感謝の意を表します。