時雨堂では 2020 年 9 月からホワイトボックス暗号と E2EE (End to End Encryption) の専門家であり、LINE の E2EE 脆弱性を報告した 五十部さんを技術顧問として招聘しています。
従業員が片手で足りる零細企業がアカデミックから技術顧問を招聘するとどうなるのかを書いていきたいと思います。
要約
- 自分の知らないことを相談できるのは本当に良い
- 理解できるまで何度も聞ける環境は本当に良い
- 自分たちの専門外に取り組む際、技術顧問を招聘するのはオススメ
招聘までの経緯
自社製品で E2EE の実装を行うにあたり、自分たちが暗号にも E2EE にも精通していないという課題が重くのしかかっていました。
今まで多くのプロトコルを実装してきて、商用環境で利用できるレベルまで持ってきていましたが、E2EE というセキュリティやプライバシーを重視した仕組みを商用レベルで提供するには自分たちが「間違っていることに気づけ無い」というのはとても怖く危ないものだと考え、どうにかして専門家の力を借りたいと考えていました。
ただ日本で E2EE をやっているのは超大手企業の研究機関がほとんどだったためこれは手が出ません。そこで大学で先生をやっている五十部さんに「私は時雨堂という会社で WebRTC SFU という製品に E2EE を実装しているが、もしよければ技術顧問として契約いただき、こちらの相談に定期的にのっていただくことはできないだろうか」と突撃メールを送ってみることにしました。
メールの返信はとても丁寧に「何ができるか」「今までこんなことをやってきた」などが書かれており、技術顧問については問題ないとの御返事をいただきました。
そこからは時雨堂の Slack にご参加いただき、こちらから質問を Kibela に書き、いつでも構わないので回答いただく、という方式をとっています。
招聘してみてどうか
もともと懸念だった「理解が足りていない部分」をかなり埋めていただけています。また「懸念事項」について確認してもらえるのも本当に助かっています。以下は質問の例です。
- この暗号についてはこの理解でいいのか?
- この仕組はこう実装しているがセキュリティ的に問題ないか?
- この論文のここの意味がわからないので教えてほしい
- 他の製品の E2EE 事情について教えてほしい
- この RFC はこう理解したがあっているか?
自分が納得し理解できるまで質問をできる環境というのは本当にありがたいです。
E2EE はほとんど専門家がいない分野であるとともにインターネット上にある情報がかなり間違っているというのもあります。また仕組みがオープンになっており、更にそれが解析されている事が信頼に繋がる、という不思議な分野でもあります。
そのため正しい情報をしっかりと理解するというのは実装側に求められます。実際、色々質問して勘違いしていた部分がかなりあるとわかりました。また自分が勉強できていない部分を丁寧かつ簡潔に教えていただけるというのはとてもありがたいです。
招聘すべきかどうか
もし自分たちの専門外の知識が仕事で必要になる場合は、零細企業だとしても外部の専門家の方を招聘するというのは一つの手だと思います。
今回、メールで突撃する前に五十部さんの論文を分かる範囲で読んでおいたというのは結構大きい気がしますので、もし突撃メールするときはその方の書かれている論文や資料は目を通しておいたほうがいいと思います。
