[レポート]基調講演2:デジタル社会における脅威と向き合う – CODE BLUE 2021 #codeblue_jp

CODE BLUE 2021で行われた「基調講演2:デジタル社会における脅威と向き合う」セッションのレポートです。
2021.10.20

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

CODE BLUE 2021の下記セッションのレポートです。

基調講演2:デジタル社会における脅威と向き合う

デジタル社会への本格的な移行、感染症下の生活、ますます深刻かつ身近になるサイバー脅威という状況の中で、CODE BLUEに集う皆さんと一緒に、よい世界をどのように築いていけばいいのか、国家・組織・一人一人の 個人はどのように行動すればよいのかを、TOKYO2020大会をめぐる脅威の状況と対策、デジタル社会構築に向けたレガシーなどについてお話ししながら、考えていければと思っています。

Presented by :
坂 明 - Akira Saka

レポート

  • デジタル社会における驚異と向き合う話
  • 本年開催された東京オリンピック・パラリンピック競技大会において同組織委員会CISOを務めた方
  • TOKYO2020大会の振り返り
    • 近代オリンピック初の延期
    • TOKYO2020大会のチャレンジ内容
      • コロナ対応と暑さ対策
      • 大会の規模と注目度の高さ
      • 関係者の多さ
      • 競技会場の広がり(レガシーな施設への対応)
      • ITの高度かつ多様な活用
        • 最新技術を実際のオペレーションに使うのは大変
      • グローバルなオペレーション
      • オリンピック・ムーブメントへのコミットメント
        • オリンピックのダイバーシティの尊重など
  • オリンピックのサイバー攻撃事例
    • 経済的利益を狙った犯罪
      • 偽チケット販売サイト、偽サイトによるフィッシング
    • 大会レピュテーションに対するサーバー攻撃
      • DDoS攻撃、サイト改ざん
      • 関連する団体、パートナー、開催国・都市の関連サイトへの攻撃
    • 大会運営に影響を与えるサイバー攻撃
    • サイバーを手段とした攻撃
  • 今回は新たなラムサムウェアもあり、二重苦
  • 過去の大会への攻撃事例
    • 大会に関する偵察・情報収集活動
    • 過去の平昌大会でサイバー攻撃があった
  • TOKYO2020大会に関連する環境
    • 社会インフラ
    • 大会に関連するパートナー・サプライヤー
    • 組織委員会
  • 関連する環境(組織)と連携して対策を行う必要がある
    • IOC国際オリンピック委員会と東京2020組織委員会も連携
    • IOCから徹底的なサイバー攻撃対策のフォローがあった
  • セキュリティ確保のための施策
    • 強靭なシステムの構築と運用
    • 組織と個人と強靭化
    • 攻撃情報(脆弱性情報含む)の入手活用
      • モニタリング・分析・検知・対応
    • 大会運営確保のための対応
    • サプライチェーン対応
  • 施策に関して行ったこと
    • 資産・設定・脆弱性の管理
    • 認証機能の強化、トレーサビリティの実装
    • 情報の収集・活用、体制の整備と丁寧な対応
    • 驚異の実態を踏まえた対策の強化
      • 驚異の実態は日々変わっており、それを踏まえて対応していた
      • 本来は2020開催であったため、見直すこともあった
    • 検証と訓練、リハーサル
      • IOCは多くのノウハウを持っていたので活用した
  • 上記の成果もあり、大会運営に影響するようなインシデントは無かった
    • 多くの方にもご協力いただいた
  • 日本政府(国)としての取り組み
    • 総括
      • 大会運営に影響するようなインシデントは無かった
      • 大会期間中に通信遮断したインシデントは約4.5億件
    • サイバーセキュリティ戦略の課題と方向性
      • 官民で情報を共有しながら対策していく
    • デジタルトランスメーションとサイバーセキュリティを同時に推進していく
      • 国民・社会を守るためのサイバーセキュリティ環境の提供
      • デジタル庁を司令塔とするデジタル改革と一体となったサイバーセキュリティの確保
  • 「個人」の重要性 一人ひとりのレベル
    • 自分の情報を大切にすることが重要
      • フィッシング等は個人を対象にしている
    • 攻撃者は、入手した情報やデバイスを活用してインフラを構築
    • 関連の情報から推測可能な場合を攻撃者は見逃さない(パスワードの使い回しなど)
    • 攻撃が高度化し、シームレスになっている
    • ゼロトラストアーキテクチャの導入された場合でも正規権限を用いた攻撃の可能性
      • 「個人」に着目した対策の重要性、本人自らの認識の重要性、それらを支えるシステム
  • 新たな推進体制について
    • 国としてデジタル社会推進会議がある
      • まずマイナンバーに取り組む
  • 「個人」の重要性 一人ひとりのレベル(続き)
    • デジタル社会におけるIDの重要性
    • デジタル化による国民サービスの効率的提供
    • デジタル化による個人の「拡張」 など
  • デジタル庁における「個人」
    • デジタル庁で衝撃を受けたことがある(改めて重要だと感じたこと)
      • UXを徹底的に考える
      • End to End で考える
      • 利用者目線の「筋を通す」
    • デジタル庁には民間の方が半分いる
  • デジタル庁のミッション
    • 誰一人取り残されない、人に易しいデジタル化を。
  • デジタル庁は人材募集中!

感想

  • まずは自分を守るところからセキュリティ意識を変えていくことも必要と分かるセッションでした。