もう一つ、今後のセキュリティ・キャンプに期待されていることがある。2020年の東京オリンピックに向けたサイバーセキュリティ対策を底上げする役割だ。「2020年に向けて盛り上がっているが、2020年の後もサイバーセキュリティ対策は続けていかなくてはならない」(三輪氏)。
8月11日には特別講義として、東京オリンピック・パラリンピック競技大会組織委員会 テクノロジーサービス局 局長の館剛司氏と、同警備局 サイバー攻撃対処部 第二部 課長の中西克彦氏が講演を行った。
館氏は、オリンピックにおいては、競技結果の計測システムや配信システム、会場内のインフラとなるWi-Fiや公式Webサイトなど、大会そのものを支えるシステム群はもちろん、それを取り巻く日本の社会全体のインフラ——交通機関や物流システム、放送システムなども安全かつ安定して運用できるよう整備していく必要があると述べた。
「『まだ五年』ではなく、『もう五年』しかない。日本のレピュテーションを落とさないために、安心・安全なインターネット環境やモバイル環境、IoT、重要インフラなどをそろえていかないといけない」(館氏)。そのためには、コンピュータやネットワークの専門家だけでなく、ハードウエアやインフラ産業の専門家とも協力していく必要があるとした。
館氏は「2020年も、『攻撃と防御のいたちごっこ』という構造は変わらないだろう。一方で、コンピュータの処理能力は向上し、社会インフラは複雑化する。攻撃対象や手口はますます多様化し、攻撃ツールの市場は拡大するという変化は、ますます深刻化するだろう」と予測する。
こうした問題に立ち向かうために重要な事柄として、館氏は「攻撃者に関する情報収集と分析」を挙げた。これを実現し、攻撃の裏にあるものは何かを理解するには、他の国・組織との協力が不可欠になる。「ただ、言葉で言うのは簡単だが非常に難しい。協力する相手の能力を見極められるかどうかは、こちらの実力に依存することだからだ」(同氏)。
館氏はこうした課題に加え、サイバーセキュリティが単なるコストと見られている現状では、いたちごっこが続くだけだと指摘。「これから必要なのは、誰も考えつかなかったITの活用法や、攻撃者の目線に立って考えた防御方法を実現する『クリエイター』だ。これができればITセキュリティは、単なるコストではなく新しい価値になるだろう。単に技術の使い方を学ぶだけでなく、クリエイティブな領域で世界のハッカーと対抗できる人材が必要だ」と受講者に呼び掛けた。
最後に同氏は、オリンピックによって開催国にはさまざまな「レガシー」が残されることに言及した。例えば1964年の東京五輪では、新幹線や高速道路などのインフラが好例だ。
「サイバーセキュリティの領域で、2020年大会はどんなレガシーを残せるだろうか。ロンドンでは、オリンピックを契機に産業界や官公庁のセキュリティのレベルが格段にアップした。さまざまなレベルの教育プログラムが整備され、その卒業生が国に採用され、国としてのサイバーテロ対策を強化するなど、いろいろな面でオリンピックがいい方向に働いた」(館氏)。
果たして日本の場合はどうなるだろうか。
「真のハッカーは、今社会が直面している課題に挑戦し、新しい解決方法を考え出そうとする。こうした人材が社会や組織の中枢を支えるポストに就き、競争力の源泉として活躍する、そんな姿をオリンピックが加速してほしい」と館氏。自分の競技だけでなくさまざまな競技に興味を持ち、常に何かを学ぼうとするトップアスリートの姿勢も参考に、さまざまな分野の知識を得て成長してほしいと呼び掛けた。
続けて中西氏は、Computer Security Incident Response Team(CSIRT)を中心に、より実務的な面での対策について紹介した。
オリンピックの歴史をひもとくと、20世紀は物理的なテロへの対策が中心だった。だがロンドン大会では、開会式直前に電力システムの監視制御システムが狙われるという情報が入り、多くの人員を配置する騒ぎになったという。加えて、いわゆる「悪意ある接続」も多数観測された。
2020年の東京オリンピックでは、それが増加するであろうことは想像に難くない。「北京大会では通信の95%は電話だったが、ロンドンでは95%がデータ通信で占められた。東京ではその上、IoTなどがつながる時代になっていくため、より多くのデータをさばいていかなくてはならない」(中西氏)。
こうした想定の下、公開サーバーへの攻撃や内部ネットワークへの侵入、ドローンや自動車の遠隔操作などさまざまな脅威を想定し、対策を検討し始めているという。対策には万単位の人材が必要になるが「テクノロジを駆使して人を減らしていく工夫もしていかなければならない。例えば、画像認識技術を用いてマッチングしたり、行動検知によって問題を自動的に見つけるといった技術の採用が決まっている」(中西氏)。
一連の取り組みの中では、CSIRTというインシデントレスポンス体制作りが重要になってくる。「CSIRTというと攻撃への対処が思い浮かぶが、事前の日常業務が非常に重要だ。情報を集め、必要に応じて注意喚起したり、予防したりと言った取り組みが必要になる」(中西氏)。同氏はCSIRTの役割として
という4つの仕事を挙げた。
中西氏は、「特にこだわってやってもらいたいのが、『情報を集めて共有する』というところ。技術だけではなく、国際情勢や歴史、文化、政治的情勢を見て、今どんな動きが活発なのかを把握する。同時に、守る側の視点として、自分たちの持っているシステム構成や情報資産を把握する。その上で法律やガイドライン、市場動向を押さえておくと、守るプランを立てやすい」と述べ、おそらく多くのセキュリティ技術者が日々取り組んでいるであろう攻撃手法やセキュリティ事故ニュースのチェックに加え、世界的な情勢を理解しておくことも重要だとした。
こうして集めた情報を発信し、互いに参照し合う。そしてコストを意識しながら多層防御を実施し、その上でいざという時に備えたトレーニングを実施するなど、CSIRTが取り組むべき事柄は多いが、ポイントになるのはやはり情報を収集し、それを分かりやすく伝えていくことだと中西氏は述べた。
「情報を集めて共有するところに時間をかける必要がある。攻撃者目線も重要だが、同時に一般教養も大切だ。また、経営者目線で対策を進めることができるよう、分かりやすい言葉で説明し、コミュニケーションできることも重要だ」(中西氏)。
最後に中西氏はキャンプ受講者に対し、全員が「安全に関わる連携体制」を構築する要員だと呼び掛けた。「例えば友人や家族のパスワードが突破されたり、ブロードバンドルーターや研究室のネットワークが不正アクセスを受けたりすることがあるのではないか」と指摘し、こうした身の回りのことから安全を構築していくことが、ひいては「日本は安全な国だ」と評価されることにつながるとした。
そして「セキュリティに限らず、ボランティアなど何らかの形でオリンピックに携わってもらえるときっと楽しいはず」と呼び掛けた。
Copyright © ITmedia, Inc. All Rights Reserved.