2020年、東京ではオリンピックが開催される。インターネットが社会の基盤となった時代の大規模国際イベントとしては、初の国内開催となる。来たるべき東京オリンピックをどう迎えるのか。「ソチ2014から東京2020、情報セキュリティの現在(いま)と未来」と題した講演会が、10月28日に秋葉原で開催された。
登壇したのは、内閣審議官 内閣官房情報セキュリティセンター副センター長の谷脇康彦氏、2014年ソチ冬季オリンピックでITセキュリティを担当したKaspersky LabのCEO ユージン・カスペルスキー。講演の後には、KADOKAWAアスキー総合研究所 取締役 主席研究員の遠藤諭氏をモデレーターに迎え、三者によるパネルディスカッションが行われた。本記事では、パネルディスカッションで語られた内容を中心に振り返る。
インフラの保護
オリンピックを成功させるために重要なポイントとなるのは、インフラだ。安定した通信インフラや交通システムをはじめ、さまざまなシステムの安定稼働は大前提だが、そのすべてを支える電力供給システムが重要となってくる。こうした「重要インフラ」を守ることが国の主な役目である、と谷脇氏は述べた。
通信インフラに関して、谷脇氏は「通信トラフィックをキープすること」「サイバー攻撃から守ること」を挙げた。膨大なトラフィックをさばき、瞬間的なトラフィックのスパイクに対応できるようなキャパシティが、通信インフラには求められる。また、通信インフラを狙うサイバー攻撃にも備えなければならない。ソチでは、重大なインシデントに結びつきかねないクリティカルな攻撃が1日あたり最大50件あった。クリティカルでない攻撃は、1日あたり1,000件を超えたという。夏季オリンピックは冬季オリンピックの約3倍の規模と考えると、トラフィック量も攻撃数もソチを大きく上回ることが予想される。
また、時代は「IoT(モノのインターネット)」だ。コンピューターやスマートフォンに限らず、多彩な機器がネットワークにつながるようになってきた。6年後となればスマートテレビが普及しているだろう、とユージンは指摘する。スマートテレビは、新たな通信トラフィックを生むだけでなく、コンピューターほどセキュリティが講じられていないことから攻撃の端緒として狙われる可能性もある。
人材育成
谷脇氏とユージンがそろって指摘したのは、ITセキュリティ人材の育成だ。人材の不足は世界的であり、日本にとっても重要課題だ。そこで、「直近の戦力発掘」と「将来の人材の育成」(谷脇氏)にスポットライトが当たる。
日本だけでなく、世界的に見てもITセキュリティ人材の育成が急務
Tweet
現在、日本でITセキュリティに従事する人材は26.5万人。うち、一定の水準に満たない人材が16万人。一方、セキュリティに限らずITに従事する人材は106万人、SEは80万人。これら人材がセキュリティの素養を身につけるのが理想だが、経営陣はセキュリティを重要事項と認識していないことが多い。そこで、経営陣の意識改革がひとつのポイントとなり得る、と谷脇氏は指摘する。たとえば、企業が直面し得るリスクのひとつとしてサイバー関連のリスクをとらえるという考え方にシフトしていけないか。有価証券に記載するリスクの中にサイバー関連も含めることを推奨するガイドラインの策定を、政府と金融庁との間で検討中だという。
また、遠藤氏からはプログラミング教育の提案があった。政府もその重要性を認識しており、初等教育からプログラミングをカリキュラムに組み込むことを検討しているという。プログラミングのノウハウと論理的な思考を身につけた人材を育てる狙いだ。ロシアは高い技術力を持った人材が多いことで知られているが、プログラミングやコンピューターサイエンスを初等教育から取り入れているという。プログラミングだけでなく言語の教育も重要である、とユージンは付け加えた。攻撃はさまざまな国から発せられ、攻撃コードの解析には複数言語の知識が求められるためだ。また、教師の育成も不可欠だ。政府は現在、情報セキュリティ普及啓発を目指す産官学の協力体制を作ろうとしている。
1964年東京オリンピックは、新幹線や高速道路を後世に残した。2020年は、ITセキュリティの人材と教育システムを後世に残すだろう、と谷脇氏は語った。
協力体制と入念な準備
オリンピックにおけるITセキュリティを確保するためには、膨大なリソースが必要だ。ソチでITセキュリティを任されたKaspersky Labの場合、社内だけを見ても現地貼り付きのチーム・会社でバックエンドとしてサポートする部門など、相当数の人員が膨大なリソースを割いた。さらに、関係者間の密な連携が欠かせない。ITセキュリティ企業、警察、政府、その他インフラ事業者等だ。
事前準備としては、直近でオリンピックを開催したロシアやイギリス、2020年までに開催国となる国々との情報交換やノウハウの伝授がある。また、大会中のセキュリティを24時間体制で確保するには、日本以外の国の協力を仰ぐことも視野に入ってくる。
ソチの経験を踏まえたユージンからのアドバイスは、「あらゆる攻撃シナリオを想定してシミュレーションを重ねることが大切」ということだ。そうすることで、インシデント発生時に適切な対応を取ることができる。ただし、想定外の事態にも対応できなければならない、とユージンは付け加えた。そのためのクリエイティブなマインドを持った人間が必要だ、と。
日本人とセキュリティ
日本人のセキュリティ意識に関する印象を訊ねられたユージンは、あくまで個人的感想だが、と断ったあとで「個人個人のレベルではセキュリティ意識が低い。国や企業はまだよいが。ひとりひとりが国を構成するのだから、もっと意識しなければならない」と述べた。これを受けて谷脇氏は「日本人はセキュリティに関する不安は強く、備えをしようとは思っているが、実際どうすべきかが困っている。国、学校、民間企業、地域コミュニティにおける教育を検討している」とコメントした。
ひとりひとりがもっとセキュリティ意識を持つべき(ユージン・カスペルスキー)
Tweet