「7262人のITや通信の専門家、600人のサイバーセキュリティの専門家が携わった」。2016年に開催されたリオデジャネイロ オリンピック・パラリンピックを支えたITメンバーの布陣を、ブラジルCisco Systems Brazilのロドリゴ・ウショア氏(Rio Olympic プロジェクトリード)はこう明かした。
同氏はシスコシステムズが2017年2月2日に開催したイベント「Cisco Security Day」に登壇した。
リオ2016オリンピック委員会のブルーノ・モーレス氏(最高情報セキュリティ責任者)は「オリンピックは世界最大のイベントだ。ハクティビスト(政治的な主張を目的としたハッカー)は政府への攻撃や抗議にイベントを利用する」と続けた。
「オリンピックの開催に反対する人たちはオリンピックブランドやスポンサーを攻撃しようとする。(アスリートや観客、メディア関係者などの)訪問者から機密情報やクレジットカードを盗み出そうとする犯罪者も集まっていくる」(モーレス氏)。
ウショア氏は2014年にブラジルで開催されたサッカーワールドカップも担当。その上で、「オリンピックのほうがずっと目立つイベントだ。攻撃件数はオリンピックのほうが多かった」と話した。多くの脅威にさらされたオリンピックだが、「大会に影響を及ぼすような重大なインシデント(事故)はなかった」とした。
大会4年前から準備
リオオリンピックは5億ドル(約560億円)をITに費やしたという。「リオではテクノロジー予算が全体の20%で25億米ドルだった。さらに、そのうち20%がITに対する予算だった。これは開催委員会の運転予算であり、大会後もレガシーとして残る資産に関する政府予算は別だ」(モーレス氏)。
約560億円のIT予算を使い、オリンピックのセキュリティを守るため、委員会やシスコらは大会の4年前から準備を進めた。モーレス氏は「まずリスクを識別した。そして、八つの柱を基に計画を作成した」とした。
具体的には、ビジネス継続性、情報保護、セキュリティアーキテクチャー、アクセス管理、脅威のインテリジェンス、啓蒙、セキュリティアセスメント、オペレーション――である。
特に重要視したのは啓蒙だったという。「ユーザーを教育して、脅威を見つけたときの対応を教育した」(同)。
啓蒙の結果は数字に表れている。「標的型攻撃のテストを複数回実施した。2014年に実施したテストでは、ユーザー(オリンピック委員会の関係者)の26%が侵害を受けた。攻撃からユーザーのリアクションが返ってくるまでが90分。大会2カ月前に同じテストを実施したところ、侵害を受けたのは0.2%で、2分以内にリアクションが返ってきた」(同)。
ITインフラについては、システムに対して試験的な攻撃を仕掛ける「ペネトレーションテスト」を実施。モーレス氏は「最初のテスト結果はひどいものだった」と振り返った。改善に向け、手順書やプロセス、技術の構成を追加。大会6カ月前に実施した2回めのテストでは良い結果を得られたという。
さらに大会の2カ月前、本番環境を使った最後のテストを実施。7日間にわたってさまざまな攻撃シナリオでテストを繰り返し、インシデントに対応できることを確認した。「テストは125項目にのぼり、のべ8000時間以上をテストに使った」(モーレス氏)。
