2-1. 大会運営のために組織委員会が直接調達・利用するIT

まず①の領域は、組織委員会が主体的に設計・開発に関与することから、エンタープライズ・アーキテクチャの設計思想にのっとり、しっかりとしたITセキュリティのアーキテクチャ(技術標準)を構築することが重要です。「大会の業務オペレーションとして事前に理解はしていても、実際の本番に直面すると、短期間に集中する業務のボリュームは想像を絶する」というのは、リオデジャネイロ大会にも関わった現場のテクノロジー・マネージャーの言葉です。大会期間中の1万人超のアスリートを含む大会関係者の宿泊・輸送の手配、オリンピック33競技・パラリンピック22競技で使用する大量の機材や用具の配送、ピーク時には30分間に1万食を提供しなければならない食事の手配、などいずれも失敗が許されない業務です。だからこそ、宿泊管理、輸送管理、配送・在庫の管理、食料の受発注などがシステム化されている必要があるのです。そして、大会直前に大量に採用されるボランティアスタッフや大量に来日するメディア関係者など、ただでさえ混乱を極める現場でいかに情報漏えい対策を徹底できるか、業務システムとしての事業継続性を確保できるか、あるいは、どの部分の対策を諦めてより重要な部分にリソースを集中させるかがアーキテクチャ設計の鍵となります。

2-2. 大会運営のためにパートナーやサプライヤーが調達・利用するIT

次に②の領域ですが、クラウドサービスやBPOの最大活用によって大幅なコスト削減や開発期間の短縮が実現されるメリットはあります。一方で外部事業者側の情報セキュリティやユーザ管理・認証の仕組みに依存することで、関連するシステム全体を通して、一貫したITセキュリティポリシーや技術標準を確立することが難しくなるというデメリットもあります。組織委員会はパートナーやサプライヤーに仕事を丸投げするのではなく、リーダーシップを発揮しながらITセキュリティの全体最適設計を議論・調整していく必要があります。とは言え、一過性のイベント用のIT環境としてアーキテクチャ設計の完璧さだけを追求する訳にはいきませんから、最終的にはシステムをまたがったデータ連携の際に人手のオペレーションを介在させたり、ユーザがいくつかのID・パスワードを使い分けるといった現実解を受け入れざるを得ない面もあります。つまり設計だけでなく、システムを利用・運用する側の教育訓練、事故やトラブルが発生した際の組織をまたいだコマンド&コントロールを含むガバナンスルールの整備などが重要です。

2-3. 大会運営に間接的に影響する社会環境・周辺環境としてのIT

より広く社会環境全体のITセキュリティを考える際には、個々のシステムやデータベースといったテクノロジー面での対策だけでなく、いかに複数の関係組織を包括的な目線でITセキュリティを議論・検討できるかが重要です。たとえば、「輸送業務を委託されたパートナー事業者の業務システムのバックで使われているインターネット回線そのもののトラブルが、どう大会運営に影響するか?」について、各組織に閉じて検討してもリスクの全体像を明らかにすることはできません。それほどまでに日々の生活やサプライチェーンの中にインターネットやITが深く入り込んでいるからです。そこで、関係機関の実務者を集めたステアリングコミッティーの枠組みが重要になります。このコミッティーの中で、まずは組織委員会から大会オペレーションの情報を外部関係者と共有し、外部関係者の目線でも想定されるリスクを洗い出す共同作業が必要です。この活動ではセキュリティに関わる機微な情報を扱うため、各機関の関係者同士で顔の見える信頼関係が必要なのは言うまでもありませんが、もう1つのポイントとして、このようなリスク管理活動のための専門チームを組織内に置くことが効果的です。

多くの組織では、サイバーセキュリティ対策や災害対策などのリスクマネジメント活動を、情報システム部門や総務部門といった実務、それも組織を守るための実務を担っている部門に任せています。もちろんこれらの部門に、その分野の専門家が集められているわけですから間違いではありませんが、一方でこの体制は、場合によっては利益相反を生むこともあります。つまり、より深くリスクを洗い出せば出すほど彼らの仕事は増え続け、さらには決められた予算で対策を打ち切れないことが明らかになる、どこかで妥協しようという意識が働く、といったことがサイバーセキュリティの分野では十分ありえます。もし本当に国家レベルの、一度限りで失敗が許されないイベントに対して、本気でリスク管理に取り組むなら、守るためのミッションを持つチームだけでなく、攻めるシナリオを考える専門チームを設けることが必要です。本番が近づけば、システムのペネトレーション試験やシステム監査など、攻める観点での“外部チーム”が関与してくるのは常ですが、より構造的・組織横断的なリスク管理の包括的な取り組みをやろうと思えば、時間も労力も要しますから、攻撃シナリオ専門チームをより早期に立ち上げることも考えるべきだと思います。

3.まとめ

以前に、ロンドン大会に携わった英国政府関係者に大会後のレガシー、特にサイバーセキュリティの分野でのレガシーについて質問したことがあります。答えとして挙げられたのは、もともと英国の基幹産業でもある金融業界や政府関係機関におけるサイバーセキュリティのさらなるレベルアップ、大学における専門コースの立上げと育成人材の政府諜報機関での雇用プログラム、などでした。こういった海外の方々とサイバーセキュリティの議論をしていて感じるのは、社会全体の健全な発展のためには、ITの活動度合いとサイバーセキュリティの成熟度合いとの間のバランスが重要だということです。そう考えると、日本ではサイバーセキュリティ人材育成という以前に、まだまだ分野によってはITの活用、社会全体のIT化が遅れている面があると思います。たとえば東京2020大会の準備に携わって気づくのは、スポーツ界における選手強化・チーム戦略強化などの分野でも、まずはITを活用できるコーチやスポーツアナリストといった人材育成の必要性が指摘されています。2020年をきっかけに、ITの活用とサイバーセキュリティの成熟とがバランスよく促進されることが、日本にとって目指すべきレガシーではないでしょうか。

1)https://www.arbornetworks.com/blog/asert/rio-olympics-take-gold-540gbsec-sustained-ddosattacks/
2)https://digitalforensic.jp/2016/09/12/column429/

(了)