ジェン・エリス:サイバーコミュニティと政治機構をつなぐ架け橋

数々の実績を積んできたキャリアには、一つの出来事がそのすべての転機となる瞬間があります。ジェン・エリスにとって、その瞬間は10年以上前に訪れました。

きっかけは彼女自身に起きた出来事ではありませんでした。優れたセキュリティ研究を行っていた親友のHD・ムーア氏が経験した苦難を目の当たりにしたことが発端でした。当時エリス氏は、Metasploitの生みの親であるムーア氏と協働し、セキュリティ企業Rapid7とその成長を続ける研究部門の広報を担当していました。ムーア氏とそのチームが技術的な調査を進める一方、エリス氏は幅広いコミュニティと関わり、その研究がなぜ重要なのかを世に伝える役割を担っていたのです。

物事は順調に進んでいましたが、米司法省(DoJ)からの法的な脅しによって、ムーア氏の歩みは頓挫してしまいます。2013年、ムーア氏は法廷という試練にさらされました。Rapid7のProject Sonarへと発展することになるインターネット全域を対象としたスキャンの取り組み、Critical.ioを通じて行っていた正当なセキュリティ研究を理由に、起訴される可能性を突きつけられたのです。

最終的にムーア氏の容疑は晴れましたが、傷は残りました。3か月に及ぶ重圧の末、彼はセキュリティ研究を続けるべきかどうかさえ疑うようになっていました。エリス氏はこれに激怒しました。

「本当に、本当に腹が立ちました。HDに対してではありません。彼の気持ちは十分に理解できましたから。でも、私たちがあらゆる要件を満たして『これは正当な、善意に基づく研究だ』と示していたのに、そうならなかったことに怒りを覚えたのです」と彼女は語ります。

彼女はコンピュータ詐欺・濫用防止法(CFAA)やデジタルミレニアム著作権法(DMCA)、各州法などを徹底的に調べました。そこで目にしたものは、彼女の気に入るものではありませんでした。法律・司法の枠組みが、ムーア氏のような善良な研究者たちに不利に働いていたのです。起訴は相次ぎ、研究者たちが情報開示によって助けようとしていた企業側からの訴訟も後を絶ちませんでした。

「あちこちで研究者たちが企業から脅されていることを知り、本当に憤りを感じました」と彼女は言います。「何かをしなければならないと決意したのです」

広報のプロから政策のキーパーソンへ

こうした強い思いと使命感に突き動かされ、彼女はRapid7の当時のCEOであるコーリー・トーマス氏のオフィスに乗り込み、大胆とも言える要望を伝えました。

「法律を変えたいんです」と彼女はトーマス氏に告げました。政策分野での経験が皆無だったこともあり、反対されるだろうと覚悟していたといいます。

ところが、トーマス氏は「やってみればいい」と答えました。

「彼の顔を見て『正気ですか?』と思ったのを覚えています」とエリス氏は振り返ります。「『私は政策の専門家でもないし、弁護士でもありません。これはあまりにも無謀な話に思えます』と伝えました」

トーマス氏はシンプルな問いを返してきました。「でも、それは正しいことなのか?」

彼女が「はい」と答えると、トーマス氏はあらためてゴーサインを出しました。当時、彼はこう付け加えたそうです。おそらく彼女の業務時間の5%程度で済むだろう、と。

「実際には5%どころではありませんでした」とエリス氏は笑います。

いわば副業的に始まったこの取り組みは、やがてエリス氏のキャリアを決定づける使命へと発展していきます。彼女は議会で証言し、司法省との予想外のパートナーシップを築き、最終的には米国政府によるセキュリティ研究者への対応のあり方を形作る一助となりました。謙虚な英国人らしく、自らの職業的な影響力については控えめに語る彼女ですが、その功績は英国王室からも直々に高く評価されるほどのものでした。この夏、エリス氏はサイバーセキュリティ政策への貢献を称えられ、大英帝国勲章(MBE)を授与されています。

そして、いかにも彼女らしく、そのLinkedInでの発表にはこんな一言が添えられていました。「アメリカの友人たちへ。あなたたちの疑問に答えると、はい、これからは私を見かけたら必ずお辞儀をする必要があります。誰がなんと言おうと信じないでくださいね」

これこそが、サイバーセキュリティコミュニティにとってのエリス氏の姿を端的に表しています。誰よりも軽妙な冗談を交わしながら、同時にサイバー犯罪者を阻止し、善良なハッカーたちが不当に巻き込まれないよう守るという真剣な仕事に取り組む人物なのです。

司法省との会合が生んだ突破口

2014年、エリス氏は最初の大きな転機を迎えます。司法省のコンピュータ犯罪・知的財産課(CCIPS)と接触したのです。

「丁重に、それとなく追い返されるだろうと思っていました」と彼女は打ち明けます。「でも実際には、こう言われたのです。『おっしゃることは十分理解しています。私たちにとっても懸念事項です。セキュリティを支えるために正しいことをしたいと考えています。どうすればお手伝いできますか?』と」

その日出会った人物の一人が、当時CCIPSのトップを務めていたレナード・ベイリー氏でした。彼はその後数年にわたり、重要な協力者となっていきます。エリス氏がベイリー氏をBlack Hatに招き、セキュリティ研究者たちと引き合わせようとした際、最初の反応は予想通りでした。「司法省はラスベガスで開催されるイベントには参加しません」

それから1か月後、ベイリー氏から電話がかかってきました。

「あのお誘い、まだ有効ですか?」と彼は尋ねました。

Black Hatの会場で、エリス氏はダン・カミンスキー氏を含む二十数名のセキュリティ研究者を集め、ベイリー氏との面会を実現させました。研究者たちへの指示は、敬意を持ちつつも率直に話すこと。彼女は何も取り繕ってほしくないと考えていた一方で、ベイリー氏が敵ではないことを理解してほしいとも頼みました。何しろ、彼はわざわざ時間を割いて彼らの話を聞きに来てくれたのですから。

当時、研究者たちの協力を取り付けたこと自体が並外れた偉業だったと、ベイリー氏は振り返ります。それはちょうど、学術論文の不正ダウンロードを理由にCFAA違反で訴追されたアーロン・シュワルツ氏の死からわずか1年後のことでした。多くのサイバーセキュリティ関係者は、この訴追を不当だと感じていました。当時はハクティビズムが最も高まっていた時期で、セキュリティ研究者と連邦当局との間には、普段以上の遺恨がくすぶっていました。

そのような逆風の中でも全員をまとめ上げられるだけの信頼と実績を、エリス氏がすでに築いていたこと自体が、彼女の特別さを物語っているとベイリー氏は言います。

「非常に張り詰めた時期でした」と彼は語ります。「そんな中で彼女が人々をまとめ、『この人と敬意を持って話し合いましょう』と言えたことは、驚くべきことでした。彼女がいなければ、あの会合も、そこから生まれた成果も、決して実現しなかったでしょう」

会合は1時間ほど緊迫したやり取りが続きましたが、やがて空気が変わっていきました。

「私たちは、本当に共通していた思いへと話を移していきました」とベイリー氏は振り返ります。「人々を守り、ネットワークを守り、被害者を守りたいという思い、そして、それこそがホワイトハットハッカーのやっていることなのだと理解する、そういう思いです」

「めちゃくちゃな2週間」

2015年7月、エリス氏が「めちゃくちゃな2週間」と呼ぶ出来事は、ベイリー氏との転機を経た後の彼女の歩みの初期を象徴しています。その夏、彼女は複数の戦線でロビー活動を展開していました。DMCAの3年ごとの見直しプロセスをセキュリティ研究者に有利な適用除外へと導けるよう、司法省の担当者とセキュリティコミュニティのメンバーをつなぐ活動を進める一方で、当時ただでさえ厳しかったCFAAの下でセキュリティ研究者の状況をさらに悪化させかねない、サイバー犯罪法案の提出にも反対の声を上げていました。

この慌ただしい期間の1週目、彼女はあるサイバー犯罪法案について議会で証言しました。証人の中で唯一、「全面的に賛成」ではない立場を表明した人物でした。証言の最後に、ホワイトハウス上院議員とグラム上院議員は、セキュリティコミュニティと協力して改革に取り組む用意があると彼女に伝えました。議会関係者が研究者保護という観点からCFAAに関与する意思を示したのは、これが初めてのことでした。2週目には、Rapid7が株式公開を果たしました。エリス氏はNASDAQの開場ベルを鳴らすチームの一員でした。

「プライベートジェットでボストンに戻りました」と彼女は言います。「シャンパングラス片手に座りながら、『さあ、これで頂点を極めたわ。もう終わりでいい。二度とこれ以上のことはないでしょうね』と思ったのを覚えています」

インポスター症候群に惑わされてはいけない

エリス氏にとって最初の大きな節目は2016年に訪れました。ベイリー氏との取り組みが実を結び、連邦検察官がCFAAに基づく起訴を行う前にCCIPSと協議することを義務付ける方針が定められたのです。その後も彼女や電子フロンティア財団、I Am The Calvaryなどの人々による長年の取り組みが続き、最終的に2022年、司法省は善意で活動するセキュリティ研究者の訴追を思いとどまらせる画期的な指針を打ち出すに至りました。

エリス氏はあまりにも謙虚で、これらの変化を自らの功績だと言うことはありません。それでも、彼女はこう語ります。優秀な人々であふれるセキュリティコミュニティのために、その声を届ける役割を担えたことを光栄に思っている、と。

「私はコミュニティが生み出した一つの産物にすぎません」とエリス氏は語ります。「コミュニティが可能にしてくれることしか、私にはできないのです。私はコミュニティの声を届けるための舞台を用意するためにここにいますし、コミュニティが自分の声を上げられない、あるいは上げたくないときには、代わりにそのメッセージを前に進めるためにここにいるのです」

[gayle:

政策の世界へと進んできたエリス氏ですが、その自虐的なユーモアと目的意識を失うことは一度もありませんでした。彼女は最近、きちんとした軍服とメダルを身につけた高位の将軍たちが行き交うある会議に居合わせたときのことを語り、笑いながらこう問いかけたと言います。「私がクレヨンを食べるような子供だったこと、彼らは知っているのかしら?」

「おかしな話だと思うんです。テーブルの周りを見渡して『私は本当は子供用のお絵かきテーブルにいるべきなんじゃないか』と思う自分がいます。でも同時に、別の自分がこう問いかけてくるんです。『どうしてまだこんな話をしているの?なぜまだ行動に移していないの?』と。そして私は割って入って『これをやるべきです』と言うんです」と彼女は語ります。「もちろん、そうすると周りからは『あの、やたら偉そうで自分の意見を押し通す女性は一体何者だ?』という目で見られます。そんなとき、私はあのクレヨンのことを思い出すんです」

]

とはいえ、エリス氏と共に仕事をしてきた人々の評価は、かなり明確です。彼らは、彼女がその影響力ある立場にふさわしいだけの実績を積んできたと口をそろえます。

「彼女は恐ろしく頭が切れます」と語るのは、その後司法省を退官し、現在はジョージタウン大学で教鞭を執るベイリー氏です。「彼女は独立した思考の持ち主で、クリエイティブで、リアリストであり、プラグマティストでもあります。そして、彼女はいつだって労を惜しまず取り組んできました」

NCCグループの政府渉外責任者を務めるカタリーナ・ソマー氏は、エリス氏のMBE受勲を推薦した人物の一人です。彼女が初めてエリス氏と出会ったのは2018年のCYBERUKでのことで、二人ともセキュリティ研究者の法的保護に取り組んでいると知った人物から引き合わされたのがきっかけでした。

ソマー氏がエリス氏について常に感銘を受けてきたのは、彼女がセキュリティ研究者たちに発言の場を与えているという点です。彼らは政府の政策の影響を受ける立場にありながら、日々の研究に没頭するあまり、あるいは物怖じしてしまう、あるいは政治の仕組みから縁遠すぎるために、自分たちの意見をどう届ければよいのか分からずにいる人々です。

「彼女には、他の人たちを引き立て、聡明で特別な存在だと感じさせ、世界に立ち向かえるという気持ちにさせる、不思議な才能があります」とソマー氏は言います。「彼女は人と人との間に機会やつながりを生み出します。ジェンを通じて、あるいはジェンに紹介されて出会った素晴らしい人たちは、数え切れないほどです」

ソマー氏は、自らを誇示するためではなく物事に取り組んできた人物に、MBE受勲という形で評価が与えられたことを喜んでいます。

「ジェンは多くのことを、称賛を得られるからという理由でやっているわけではありません。それが正しいことだと信じているからやっているのです」とソマー氏は語ります。「だからこそ、彼女にふさわしい評価は、誰か他の人が与える必要があったのです」

現在取り組んでいること

パンデミック期に家族と過ごすため英国に戻ったエリス氏は、その後Rapid7を離れ、NextJenSecurityを設立しました。活動の軸を、世界的な舞台や英国・EUにおける政策への働きかけへと移していったのです。長年、米国の研究者たちを本国の政策立案者たちに引き合わせる活動を続けてきた彼女に対し、いつしかこんな冗談が定番になっていました。英国人であるあなた自身は、自国の議員たちと会ってみたいのではないか、と。

その冗談は現実のものとなり、彼女はそれ以来、確かな人脈を築き上げてきました。エリス氏は英国内閣府のGovernment Cyber Advisory Boardのメンバーを務めるほか、Royal United Services Instituteのフェローでもあります。また、Institute for SecurityやCenter for Cybersecurity Policy and Lawといったシンクタンクや業界団体、さらにはRapid7 Cybersecurity Foundationでの活動を通じて、米国の同僚たちとのつながりも保ち続けています。

トーマス氏のオフィスでのあの原点となる瞬間から10年が経ち、彼女の活動はマーケティングや広報の枠をはるかに超えて広がっています。彼女によれば、自身のコンサルティング業務はおおむね3つの柱に集約されるといいます。政策の立案と働きかけ、コミュニティとの関わり、そしてコミュニケーション戦略です。これらはすべて、同じ一つの目標に向けたものです。

「私にとって政策とは、目的そのものではなく、目的を達成するための手段です」と彼女は語ります。「私たちが本当に目指しているのは、リスクを大規模に減らすことなのです」

翻訳元: https://www.darkreading.com/cybersecurity-operations/jen-ellis-connecting-cyber-community-political-machinery

ソース: darkreading.com