Introduction(前章)
大きなスポーツイベントは観客、スポーツの熱狂的ファン、メディア、企業、国々にとって魅力的であるが、それはサイバー犯罪者にとっても同様である。大きなスポーツイベントを開催することは複雑な事業ではあるが、同時に観光産業を拡大し、雇用を創出し、国家の認知度、投資、インフラとコミュニケーションの向上をもたらす。 私たちはリオオリンピックをはじめとしたスポーツイベントに対するDoS攻撃、怪しいストリーミングサイト、公式サイトの偽装、支払いシステムのハイジャック、違法なモバイルアプリケーション、そして大量のフィッシング攻撃を見てきている。
2016年のリオオリンピックでは、数百件のインターネット詐欺が報告され、 数百万ドルの損失がでている。これらの詐欺は、何も疑うことのないユーザーに対して、偽装ウェブサイトを使い、嘘のロトの勝ちくじ付きの偽オリンピックチケットを販売するというものだった。さらに、
・リオオリンピックを標的とした複数のDDoS攻撃が、主催者とブラジル政府のウェブサイトに対して行われた。主に対象となったのは2016 Games(brasil2016.gov.br)、 リオデジャネイロ州政府のポータル(rj.gov.br)、スポーツ省 (esporte.gov.br)、ブラジルオリンピック委員会COB(cob.org.br)、リオ公式サイト 2016年オリンピック(rio2016.com)。
・ハッカーはリオデジャネイロ市長、リオデジャネイロ州知事、スポーツ大臣、ブラジルオリンピック委員会委員長、その他3名のビジネスマンの個人情報を流出させた。
・オリンピック金メダリストのマイケル・フェルプスの個人ウェブサイトも身元不明のハッカーによるDDoS攻撃の対象となった。
・上記以外にも多数…
日本は大規模なスポーツイベントを成功させた経験がある-1964年の夏季オリンピックはよく計画され、最も大きな成功をおさめた夏季オリンピックの1つだと言われている。
Complexity of Tokyo Summer Olympic 2020(東京2020オリンピックの複雑さ)
東京2020オリンピックはデジタル主体になり、情報技術(IT)と運用技術(OT)システムが相互に接続されつつ、完全に融合され、スムーズなスポーツ観戦体験をもたらすだろう。さらに興味深いことに、日本はこの大会において、自立輸送、デジタルスポーツ機器やシステム、中央管制システムによる施設運営、相互接続された電力供給、VR / AR、デジタルディスプレイとエンターテインメントシステム、アクセス/サーベイランスシステム、コネクティッドIOTや通信技術、24時間対応の健康管理、Webでの位置情報や販売地点情報のような最新技術を活用することで、「史上初の真のデジタル化かつ相互接続されたオリンピック」を実現しようとしている。
しかし、これらの先進技術は同時に、数多くのベクトルからIT/OTスポーツシステムに侵入するための、新しい攻撃対象と出入口を作ることにもなる。集中管理システムは、重要な機能を完全に制御すると同時に、これらのシステムに侵入するハッカーが重要なオペレーションに壊滅的な被害を与え、様々な悪影響をもたらすことを可能にする。それこそ大規模停電、事業運営の停止、重要な機能やサービスの停止、破壊的な物理的損害、人命を喪失しかねないような大混乱の可能性もある。
さらにサイバー攻撃によって、法的措置、顧客の信頼の喪失、大会の運営そのものに深刻な影響を生じさせるような障害を引き起こすおそれがある。スポーツイベントを標的としたサイバー攻撃は、保険、合法賭博、スポーツ放送、広告、収入、スポーツ商品、プロスポーツ競技といった関連産業に影響を与える可能性のあるネガティブな連鎖反応を作り出すことがある。
日本がサイバーセキュリティ課題へ取り組むことは、現在の地域政策的な状況により困難になる。単なる金銭目的犯罪ではなく、国家的な後ろ盾があると疑われる組織的な犯罪者による風評被害や大会全体の被害が活発になる。
Japanese Government Gearing up for the Olympics Cyber Security Challenge(オリンピックサイバーセキュリティ対策に向けた日本政府の備え)
日本政府はITやOTに対するこれらの差し迫ったサイバー脅威を認識しており、人材が互いに学び合うための様々なイニシアチブを設定したり、中途採用の専門家たちに対してサイバーセキュリティドメインでのキャリア形成、経営幹部に現在のサイバーにおける脅威の状況やセキュリティ対策を意識づけできる影響力、次世代の研究開発エンジニア育成-といったトピックに対する理解度を深めるように推奨している。
Conducting Simulation Test(シミュレーションテストの実施)
日本政府は、2020年の東京における差し迫った脅威を認識して、2014年には6回だったサイバーセキュリティの主要な訓練の回数を、2016年には年間10回に増やした。これらは大規模なサイバー攻撃が発生した際の、公的機関と主要ビジネス間の連携レベルをテストするために行われる。これらの模擬サイバー訓練は通常、輸送、公益事業、銀行業、航空業などの主要な産業にかかわる複数の政府部門と企業が関与しており、この訓練では、インシデント対応と被害対策のテストを行っている。
Changing Business Executive’s Perspectives(経営者の視点の変革)
しかし、ここで大きな問題となっているのは民間部門で、日本企業の経営層の34%は、全体的なビジネスリスク評価の一環としてサイバーセキュリティの脅威を考慮していない。2017年3月、日本政府はサイバーセキュリティ人材育成プログラムの案を策定した。 この素案では、サイバーセキュリティはコストセンターではなく、企業にとって競合他社に勝る優位性を提供し、新しいビジネス価値を養い、企業の国際競争力を高めるものであると啓蒙し強調している。企業は競合他社に対して新しい 企業価値を高め、企業の国際競争力を高めます。 さらにこのなかでは経営層に対し、サイバーセキュリティ対策をその企業の社会的責任の一環として考え、社内においてサイバーセキュリティの意識を高めるよう推奨している。
Protecting Operational Technology of Critical Infrastructure Protection(重要インフラ防衛の運用技術の保護)
日本経済産業省(METI)は、産業制御システム、監視制御システム(ICS / SCADA)をとりまくリスクについては認識しており、2017年4月にIPA産業サイバーセキュリティセンター(ICSCoE) を発足した。このCOEが目指しているのは(1)人的資源の開発(2)国内のICS / SCADAのセキュリティと信頼性 (3)サイバー脅威情報の活用による既存のセキュリティコントロールの強化、である。
Protecting Internet of Things(IoTの保護)
総務省ではIoTに対する攻撃の可能性に備え、東京2020オリンピックに向けてIoTセキュリティを強化するために、2017年1月にIoTサイバーセキュリティアクションプログラム2017を開始した。このプログラムはトレーニングセンターを設立し、さまざまなサイバー練習を行うことで、サイバーセキュリティの人材育成、意識向上と準備活動のための国全体の取り組みを加速させることを目的としている。ナショナルサイバートレーニングセンターには、ネットワークのサイバー攻撃に対するモニタリングと可視化をおこなうNICTER(Network Incident analysis Center for Tactical Emergency Response)や、様々なシナリオのサイバー攻撃に対するクラウド基盤の能力も備えている。
Stakes are Higher than Ever(賭けの代償はこれまで以上に大きい)
デジタルの増殖は、先端技術を防衛する仕組みの開発や適用のスピードを上回っている。ある面では企業はテクノロジーをビジネスイネーブラとして継続して利用し、生産性を高め、ビジネスプロセスを最適化する必要がある。また一方で、新たな技術によって課される新たな攻撃の複雑さと多様性に対応する必要もある。
東京2020オリンピックへの備えのような日本政府の積極的な取り組みを見ることは、とても励みになる。これらの取り組みは、さまざまな部署の専門家間の密な連携を促進し、サイバーインシデントが発生した場合に重大な役割を果たす。サイバーインシデントでは、さまざまな組織があらゆる災害に対して調整された対応を要求される―これは自然災害においてレスキュー隊がどのように対応するかと非常に似通っている。サイバーセキュリティにおいては、準備できることには限りがあり、決して100%の保護はできないが、私はこれが組織的な取り組みに向かう前向きな一歩だと信じている。
英国組織委員会がいくつかの政府機関と一般企業 の助けを借りて集めた先見の明と堅牢なサイバープランにより、混乱を最小限に抑えたLondon 2012から学んだこととして、
サイバーセキュリティ対策のために、日本政府が検討すべきこと;
・全体的なサイバー戦略、IT / OT / IOTおよび先進テクノロジーの包括的なポリシー、先進技術の攻撃領域(Attack Surface)アセスメントと対策計画
・先進および旧テクノロジーへのサイバーリスクアセスメント
・すべての入力/出力チャネルの脅威プロファイリング
・サイバー攻撃の定期的なシミュレーション、検証、セキュリティ運用への取り込み
・保護、監視、検出機能を備えた適切なセキュリティコントロール
・発生した脅威の隔離と能動的な修復
・リスクプロファイルに基づく脅威の分類と、適切なセキュリティ制御の適用
・相互連携システムにおける脆弱性評価を実施するための継続的な演習(Red and Blue Teaming Exercise)
・効果的なサイバーインシデント対応計画
これは、日本がオリンピックを成功裏に収めるのを助けるだけでなく、今後開催されるであろう更なる大規模なスポーツイベントに対する礎になる。