情報セキュリティカンファレンスは、サイバーセキュリティの専門家による最新の研究結果の発表、人的ネットワークの構築、アイデアの交換、ハッキングや新しいツールのデモを見る機会を提供します。しかし、これだけ多くのカンファレンスが開催される中で、どのカンファレンスに参加するかを決めればよいのでしょうか? どうすれば、そこで得た経験を最大限に活かすことができるのでしょうか? また、時間とコストを掛ける価値があるのでしょうか?プレゼンターや主催者になるというのは、どのような感じでしょうか? サイバーセキュリティーサウナのエピソード 50では、北欧のセキュリティイベント「Disobey」の広報責任者であり、HelSec Associationの副会長でもあるNoora Hammar (ノーラ・ハマー)氏と、T2 infosec conferenceの創設者であるエフセキュアのTomi Tuominen (トミ・トゥオミネン) のお二人に話を伺いました。
まず、お二人の経歴や、情報セキュリティカンファレンスとの関わりについてお聞かせください。
Tomi: 私は長年、デモやハッキングの現場に携わってきたので、初めて情報セキュリティカンファレンスに参加できたときは、本当興奮しました。 ただ、当時のカンファレンスのほとんどがアメリカで開催されていたので、ヨーロッパでの開催を心待ちにしていました。
Black Hatカンファレンスが初めてヨーロッパで開催されたのは2000年ごろで、確かアムステルダムだったと思います。すぐに参加チケットを予約しました。私はフィンランド人の習性でアムステルダムのホテルに着いてすぐにバーに行きました。 そこには黒いTシャツを着た男性たちがいて、私はそのテーブルに行って、”一緒に飲んでもいいですか?”と聞いてみました。彼らは「もちろん」と言ってくれました。
そして朝の4時に、ThorあるいはHammer of Godと呼ばれる男性に会いました。彼は私に「明日は何を話すのですか?」と尋ねました。「私はただの聴衆ですよ」と答えると、「そうですか。クールですね。」と言われました。
その後、彼らの仲間として認められ、ベルリンで開催されていたPH-Neutralのような招待制のカンファレンスにも招待してもらいました。 そうやって関わるようになりました。
Noora Hammar, Tomi TuominenNoora: 私はえり好みするほうで、物理的なカンファレンスに出席するタイプではありません。ただ新しいトピックを知りたいのと、同僚に「これはお勧めですか?」と尋ねたいだけです。なぜなら、私はセールスピッチだけのカンファレンスは、私が望むものではありませんし、出席したいとは思いません。
ネットサーフィンにのめり込み、仲間にバーチャルで参加できるお勧めのカンファレンスを聞いて回っています。
物理的なイベントには全く行かないのですか?
Noora: コロナ前は参加していました。 私にとってのメインイベントはDisobeyです。ヘルシンキに住んでいるので会場が近いのです。それが最近参加しているカンファレンスです。
お勧めについて言えば、これらのイベントやカンファレンスは時として高い評価を得ていますが、時間の無駄だという意見もたまに耳にします。あなたにとって、優れたカンファレンスの条件とはどんなものでしょうか?
Noora: 専門分野を熟知している人たちは、自分の発見を発表することに情熱を持っており、実践的な具体例を提示してくれていると思います。その内容は大変興味深く、視聴者を励ましてくれるものです。
Tomi: 私はこの件に関しては、かなり強硬な意見を持っています。私がT2を設立した理由は、商用サービスと招待制イベントの違いに気付いたからです。
ベンダーが主催しているイベントに参加しても、実際には何の価値も提供してくれない、ひどい売り込みを目にするでしょうし、何も学べないかもしれません。 一方で、招待制のイベントでは、「Second Lifeというゲームをやっていて、それを使ってインターネットのポートスキャンをしました」という話題に出会えます。
この2つのイベントの違いは非常に大きいのです。だから後者のようなカンファレンスの設立を望みました。私は、優れたセキュリティカンファレンスとはどのようなものかについて、理想や強い想いを抱いています。
まず、独立性が大変重要だと思います。スポンサーがアジェンダに影響を与えたりすることなく、製品の売り込みもなく、発表者一人一人が自分のスキルに基づいて登壇します。 ほとんどのカンファレンスはそうではありません。大多数のカンファレンスでは、プラチナのスポンサーシップパッケージなどを購入して、基調講演の権利を獲得します。RSAカンファレンスでは、基調講演の協賛費用が50万ユーロなどと、とんでもないことになっています。視聴者のためにはなっていないと思います。
透明性も重要な要素です。自分のやり方に正直であるべきです。参加者リストを外部に販売してはいけません。これは私が2003年の初頭に学んだ一般的なことで、どんな種類のイベントに参加しても、それらの参加者リストはその後販売されるのが慣習になっています。誰も話題にしないけれど、まったくフェアではないと思います。
明らかに、コンテンツは王様です。質の高いコンテンツ、そして講演応募者の評価を含め複数の要素から成り立っていますので、少なくともイベントの前にプロセスをレビューする必要があります。リハーサルを実施しているカンファレンスがいくつかありますが、それらはいずれも素晴らしいものです。マイアミで開催されるINFILTRATEがそうです。彼らは非常に優れたリハーサルプロセスを実行しています。多くの労力が必要ですが、それに見合った効果があります。
そしてもちろん、すべてのイベントはコミュニティのためにあるべきです。人により受ける恩恵は異なるかもしれませんが、個人的には、インクルーシブな雰囲気を持った小規模なイベントが好みです。ネットワーキングはこの中で非常に重要な位置を占めます。なぜなら、それは基本的にコミュニティを作り上げて素晴らしい成果を生むからです。そこでの主催者の役割は、(実現を可能にする)イネーブラーとして行動することです。何とかして推進する責任があります。
そうですね。Nooraはこれらの考え方をどう思いますか?
Noora: 素晴らしいと思います。
最も一般的な問題は、このようなカンファレンスを主催する人々が、大衆や聴衆を過小評価していることです。もし初めてカンファレンスを開催し、約束していた議題の代わりに売り込みだけをしたら、次回に参加者を集めることは難しくなるでしょう。
したがって、人を惑わせてはいけません。売り込みではなく、イベントに参加することで本当にメリットが得られる実例を示すことです。そうでなければ、Tomiの言う通り、時間とお金の無駄使いです。
お二人とも、イベントに参加してクールなものを見るのが好きなのですね。では、ライブデモはどこでやっているのですか?人々はデモの効果はジョーク程度のものだと言いますが、デモがうまく出来ない時、視聴者は皆じっと座っているだけです。それでも実際にライブでやってみる価値があるのか、それとも事前に録画して置けば済むのではないでしょうか?ライブ中に録画を流すだけです。どう思いますか?
Tomi: 個人的には、ライブデモはひどいアイデアだと思います。生でやることに何の価値もないです。録画したものを見せれば良いのです。視聴者が「デモの神様に見放された」実演者を心配そうに見ている様子は嫌なものです。もはや時代遅れです。
Noora: それなら、HelSecのカンファレンスには参加しないほうが良いですね。私たちのミートアップには定期のデモがあるからです。コミュニティメンバーに望まれているからやっています。前回はPeeter Marvet氏にYARAのルールを教えていただきました。ライブデモもありました。いくつかの技術的な問題に遭遇しましたが、それもまた現実です。ライブデモでは、思うように動かないというリスクは常にあります。
そうですね。よく分かりませんが、ただ事前に正しく動作したものを録画しておき、プレゼンの中でそれを見せて話してくれれば、価値が下がることはないような気がします。
Tomi: HelSecのミーティングは、どちらかというとワークショップのようなものなので、その点では違いがあると思います。そのため、参加者は同時に自分のキーボードを使っていろいろ試しています。だから全く問題ないと思います。
この好例として、私が使っているRFIDやSDRなどの非常に複雑なものを使用すると、干渉を受けるリスクが高くなり、些細なことが原因で失敗します。
分かりました。カンファレンスを組織することについて、何が良いカンファレンスで、何が悪いカンファレンスなのか、という話をしてきました。参加者についてはどうですか? 参加するのにふさわしい理由と、そうでない理由は何ですか?
Noora: 私の考えでは、参加する理由は、同じ興味を持ち、同じような考えを持つ人たちと会い、もしかしたら途中で何人かの新しい人たちと知り合えることだと思っています。そして、カンファレンスにもよりますが、全体的な体験を共有することができます。私は雰囲気が好きなのですが、良い音楽やおいしい食べ物などがあると知っていれば、それも含めて全体的な体験になります。あとは、聞きに行きたい面白い話題があれば、それだけでプラスです。
Tomi: これは、何を求めているのかによって大きく変わると思います。キャリアパスの初期段階にある人にとっては、新しい事を学ぶために参加すると思います。そして、年を重ねるほど人とのネットワーク作りに興味を持つようになります。昔の顔が見たいし、新しい顔も見たいでしょう。
そしてもちろん、Grugqが立ち上げたSecurity Vacations Clubには常に正当な理由があります。ハワイなど非常に良い目的地を選んでいます。ロケーションが良いだけに、何があってもそこに行きますからね。
Noora: すると、カンファレンスは楽しい時間を過ごすための言い訳ですね。
Tomi: まさにそのとおりだと思います。
Noora: なるほど、わかりました。
私が求めているものは、期待なのかもしれません。ある種の期待を抱いてカンファレンスに行きます。期待を裏切られてしまうのは、どのような場合でしょうか?
Noora: 実際に参加して確認する前に、あれこれ思い浮かべるのはやめたほうがよいと思います。過度の期待はしないでください。参加する価値があるのか仲間に聞いてみましょう。背景を少し調べます。カンファレンスというものは、売り込みをする人たちがいて、彼らは宣伝や販売を望んでいます。だからこそ、「これは時間とお金を費やす価値がありますか?」と、周りに聞いてみる必要があります。
了解です。たとえば、今からカンファレンスに行くとします。期待値は設定しました。良いカンファレンス、悪いカンファレンスの記事も読みました。周りの人にも聞いてみました。さて、その他に考慮すべきことはありますか?特に今は、場所はそれほど大きな問題ではないでしょうが、良いカンファレンスを選ぶにはどうすればよいですか?
Tomi: まず、私の意見ですが、バーチャルカンファレンスなどというものは存在しないと思います。私は公然とこれらの美化されたウェビナーをからかっています。カンファレンスを楽しむためのすべてが欠けていると私は考えています。
しかし、注目すべきことは、最近では多くのカンファレンスが何かに特化しているということです。たとえば、フロリダ州マイアミのDave Aitel氏が運営するINFILTRATEは、純粋に攻撃的なテクニックだけを議題にしています。ヒープ悪用やメモリ破損脆弱性などです。それに興味が有るなら参加すればよいのです。
同じように、他のカンファレンスでも、防衛面などでフォレンジックやインシデント対応などを専門にしているイベントがあります。自分の興味に沿って行けば失望しない可能性は十分にあります。
個人的には、小規模なベントが好きです。たとえば、フィンランドには本当に素晴らしいイベントが1つあります。
そのイベントのことは知っていますよ。
Noora: 私にはわかりません。教えてください。
TomiはT2のことを指していると思いますよ。
Noora: なるほど、分かりました。(笑)
彼はその主催者ですからね。
Noora: そうでした。
それでは、Nooraは何が良いカンファレンスにするのだと思いますか?
Noora:ブランド化すること、仲間たちが話題にすること。そして私にとっては、そのカンファレンスに関する情報を探し始めることが受け入れるサインのようなものです。
現実的な話をすると、Tomiがリハーサルの話をしていたのは、マイアミでのカンファレンスのことでしたか?物理的なカンファレンスやイベントの話であれば、リハーサルはカンファレンスを成功させるための重要な要素だと思います。
そして、もちろん信頼できる人がいて、役割が明確になっている必要があります。誰もが自分の責任領域を持っていて、成功するために最善を尽くします。
そして当然、基本的には信頼している人たちと力を合わせて役割を分担して、技術的なことはすべてチェックして、施設を事前に予約します。すべてがあるべき姿であることを確認し、ダブルチェックすることで、誰もが楽しむことができるようにします。何か問題があったり、何かがうまくいかなかったりするのは、事前にチェックしていないからです。しっかりチェックしていれば、本番中に問題を発見するようなことはありません。
ダブルチェック、トリプルチェックすることです。参加者が支払った金額に見合った価値を手に入れることができるように、すべてがうまくいくようにしてください。
了解しました。これでやるべきことを終えてカンファレンスに臨むことができます。それでは、参加者がカンファレンスを最大限に活用するにはどうすればよいですか?
Tomi: 個人的には、廊下に出て人と話すことをお勧めします。他では得られない、とても貴重な体験になります。物理的なイベントにはさまざまな集まりや説明会などがあるはずです。同じような考えを持っている人や、興味を持っている人と知り合うには最適な場所です。
わかりました。
Noora: またアフターパーティーでは、人とさらに知り合うことができます。それも楽しみのひとつです。人のネットワークをもっと深くするには良い方法です
そうですね。こういうイベントでは、変な話題で盛り上がっても許されると思います。誰かに「メモリフォレンジックはどうですか?」と聞いてみます。すると相手はその知識があり話し合いたいと思うか、そうでないかのどちらかです。もし、それが専門分野だとしたら…
Tomi: まあ、個人的にはその話題は全く変だとは思いませんが…
(笑)ええ、そうでしょうね。Tomiは、交流ができ親密になれる点で、小さなカンファレンスやイベントの方が好きだとおっしゃっていました。大規模で有名なカンファレンスに参加するメリットはありますか?それとも小規模なハッカソンやミートアップなどに時間を費やすべきなのでしょうか?
Tomi: これについては、考え方が異なるかもしれません。イベントが大きいほど、一方通行になりがちです。ステージ上で講演している人がいて、皆その情報を吸収しているだけです。
大規模イベントのメリットは、カンファレンスビジネス全体の規模が非常に大きくなることです。参加者が多ければ多いほど収益も増えます。その分野の専門家たちを招聘できる資金があるということなので、非常に優れたプレゼンテーションに出会うことにつながるかもしれません。また、小さなイベントでは、ロックスターが登場することはないでしょう
イベントによりますが。あなたがBlack HatやDEF CONなどのビッグイベントで基調講演をしてきたことに対しては、今でも称賛されているようですね。
それを考えると、より良い話し合いができるようになったり、非常に優れた研究に接することができるのは、大きなイベントであって、小さなイベントではありません。その意味では、大きなイベントは影響力も大きいのではないでしょうか?
Tomi: 以前は、本当に専門的な情報はすべてUSENIXかBlack Hatで発表されていましたが、最近は少し変わってきています。参加者の多くは、先ほど説明した理由から、小規模なカンファレンスを好むようになっています。
なるほど。それでは主催者の立場に戻りましょう。Noora、あなたはすでにイベントを成功させるためのアドバイスをしてくれましたが、対面でのイベントと、バーチャルなイベントではアドバイスも異なりますか?
Noora: 当然ながら、それは全く異なります。バーチャルイベントでは実際に施設を予約したり、現実的な作業をする必要が無くなるからです。アジェンダを設定し、講演者を招待し、準備を整え、技術面でのダブルチェックをします。次に、リンクをアクティブにして開催日程を公表し、バーチャルカンファレンス全体が正常に実行されることを確認します。バックグラウンドに誰かアサインされている必要があります。すべてが適切に機能することを確認してから、議題に沿って進行させます。対面とはかなり違いますし、かなり楽です。
わかりました。Tomi、イベントの主催者に何かアドバイスはありますか?
Tomi: そうですね。最初のアドバイスは、仕事をしないことです。要するに仕事が多すぎますから。
本当ですか?(笑)
Tomi: (笑)はい、誰かがやってくれるのを待ちましょう。
なかなか意味が深いでしょう。結局、それが一番重要なのです。
壊れたレコードのように繰り返しますが、インクルーシブな雰囲気が重要だと思います。初心者向けのイベントであっても、より上級者向けのイベントであっても、インクルーシブな雰囲気が必要なのです。そうでなければ成功しません。
だから小規模なイベントを目指して始めたのですね?参加者を制限しましたね。
Tomi: そうです。99人までに絞りました。
そうでした。毎年初日は、誰も来なかったらどうしようと心配しませんでしたか?
Tomi: 実を言うと、私は20年近くも運営しているのですが、いまだに毎年それが怖いのです。
でも、ずっと前から入場券は完売していましたよね。
Tomi: ええ、それはそうですが、私は情熱を持ってやっていますので。
もちろん。
Tomi: あまりにも熱中して何かをしていると、自分が何をしているのか見えなくなってしまうのです。常にそのような恐怖感があります。「自分のやっていることは正しいのか?」。
幸運にも優秀な仲間たちが大勢います。アドバイザリーボードにはMikko (Hypponen)とHenriがいますし、他にも貴重な貢献をしている優秀な人たちがそろっています。それでもエコーチェンバー現象(特定の信念が増幅されてしまう状況)は起こります。私たちが「これが気に入った」と考えても、必ずしも聴衆や参加者がそれを好むとは限りません。
そうは言っても、私が恐怖を感じなくなったら辞め時だと思います。新鮮さが失われた証拠ですから。
そうですか。Noora、DisobeyとHelSecについては如何ですか?
Noora: Disobeyについては、高額すぎるチケットを売っているのではないか?
人々を惹きつけているのか?参加すべきイベントとしての地位を保っているのか?と自問自答しています。参加者を甘く見てはいけないので、すべてが当たり前だとは思わないという考えが根底にあります。
そのため、「これは人々が興味をそそるものか?」と考えることも重要であり健全なことだと思います。そして、古い考え方にとらわれず、自分たちにとってベストなことをします。人の興味を惹き続けるためには、さまざまな領域をカバーしなければなりません。人によって興味のある分野は異なるからです。
わかりました。理由はどうであれ、自分の仕事の成果をカンファレンスで発表することを望んでいる人につてはどうでしょうか?プレゼンテーションの準備に対して何かアドバイスはありますか?講演者に選ばれるにはどうすればよいですか?
Noora: あえて厚かましくなることです。知り合いでイベントに関わっている人がいたら、すぐに連絡しましょう。私こそ変人かもしれませんが、自分で限界は設けていません。境界線もありません。「ちょっと、これを手伝ってくれませんか?」と尋ねるだけでよいのです。なぜなら、最終的には皆同じ人間で、お互いに助け合いたいと思っているからです。そう信じたいですね。
足を運んで姿を見せてください。そうでなければ、あなたの存在すら分かりません。外に出て姿を見せなければ、存在していないのと同じです。講演に組み込むことができる何かがあれば、それだけで良いのです。
Tomi: 声を大にして言うと非難ごうごうかもしれませんが、ほとんどの講演者応募用紙の記入内容はひどいものです。基本的に2つのタイプに分かれます。1つは、広告代理店が書いたもので、第三者が略歴を書いているので必ず見破ることができます。もう1つは、「私はこのXSS攻撃を発見しました。とても重要ですから採用してください」などという内容です。
そのエントリーの質の高さは本当に際立っているように思います。それほど難しいことではありません。T2にはアドバイザリーボードがあり、多様な意見が交わされます。アドバイザリーボードの各メンバーが、すべての講演者応募用紙に目を通したうえで、選んだ候補者に投票しています。
私が誰にでもするアドバイスの1つは、以前自分が行った講演へのリンクを応募用紙に書き込むことです。YouTubeの動画でもよいですし、鏡に向かって話しているだけでも問題ありません。自宅の部屋でもしっかりと話ができることを確認する必要があるのです。たとえ最高に素晴らしい人でも、話を伝えることが出来なければ、参加者全員に苦痛を与えるだけです。
そのとおりですね。
Tomi: そしてもちろんコンテンツ次第です。プレゼンテーションの内容が伝わるタイトルを付けます。たとえば、Aleph Oneの講演では、「for fun and profit(楽しみと利益のために)」というタイトルだけ使用することが許されています。それに興味を持たない人は、聞きに来ないでくださいということです。
その講演内容が重要である理由を説明してください。自明のこととは限らないので、独自性がある理由を説明する必要があります。さらに、プレゼンテーションのドラフト版、または少なくともアウトラインを含めることをお勧めします。
アドバイザリーボードのメンバーは、全ての書類に目を通してから投票するとのことでしたね。投票で選ばれたものに対して、どのくらいの割合で賛成または反対していますか?
Tomi: 99%が賛成しています。私と仲間たちは皆、かなり古くからこの仕事に携わっています。ほとんどのカンファレンスに参加してきました。私たちはイベントの現場を熟知しており、優れた講演がどのようなものかについてはしっかりと理解しています。
それでも時には、「私の講演は素晴らしいものなのに、なぜ選ばれなかったのか。」と怒られることもあります。しかし私たちは、大局的に見ないといけませんからね。iOSの脆弱性に関する講演を10本並べることはできません。それは無意味です。
私たちは、さまざまなニーズに応える必要があります。モバイル、SDR、攻撃、エクスプロイト、ヒープなどに関する話など、テーマはいくらでもあります。同じような話を何度も繰り返すのは、まったく意味がありません。
わかりました。うまく選ばれて、今イベントでステージに立つ準備をしている講演者にはどのようなアドバイスをしますか?
Tomi: そのトピックについての完全なワークショップを実施すると良いでしょう。
Noora: そうすべきですね。必然性があるからステージに立っているわけです。数ある候補者から選ばれたのです。選ばれたのには理由が有るはずです。自分を信じ、その情熱を視聴者と共有してください。
本番前にやるべき唯一のことはリハーサルです。自信を持ってプレゼンできるようになります。
そうですね。リハーサル以外に、Tomiが最も重要だと思うアドバイスをお願いします。
Tomi: いくつかあります。最初に、自分のトピックを忘れないでください。当たり障りのないことばかり話して、自分がステージにいる理由を忘れている人をよく見かけます。
次に、プレゼンテーションスライドを構成します。トピックに沿ってスライドを構成して有意義なものにします。フィンランドのZarkus Poussa氏は「すべてのものには、始まり、中盤、そして終わりがある」といつも言っています。これも良いアドバイスです。
デモや事例を活用しましょう。私たちは皆、面白い話が大好きです。デモや何でも見たいと思っています。最初の50分間は自分がどれだけ素晴らしいかを話し、最後の5分間で「おや、デモの時間がなくなってしまいました。」と言うような典型的な間違いを犯してはいけません。誰もがデモを見たくて参加したのですから。そのようなスピーカーになってはいけません。
タイムスケジュールを守りましょう。20分間与えられたら、正確に20分で収まるまで、何度もリハーサルを繰り返します。
そして、最後に大変重要なことがあります。スライドには十分な大きさのフォントサイズを使用してください。つまり、xtermのフォントサイズが小さいと画面上では美しく見えるかもしれませんが、視聴者にとっては全く美しくありません。
Noora: そのとおりです。それから、Q&Aセッションも大切です。時間があって、議題に予定されている場合は、質疑応答ができるようにします。期待していた内容が話されなかった場合は、質問が出ることが予想されます。
キャリアアップの観点から考えると、セキュリティの専門家がカンファレンスで講演する機会を得ることは、どの程度重要なのでしょうか?
Tomi:イベントで講演していないからといって、研究者やコンサルタントとして劣っているわけではありません。
そうは言っても、講演するためには、実際に人に説明できるような形で自分の思考を再構築する必要があるので、自己啓発の手助けになると思います。かつて、コード内のバグを見つけるためにゴム製のアヒルに向かってコードを説明するラバーダックデバッグという手法がありました。それと同じようなことです。
自分のアイデアを他人に説明する必要が生じたら、すぐにそれができるように構成を考えましょう。少なくとも個人的には、それが私を成長させてくれたと思っています。
しかし、今はパンデミックの最中で、物理的なイベントに参加することはできません。Tomi、あなたはすでにバーチャルイベントに対して、多少の批判をしていますね。今は何をすべきでしょうか?
Tomi: ただ待つだけです。
本当に?
Noora: 私にとっては、世界は常に前進していくので、それに合わせていくしかないという感じです。一生懸命にやって、さらに魅力のあるイベントにしていくべきだと思っています。誰かがHelSecで質の高い講演をしていると聞いたら、もちろん参加したいと思います。
バーチャルは明らか理想的な出会い方とは言えません。バーチャルでは誰にも直に会うことは叶いません。ネットワークカードなどの先にいる人とチャットしているだけです。それでも適応しなければなりません。再びお互いが物理的な空間で会えるようになるまでは、バーチャルでも最大限に活用すべきです。
それはどのようにするのですか?今の多くのバーチャルイベントは、物理的なイベントをバーチャル空間に移したものです。つまり安物のカメラで撮影してそのままネットにアップしたようなものだと思っています。バーチャルイベントは、全く別の種類のメディアとして扱うべきではないでしょうか?たとえば、アニメーションなどを付加するのです。物理的なプレゼンテーションとは異なるアプローチはどうでしょう?
Noora: アプローチ次第です。私にとっては、うまく機能しているプラットフォームを理解し、信頼していて、それが自分の活動をサポートしてくれればよいです。それによってミートアップなどをバーチャルに開催したり、プレゼンテーションができれば構いません。やってみてください。難しいことをする必要はありません。高品質で優れた可視性があればシンプルのままが良いのです。
なるほど。お二人は、長期的に見てパンデミックがセキュリティカンファレンスを変えると思いますか?リモートカンファレンスはさらに増えるでしょうか?仮に物理的なカンファレンスに戻ったとしても、リモートからの参加者を対象にしたカンファレンスが増えていくのでしょうか?
Tomi: PCR検査がすぐにできるようになってワクチン接種が進めば、人々はイベント会場に戻って来ると思います。私が話をしてきた人は皆、物理的なイベントを待ち望んでいます。
Noora: 私もそう思います。仕事が終わって椅子に座って仮想的に参加するのとは別物です。まったく異なるエネルギー、全く異なる体験です。Tomiに同感です。
これまでのカンファレンスの中で、皆様と共有したい特別な瞬間やエピソードはありましたか?
Tomi: 2018年にさかのぼりますが、Timo (Hirvonen)と私はGhost in the Locksのワールドツアーを主催していて、シンガポールでHack in the Boxに参加しました。会場に入った時には、ほとんど王室の来賓のような扱いを受けたので、「いったい何が起こっているのか?」という感じでした。対応してくれた人達はイベントのスポンサーで、私たちのスピーチのおかげで、Proxmarkの売上が急上昇したことをとても喜んでいました。売上が1400%アップしたそうです。
Noora: 何ですかそれは?まともではないですね。
Tomi: はい、全くばかげています。そのようなことで特別待遇を受けたのです。そこにいた誰もが私たちのことを知っているようで、大変気まずい思いをしました。
それでも、Proxmarkを実際に設計して開発した人たちに会うことができました。
その点は素晴らしかったですね。
Tomi: そうです。
あなた方が主催するカンファレンス以外で、最も役に立った、あるいは最も価値があると感じたカンファレンスはどれですか?
Tomi: 私はいくつかの招待制のイベントに行っていますが、一般の人は参加できません。誰でも参加できるものの中で、一番好きなのはTROOPERSです。
Troopersは私が好む講演がたくさん詰まっています。全体的に、非常にインクルーシブな雰囲気が漂っています。コミュニティによって運営されていて、本当に良いスピーカーが揃っています。コンテンツが多いので、マルチトラックになっています。個人的にはマルチトラックが好きです。主催者が非常にニッチなトピックを選ぶことができるからです。Androidのヒープマッサージのように、誰もが興味を持つわけではない、目立たないトピックです。
アフターパーティーや夕食会など、非常に組織だって運営されています。とても気楽に参加出来ますので、ぜひお勧めします。
Noora、それではHelSecのような小規模で親密なイベントはどうですか? 自分がHelSecに参加するのに相応しいかどうか、どうやって判断すれば良いのでしょうか?
Noora: とにかく誰でも参加できます。決して無視されることはないので、恐れることはありません。私たちは皆様が情報セキュリティに関わることを望んでいるのですから。たとえば、情報セキュリティやサイバーセキュリティの分野でのキャリアを検討しているのであれば大歓迎です。
情報や知識を共有できますので、プレゼンテーションの内容に興味のある人は、気軽に参加してください。誰も排除したくないし、そういう活力を削ぎたくないので敷居は非常に低くしておきたいのです。物事を知る良いきっかけになります。カンファレンスに参加するだけでよいのです。質問する準備ができていなければ、何も聞く必要はありません。講演内容が理解できなくても、ストレスを感じないでください。後からいつでもGoogleで調べられます。
まずは参加して、様子を見て何が話題になっているかを確認します。カンファレンスの議題やテーマ、スピーカーは変わっていきますので、今後もミートアップなどに参加しては如何でしょう。
本日は、いろいろとアドバイスを頂きました。ご参加くださりありがとうございました。
Noora: ありがとうございました。
Tomi: お招きいただきありがとうございました。
カテゴリ