SECURE TOKYO 2016 東 京 2020 大 会 に 向 けた サイバーセキュリティの 準 備 平 成 28 年 4 月 27 日 公 益 財 団 法 人 東 京 オリンピック パラリンピック 競 技 大 会 組 織 委 員 会 テクノロジーサービス 局 長 舘 剛 司
2 自 己 紹 介 舘 剛 司 (たち たけし) 東 京 オリンピック パラリンピック 競 技 大 会 組 織 委 員 会 テクノロジーサービス 局 局 長 略 歴 : 1989 年 大 阪 大 学 大 学 院 修 士 課 程 修 了 同 年 日 本 電 信 電 話 株 式 会 社 (NTT) 入 社 映 像 伝 送 システム 次 世 代 IPネットワークの 開 発 サイバーセキュリティ 分 野 の 研 究 開 発 戦 略 の 策 定 などに 従 事 米 国 カリフォルニア 大 学 バークレー 校 経 営 工 学 修 士 課 程 修 了 2013 年 より 米 国 のR&D 子 会 社 (NTT Innovation Institute, Inc.) 設 立 とサイバーセキュリティ 分 野 のR&Dプロジェクトに 従 事 2014 年 より 組 織 委 員 会 へ 出 向 し 東 京 2020 大 会 の 運 営 や 準 備 活 動 に 必 要 なネットワーク 情 報 システムなど 技 術 全 般 に 関 する 計 画 策 定 開 発 運 用 サポートなどを 統 括
3 本 日 のアジェンダ 1. 東 京 2020 大 会 に 際 して 想 定 するリスク 2. 大 会 を 守 るとは? 3. 組 織 委 員 会 のアプローチ 4. IoT 時 代 のサイバーセキュリティ 人 材
1. 東 京 2020 大 会 に 際 して 想 定 するリスク 4
5 大 会 用 システム ネットワークの 概 要 (London 2012の 場 合 ) スタッフ 組 織 委 員 会 スタッフ 8,000 名 /その 他 大 会 運 営 に 関 わったスタッフ 70,000 名 ネットワーク 国 内 100 以 上 のロケにまたがる 大 会 用 ネットワーク 提 供 された 通 信 サービス:Eメール イン ターネット ビデオ/Web 会 議 IP 電 話 携 帯 電 話 業 務 用 無 線 など 情 報 システム 発 行 された 認 証 カード 25,000 名 分 オリンピック26 競 技 302 種 目 パラリンピック 20 競 技 503 種 目 の 競 技 結 果 をリアルタイ ムに 放 送 局 メディアに 提 供 競 技 スケジュール 天 候 輸 送 などに 関 わ る 情 報 を 14,700 人 のアスリートに 提 供 TOC データセンター インターネット ファミリー 用 ホテル IBC/MPC 選 手 村 TOC (Technology Operation Center) IBC (International Broadcast Center) MPC (Media Press Center) 競 技 会 場 コンパウンド
6 London 2012におけるサイバーセキュリティ 大 会 公 式 サイトには 2 週 間 の 開 催 期 間 で2 億 2,100 万 のサイバー 攻 撃 7 月 26 日 ( 開 会 式 前 日 )に 東 欧 のハッカー 集 団 が 大 会 のITインフラに 対 し て 数 10 分 間 に 渡 って 脆 弱 性 を 探 すためのスキャンをかけてきた 7 月 26 日 ( 開 会 式 当 日 )に 電 力 システムを 狙 った 攻 撃 の 情 報 を 受 け 多 く の 技 術 者 を 要 所 ごとに 配 置 するマニュアル 操 作 に 切 り 替 えた 同 日 午 後 5 時 には ( 大 会 公 式 サイトへの)DDoS 攻 撃 がピークに 達 し 北 米 および 欧 州 の90のIPアドレスから1 千 万 リクエストのDDoS 攻 撃 が40 分 間 にわたって 続 いた 8 月 3 日 ( 大 会 終 了 間 近 )には 一 秒 あたり30 万 パケットのDDoS 攻 撃 が 同 じ IPアドレスから 送 られてきた このアドレスはプレス 向 けに 用 意 され 共 同 利 用 されていたもの 出 典 London 2012 prepares for cyber-attacks (The Guardian, Apr 4, 2012) http://www.theguardian.com/sport/2012/apr/04/london-2012-prepares-cyber-attacks The 'cyber-attack' threat to London's Olympic ceremony (BBC, Jul 8,2013) http://www.bbc.co.uk/news/uk-23195283 How the London Olympics dealt with six major cyber attacks (Compiuting, Mar 6, 2013) http://www.computing.co.uk/ctg/news/2252841/how-the-london-olympics-dealt-with-six-major-cyber-attacks
7 過 去 大 会 でも 想 定 されていたリスク( 例 ) 分 類 項 目 備 考 金 銭 目 的 の サイバー 犯 罪 ハクティビスト の 攻 撃 サイバーテロ 偽 チケット 販 売 サイト フィッシング 偽 サイト 偽 アクセスポイントなどによる 個 人 情 報 の 搾 取 ランサムウェアによる 脅 迫 大 会 サイトへの 攻 撃 (DoS 攻 撃 改 ざん) スポンサーや 開 催 都 市 など 関 連 サイトへの 攻 撃 競 技 対 戦 国 の 関 連 サイトへの 攻 撃 大 会 システムへの 侵 入 によるシステム 破 壊 データ 破 壊 大 会 システムの 乗 っ 取 り 重 要 インフラへのサイバー 攻 撃 国 内 だけでなく 海 外 でも 想 定 され る 大 会 に 関 するメディア 報 道 国 の 記 念 日 ネガティブ キャンペーン 関 連 イベント 開 催 などがきっかけ 周 辺 サイトがとばっちりを 受 けやすい 近 年 のスポーツイベントにつきもの 狙 われるかどうかは 大 会 開 催 時 の 国 内 外 の 情 勢 に 依 存 サイバー 戦 争 要 人 を 狙 ったサイバースパイ 海 外 要 人 も 多 数 来 訪 するため
15 2020 年 に 向 けたスポーツ テクノロジーの 動 向 出 典 ascent, a vision for sport and technology, (Atos SE (Societas Europaea)) http://atos.net/content/dam/global/olympic-games/atos-ascent-vision-sport-and-technology-2013.pdf Atos Scientific Communityが 注 目 する5つの 動 向 : 1. リアルタイムでのデータ 利 用 パターンが 形 成 されている 最 中 でも それを 特 定 し 反 応 する 技 術 2. ソーシャルネットワークの 標 準 化 ビッグプレイヤーによる 独 占 的 エコシステムから より 多 様 なネットワークが オープンに 連 携 する 環 境 への 移 行 3. カスタマイズされた 視 聴 体 験 個 人 の 嗜 好 にあわせたショー イベント カメラ 視 野 コメントスタイルなど を 提 供 するパーソナルTVチャンネル 4. 新 しいセキュリティ 情 報 源 ソーシャル 分 析 音 声 認 識 顔 認 識 ロボット 警 官 ロボットカメラ クラ ウドソーシング 5. テクノスポーツ 競 技 ビデオゲーム 仮 想 スポーツリーグ ロボット 競 技
9 東 京 2020 大 会 で 想 定 される 環 境 の 変 化 システム 設 計 構 築 において サイバー セキュリティの 要 件 は 最 も 予 測 が 難 しい 不 確 定 要 素 になりつつあります 大 会 システム 放 送 システムの 進 化 インターネットやクラウドへの 依 存 度 の 増 加 放 送 システムにおけるIP 技 術 の 採 用 拡 大 国 際 情 勢 の 変 化 サイバーテロやサイバー 戦 争 に 巻 き 込 まれるリスク 社 会 全 体 のますますのIT 化 モバイル 端 末 やSNSの 進 化 普 及 による ロン ドン 大 会 より 桁 違 いに 大 きい 通 信 トラヒック スポーツイベントの 世 界 でも ネットワークにつ ながるもの(IoT)が 急 激 に 増 加 関 係 機 関 どうしの 連 携 の 重 要 性 リスクの 広 域 化 複 雑 化 に 伴 い ひとつの 組 織 機 関 に 閉 じてでき る 対 策 には 限 界
2. 大 会 を 守 るとは? 10
34 オリンピックを 守 るとは? オリンピックにおける 最 大 のリスクとは 結 局 はレピュテーションリスクに 尽 きるだろう (Mr. Oliver Hoare, ロンドン 大 会 における 英 国 内 務 省 所 属 の 大 会 全 体 のセキュリティ 責 任 者 ) 1 大 会 ブランドや 社 会 的 責 任 に 与 える 影 響 2 ステークホルダに 与 える 影 響 3 事 業 (ビジネス) 上 の 影 響 オリンピック 憲 章 でうたう 根 本 原 則 に 反 しない オリンピック ムーブメントを 具 現 化 する パラリンピックについても 同 様 に 重 視 する ステークホルダ( 放 送 局 競 技 団 体 など)に 迷 惑 をかけない 円 滑 に 大 会 を 運 営 する 赤 字 を 出 さない/ 法 律 を 守 る/けが 人 病 人 を 出 さない/サステナビリティに 則 う/レガ シーを 残 す ( 注 ) 本 ページの 記 載 内 容 は サイバーセキュリティ 対 策 検 討 用 の 仮 評 価 結 果 であり 実 際 の 評 価 と 異 なる 可 能 性 があります
12 守 るべき 対 象 は? 想 定 リスクの 全 体 像 3. 社 会 全 般 の 観 点 2.パートナ 周 辺 環 境 の 観 点 1. 大 会 運 営 の 観 点 1. 組 織 委 員 会 の 所 管 範 囲 内 で 大 会 運 営 に 直 接 影 響 するもの ( 例. 大 会 システムへのハッキング/ 内 部 情 報 漏 えい/ 予 算 不 足 に 伴 う 運 用 レベルの 低 下 /ドーピング コント ロール システム) 狙 われやすい 対 策 が 漏 れやすい のは むしろ 大 会 システムの 周 辺 環 境 や 日 本 社 会 のインフラ 関 連 企 業 のサイトなどである 3. 間 接 的 に 大 会 への 影 響 が 懸 念 されるもの ( 例. 社 会 基 盤 に 対 するテロ サイバーテロ/SNS 上 での 日 本 東 京 に 対 する 評 価 評 判 / RUGBY 2019へのテロ/ 自 然 災 害 /パンデミッ ク) 2.パートナや 周 辺 環 境 の 問 題 で 大 会 への 影 響 が 大 きいもの ( 例.サプライチェーン 内 在 リスク/ 偽 チケット 販 売 サイト/ 重 要 インフラの 障 害 停 止 / 会 場 周 辺 でのパニック/レピュテーション 低 下 による 参 加 国 のボイコット)
13 大 会 成 功 に 向 けて 社 会 が 抱 える 課 題 日 本 の 通 信 環 境 (インターネット 公 衆 WiFiなど)の 課 題 対 策 徹 底 の 難 しさ モバイルトラヒックの 急 増 に 伴 う 課 題 トレンドを 読 む 難 しさ ネットワークにつながるモノ(IoT)が 急 激 に 増 加 していることに 伴 うルール 体 制 の 課 題 社 会 インフラ 全 体 の 複 雑 性 が 増 している サイバーセキュリティ 人 材 不 足 に 関 する 課 題 どこまで 育 成 すればいいのか? 関 係 機 関 における 情 報 収 集 情 報 共 有 に 関 する 課 題 言 うほど 簡 単 ではな い 関 係 各 国 との 連 携 体 制 に 関 する 課 題 オリンピックだからこそ 協 力 を 仰 ぐべき グローバルに 見 ると 日 本 としてサイバーセキュリティの 経 験 値 が 足 りないのではないか?
14 他 の 開 催 都 市 が 有 している 経 験 値 と 日 本 に 欠 けているもの 基 本 的 には 物 理 的 なテロ 犯 罪 政 治 的 活 動 がサイバー 区 間 に 移 行 しているだけ ロンドン: 政 治 的 プロテスト 集 団 アラブ イスラム 武 装 勢 力 ソチ:イスラム 武 装 勢 力 国 内 分 離 独 立 勢 力 リオデジャネイロ: 麻 薬 組 織 マフィア 平 昌 : 隣 国 との 関 係 実 戦 経 験 のない 組 織 は 本 番 にはきわめて 弱 い より 実 戦 的 な 研 修 演 習 を 取 り 入 れるとともにナレッジを 蓄 積 する 必 要 がある
3. 組 織 委 員 会 のアプローチ 15
16 組 織 委 員 会 がとるべきアプローチ アプローチ1 リスク アーキテクチャ( 全 体 像 )の 把 握 特 定 のシステムや 情 報 を 守 るだけでは 不 十 分 組 織 委 員 会 の 事 業 (ビジネス)である 大 会 のオペレーション( 事 業 継 続 性 )やレピュ テーションを 守 るという 目 標 設 定 が 必 要 複 雑 化 したITシステムも 含 め いろいろな 要 素 が 複 雑 に 関 連 してく る 大 会 運 営 のリスクを 洗 い 出 そうとすると 経 験 則 だけに 頼 っていて も 限 界 がある 基 本 に 立 ち 返 った 検 討 が 必 要 アプローチ2 関 係 機 関 との 連 携 リスク 全 体 像 を 把 握 し 管 理 するためには 関 係 業 界 行 政 機 関 国 際 機 関 近 隣 諸 国 などとの 連 携 が 必 要
1 リスク アーキテクチャ( 全 体 像 )の 把 握 ISO22320( 緊 急 事 態 管 理 危 機 対 応 に 関 する 要 求 事 項 )に 則 った 方 法 論 により 大 会 システム ネットワーク 全 体 に 内 在 する リスクを 洗 い 出 す 共 同 作 業 が 必 要 攻 撃 者 目 線 での 抜 け 穴 探 し 複 合 的 要 因 が 重 なることに より 影 響 が 格 段 に 大 きくなるケース などがリスク 洗 い 出 し のポイント
リスク アーキテクチャに 基 づくPDCA 大 会 運 営 への 影 響 度 評 価 / 対 策 を 実 施 する(しない)の 判 断 / 上 位 組 織 へのエスカレーション/ 大 規 模 かつ 高 度 な 演 習 シナリオ 策 定 と 実 施 / 各 機 関 における 業 務 へのフィードバッ ク など 外 部 要 因 制 御 可 能 ITコンシューマライゼーション 重 要 インフラシステムへの ハッキング 部 内 者 による 情 報 漏 えい 競 技 システムハッキング インシデント 発 生 後 の 対 処 セキュリティ 機 器 の 設 定 運 用 ミス セキュリティ 文 化 の 醸 成 Internet of Thingsの 進 展 国 際 情 勢 の 変 化 公 衆 網 の 輻 輳 サイバーテロ 戦 争 ラグビー2019を 狙 った 攻 撃 不 十 分 な 予 算 体 制 内 部 要 因 サプライチェーン リスク 攻 撃 ツール 市 場 の 拡 大 レピュテーション 高 度 な 攻 撃 への 事 前 対 処 コスト 削 減 への 要 求 ITへの 事 業 依 存 度 の 増 加 制 御 不 可 能
19 アプローチ2 関 係 機 関 との 連 携 国 際 機 関 海 外 機 関 国 としての 集 約 機 関 (いわゆるOlympic CERT?) IOCなど 大 会 関 係 の 国 際 機 関 組 織 委 員 会 CSIRT JOC,JSCなど 大 会 関 係 の 国 内 機 関 放 送 事 業 者 監 督 機 関 監 督 機 関 東 京 都 パートナー 企 業 重 要 インフラ 事 業 者 重 要 インフラ 事 業 者 連 携 は 図 に 書 いて 指 示 するだけでは 進 まない 相 手 の 顔 や 力 量 が 見 えていること 個 人 間 の 信 頼 関 係 が あること がいざという 時 に 連 携 が 機 能 する 必 要 条 件
関 係 機 関 との 連 携 に 関 する 課 題 課 題 1= 目 標 ( 想 定 する 脅 威 )の 共 有 迅 速 な 情 報 共 有 を 実 現 するためにも 大 会 運 営 への 影 響 を 回 避 する 国 / 自 治 体 /スポンサー 企 業 のレピュテー ションを 守 る といった 個 別 具 体 的 な 目 標 の 共 有 が 重 要 課 題 2= 複 雑 系 におけるガバナンス 構 築 クラウドサービス BPOが 多 用 される 環 境 において 関 連 シ ステム インフラ 全 体 の 情 報 セキュリティ 管 理 / 事 業 継 続 性 の 確 保 /インシデント 発 生 時 の 迅 速 な 情 報 共 有 対 処 など のガバナンスをどう 実 現 するか? 課 題 3= 情 報 だけでなく ナレッジ の 共 有 情 報 共 有 基 盤 の 整 備 とともに 蓄 積 された 情 報 をもとにナ レッジ( 動 向 分 析 過 去 データ 参 照 など)として 活 用 すべき
大 会 運 営 に 向 けて 求 められるサイバー 人 材 情 報 セキュリティ 対 策 とサイバー 犯 罪 対 策 ( 攻 撃 予 兆 分 析 犯 罪 未 然 防 止 フォレンジック 対 策 など)の 両 スキル を 備 える 海 外 主 要 機 関 のキーメンバーと 顔 が 見 える 信 頼 関 係 を 持 つ ( 英 語 力 コミュニケーション 力 も 重 要 ) 大 会 時 に 発 生 するインシデントに 対 して 迅 速 な 判 断 決 断 ができる
4. IoT 時 代 のサイバーセキュリティ 人 材 22
攻 撃 専 門 チームの 必 要 性 関 連 するシステム 全 体 の 複 雑 性 が 増 すにしたがい すべてのリス クを 洗 い 出 す 作 業 がますます 難 しくなってきている 穴 を 見 つけてふさぐ という 終 わりのない 作 業 だけを 繰 り 返 しても モチベー ションが 下 がる どこかで 妥 協 したくなる むしろ 新 しい 穴 を 見 つける 誰 も 気 づかなかった 抜 け 道 を 見 つけ る という クリエーティビティ が 重 要 特 にIoTのような 新 しいインフラを 対 象 とする 際 には 守 る だけでなく 攻 める ためのアイディア 出 しこそが 近 道 最 初 からすべての 穴 を 見 つける 必 要 などない 取 り 組 むべき 課 題 は 組 織 をまたがって 検 討 に 必 要 な 情 報 にアクセスでき るような 仕 組 み 権 限 をいかに 持 たせるか? 攻 撃 専 門 チームの 知 見 ( 組 織 にとって 最 重 要 機 密 情 報 )をいかにセキュアに 管 理 継 承 するか?
24 サイバーセキュリティのクリエータとは? 現 在 のサイバーセキュリティの 世 界 を 作 り 上 げた 先 達 も クリエータ だった Brain (コンピュータウイルス) BrainまたはBrain virusとは パキスタン 人 の 兄 弟 が 作 成 した 極 めて 初 期 のコンピューター ウイルスである 文 献 によっては 最 初 のコンピューターウイルスと 紹 介 されている このウイルスはフロッピーディスク 内 のブートセクタに 寄 生 し フロッピーディスクからシステムをコ ピーすることによって 感 染 する ( 中 略 ) 作 者 はパキスタンでコンピューターの 販 売 メンテナンス ソフトウェアの 販 売 を 行 なっていた 会 社 を 経 営 する 兄 弟 であった 彼 らは 違 法 コピー 対 策 として 違 法 コピーにより 感 染 し その 感 染 ソフトを 起 動 した 場 合 に とあるメッセージを 表 示 するようにしたプログラムを 仕 込 んだ そのメッセージには 著 作 権 者 でも あるウイルス 製 作 者 の 名 前 と 会 社 名 連 絡 先 が 表 示 され ウイルスに 注 意 し ワクチン 接 種 が 必 要 な 場 合 は 会 社 へ 連 絡 するように 書 かれていた(すなわちウイルスと 自 ら 名 乗 った) ( 後 略 ) 出 典 ウィキペディア https://ja.wikipedia.org/wiki/brain_(コンピュータウイルス)
レガシーとしてのサイバー 人 材 これまでの 日 本 の 社 会 では サイバーセキュリティはほとんどの 場 合 コストでしかなかった いかにコストを 減 らして 本 業 に 集 中 できるか にしか 興 味 がない 人 達 がま だまだ 大 多 数 この 認 識 で 育 成 される 人 材 とは 結 局 は 守 ることができる 人 材 でしかな い いたちごっこ の 構 造 はなにも 変 わらない これからは だれも 考 え 付 かなかったITの 活 用 方 法 攻 撃 者 の 目 線 になりきった 完 璧 な 防 御 方 法 を 実 現 して 世 界 のハッカーと 勝 負 できる クリエータ が 求 められているのではないか このような 人 材 が 社 会 や 組 織 のIT 化 を 支 えるポストにつき 競 争 力 の 源 泉 として 活 躍 するような 絵 姿 こそが 2020 年 のレガシーではないか
26 最 後 に 国 を 挙 げての 一 大 イベントだからこそ 大 会 の 直 接 の 関 係 者 ( 組 織 委 員 会 スポンサー 企 業 など)だけががんばっ てもうまくいかない 限 られた 人 々だけでやっても 意 味 が ない というのはサイバーセキュリティにも 当 てはまります 業 界 全 体 社 会 全 体 (さらには 近 隣 諸 国 も 交 えて)で 大 会 街 国 を 守 っていく/サイバー 総 合 力 として 一 段 のレベルアップを 目 指 していく という 目 的 意 識 を 醸 成 する ことが 一 番 の 対 策 / 一 番 大 事 なレガシー と 考 えます