オピニオン 40年前、4人の若い英国人ハッカーが法律を変えることになる行動を起こした――当時の彼らはそれを知る由もなかった。ZX Spectrum、BBC Micro、Tatung Einsteinを使ったクロスプラットフォーム攻撃で、75ビット/秒のダイヤルアップモデム越しにBritish TelecomのPrestelサービスへ突撃したのだ。
それら家庭用コンピュータのCPUが消費する電力は合計しても10ワットに満たなかったが、それでも彼らは大きなトラブルに巻き込まれた。何日も法廷に通った末に判明したのは、実はハッキング関連の法律が何一つ破られていなかったということだ。破るべきハッキング法が存在しなかったのである。何か手を打たねばならない。
1990年、いくつかの紆余曲折を経て、ついに手が打たれた。コンピュータ不正使用法(Computer Misuse Act)が成立し、まさに間一髪だった。コンピュータにはお茶を温められそうなプロセッサが搭載され、モデムは9,600bpsで軽快に通信し、ティム・バーナーズ=リーはお茶を飲む人々にオンラインでやることを与えるため、ワールド・ワイド・ウェブを発明したばかりだった。CMAは、許可なくコンピュータ上のデータにアクセスしたり改変したりすることを犯罪とした。正当なサイバーセキュリティ研究者向けの免除規定はなかった。免除すべき研究者が当時はほとんどいなかったからだ。
しかしPrestelへのハックは、ストラスクライド大学のような先見の明ある英国の機関に、コンピュータセキュリティの学位課程を立ち上げさせるきっかけとなった。最初の卒業生たちは、すでにキャリアの初期段階をかなり進んでいた。バーナーズ=リーの怪物のような子どもが、目の前のあらゆるものをデータへと変えていくにつれ、サイバーセキュリティ研究者には研究する権利が必要だということが明らかになった。再び、何か手を打たねばならない。
残念ながら、ムーアの法則は現実の法律には適用されない。英国政府がようやく今になって必要な改正に着手するまでに、これだけの時間がかかった。過去25年でサイバー犯罪が数十億ドル規模の世界的産業になり、悪意ある外国勢力が産業界と国家にバイナリの弾痕を穿ち続けていること、そして善良な側に、悪い側がずっとやってきたことをさせるのは最悪のアイデアではないことに、ようやく気づいたのだ。英国の立法者に神のご加護を。
ただし問題が一つある。サイバーセキュリティ研究者が圧倒的に足りないのだ。すでに現場にいる人たちは、別の仕事で手一杯である。ホワイトハットが、自分で選んだツール・時間・手法を用いて稼働中のインフラをテストできるよう法律を変えることは絶対に必要だが、それだけでは絶対に足りない。倫理的ハッキングは国家的な執念――少なくとも、できるだけ早く肯定的なフィードバックが得られる入口を備えた、目立つ・地位の高い取り組み――にならなければならない。オープンソースのコードセキュリティにおける「多くの目」モデルは、稼働中のインフラにも適用されるべきだ。
これはCISOや最前線の防御担当者にとって悪夢の燃料に聞こえるかもしれない。何千人もの新たな攻撃者を奨励することは、歓迎しがたい追加負担だと合理的に考えられるからだ。しかし、米国憲法修正第2条が、よく組織された民兵の一部としての銃所有を認めているのと同様に、CMA改正で鍵となるのは「正当性」をどう定義するかである。確立したキャリアを持つ専門職なら、ベストプラクティス、倫理規範、同業者からの尊敬される評判が効いてくる。同様に、適切な正規教育の過程にいる人々も、きちんと振る舞えば問題はない。私たちには、さらに何千人も必要だ。
そのためには、適性がありそうな人すべてに倫理的ハッキングとは何かを伝え、教育と誘惑が適切に混ざったアクセスしやすい環境を提供し、それを責任ある形で利用することを、現実世界で身につけるバッジを得る条件にする必要がある。TryHackMeにGalaxyZooを混ぜたようなものだが、宇宙の実在の銀河をクラウドソースで観察する代わりに、インターネット上の実在の組織に対してそれを行う。そう、あなたには認証済みアカウントがある。そう、あなたの行動はログに残る。そう、侵入できたら報奨金が支払われる。学習者向けの運転免許だと思えばいい――誰でも取得でき、ルールを守れば正当な存在になれる。
Prestelのハッカーたちは、いたずら好きではあったが倫理的だった。見つけたことを報告しようとしても無視され、退けられたため、彼らは権力者が恥をかくほど見出しが騒ぐまで圧力を強め、行動を促した。素晴らしい対応ではなかったが、40年もあれば微調整を正しく行い、それを最大限に活かし始めるには十分だ。
これで一夜にしてスーパーハッカー集団が生まれるわけではないが、そのパイプラインを満たし始めることにはなる。ランサムウェアの請求書と比べるまでは安くないように聞こえるかもしれない。資金不足で評価もされにくいセキュリティチームにとって追加の仕事に聞こえるかもしれないが、あなたの門を叩く100人の善人は攻撃者ではない。彼らは、別の連中が先に侵入する確率を下げるためにいるのだ。さらに、そしておそらく最大の利点は、あらゆる役割の人々が、悪いセキュリティと良い倫理がどのようなものかを体験できるようになることだ。良いセキュリティを実現する場所として、今いる場所よりはるかに望ましい。
学校で、職場で、オンライン空間で、千のハッカークラブを咲かせよう。合法で、楽しくて、どこへでもつながり得るというメッセージでSNSを満たそう。銃や車と違って、うっかり誰かを直接殺してしまうことはない。ホワイトハットは黒いフーディーより賢い。広めよう。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/12/15/cma_update_opinion/
