東京五輪ではサイバーセキュリティ”競技”も注目されているWatch for Cybersecurity Games at the Tokyo Olympics
危なかったですが、2018年平昌冬季オリンピックは始まる前に終わりそうになりました。サイバー攻撃により、開会式とその後のスポーツイベントに深刻な障害が発生する恐れがあったのです。幸いなことに、オリンピックのテクノロジー・オペレーション・センターが眠れない夜を過ごしたことで、迅速で効率的なインシデント・レスポンス・プロセスが実現しました。
3年後、脅威の状況は変化しており、東京オリンピックは前回よりも安全ではありません。それどころか、テクノロジーへの依存度が高い今回のオリンピックは、これまでで最も脆弱な大会になるかもしれません。今度のオリンピックでは、これまでで最も革新的なテクノロジーの使用が予定されているだけでなく、COVID(武漢ウイルス)に関連した視聴者の制限により、観客は電子的にイベントについていく必要があります。このような状況下では、選手だけではなく、観客も自分の技を披露する準備をしなければなりません。
The Gold Medal
オリンピックは重要なインフラに大きく依存しており、多くの悪意あるアクターにとって、そのような存在は理想的なターゲットです。重要なインフラへの攻撃は、運用技術(OT)が影響を受けると、物理的な混乱を引き起こします。OTは物理世界とのインターフェースとなる技術であるため、攻撃の波及効果によって現実世界に大きなダメージを与えることになります。このため、オリンピックとその関連団体への攻撃には、いくつかの動機が考えられます。オリンピックが国際的に注目されているということは、ハクティビスト、テロリスト、脅威アクターなどが声明を出すのに最適なターゲットであることを意味しています。さらに、オリンピックは、政治的な意図を持った国家が支援するグループにとって、戦略的なターゲットとして機能する可能性があります。
The Hard(ware) Truths
攻撃者の動機と標的の価値から、このような攻撃を行うアクターは、高度で洗練された能力を持っている可能性が高いと考えられます。これは、組織が保護されていると思っていても、保護されていないことを意味します。
Truth #1: What You See Is Not What You Get
企業は、ハードウェア資産を完全に把握しているため、包括的なセキュリティアプローチが可能であると考えている場合が多い。しかし、実際にはそのようなことはほとんどありません。実際、60%以上のIT管理者が、ITデバイスのインベントリが不完全であると回答しています。デバイスが管理されていないか、隠れているか、正規のデバイスになりすましているかにかかわらず、企業のハードウェア・インベントリには重大な、意図しないギャップがあります。
すべての資産が説明されていると考えることは、いくつかのギャップが残されていることを知るよりも危険かもしれません。このような状況では、企業は攻撃を受けた際に効果的なインシデント対応プロセスを持たず、攻撃の発生源を特定することは不可能ではないにしても難しいでしょう。また、東京オリンピックはテクノロジーに大きく依存しているため、使用されるデバイスの数が膨大になり、リスクが大幅に拡散してしまいます。(ちなみに、2018年の冬季オリンピックでは、1万台以上のPC、2万台以上のモバイルデバイス、6,300台のWi-Fiルーター、300台のサーバーに依存していました)。企業は、すべてのOSIレイヤーを可視化することで、完全な資産インベントリーを確保するために、より一層の努力をしなければなりません。
Truth #2: You Undervalue Yourself
攻撃者は洗練されているかもしれませんが、必ずしもそのスキルを使ってターゲットに直接侵入するとは限りません。洗練されているということは、努力することではなく、賢く働くことを意味する場合もあります。サプライチェーンは前者を可能にします。
高度に保護されたターゲットへの侵入は非常に困難であるため、安全性の低いサプライヤーが悪意あるアクターの侵入ポイントとなることがよくあります。サプライヤーがターゲットの機密情報にアクセスするか、またはサイバー犯罪者にターゲット組織への侵入経路を(ハードウェアまたはソフトウェアを介して)提供することになります。サプライチェーンへの攻撃は、2020年の下半期に7倍に増加しており、この数字は大きな改革がなければ上昇し続けるでしょう。また、重要なインフラが大規模なサプライチェーンに依存しているため、オリンピックには多くのエントリーポイントがあります。自分たちには価値がないと思っている小規模な組織が、攻撃者とターゲットの間の障壁(またはエントリーポイント)になるかもしれません。2019年には、中小企業(SMB)の66%が、サイバー攻撃の可能性は低いと考えていると回答しましたが、SMBの67%が被害に遭いました。今日の相互接続された環境では、企業はその規模や事業内容にかかわらず、脅威の状況認識を大幅に拡大する必要があり、サプライチェーンはそれを期待しています。
An Extra Year of Training
東京大会が2021年に延期されたことで、選手たちはもちろん、オリンピックのサイバーセキュリティチームも1年余計にトレーニングを積むことができました。さらに、COVID-19(武漢ウイルス)パンデミックの際に攻撃が増加したことで、高度なサイバーセキュリティの取り組みの重要性が強化されたはずです。あと数週間で、世界はアスリートが金メダルを目指して競い合う姿を見ることになります。サイバーセキュリティの世界にいる私たちは、攻撃の可能性を示すあらゆる兆候に注目します。あなたにはあなたのスリルがあり、私たちには私たちのスリルがあります。
