情報セキュリティ専門家インタビュー：Lee Azzarello

Quantstampは新しい取り組みとして、情報セキュリティ分野の専門家にインタビューを行い、キャリアパスや、情報セキュリティ分野がどのように発展しているのか、専門家がどのように自分たち知識をブロックチェーン技術の世界へ適用しようとしているのかについて学びたいと思います。

楽しんでください！

こんにちはリー！あなた自身についてもう少し詳しく教えてください。

Lee Azzarelloです。私はQuantstampのインフラストラクチャーセキュリティのエンジニアです。私は、ウェブサイト、データベース、安全なボールト、、安全なメッセージングシステムなど、さまざまなアプリケーションのインフラストラクチャをスケールアウトした経験がある熱狂的なハッカーです。私は開発者や方針の立案者と密接に協力して、デフォルトのプロセスで安全なコードが確実に開発されるようにします。趣味で、電子楽器をコードで作っています。

出身はどちらですか？

私はロサンゼルスで育ちました。若い頃、パーソナルコンピューターに魅了されました。

セキュリティ業界に入ったきっかけは何でしたか？

10代の頃、私はBoing Boingの創業者の一人であるMark Frauenfelderの、The Happy Mutant Handbookという本を読みました。振り返ってみるとかなり渋いですが、情報を見つけるためにコンピュータネットワークを使うことを初めて読んだ本でした。 IRCと匿名FTPサイトに関する章がありました。それは、この世界全体に私の心を開きました。頭からそれが離れませんでした。私が2001年にニューヨークに移ったとき、私はプロの技術者としてスタートしました。私はまたHOPE（Hackers On Planet Earth）会議にも参加し始めました。 2011年まで飛び、ニューヨークのハッカーコミュニティから、安全なモバイルメッセージングシステムの開発の仕事をしないかと誘いを受けました。私はGuardian Projectに参加し、フルスタック、オープンソース、エンドツーエンドのセキュアなVoIPシステムであるOstelを構築しました。

最初に見つけたセキュリティ上の脆弱性は何でしたか？

私が最初のセキュリティ上の脆弱性を発見したことを思い出すことができるのは、ハッキングとUNIXシステムに関するMondo 2000の問題を読んでいた大学一年生の時です。キャンパスの電子メールサーバーは、SunのSolarisオペレーティングシステムを実行するマルチユーザーシステムでした。リモートでログインしてシステム内を動き回るのに十分なコマンドを学んでいました。私はホームディレクトリが読むことのできるもので、それはすべての電子メールを含む他のすべてのユーザーのディレクトリを配下に持っていることを発見しました。私は善人だったので、それを修正してあげました。

これから先5〜10年のセキュリティの脆弱性はどこにあると思いますか？

今後5年間では、典型的なソフトウェア開発プロセスの一環として、より多くの自動化された脆弱性スキャンが出てくると予測しています。今日のように、我々は、コードリポジトリに接続し、ソフトウェアを自動的にテストし、構築し、リリースするCircleCIのような連続的な統合システムを持っています。私は脆弱性スキャンを機能として追加しました。今日では脆弱性スキャンを実行する方法はたくさんありますが、コードのシンボリック実行やマシン学習によるファジングなどのようなものが、既知の脆弱性を検出するだけでなく、コンピュータプログラムが新しいプログラムを見つけられるようにすることができます。Google Project Zeroは現在、この分野をリードしています。

スマートコントラクトの開発プロセスを進めている企業へアドバイスはありますか？

スマートコントラクトを作成するということは、ソフトウェア開発を行ってているということです。ブロックチェーンを扱うことは新たな課題をもたらします。デプロイする前に、既定のプロセスでセキュリティを保護し、テストしてください。

なぜあなたは今やっていることに取り組んでいるのですか？

私はハッカーの文化や政治に関係していると感じています。私のQuantstampへの最初のつながりは、以前に左派のメディア活動家組織で仕事を一緒にしていたRabble（Evan Henshaw-Plath）でした。シリコンバレーは政治にアレルギーのある業界として評判を得ています。テクノロジー企業は世界で最も強力な存在のひとつなので、私は意識と変化をもたらすためにやるべきことをやります。技術のための構築技術とツールは政治的な行為です。それを無視することは、技術的変化を最も必要とするコミュニティを無視するということです。

世界のデジタルマネーの未来のセキュリティを守っていないときは、何をするのが好きですか？

電子楽器を作るのが楽しいです。私は最近、プレキシガラスと回路基板から初めてDIYハードウェアコントローラを構築しました。コードで構築するシンセサイザを制御することができます。

この業界にこれから足を踏み入れるセキュリティの専門家へのアドバイスはありますか？

情報セキュリティは、専門チャンネル以外の専門家として参加するには難しいフィールドの一つです。しかし、諦めないでください。あなたが都市に住んでいるなら、地元のハッカースペースを探して関わってください。都市外に住む場合は、HOPE、CCC、DEFCONなどの最高のハッカー会議に参加して見てください。誰もが生まれた時は何の専門家でもなく、自分たちで学びスキルを習得してきたことを忘れないでください。

なぜあなたはQuantstampにワクワクしているのですか？

Quantstampは、私が信じるビジョンを持った優れたチームです。スマートコントラクトが急増するにつれて、このコードのセキュリティの必要性も広がります。セキュリティ監査を自動化するためのプロトコルを構築することは、人々に必要な助けを提供するための素晴らしい方法です。

仮想通貨愛好家が最もよく陥るセキュリティミスは何ですか？

初期のBitcoin保有者として、私はローカルウォレットを使ったことがある人がほとんどいないことに驚きました。中央集権化されたサービスを信頼してあなたのウォレットを保持するのは、FDIC保険に加入していない銀行にお金を入れるのと同じです。

このミスを避ける最良の方法は何ですか？

秘密鍵がどこに保持されているかを知ることです。 アプリがキー管理を処理すると主張していますが、アプリの使用方法を理解できない場合は、アプリを使用しないでおきましょう！

著者 Quantstamp ライター Julian Martinez
執筆日 2017年2月26日
原文 https://medium.com/quantstamp/infosecurity-expert-interviews-lee-azzarello-c77b5f440655