2020年東京オリンピックで何をすべきか ~ロンドン五輪に学ぶサイバーセキュリティオペレーション(1)準備期間 | ScanNetSecurity
2024.04.30(火)

2020年東京オリンピックで何をすべきか ~ロンドン五輪に学ぶサイバーセキュリティオペレーション(1)準備期間

準備期間は28か月にも及んだそうだ。逆にいえば、大会の2年以上前から、組織や体制づくりを行う必要があるということだ。システム環境を構築したり会場での演習やリハーサルなどは1年前には始められ、さまざまな作業が開会式まで続いた。

特集 特集
東京オリンピック・パラリンピック競技大会組織委員会アドバイザーを務める、BTジャパン CTO フィリップ・モリス氏
東京オリンピック・パラリンピック競技大会組織委員会アドバイザーを務める、BTジャパン CTO フィリップ・モリス氏 全 4 枚 拡大写真
2012年に開催されたロンドンオリンピック大会は、大会運営から中継ネットワークに全面的にIP技術を導入した大会でもある。にもかかわらず、重大インシデントゼロという結果で成功裏に終わらせている。そのセキュリティ対策は、どのような戦略に基づき、どのような攻撃があり、どのようにそれを防いだのだろうか。

編集部では、東京オリンピック・パラリンピック競技大会組織委員会(TOCOG:The Tokyo Organising Committee of the Olympic and Paralympic Games)のアドバイザーを務めるフィリップ・モリス氏(BTジャパン CTO)にお願いし、これらの疑問をぶつけてみた。モリス氏は、BTの立場でロンドン大会のネットワーク構築からセキュリティオペレーションまでを担当し、大会を成功に導いたひとりでもある。

インタビュー内容を、これから3回に分けてお伝えしたいと思う。第1回は、主に準備期間に的をしぼり、オリンピックセキュリティに対するポリシーや戦略を明らかにしていきたい。第2回では、大会期間中の体制や実際のインシデント対応の事例などを紹介し、第3回はまとめとして得られた教訓と東京大会に求められる対策について述べる予定だ。

●セキュリティフレームワークを作ることから始めた

ロンドン大会に限ったことではないが、オリンピックの競技会場はロンドンシティエリアだけでなくイギリス全土に広がっている。守るべき対象がサーバーや施設の「点」であるとしたら、その拠点は「面」展開されている。また、ネットワーク、Webサイト、デバイスなどのセキュリティ以外に大会運営そのもののセキュリティも考える必要がある。

オリンピックのセキュリティは、企業などで言われているセキュリティと同じではない部分も多い。しかし、モリス氏によればそのフレームワークは共通しているという。モリス氏がロンドン大会で適用したセキュリティフレームワークは、BTのそれをバックグラウンドとしたもので、4つのコアプロセス、プロアクティブ(攻撃を予想する)、プリエンプティブ(攻撃にいち早く察知)、サーベイランス(モニタリング・監視)、リアクト(フォレンジック・修正)によって構成される。

4つのプロセスをどう展開していくかは、保護対象となるアセットごとに情報の重要性(Information Assurance)、想定脅威のコストと影響の分析(費用対効果分析)を元に考える。このリスクベースのアプローチによって、ロンドン大会では350もの新しい大会運営用のセキュリティプロセスを作ったという。これらのプロセスは、サイバーセキュリティ、保安、運営といった分野にまたがり、担当するスタッフは200時間ものトレーニングを積まなければならない。さらにセキュリティ要員は1,000時間の別メニューのトレーニングも必要だったという…

※本記事はScan有料版に全文を掲載しました

《》

関連記事

この記事の写真

/
PageTop

アクセスランキング

  1. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  2. GROWI に複数の脆弱性

    GROWI に複数の脆弱性

  3. 雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  4. クラウド型データ管理システム「ハイクワークス」のユーザー情報に第三者がアクセス可能な状態に

    クラウド型データ管理システム「ハイクワークス」のユーザー情報に第三者がアクセス可能な状態に

  5. 2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査

    2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査

  6. セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  7. インターネット専用宝くじで当選本数の登録誤り、1 等 200 万円 10 本が 200 本に

    インターネット専用宝くじで当選本数の登録誤り、1 等 200 万円 10 本が 200 本に

  8. PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

    PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

  9. 社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表

    社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表

  10. KELA、生成 AI セキュリティソリューション「AiFort」提供開始

    KELA、生成 AI セキュリティソリューション「AiFort」提供開始

ランキングをもっと見る