リスク管理Naviリスクマネジメントのワンストップ情報サイト

コラム

リオ五輪取材記(後編) リオ オリンピック・パラリンピック大会でのサイバー攻撃に向けたリスク管理と危機対応

2017年03月09日

プリンシパルコンサルタント

内海 良

プリンシパルコンサルタント 内海 良

前回のリオ五輪取材記前編では、議員やリオ市のオペレーションセンターなど主に危機対応についての取材内容をご紹介しました。今回はリオ大会を運営する組織委員会でのインタビューをお届けします。
 

「セキュリティテストに20万時間を費やした」  リオ2016組織委員会:Elly氏

大会が終了して間もない9月末日、リオ2016オリンピック・パラリンピック競技大会組織委員会(リオ2016組織委員会)を訪問し、Technology Operation Centre(以降「TOC」)のマネージャであるMarcelo・Souza氏、テクノロジーサービス局ディレクターのEllie・Resende氏、そしてCISO(最高情報セキュリティ責任者)のBruno・Moraes氏に話を聞きました。

 

1601_ext_05_1.png

     組織委員会オフィス            Elly Resende氏(左)、Marcelo Souza氏

 

オリンピック・パラリンピック競技大会は、約1カ月間の「本番」のために、4年以上も費やしてさまざまな準備を行います。運営主体である組織委員会は、立ち上げから大会開催に向けて組織規模を爆発的に拡大させていき、さらに、国や自治体、民間企業、IOC、各競技連盟など様々な組織とも連携できるよう一体的な取り組みを深めていきます。

このような特異な状況に対して、リオ2016組織委員会では「リスクマネジメント活動は大会開催4年前から実施した」(Elly氏)といいます。しかし着手段階では、具体的に誰がどのような業務を行うのか当然不明な点が多く、4年後の環境変化に伴うサイバー犯罪を見据えて動くにも想像力には限界があったとELLY氏は難しさを指摘します。

そこで、現実的なアプローチとして、初年度はリスクマネジメントのコンセプトづくりを中心に行い、細かな分析ではなく、あくまで大まかな分析に基づきPDCAサイクルを回していったといいます。オリンピックやパラリンピックのように数年後を見据えて準備をするイベントにおいては、PDCAの中で精度を高めていくという一定の「割り切り」を持つことが重要だということです。

2年目以降は、毎年一度PDCAを回す形でリスクマネジメントに取り組んでいきました。PDCAサイクルは、方針決定から事業影響度分析、リスク分析に基づく対応など、極めて標準的なもので、各プロセスの詳細度合いが異なるだけだったということです。PDCAを回しスパイラルアップで高めていくことは企業組織の取り組みと変わらず、仕組みそのものは王道の姿勢だったと言えるでしょう。

1601_ext_05_2.png

     大会終了後の撤収内部                 インタビュー風景

ただし、大会運営を見据えたPDCAを回す成功の鍵は、「積極的な連携なくしてありえない」(Elly氏)という点が企業単体と大きく異なる点だと感じました。例えば、事業影響度分析(BIA)の実施については、目標復旧時間(RTO)など、本来、業務を担当する部局の観点で決定されるべきものですが、細かな業務が定まっていない着手段階では当然、議論しても空中戦になることが多いと考えられます。こういった場面では、テクノロジー局が積極的に他の部局のヒアリングを行い、目標復旧時間を仮設定した上で、徐々に精度を高めていったそうです。このようなリスクマネジメント活動を通じて、最終的にサイバー対応には、3つの注力ポイント必要であることが導き出されたとBruno氏は振り返っています。
 
  1.  リオ大会のイメージを損ないかねないサイバー・アクティビズム(SNSなどの情報共有・拡散を通じて大会の批判活動へつながるような事態)、
  2.  フィッシング等に代表される詐欺行為、
  3. インフラ等へのDDoS攻撃

サイバー・アクティビズムは、セキュリティチームによるスレットインテリジェンス(脅威情報)や州警察によるソーシャル・ネットワーキングの監視チームと連携して常に脅威となりうるものについて情報共有し対応に当たったとのこと。

フィッシング対策については、パートナー企業と契約し、事前にリオ大会と類似する数千のインターネットドメインを特定してモニタリングし、ISPやウェブサイト提供業者と連携して、マルウェアが含まれているケースなどは積極的にテイクダウンしていきました。

インフラ等へのDDoS攻撃などについては、組織委員会として防御デバイスを導入したほか、データセンター内のバックボーン回線上での対策等による複数のDDoS対策で対応。データセンターを分散したことも、DDoS等からの回復、レジリエンスの確保に有用だったといいます。

その他にも、リオ市郊外の選手村付近に設置されたMain Operation Center(MOC)内 に、有事の際のバックアップオフィスとして、リオ市の中心部にあるテクノロジー局の代替拠点機能を備え、いざという時の業務継続態勢を整備していたそうです。

また、テスト・演習の重要性も語ってくれました。数年間という短期間で計50以上のシステムを開発・導入するにあたり、システム完成後に合計20万時間、125に及ぶセキュリティテストを実施したのこと。そのなかには脆弱性診断やペネトレーションテストなども含まれるとのことですが、大規模なインシデント対応の観点では、Liveシステムを利用したRed演習「Cyber War Game」や、サイバー攻撃に加えIT障害や突発的な人員不足なども想定した実働演習「Technical Rehearsal」が効果的だったと言います。

 
主な演習の概要
  Cyber War Game Technical Rehearsal
目的
システムに特化して、実際のLIVEシステムを利用し、防御・被害拡大対応に関するとプロセスの確認
テクノロジー関連の全プロセスにおけるシミュレーション
回数
3回
2回
参加者・形式
3チームに分かれて実施
RED=Tempest, E&Y, Ciscoなど
BLUE=セキュリティインフラ担当開発担当など
GREEN=WAR GAME自体の評価、分析等を実施
テクノロジーのほとんどが参加 各会場で実施 Central Teamが各Technical Rehearsal officer(TRO)を統括
各会場でシナリオ配布・コントロール
シナリオ

オリパラCSIRTにて準備
 
1回目
Adminネットワークを対象に実施

2回目
Gameネットワークを対象に実施
約1000のシナリオを準備(サイバー包含)
 
シナリオはカード形式で参加者へ付与
・電話がつかえない
・無線が使えない
・テクニシャンが会場が来られない、など
 

こういった準備を経て、実際に大会期間中には、約4000万回のセキュリティイベントを検出、約2300万回にのぼるウェブサイトへの攻撃を遮断、223個のDDoS攻撃に対応。リオ組織委員会の管轄外では、「アノニマス」が五輪開催に抗議し、リオ州政府や警察、公営企業などのウェブサイトに侵入し、一時的に閲覧できない状態に陥りました。リオ州の情報通信技術センターが「集中的なハッキング攻撃を受け、復旧作業を急いでいる」との報道もありました。

しかし、大会自体の中止や延期につながる大きなインシデントが発生しなかった背景には、数年に及ぶさまざまな準備とリスクマネジメントが功を奏したと言っても過言ではありません。

総括として、Marcello氏とElly氏に大会成功のポイントを改めて訊いたところ、「信頼感の醸成」と「責任分界点の明確化」を挙げられました。信頼感の醸成については、「セキュリティは重要だが、対話しながら進めないと現場や他組織は情報開示に消極的になり、最終的に非効率になる」ことを強調。実際に運営した2人からの真摯なメッセージは、実感がこもっていると同時に重みのある言葉でした。また「信頼感の醸成には時間がかかる。早い段階で情報交換を行い、ときには外部組織を非公式にオフィスの食事会に招待するなど、対話しやすい雰囲気で情報交換することが成功の鍵」だそうです。

責任分界点においては、さまざまな組織が連携して対応する関係上、コントロールできる範囲が限られることを明確にすることが重要。例えば組織委員会でフィッシングサイトを見つけてもテイクダウンは範疇外で、実際に行うのはISPであり国や州からの指導があって初めて実現する。この責任分界点を明確にしておくことがポイントとのことでした。

2020年東京大会では、これまで経験しなかった未曾有の脅威が発生する可能性が高いだけに、関係組織が一丸となって取り組めるかが非常に重要なテーマであり、大いなるチャレンジであるといえます。

あとがきにかえて:2020年、民間企業に求められる備えとは

 

リオでは大会開催に向けて、街が大きく様変わりしていました。新たな路線バスや電車が開設され、犯罪の温床だったエリアは再開発され観光地として生まれ変わり、今では多くの人が訪れ気ままに時間を過ごしています。

では、2020年、東京にはどのような変化が起きているでしょうか。やはり公共交通機関は大きく変わります。道路にはオリンピック専用レーンが導入され、高速道路では自動運転の実用化が始まっているかもしれません。虎ノ門駅や品川−田町間に新駅が誕生し、水上交通も発達します。青海には大型旅客船ターミナルが完成し、大小の船着き場が整備された水上交通は都民の生活はもちろん、観光客にも大きく利用されるでしょう。さらに発達した情報化社会は、データの膨大化とともにデータセンターの電力消費を押上げ、その値は数倍になると言われています。訪日外国人は増加の一途、街には外国語の看板が溢れ、2020大会開催時には、視界に入る人の半分は外国人、日本語よりも外国語が飛び交う環境になっているかもしれません。

しかし、それらはすべて「今」の延長です。そしてその未来の対応は過去から学ぶことができます。2008年のロンドン大会では、企業活動の自粛要請、在宅勤務を推奨する動きをとりました。不要な混乱を避けるのであれば、東京でも在宅勤務の仕組みを活用するのも手でしょう。残念ながら大会期間中はテロを想定したセキュリティ強化は必然になり、訪日外国人の増加に伴う交通機関の混乱も容易に想像できます。働き方改革のキーワードのもと、業務形態の多様化を推進することは、きっと大会期間中にも役立つでしょう。

サイバー攻撃で言えば、東京大会では、さらにテクノロジーが進み、メディアのオンライン配信によるトラフィック量はリオの数十倍以上の規模になります。あらゆるモノがインターネットにつながるIoT社会の出現は、IoTデバイスがボット化して未曾有のDDoS攻撃が大規模ネットワークのダウンを引き起こす可能性も拭えません。ドローンなど新たな技術を利用した物理的な攻撃は、サイバー空間からの攻撃と融合して、今は想像ができない攻撃が発生する可能性もあります。

狙われるのは、政府や大手企業だけではありません。攻撃者は当然、投資対効果を考えて攻撃してきます。政府や大手企業への攻撃が成功すれば攻撃者が得る効果は大きいですが、サイバー攻撃対策が進む組織を正面突破はしません。それであれば、サプライチェーンの一翼を担う企業を入り口にして攻撃してくるはずです。私が攻撃者ならそうします。

しかし、企業ができることはすべて基本の取り組みです。多層防御はもちろん、デフォルトパスワードの変更や、TelnetやSNMPの使用制限、発見された脆弱性への迅速な修正プログラムの適用など足元を見据えた対策が、基本だけれど最も重要な対策となります。加えて演習を定期的に実施しましょう。演習が組織のレジリエンス能力を飛躍させる近道だからです。これからの企業は2020年に向けて、災害、テロ、サイバー攻撃など様々な脅威を想定した演習が必須となります。演習も中長期を見据え、自組織内での演習から、徐々に取引先やベンダーを巻き込み、連携態勢での取り組みが求められます。
 

取材後記

リオ大会は開催に向けた準備の遅延に加え、ファヴェーラと呼ばれるスラム街の存在を中心とした治安の悪さが大きな懸念材料となっていました。曰く、観光客はスマホを出してはいけない、ビーチに行ってはいけない、夜は出歩いてはいけない。そういった注意喚起は様々な報道で取り上げられ、当然、日本の渡航者の耳にもしっかりと届いていたでしょう。

しかし、当然リオにも、たくさんの人々がいて、当たり前の日々の暮らしがあります。

海外生活が長く、40を超える国・地域を訪問している身としては、初めから現地の生活を実感できる機会をみすみす逃すのはあまりにももったいないという思いでした。そこで、地元の人にアドバイスをもらい、現地に同化する試みなど幾つかの工夫を凝らしました。

そして夜には地元で有名なレストランでピカーニャの美味しさに驚き、日暮れ時には爽やかな風が渡る広々としたイパネマビーチを散策し、その素晴らしい景色をスマホで写真に収めました。現地の方の「2,3年住むと、銃声の音が聞き分けられるようになるよ」という話に恐怖は感じたものの、リオの光と闇を実際に体感し、東京の600倍ともいわれる強盗発生率と言われるこの街が大好きになりました。大会を目的にリオを訪れた人々にとって、競技を観戦したことは一生の思い出でしょうが、そのなかでしっかり観光を楽しんだ日本人は少なかったでしょう。心から残念に思います。

せっかく異国の地を訪れたのであれば、やはりその土地の歴史を知り、料理を食べ、観光を、人々の暮らしを体感してほしい。そして2020年に東京を訪れるであろう異国の客には、東京、そして日本の良さを存分に味わっていただきたい、そう強く願わずにはいられない取材ツアーでした。
 
※今回の後編については、リスク対策.com誌11月号への寄稿記事に加筆修正したものです。