2020年東京オリンピックで何をすべきか～ロンドン五輪に学ぶサイバーセキュリティオペレーション（1）準備期間

準備期間は28か月にも及んだそうだ。逆にいえば、大会の2年以上前から、組織や体制づくりを行う必要があるということだ。システム環境を構築したり会場での演習やリハーサルなどは1年前には始められ、さまざまな作業が開会式まで続いた。

特集特集

2015.1.15 Thu 9:15

2012年に開催されたロンドンオリンピック大会は、大会運営から中継ネットワークに全面的にIP技術を導入した大会でもある。にもかかわらず、重大インシデントゼロという結果で成功裏に終わらせている。そのセキュリティ対策は、どのような戦略に基づき、どのような攻撃があり、どのようにそれを防いだのだろうか。

編集部では、東京オリンピック・パラリンピック競技大会組織委員会（TOCOG：The Tokyo Organising Committee of the Olympic and Paralympic Games）のアドバイザーを務めるフィリップ・モリス氏（BTジャパン CTO）にお願いし、これらの疑問をぶつけてみた。モリス氏は、BTの立場でロンドン大会のネットワーク構築からセキュリティオペレーションまでを担当し、大会を成功に導いたひとりでもある。

インタビュー内容を、これから3回に分けてお伝えしたいと思う。第1回は、主に準備期間に的をしぼり、オリンピックセキュリティに対するポリシーや戦略を明らかにしていきたい。第2回では、大会期間中の体制や実際のインシデント対応の事例などを紹介し、第3回はまとめとして得られた教訓と東京大会に求められる対策について述べる予定だ。

●セキュリティフレームワークを作ることから始めた

ロンドン大会に限ったことではないが、オリンピックの競技会場はロンドンシティエリアだけでなくイギリス全土に広がっている。守るべき対象がサーバーや施設の「点」であるとしたら、その拠点は「面」展開されている。また、ネットワーク、Webサイト、デバイスなどのセキュリティ以外に大会運営そのもののセキュリティも考える必要がある。

オリンピックのセキュリティは、企業などで言われているセキュリティと同じではない部分も多い。しかし、モリス氏によればそのフレームワークは共通しているという。モリス氏がロンドン大会で適用したセキュリティフレームワークは、BTのそれをバックグラウンドとしたもので、4つのコアプロセス、プロアクティブ（攻撃を予想する）、プリエンプティブ（攻撃にいち早く察知）、サーベイランス（モニタリング・監視）、リアクト（フォレンジック・修正）によって構成される。

4つのプロセスをどう展開していくかは、保護対象となるアセットごとに情報の重要性（Information Assurance）、想定脅威のコストと影響の分析（費用対効果分析）を元に考える。このリスクベースのアプローチによって、ロンドン大会では350もの新しい大会運営用のセキュリティプロセスを作ったという。これらのプロセスは、サイバーセキュリティ、保安、運営といった分野にまたがり、担当するスタッフは200時間ものトレーニングを積まなければならない。さらにセキュリティ要員は1,000時間の別メニューのトレーニングも必要だったという…

※本記事はScan有料版に全文を掲載しました