2020年に開催される予定だった東京オリンピックは、2021年に延期して開催されることになりました。状況によってはさらに変更になる可能性もあるのですが、開催されることになればコロナ禍の大会として大きく注目されることは間違いありません。しかし、このことが通常期待されることとは逆の効果をもたらすために、サイバー攻撃の対象となりやすいと確定的事実としてではありませんが、考証推測されているのです。

 

世界的に注目を集めているオリンピック開催が近づいてくるにつれて、関連している組織や機関、企業などに対するサイバーリスクの重要性が大きくなっていることがテーマとして取り上げられています。しかし、私達がこうあって欲しいと心に思っていることや世界的イベントして注目されていることとは裏腹に、過去を改めて確認してみるとオリンピックが開催された際にサイバー攻撃が集中している傾向がはっきりと見て取れます。

 

悪影響をもたらすサイバー攻撃者が、招待されていないのに増加することも予想されています。そこで、サプライチェーンの裏で目立たなくなっているリスクといった日本で起こり得るセキュリティリスクやサイバー攻撃に備えるための行動において、特に重んじなければならないことは何であるかについてを考えていきます。

 

予想されているセキュリティリスク

オリンピック開催を見定めているサイバー攻撃は、すでに一部で動き始めています。具体的な例を提示すると、企業の社員が利益となるような「オリンピックの無料チケットを提供する」といった内容のメールを送付して、リンクをクリックすることをはたらきかけて早く処理させるような標的型攻撃が確認されています。リンク先となっている不正サイトへジャンプすることによって、マルウェアをダウンロードすることになってしまうというものです。

 

さらに大会が始まってからは、それまでになかった偽のアクセスポイント(フリーWi-Fi)が非常に数多く出てくることが考えられます。一般大衆がこれを正規のアクセスポイントであるものと間違った理解で利用してしまうことによって、個人情報が窃取されるなどのリスクが生じることになってしまいます。

 

それだけでなく、5G(第5世代移動通信システム)が導入後初めてとなるオリンピック開催となり、5G回線を使用した複数視点によって中継された映像による、パブリックビューイングやスマートフォンなどで競技を観戦するスタイルが予定されています。相手が付け入る隙を全く見せないセキュリティ対策がされているはずですが、過去に例をみない新しい技術に対しては過去に例をみない新しいリスクが伴ってしまうことを否定することはできません。

 

製造業をはじめとした多種多様な業界、家庭内の家電製品、ネットワークカメラなどの形で普及しているIoT機器に脆弱性が不本意に知られてしまった場合には、IoT機器が遠隔操作されてサイバー攻撃の踏み台として使用されるといった危険性もあります。世界的なスポーツイベントとなるオリンピックであるからこそ、ライフラインや重要システムを破壊することで、一般大衆を混乱に陥れようとするサイバーテロの攻撃によって生じる望ましくない結果を避けるために予防策を講じなければなりません。

 

表面化するサプライチェーン攻撃のリスク

オリンピック開催に伴ってサイバー攻撃のターゲットとなり得るのは、政府や関連企業といった相互に関係を持っている大会関連機関だけではないのです。というのも、製品やサービスを提供するために行動に移される「調達」「開発」「運用」といった一連のビジネス活動を時間的スケールで見た物事の動き(サプライチェーン)の中で、セキュリティ対策が弱い組織を対象としてより狭い範囲に定めた「サプライチェーン攻撃」の脅威が考えられるからです。

 

サプライチェーン攻撃においては、委託元で企業運営上のあらゆるリスクを減らすために、構築された管理体制を強化して効率的に管理することが難しく、比較的セキュリティ対策の弱い委託先企業が狙われやすくなっています。これまでも、委託先企業が不正アクセスを受けたことによって、個人情報などの機密情報が外部に漏洩してしまい話題となった事件が報じられました。また、大会関連機関などを「本丸」とする標的型攻撃などにおいても、比較的セキュリティ対策の弱い大会関連機関周辺に存在する中小企業が狙われることが考えられます。

 

サプライチェーン攻撃は、独立行政法人情報処理推進機構(IPA)が2021年7月に発表した「情報セキュリティ10大脅威 2021」の中でも「組織編」において第4位にランキングされているため、目前にオリンピックというイベントが訪れると決まっている現状においては、委託先企業におけるセキュリティ対策が不足していることや委託先企業に対しての不適切な選定や管理方法がリスクになりうることを認識しておく必要があります。

 

テレワークの利便性と危険性は表裏一体

オリンピック開催期間中、開催地である首都圏においては公共交通機関などが混雑することが予想されています。こうした混雑する事態を予期して不安を抱いている企業は、従業員が通勤することに大きな影響が出ると考えている場合が多くなっています。東京都ではテレワークや時間差出勤などをすることによって、混雑する事態の程度を小さくしようとする取り組みを推奨しており、それに応じた対策を計画している企業もあります。

 

テレワークは、インターネット接続環境があれば時間や場所を問わずに業務を遂行できるメリットがあります。オリンピック開催の対策だけではなく、働き方改革にもつながることなどといった複数の要素が組み合わさって効果を生んでいるために、企業の興味が向けられている度合いも相当高くなっています。

 

しかし、業務システムなどに接続することが可能な、社内LAN以外の環境が提供されているために、サイバー攻撃者にとっても侵入する機会や接点が増加してしまうといったリスクも発生してしまいます。以下に挙げていることは、テレワーク利用時において攻撃を受けやすい環境の例となります。

 

公衆無線LAN(フリーWi-Fi)

同一のネットワークに接続することが容易であることは、サイバー攻撃者にとっても同じことであるために、このようなネットワークは侵入や盗聴などがされてしまうリスクが高くなります。

 

従業員の自宅LAN

社内LANと同程度に揺るがない強さがあるセキュリティ対策が施されていないことが一般的であるために、公衆無線LANと同様に侵入や盗聴などがされてしまうリスクが高くなります。

 

SaaS（Software as a Service）

パスワードやID管理に不備があると、サイバー攻撃者にユーザアカウントを乗っ取られてしまう危険性があります。クラウド上に使用するデータが保存されている場合は、どこからでもデータにアクセスできる状態となってしまうために、データを詐取されてしまう危険性が高くなります。

 

モバイルデバイスや私用デバイスで利用する業務アプリケーション

デバイスが盗難されるといった物理的な問題はもちろんのこと、組織が十分にデバイスを管理できていない場合にも脅威にさらされた状態となってしまいます。許可していないアプリケーションやデータの利用が、サイバー攻撃者による情報詐取を招くためです。

 

テレワークに潜む脅威への対策

テレワークに代表されるように、業務を遂行する環境は社内にとどまらなくなっており、「社内LANに接続しているから安全」とは言い難い時代になっています。そうしたIT環境に対する一つの解決策として、「ゼロトラスト」アプローチによるセキュリティ強化を提案できます。ゼロトラストとは、社内LANの内外を問わず、サービスへのログイン時など必要なときにユーザを認証する考え方で、これを実現する製品としてはID管理ツールやシングルサインオンツールなどがあります。

 

私物も含めたモバイルデバイスのセキュリティ対策としては、EMM(エンタープライズモビリティ管理)製品が役に立ちます。アプリケーションやデータの管理、業務システムへのリモートアクセス、紛失時に備えたリモートワイプなど、EMM製品は幅広い機能を備えているために自社において必ず必要となる条件を精査してから、製品を選ぶことによって満足できる内容となります。

 

日々のセキュリティ対策が一番の対策になる

国際的な大型イベントを契機として、サイバー攻撃が活発化することはこれまでの歴史が示している事実となります。しかし、IT化が進んでいく中で、こうしたイベントや社会的行事の有無にかかわらず、企業はセキュリティをますます強固にしていかなければなりません。

 

今後どのような点に注意してセキュリティ対策することが適切であるかとすると、「日々のセキュリティ対策を確実に実施することが一番の対策になる」ということが、専門家に共通している見解となっています。「オリンピック開催だから何かやるべき」という認識ではなく、日頃から自社の資産の棚卸しやリスク評価を実施すべきです。

 

資産管理ツールやコンサルティングサービスを使用して自社の現状を把握したうえで、それに応じた形で事業継続計画(BCP)の整備やセキュリティ製品・サービスの導入を進めていくことが大切です。特に人的・金銭的リソースが限られてしまう中小企業においては、『優先して守るべきものがどこにあるかを把握し、見極めた上で注力的に保護することが大切』となってきます。

 

もう一つの共通見解としては「多層防御の導入」となります。高度化しているサイバー攻撃に対しては、侵入を防ぐだけではなく、侵入されたことを前提とした脅威の検出・除去など、複数のフェーズにおける防御が不可欠となります。エンドポイントやネットワーク、クラウドサービスのアカウントといった、サイバー攻撃者の侵入口となってしまう様々な要素に対してのセキュリティ対策も欠かすことはできません。

 

まとめ

オリンピック開催を狙っているサイバー攻撃は開催を重ねていくたびに、より技術や知識なども優れた良い性能となり進化し続けています。これまでの実際に発生したサイバー攻撃の水準を大きく上回ったことが発生することも予想されているために、これまで以上に万全な対策をすることが求められているのです。

 

生涯における大変な好機であるオリンピック開催を迎えるにあたって、サイバーセキュリティに対することも結び付けて意識することで、より意味のあるイベントにできるのではないでしょうか。オリンピック開催をきっかけとしたサイバー攻撃は、確実にかつ過去よりも大規模なものが発生することが予測されています。大規模なサイバー攻撃だけでなく、今後危機をもたらすような様々な脅威に対抗するためにも、本稿の情報が一助となれば幸いです。