東京に生かすべき、リオにおけるサイバーセキュリティの教訓とは：リオ五輪、セキュリティの舞台裏（2）（1/2 ページ）

　本連載「リオ五輪におけるセキュリティの舞台裏」では、前編で「リオ五輪のサイバーセキュリティ、対策はどう行われたのか」と題し、現場責任者たちが語ったリオオリンピックのサイバーセキュリティ体制についてレポートした。今回は後編として、政府および重要インフラの対策に続き、リオにおける課題、東京に向けた教訓をお届けする。

政府・重要インフラのセキュリティ対策

　オリンピックでは、政府・自治体や重要インフラが絶好の標的になる。実際、リオデジャネイロオリンピックでは、開催期間中の2016年8月に、政府および自治体関連のインシデント件数は、通常に比べ38％増加したという。

　ブラジルでは国としてサイバーセキュリティ計画を立案。軍のサイバー防衛センター（CDCiber ：Centro de Defesa Cibernética ）が調整役を担って、対策を実行したという。

ブラジル政府のセキュリティ体制

　重要インフラ企業における対策の例として、Lightという電力会社がある。同社はオリンピックの開催本部をはじめとする中核施設に隣接した変電所を構築し、運営。2014年のワールドカップで同様な役割を果たした際に、同社が受けた攻撃は約300万件だったが、今回は1300万件に達したという。

Lightにおけるセキュリティ対策

　Lightでは、ITおよび制御システムを対象としたセキュリティ対策を実施した。DDoS対策では通信事業者と連携。社内ではオリンピック開幕1週間前に全パスワードをリセット、ポータブルなストレージメディアの利用を厳格に管理、VPNの利用を制限し、全ネットワークを対象にATP（Advanced Threat Protection）を適用したという。

リオのサイバーセキュリティチームが痛感した課題

　シスコのリオオリンピックにおけるプロジェクトリーダーを務めたRodrigo Cardoso Uchôa（ロドリゴ・ウチョア）氏は、同オリンピックを振り返って、次の課題を指摘した。

啓蒙および教育

　オリンピックは、参加者や国にとってサイバーセキュリティに関する議論を深める絶好のチャンスにもなる。だが、状況を理解しきれない人も多い。セキュリティについての高い意識を継続してもらうことは非常に難しい。

ペネトレーションテストやサイバー演習の調整

　テストは繰り返されなければならない。さまざまな組織で、次々に新しいシステムが導入されていく。従って、テストに終わりはない。だが、テストや演習の調整には、大量の時間と手間が掛かる。

インシデント対応における複数組織間の協力

　リオオリンピックでは、ブラジル軍の機関であるCDCiber、CERT-BR、シスコ、Atos、シマンテックなどが、互いに協力してセキュリティインシデント対応を実施した。そこで、適切なプロセスを確立して対応を自動化するために、どのようにITを活用していくかが課題になった。

テクノロジーの凍結

　今回のオリンピックでは、「利用するテクノロジーを1年前に凍結する」のが全般的なルールとなっていた。しかし、セキュリティの世界において、これでは役に立たない。攻撃者は、どんどん学習してくる。これに対抗するには、セキュリティインフラを継続的に改善していかなければならない。利用テクノロジーを「凍結」することは非常に難しい。

BYODデバイスへの対応と多様な文化の混在

　五輪ネットワークインフラのユーザーは、200カ国から集まってきた人々だ。この人たちが持ち込む端末は多様で、ユーザー自身の振る舞いも国によって異なる。言語や文化の多様性は、包括的なセキュリティ対策を難しくする。

　一部の人々は、コンピューターウィルスを持ち込む。それでも、各自に適切な接続サービスを提供しなければならない。ブラジルで2014年に開催されたサッカーのワールドカップでは、組織委員会がインターネット利用ポリシーを提示したが、プレス関係者は、「指図される必要はない」として、受け入れなかった。

脅威インテリジェンスの管理と共有

　脅威に関するインテリジェンスについては、多様な情報源から情報を収集し、管理しなければならない。これは簡単な作業ではない。

セキュリティイベントの収集、相関分析

　五輪インフラやインターネットにおけるセキュリティイベントを収集して処理し、相関性を見いだし、分析するという作業は、件数が数十億から兆単位の規模に達すると非常に難しくなる。かといって、基本的な相関性を探るだけのシステムでは不十分だ。機械学習やAIを効果的に活用していくことは不可欠だ。

重要インフラのサイバーセキュリティ

　重要インフラを担っている組織は、公的機関、私企業を問わず、適切なセキュリティ対策を講じないと、オリンピック全体を危機に陥れる可能性があることを、認識しなければならない。だが、対策を講じること、そして最善のサイバーセキュリティ計画を立案することを、われわれが強制するわけにはいかない。これが難しかった。

　実際に準備の過程で、「準備はできている。何も新しいことをする必要はない」、あるいは「当社は銀行だが、オリンピックのスポンサーというわけではない。なぜ心配しなければならないのか」といった声も聞かれた。攻撃の対象にならないという保証はない。対策が不十分と見るや、彼らは狙ってくる。