第31回オリンピックがリオデジャネイロで開幕した。インフラ整備の遅れや治安の悪化などが指摘されているが、もう1つ、大きな課題がある。サイバー攻撃だ。世界中から注目されているイベントでは、サイバー攻撃が集中する。
7月にシンガポールで開催された「RSA Conference Asia Pacific & Japan 2016」には、2012年のロンドンオリンピックで公式コミュニケーションサービスプロバイダーを担当した英BTも出展した。2020年の東京オリンピックでは、どのようなサイバー攻撃が想定されるのか。同社グローバルサービスで東南アジア地域セキュリティ部門責任者を務めるSunny Tan氏に、話を聞いた。
「オリンピックCERT」は必須
同社グローバルサービスで東南アジア地域セキュリティ部門責任者を務めるSunny Tan氏
ロンドンオリンピックは「史上初のデジタルオリンピック」と言われている。オリンピック公式ウェブサイトは、47億3000万のPV(ページビュー)と1億900万のUU(ユニークユーザー)数を記録した(いずれも大会期間中)。BTとCiscoは、世界最大(当時)の高密度Wi-Fiネットワークをオリンピックパーク周辺に提供し、スタジアム内には300のアクセスポイントを設置した。期間中、オンライン動画リクエスト数は1億600万に上ったという。
英国政府はオリンピックに合わせ、英国共同の専任チームである「オリンピックCERT」を立ち上げた。また、テクノロジー・オペレーション・センターにはスタッフ600名を配し、24時間体制で監視に当たった。しかし、「それでも課題は残った」とTan氏は振り返る。
いちばん攻撃が集中したのは、開会式期間中だった。大会全体を通じて23億5000万件のセキュリティシステムメッセージが記録され、2億件の悪意のある接続要求をブロックした。しかし、ウェブサイトのスプーフィングやメールによる詐欺被害(架空チケットの販売など)は、防止できなかったという。
オリンピックのような、様々な組織が集まり、1つのシステムを運用する際に留意すべきは、システム(セクター)間の連携が不可欠だとTan氏は指摘する。「特にオリンピックの場合には、民間セクターと政府機関、さらに(オリンピックに特化した)独自の組織が連携する必要がある。もし、それぞれが独自のやり方でセキュリティ対策を講じれば“サイロ化”が生じ、必ず“穴”が発生する。セキュリティを一元管理できるポジションを構築することが望ましい」(同氏)
ロンドンオリンピックでも課題となったが、東京オリンピックではさらに深刻になる課題としてTan氏が上げるのが、「セキュリティ人材の不足」だ。ロンドンオリンピックの際にはネットワークエンジニア不足が深刻であり、「最新の製品を提供しても、使いこなせる人材がおらず、その教育に時間がかかった」(Tan氏)という。
可視化はセキュリティの第一歩だが、正しく分析できなければ意味がない。Tan氏は「人材が不足している状況においては、自動化できる部分と人間が判断する部分を明確にし、(人への)負担を軽減させることも大切だ」と指摘した。