2020年に開催される東京オリンピック・パラリンピックでは、大会の運営や競技の観戦、観光客へのサービスなどにおけるICTの利活用に大きな期待が寄せられています。それにともない、会場や東京全体の物理的な安全確保に加え、サイバー空間でのセキュリティ対策も重要な課題となっています。

初の本格的なデジタル・オリンピックと呼ばれた2012年のロンドン五輪では、開催以前からサイバー・セキュリティに対して入念な対策が講じられ、重大なインシデントに見舞われることなく大会を終了、その経験は現在も生かされています。2012年当時、英国でシマンテックのクラウド・サービス事業担当バイス・プレジデントを務めていた現・ファーウェイUKおよびEUサイバー・セキュリティ・オフィサーのデヴィッド・フランシスに、英国がオリンピックにおけるサイバー・セキュリティにどのように臨み、どのような教訓を得たのか、また東京オリンピックに向けて日本の通信事業者や企業はどのように取り組むべきかについて、話を聞きました。

David Francis（デヴィッド・フランシス）

ファーウェイUK・EUサイバー・セキュリティ・オフィサー（CSO）。BT（ブリティッシュ・テレコム）ほか英米のICT企業を経て、2003年シマンテックに入社、2007年から2012年まで同社クラウド・サービス事業担当バイス・プレジデントとしてグローバルで300名以上からなるユニットを統括する。その後eコマース企業のCOO（最高執行責任者）を務め、2013年5月にファーウェイUKのCSOに就任。現在はEUのCSOも兼任し、官民におけるサイバー・セキュリティ課題に関する豊富な経験を生かして、社内向けセキュリティ教育、社外のステークホルダーとの協力とコミュニケーションを推進している。

あらゆる企業・組織が攻撃の対象に

オリンピックのようなグローバル規模の大イベントは、全世界から注目が集まる、いわば世界最大の広告媒体です。したがって、注意を惹きたいという動機を持つあらゆる個人や組織がこの機会を悪用する可能性があります。また、巨額の資金が動くことで、当然それを狙う犯罪も起こりえますし、開催国になんらかのダメージを与えて国益や国のイメージを損ねたいという動機もあるでしょう。さらに、莫大な数の人々が集まる開催地ではさまざまなインフラがフル稼働状態になるため、平常時以上に各種サービスを妨害しやすくなり、そのダメージもより深刻なものになります。

こうした状況下では、イベント自体に直接の関わりがない企業や組織であっても、開催地にあるというだけで攻撃の対象となりえます。通信をはじめとするインフラ提供者はもちろんのこと、すべての企業があらゆるタイプの攻撃に備えておく必要があります。これは実空間もサイバー空間も同様です。開催地の物理的な警備体制を強化すると同時に、サイバー・セキュリティ対策も同じレベルまで引き上げなければなりません。

とはいえ、個別の企業や組織、政府機関でさえ、完全な防御体制を単独で築くことは不可能です。そのため、官民を挙げたコラボレーションと情報共有が非常に重要になってきます。ある企業、組織、業界に対する攻撃があったとき、情報が迅速かつ適切に共有されれば、次に他の企業、組織、業界へ攻撃が拡大するのを未然に防ぐことができるのです。ロンドン・オリンピックの際には、英国のGCHQ（GovernmentCommunications Headquarters：政府通信本部）内にあるCESG （Communications-Electronics SecurityGroup）の主導により、脅威や緊急対応に関する分析をシェアするコミュニティが組織され、情報共有のプロトコルとプロセスが整備されました。

基本的な対策で攻撃の80％を回避

しかし、注意すべきは、こうした悪用や攻撃はいずれも普段から起こりうるものだということです。通常のセキュリティ対策が万全であれば、こうしたイベントの際にもそれを確実に運用するだけでよいのです。

これまでに複数の国際的な調査から、サイバー攻撃のおよそ80％はごく基本的なセキュリティ対策によって対処できることがわかっています。基本的な対策によってこの80％を確実に回避しておけば、より重大で予測しがたい残りの20％に対して十分なリソースを割くことができます。英国政府はロンドン五輪後の2012年9月に『サイバー・セキュリティ保証に向けた10のステップ（10Steps To Cyber Security）』という企業向けガイドラインを発行しています。私自身は、最低限徹底しておくべき対策として次のようなものが挙げられると考えています。

①〜⑤については、いずれの企業・組織でも通常の対策として行われていることだと思いますが、「すべての」機器やユーザーをカバーしているかという点は見直す必要があるでしょう。1か所でも穴があれば、攻撃が起こる可能性があります。

⑥の資産管理については、会計上の必要性から当然行うべきものですが、知的財産を含む情報資産に対しても、建物や備品などの有形資産と同様に全資産を登録して管理することができているでしょうか。また、そうした資産のすべてを完全に保護することは現実的には不可能ですから、情報の重要度に基づいて優先順位を付け、保護対策をレイヤー化して、最も優先度の高い情報資産に対して多くのリソースを割くようにしなければなりません。

さらに、セキュリティ対策は後付けできません。これはファーウェイでも徹底して行っていることですが、製品やネットワーク、システムを設計する段階からセキュリティを主要な要件として組み込んでおくことが必要です。そして、運用開始後も継続的なテストによってセキュリティ・ホールのない状態を常に維持しておきます。

最後に、前述のように、サイバー・セキュリティは1社だけで対応できる問題ではなく、被害の拡大を抑えるには企業や業界の垣根を超えた情報共有が重要です。とはいえ、インシデントや脆弱性に関する情報は企業にとっては機密事項ですから、このような情報共有を事業上の利益に影響させることなく円滑に行えるよう、英国政府はCiSP（Cyber-security Information Sharing Partnership：サイバー・セキュリティ情報共有パートナーシップ）というしくみを設けています。これは、メンバーとなっている企業・組織のセキュリティ担当者間で、機密性を保ったまま脅威や脆弱性についての情報交換ができるプラットフォームです。日本には同様の取り組みとして情報処理推進機構によるJ-CSIP（Initiative for Cyber Security Information sharing Partnership of Japan：サイバー情報共有イニシアティブ）があります。

著者：HuaWave