ohki~/avoidnotes

7月13日に、日本ネットワークセキュリティ協会（JNSA）さん主催「第2回学術界とのギャップ解消検討BoF」に参加させて頂きました。会合のまとめは筑波大学金岡先生のブログを参照して頂くのがよいかと思います。

JNSA 第2回学術界とのギャップ解消検討BoF｜EL TIO
http://ameblo.jp/eltio/entry-10590196257.html

と丸投げして(すいません！)自分は深く考えさせられた数点について書き留めておくことにします。

最高のセキュリティ / そこそこセキュリティ

コストや利便性、安全性のトレードオフを満たすものが利用者にとって最高のセキュリティではないか、という議論がありました。その通りだと思います。ただ利用者はリスクや要件は定義できても、どうすればそれを満たせるのかはわからないと思います(新しい技術は特に)。利用者がニーズに応じて(もちろん根拠に基づいた)セキュリティレベルを選択できるようにしてあげる必要があって、それが「そこそこ」セキュリティで実現できるといいなと思っています。ただし、少し違う見方をすればそれは理論と実践の境界研究であり、セキュリティだけではなく社会科学なども含む研究になるはずで、金岡先生が常に仰っているように、このような問題を議論する場や、成果として認める受け皿が少ないのが現状だと思います。

そもそもギャップって何なの？何で解消したいの？

ギャップとは何で、どうしてギャップを埋めたいのか、という話をまずはっきりさせましょう。という議論もありました。セキュリティ業界に分野を絞らず長い目で見れば、世の中で使われている技術には大学で行われた基礎研究が基になっているものが沢山あります。そういう意味では「大学の技術使ってよ！」は実現されているとも言えます。金岡先生はじめ参加者の方々は「もっと理論から実践へのサイクルを早く回そうよ」という話をしていて、その理由を誤解を恐れず率直に言えば「ビジネスになるから」。もう少し大きな話をすれば「このままじゃ日本ヤバいよ。いい技術持ってるのに。」という危機感があるから。こういったところは皆さん共通の認識だったように思えます。極めて個人的な理由を付け足せば、「研究に対するモチベーションを保つため」も入ります。

ギャップは解消しなくていい、大学は大学、企業は企業それぞれにやれることは違うし、歩み寄る必要はないのでは？という意見はよくわかります。ただ、理論から実践へのサイクルが非常に遅いと感じていて、その現状には何らかの解決策が欲しい、というのが大学に属する人間としての意見です。主には大学側が変わっていかなければいけないのかもしれませんが…。

ところで、産業は新しい技術を使ってくれない、と言いますが、では既存の技術を使うだけで楽をしているでしょうか？私はそうではないと思います。既存の技術を使う上でも、安全性、利便性、コストといった要件を満たすために大変な努力が必要だと思います。だけど、それは学会には出てこないですよね。個人的にとても興味があるのですが…。議論の中でも出てきたように、実はある企業の中では当たり前のように(研究とは認識されずに)開発されていたことが、学会で最新の成果として発表されている、なんていう負のサイクルは実はよくある気がして、そう考えると悲しいです。大学では今どんな研究をしているのか、企業は実際に製品化するにあたってどういう努力をしているのか、そういったお互いの知識欲求を満たす場があれば、理論→実践だけでなく、実践→理論のサイクルをうまく回すことにも繋がるのではないかなと思います。

年齢・立場関係なく率直な意見を交換できる、貴重な会合でした。
今後の展開にも期待しています。