五輪期間中のサイバーセキュリティを担う公益財団法人東京オリンピック・パラリンピック競技大会組織委員会のテクノロジーサービス局は、2016年にオリンピックが開催されるリオデジャネイロを訪れ同組織委員会から現状の取り組みなどについて説明を受けた。昨年はロンドンを訪れ、2012年ロンドン五輪に携わったイギリス政府や通信事業者の担当者からも経験を聞いた。海外から学べる点は何か、日本はどう備えていくべきか。テクノロジーサービス局長の舘氏に聞いた。

編集部注:「リスク対策.com」本誌2015年7月25日号(Vol.50)掲載の連載を、Web記事として再掲したものです。役職などは当時のままです。(2016年8月24日)

Q.リオデジャネイロの準備状況を見て、どのような感想をお持ちになまりしたか?

A.世間一般的に、競技会場などの準備が遅れているのではないかと言われていますが、システムやネットワークに関しては、正直安心感を得ました。オリンピックで使われるシステムというのは、毎回、トップスポンサーであるATOS(フランスに本社を持つデジタルサービス企業)が専門部隊を送り込んで準備しているのですが、歴史もありますし、方法論としては既にある程度確立しているわけです。毎回まったく新しいことをするわけではないので、基本設計もそれほど変わりません。この点はとても安定していると言えます。 

もし、問題があるとすれば、それは運用体制であったり、あるいは大会を支える社会インフラだろうと思います。その辺は、細かな説明があったわけでなないですが、運用者の意識や社会インフラ側の対策などについては国や文化によってかなり事情が違うと想像します。一概に良し悪しは評価できませんが、それぞれの事情に応じた検討や対策が必要だと思います。

Q.訓練に関してはいかがでしょう?

A.リオデジャネイロでも、これから本格的なテストイベントが始まると聞いています。実際にシステムを使って検証するイベントもあれば、システムは使わずシャドウイングと呼ばれる方法でシミュレーションするなど、さまざまなやり方がありますので、対象範囲や方法については今後も情報交換をして参考にさせていただければと考えています。

Q.ロンドン五輪について情報交換された印象はいかがでしたか?

A.ロンドンも昨年、機会があり、政府関係者などへヒアリングをさせていただきました。その際に個人的には、サイバーセキュリティのレガシー(遺産)として、何が最終的に残ったのか興味がありました。イギリスのIT産業としてグローバルに名を聞く企業は限られていますので、とくに興味があったのです。その答えは、基幹産業である金融や国の行政機関などで、オリンピックを機会にセキュリティの運用レベルがさらに一段ランクアップしたということでした。また、セキュリティに携わる人材もIT増えたし、大学のプログラムなども充実したそうです。こうした効果はオリンピックのもたらしたレガシーと言えるのではないでしょうか。

Q.日本はどう備えるべきと考えていらっしゃいますか?

A.皆さんから「2020年のサイバーセキュリティ対策は大変ですね」と言われることが多くなってきましたが、もちろんオリンピックに関するシステムそのものの対策は大変ですが、仮にテロリストや犯罪者が狙ってくるとすれば、それはむしろ対策が手薄な弱い部分です。オリンピック施設以外の社会インフラであるとか、行政機関、スポンサー企業、金融機関のサイトなども対策をしっかり打っておくことが大切です。知恵さえあればオリンピック期間中にどこかでパニックを引き起こす方法はいくらでも考え付くわけです。何を言いたいかというと、組織委員会やパートナー企業だけが頑張っても限界があり、日本の社会を支える企業や業界団体も一緒になって取り組む必要があると思うのです。

特にIoT(インターネット・オブシ・ングス)と言われるように、あらゆるものがネットワークにつながる時代ですから、想定すべきリスクの範囲は確実に広がっています。

 

Q.サイバー攻撃に備えるマニュアルを作って企業や国民に配布したらどうでしょう?

A.ある程度のガイドラインは必要かもしれませんが、一方でマニュアルに落としただけでは、現場でやっつけ仕事に終わってしまうことが、ままあります。むしろ今取り組もうとしているのは、組織委員会の中ではもちろん、大会運営が依存する社会インフラの事業者、あるいは監督官庁、東京都との間で、定期的にリスクを洗い出し、評価・実施し、改善していくPDCAがしっかり回せるプロセスを仕組みとして構築することです。

Q.今後オンピッリクに向けて日本が強化すべき部分は?

A.技術的な課題はもちろんありますが、もっと根底的なことで言えば、社会的な意識を変える必要があると思います。サイバーセキュリティの話になるとシステム部門に丸投げしてしまうケースがどこの組織でも多いように見受けられます。しかし、今やサイバーセキュリティは、事業継続を脅かす重大なリスクの1つで、いろいろなところに影響を与える複雑系の問題です。物理テロとか自然災害とは違って、毎年のように新しい攻撃手法や新しいリスクが指摘されているので、しっかりした方法論でリスク評価をしなくてはいけないと思うのです。 

情報セキュリティの専門家が集まっても、IoTの話になると突然皆黙ってしまいます。つまり、この分野はハードウェアの専門家も交えて分析・議論しないと前に進まないのです。これからは、多様な専門家が連携していくことが不可欠です。 

もう1つは、方法論を考え直すことが重要です。日本人は専門家も実務者も経験則に頼りすぎている印象があります。とくにサイバーセキュリティに関しては、経験則だけで考えるには当然限界があります。 

しかし、新たな方法論の話をすると、ときどき嫌な顔をされます。「そんな大変ことやるのか」と。確かに方法論をすべて検討するということはとても大変ですし、どこまでやるかは程度の問題だと思います。一方で、方法論を変えなくては同じ失敗を何度も繰り返します。 

標的型攻撃などで何度も日本の組織が被害に遭い、情報漏えいが発生し、しかもその事後処理のまずさが露呈するのはなぜでしょう。それは、方法論にも問題があると思うのです。攻撃する側は、システムとそれを運用する組織・体制の中の脆弱性をいろいろな発想で見つけ出し、攻撃を仕掛けてくるのです。つまり守る側も、攻撃する側の立場から発想をもっと広げて組織的に脆弱性を洗い出し、対策を講じなくてはいけません。攻撃する側は1つの穴を見つければいいのに対し、守る側は考え付く限りすべての穴を見つけ出さなければいけないため、たしかに労力は要します。しかし、結局は同じ方法論です。勘や経験に頼るだけでなく、もっと合理的な分析をして、優先順位を決めて対策を講じていく手法を確立していかなくてはいけません。

(了)