[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

「勉強しろ」じゃ啓発は難しいから。スベり覚悟の「セキュリティ芸人」が笑いで“脆弱性”を伝える理由【フォーカス】

2024年2月27日

セキュリティ芸人

アスースン・オンライン

ゲーム会社でプログラマーをしつつ、趣味でセキュリティ芸人として活動。情報セキュリティ系のイベントやYouTube上でネタを披露している。R-1グランプリ2023では1回戦を突破。芸名は、大学の後輩にSNS上で陰口を書かれていたとき、本名の「麻生さん」をもじり、敬称まで含めて「ASUSN」と呼ばれていたのが由来とのこと。「オンライン」は語感で付けた。
X

「脆弱だなあ~」のツッコミをキーフレーズに、情報セキュリティや脆弱性をテーマにしたネタを披露する「セキュリティ芸人」のアスースン・オンラインさん。2023年3月に、YouTubeチャンネルに投稿したネタ披露の動画は90万回以上再生されるなど、エンジニアを中心に一定の人気を集めています。

なぜ芸人になったのでしょうか?なぜセキュリティというニッチなジャンルを選んだのでしょうか?そうアスースンさんに聞くと、「僕のネタで笑えない人には、自分がまだ情報セキュリティに対して意識と知識が欠けていると気付いてほしい」と話します。どういうことなのか、詳しく聞いてみました。

「どこが面白いの?」をセキュリティ学ぶきっかけに

――本日はよろしくお願いいたします。まず、セキュリティ芸人として普段どんな活動をしているか教えてください。

アスースン:「セキュリティ芸人」としての活動は、主に技術者向けイベントやハッカソンなどでセキュリティをテーマにしたお笑いネタを披露し、その動画をYouTube上で公開するなどしています。

芸風は、陣内智則さんやソロ活動時の霜降り明星・粗品さんのような、ピン芸人さんのネタでよく見る、あらかじめ用意した映像や画像、フリップなどにツッコミを入れるスタイルに近いです。セキュリティ的に脆弱すぎるシチュエーションを描いたスライド画像を用意し、それを会場のスクリーンやフリップ用紙で順番に見せつつ、「脆弱だな~」とツッコミを入れていくんです。

――ニッチなテーマのため、ネタづくりが難しいのではないかと思うのですが、なぜ「お笑い」と「セキュリティ」を掛け合わせたんでしょうか?

アスースン:セキュリティに詳しくない人や、そうした知識の獲得に興味を持っていない人に、お笑いというキャッチーな要素をプラスして啓発をしていければ、と思っていて。

芸人と言ってもアマチュアですから、スベることは珍しくない。でも「ウケたい」という思いが一番強いわけではないんです。というのも、ウケなくても「僕のネタで笑えないのは、見る人が知識不足の場合もある」とも考えています

当然、僕のお笑いスキルが純粋に足りていないのもあります。それは僕の力不足でしかなく、日々精進しているところです。ただ、見ているみなさんにとって僕のネタの笑いどころが一切わからなかった場合には、自身の知識に足りない部分があるかもしれないと、一度考えてみてほしいんです

▲ネタ披露時に使っているスーツ衣装にて、取材を行いました

アスースンセキュリティに詳しくない人は、僕のネタを見ても「なんじゃこれ?別に全然面白くないじゃん」と感じるでしょう。ところが、要所要所で沸き起こる会場の笑い声を聞いているうちに「なんでこんなに笑いが起きてるの?」という疑問が生まれるはずです。

そして「この会場にいる人は、知識があるから笑いどころが分かっている。何が面白いのかわからないと感じるのは、自分には知識がないからなんだ」と気づいてもらえれば、セキュリティについて少しでも知ろうと思ってくれるかもしれない、と思っています。

セキュリティに詳しくない人に対して一方的に「もっと学んでくれ」と伝えても、その人自身がセキュリティを学ぶべき理由を理解し納得できていなければ、自発的に勉強しようとはしないでしょう。だったら「お笑い」というより親しみやすい形で、セキュリティに詳しくない人が、自分自身の知識や意識の欠如に気づき学ぼうと思い始めるきっかけをつくればいいのではないか、と考えたのです。こうした構造での「啓発」のために、「セキュリティ芸人」として活動しています。

「脆弱-1グランプリ」ウケるとき、ウケないときの客層の差

――同じネタでも、観客の知識レベルでウケ具合に明確な違いがあった例を教えてください。

アスースン:では代表的なネタをお見せします。

あ、脆弱-1グランプリだ!とにかく脆弱な存在を決める大会だ。

脆弱だなー!PHPは脆弱性の数で勝負してますね。2023年だけでこんなに報告されてる。

あ、これはあの深刻度MAXの脆弱性だ!細工したWebP画像をブラウザで開かせるだけで任意のコードが実行できちゃうという。これは強い!

うわあ、優勝は誰だ?

人かい!

 

アスースン:俺たちか。一番脆弱だったのは俺たちだったわこれは優勝です。皆さんも気を付けていきましょう、と言ってネタが終わります。

――技術的脅威に気を取られていたところに「確かに人が一番恐ろしいよな」と納得させられるオチですね。このネタは、どのような場で披露したときに大きな笑いが生まれたんですか?

アスースン:まずこれがウケたのは、「セキュリティ・キャンプフォーラム」というイベントで披露したときです。セキュリティ人材の育成を目的とした教育プログラムの修了生や講師陣などが集まるイベントなので、観客の多くはセキュリティを専門領域としたエンジニア。みなさん堅牢なソフトウェアをつくろうと日々一生懸命勉強し開発しているわけですが、結局、情報漏洩の原因は管理ミスや誤操作、不正アクセスなどの「人的脅威」が8割だという事実がある。

▲アスースンさんが作成した資料画像

アスースン:いくら技術に力を入れても「結局、ソフトウェアを使う人間がそもそも脆弱性である」という真理。セキュリティに知見のある人にとっては「たしかに僕たちがいくら頑張っても、使う人次第だよな」と共感を集められるので、きれいにオチのついた笑いになる。これは啓発としてのメッセージ性も強いし、思い入れのあるネタです。

――では、どんな場ではウケなかったのでしょうか。

アスースン:やはりお笑い賞レースなど、セキュリティ専門でないお客さんを前に披露するとスベりやすいですね。そもそも観客が「人的脅威」という言葉自体を知らず、「どういうこと?なんで人が一番脆弱なの?」と感じる方が多いのだと推測します。

また、「ああ、気をつけなきゃ…」と真剣に受け止めてしまう人もみられます。機密情報の管理を怠ったり、メールクライアントなどの操作ミスに心当たりのある人は少なくない。こうしたケースでは笑いよりも、「うっ」と痛いところを突かれた気持ちが勝る。そう、啓発が強すぎると笑いにならないんですよ。

人的脅威はセキュリティインシデントの主要原因であるにも関わらず、意識が低い人は多い。この状況を少しでも改善するためにも、披露する意義の大きいネタだと思います。

――なるほど。ちなみに、専門知識のない人にも話の趣旨が伝わるように、工夫していることもあるのでしょうか?

アスースン:内容が大きく変わらない範囲で、より伝わりやすい言葉を選ぶようにしています。

たとえば、日本で唯一攻撃が許された飲食店、という設定の「脆弱カフェ」なるネタがあります。技術者向けカンファレンスなどでこのネタを披露するときは「攻撃が許されたお店だ!」と言っているのですが、R-1グランプリでこれを披露したときは、よりキャッチーに「ハッキングが許されたお店だ」と改変しました。

▲アスースンさんの主要なネタである「脆弱カフェ」の最初のスライド

アスースン:ほかにも、「脆弱」の意味を説明してから、「脆弱だな~!」とあえて専門用語をツッコミとして使っています。

こうすることで、「脆弱」という概念に親しんでもらえたらとも思っています。セキュリティの専門家は当たり前のように「脆弱」という言葉を使いますが、非専門家には馴染みのない言葉。こうした専門用語の意味を、ネタを通じて少しずつ伝えていくことで、専門家とそうでない人との橋渡しをしていければと考えています

――逆に、完全に笑いや面白さに重きを置いたネタはありますか?

アスースン:もちろん、ありますよ。情報セキュリティに詳しい人やエンジニアに向けて、分かる人だけ笑えるネタも用意しています。たとえば、美容室のネタなんですけど。

髪型LANケーブル?

 

アスースン:というネタです。「美容師にLANケーブルの写真見せた?」みたいな。

――解説をお願いできますか?

アスースン:LANケーブルのコネクタ内にある各線の配色と、女性の髪の色を合わせているんです。この配色は規格で決まっているので、LANケーブルを解体したことがあったり、自作した経験のある人にとっては見覚えしかない。笑いに全振りして超ニッチなところを攻めたので、分かる人はすごく笑ってくれますね。

▲詳細な解説を加えたネタ画像

アスースン:これが大きくウケたのは「AVTOKYO」という、外国人の参加者が多いハッカーカンファレンスで、英語でネタを披露したときです。解説がなくとも、大きな笑いが起きていました。みんなLANケーブルを解体した過去があったんでしょうね(笑)。

セキュリティの「当たり前」に気づいてもらうために

――「啓発をする」というモチベーションは、こうした芸人活動を始めた当初から強く存在していたのですか?

アスースン:「セキュリティ芸人」の活動を始めた頃は、セキュリティと笑いの掛け合わせが面白そうだとい気持ちが9割、啓発目的が1割で、「セキュリティ啓発」について一貫した熱意を持っていたわけではありませんでした。

でも最近は、啓発に対する使命感が芽生えてきたんです。様々な場で、様々なお客さんに向けてネタを披露する中で、「このネタはこのお客さんには伝わるだろう」という見込みを外してしまう経験も、何度もしてきました。

今も多くの専門家がずっと啓発し続けているのに、セキュリティについて知らない人はたくさんいる。それを肌で感じるうちに「僕がやっている“セキュリティと笑いを掛け合わせた啓発”という活動自体が、ひとつの社会貢献なんだな」と思うようになったんです。

それに、僕のネタ動画がそれなりに拡散されたのは、僕がお笑いにしている「脆弱性」がそもそも広く問題視されていることであり、エンジニアや情報システム関係者などに共感してもらえたからこそなんじゃないかと思っています。

▲アスースンさんが制作したネタグッズ パソコンのログインパスワードにしてはやたらと強度の高い文字列が書かれている付箋風ステッカー。 PCに貼ると「管理ずさんだけどパスワード頑丈すぎる人」を演出できる

――確かに、非エンジニアのセキュリティ意識の不足は、少なくない数のエンジニアの方も悩まされている課題かと思います。最後に、セキュリティ芸人としての目標を教えてください。

アスースン:セキュリティ芸人としては、本全体のセキュリティ意識の向上を目指しています

労働災害の分野では「ハインリッヒの法則」という概念があります。ひとつの重大な事故の背景には、その予兆として29の小さな事故があり、さらにその手前には、事故には至らない「ヒヤリ・ハット」が300もある、というものです。つまり、大規模な事故を起こさないためには、その手前で起きている膨大なヒヤリ・ハットを減らしたり、ヒヤリ・ハットが起こった段階で食い止めたりする必要があるのです。

この法則は、情報セキュリティのインシデントにも当てはまります。セキュリティの知識をたくさんの人が「当たり前に知っていること」として身につけていれば、ヒヤリ・ハットに的確に気づき、対処することができるでしょう。セキュリティ知識の当たり前水準を高めていくことで、インシデントはより確実に予防できるようになる。

アスースン:僕がセキュリティ芸人として、笑いを通して、当たり前に知っているべきことを知らない人に危機感を覚えてもらい、学ぶきっかけをつくる。それによって、専門家以外のあらゆる人の知識向上を促していけたら、と思っています。

取材・執筆:田村 今人
編集:光松瞳、王雨舟
撮影:曽川拓哉

関連記事

人気記事

  • コピーしました

RSS
RSS