Security Communities and Events: IETF, OWASP, DEF CON, Black Hat, CCC (セキュリティコミュニティとイベント)
IETF の標準化、 OWASP Top 10 2025、 DEF CON 33(2025-08)・ Black Hat USA 2025、欧州発 CCC など、セキュリティ文化を牽引するコミュニティ・イベントの役割・特徴・最新動向を俯瞰する。
article technology ja IETF の標準化、 OWASP Top 10 2025、 DEF CON 33(2025-08)・ Black Hat USA 2025、欧州発 CCC など、セキュリティ文化を牽引するコミュニティ・イベントの役割・特徴・最新動向を俯瞰する。セキュリティコミュニティとイベント
サイバーセキュリティの標準・文化・規範は、政府機関ではなく研究者・ハッカー・エンジニアが集うコミュニティやカンファレンスを通じて形成されてきた。 IETF が「 rough consensus and running code 」でインターネット標準を作り、 OWASP が Web アプリセキュリティの共通言語を提供し、 DEF CON・ Black Hat・ CCC が攻撃研究の知識共有と人材育成を担う。各コミュニティの起源・構造・最新動向を把握することは、セキュリティの現在地を理解するうえで不可欠である。情報カットオフ ~2025-08、confidence: medium 固定。
IETF / RFC:インターネット標準のオープンなプロセス
IETF(Internet Engineering Task Force) は 1986 年に発足したオープンな標準化団体で、 TLS・ HTTP・ DNS・ IPsec・ SSH など、インターネットセキュリティの根幹をなすプロトコルの大部分を RFC( Request for Comments )として策定してきた。
特徴的な意思決定原則は「rough consensus and running code」(おおよその合意と動作する実装)。投票ではなく議論と実装の積み重ねで標準が決まる。 Working Group( WG )ごとに専門領域を分担し、セキュリティ分野は SEC WGs( TLS WG・ QUIC WG・ OAUTH WG など)が主担当となる。
主要な成果物:
- TLS 1.3( RFC 8446、2018 年):ハンドシェイクの高速化・前方秘匿性の強制・脆弱な暗号スイート廃止。
- QUIC( RFC 9000、2021 年):UDP 上の TLS 1.3 内包プロトコル。 HTTP/3 の基盤。
- ACME( RFC 8555、2019 年):証明書自動更新プロトコル。 Let’s Encrypt の技術基盤。
IETF は特定企業・政府から独立しており、誰でも参加・提案できる。これが Cypherpunk の「オープンな暗号」思想と親和性が高い理由でもある。
OWASP:Web アプリセキュリティの共通言語
OWASP(Open Worldwide Application Security Project) は 2001 年に設立された非営利団体で、 Web アプリケーションセキュリティの教育・ツール・標準を無償提供する。最も知られるのがOWASP Top 10( Web アプリケーション脆弱性上位 10 カテゴリ)であり、開発者・セキュリティチーム・監査人の共通語彙として広く採用されている。
OWASP Top 10 2025 の主要変更点(検証済みファクト):
- Broken Access Control が #1 維持(2021 年から)
- Security Misconfiguration が #5 → #2 に上昇
- Vulnerable and Outdated Components(2021 年 #6)が「Software Supply Chain Failures」に再編(新カテゴリとして登場)
- 「 Cryptographic Failures 」(#2)・「 Injection 」(#3)は順位変動
OWASP の他の主要プロジェクト:
- ASVS(Application Security Verification Standard):セキュリティ要件の定量的フレームワーク。 L1〜L3 の三段階。
- SAMM(Software Assurance Maturity Model):ソフトウェア開発ライフサイクル全体のセキュリティ成熟度モデル。
- Cheat Sheet Series:JWT・ SQL インジェクション・認証など、開発者向け即実践ガイド集。
- OWASP ZAP:オープンソースの Web アプリ脆弱性スキャナー。
DEF CON:ハッカー文化の祭典
DEF CON は 1993 年に Jeff Moss( Dark Tangent )が Las Vegas で創設したハッカーカンファレンスで、世界最大規模のセキュリティカンファレンスに成長した。年 1 回 8 月に開催。
DEF CON 33 = 2025-08-07〜10、 Las Vegas。主要特徴:
- 32 のビレッジ( AI・ Hardware・ ICS / SCADA・ Biohacking・ Social Engineering など専門テーマ別)
- DEF CON CTF( Capture The Flag):世界最難関のハッキング競技。 Attack-Defense 形式。
- DARPA AIxCC 決勝( AI Cyber Challenge ):2025 DEF CON にて開催。賞金総額 2M。 AI を用いた自動脆弱性発見・修正の競技。
DEF CON の文化的特徴:
- Goons(ボランティアスタッフ)が運営。商業的スポンサーを最小限に抑える姿勢。
- Vendor Village(セキュリティ企業展示)と研究発表が共存。
- 「 Wall of Sheep 」(平文パスワードをキャプチャして表示するデモ)は OPSEC 意識向上の定番アトラクション。
Black Hat:業界向けプレミアカンファレンス
Black Hat は 1997 年に Jeff Moss が DEF CON と並行して創設した、よりビジネス・エンタープライズ志向のカンファレンスである。年 2 回( USA・ Asia・ Europe )開催し、公認のトレーニング・ブリーフィングで知られる。
Black Hat USA 2025 = 2025-08-02〜07、 Mandalay Bay( Las Vegas )。
DEF CON との主な違い:
| 項目 | DEF CON | Black Hat |
|---|---|---|
| 参加費 | 数百ドル(現金のみ) | 数千〜数万ドル |
| 聴衆 | ハッカー・研究者・学生 | 企業セキュリティ担当・ CISO |
| トレーニング | 非公式(ビレッジ中心) | 有料認定トレーニング |
| 雰囲気 | カウンターカルチャー | プロフェッショナル商業 |
Black Hat ブリーフィングは企業インフラへの高度な攻撃研究( SCADA・クラウド・サプライチェーン)が多く、翌週の DEF CON と合わせて「 Hacker Summer Camp 」と呼ばれる。
CCC:欧州のハッカー文化拠点
CCC(Chaos Computer Club) は 1981 年にドイツで設立された欧州最大のハッカー組織であり、年次イベントChaos Communication Congress(38C3 = 2024-12) を主催する。
CCC の特徴:
- ハッカー倫理・デジタル人権・プライバシー保護を中心的価値とする
- 政府・企業のシステムへの「責任ある調査」を支持し、脆弱性の公益開示を行う
- 2008 年にドイツ連邦政府の電子パスポート・生体情報システムの脆弱性を開示
- 「 Hackerspace 」(市民ハッカーの物理的作業場)文化の国際的な普及に貢献
37C3(2023-12)・38C3(2024-12) はともに Leipzig で開催。ライブストリームで世界中に公開される。
その他の注目コミュニティ
BSides( Security BSides、2009 年〜):参加者主導のローカルカンファレンス。 BSidesLV( Las Vegas、DEF CON 同時期)・ BSidesSF など世界各地で開催され、地域コミュニティの知識共有を支える。
RSA Conference:1991 年創設。年間最大規模の商業セキュリティカンファレンス( San Francisco 本会議+欧州・アジア)。業界動向・製品・政策の発信の場として機能するが、商業色が強く、研究者コミュニティからは距離を置く向きもある。
FIRST(Forum of Incident Response and Security Teams):1990 年設立、 CSIRT / CERT の国際連携組織。インシデント対応の調整・情報共有プロトコルを整備。
コミュニティが果たす役割:標準・教育・規範形成
各コミュニティの役割を整理すると次のようになる。
| コミュニティ | 主役割 | 成果の例 |
|---|---|---|
| IETF | プロトコル標準化 | TLS 1.3・ QUIC・ ACME |
| OWASP | Web セキュリティ教育・標準 | Top 10・ ASVS・ ZAP |
| DEF CON | ハッカー文化・ CTF・研究発表 | AI Cyber Challenge |
| Black Hat | エンタープライズ研究・トレーニング | ブリーフィング・認定資格 |
| CCC | デジタル人権・欧州ハッカー文化 | 脆弱性開示・政策提言 |
| BSides | ローカルコミュニティ育成 | 地域カンファレンス |
セキュリティの知識は法律や企業ポリシーより速く進化する。これらのコミュニティがなければ、脆弱性の発見から修正・啓発・標準化というサイクルは機能しない。ハッカーとベンダ・政府・標準化団体の緊張と協力関係そのものが、現代のセキュリティエコシステムを支えている。