私がはじめてパソコンに触ったのは中学生の時。
プログラムの構築と同時に,マシンの解体にもハマりました。
親に怒られましたが,分解することで機械の構造を知り,それが大学の情報工学の勉強に役立った経験も。
ラグビーワールドカップ2019組織委員会 ICT統合企画局長(当時)情報セキュリティ責任者
旧郵政省へ入省後,総務省へ異動。アメリカへの留学を経て,技術職として地デジ化,船舶,人工衛星などの情報通信系の事業に携わる。大学時代は情報工学を専攻し,プログラミングに対する知識も深い。
日本のベスト8入りで,大きな盛り上がりを見せた
「ラグビーワールドカップ2019」。
こういった注目度の高いイベントは,サイバー攻撃や情報改ざんなど,
デジタル面での危険と常に隣り合わせです。
みんなが安心してチケットを購入し,安全に観戦できる環境の裏には,
糸さんをはじめとするセキュリティ担当者の活躍がありました!
※記事の内容は,2020年6月時点のものです。現在異なっている情報もありますので,ご注意ください。
ミッションは,
2時間の試合を耐え抜くこと
日本の12都市の会場を舞台に行われた
「ラグビーワールドカップ2019」。
約1ヵ月半の開催期間の中で,私たちセキュリティ担当者に
与えられた最大のミッションは,
「何があっても試合と放送を止めるな!」ということでした。
情報セキュリティの観点から言えば,特に注視していたのが,
「DDoS(ディードス)攻撃」です。
=複数のIPアドレスから一斉に,大量のデータを送りつける攻撃手法
試合が始まると,会場のサーバーに,ハッカーたちから頻繁に
「DDoS攻撃」が仕掛けられてきます。
攻撃が想定量を超えるとサーバーがダウンし,
世界各国で待っている視聴者に,リアルタイムで
試合の様子を届けられなくなる……。
幸い,攻撃に備えて事前に体制を強化していたため,
大きなトラブルはありませんでしたが,
責任者としては毎回,肝を冷やす思いでした。
デジタル化されることで,
高まるリスク
また,近ごろの国際的なスポーツの大会は
●テレビやインターネットでの中継
●チケットの購入システム
●取材スタッフの管理や,大会の運営事務
多くの部分がインターネットに接続されています。
ラグビーW杯の場合も,試合中の「DDoS攻撃」の他に,
「標的型メール」
=本物のビジネスメールと見分けがつかない詐欺メールで,
標的の団体の機密事項を盗みとる攻撃手法
▲実際に糸さんの元に届いた標的型メール
「チケットの不正転売」
=転売サイトでの売買を目的にした,チケット買い占め。
ロボットを使い,数万枚を自動購入するケースも,
といったさまざまな脅威がありました。
情報セキュリティの
大切さは,全職種共通!
これらのサイバー攻撃の名前は,みなさんも学校の教科書などで
目にしたことがあるかもしれませんね。
また,インターネットを使っていて,
実際に“サーバが落ちる”という現象を体験した人もいるでしょう。
ラグビーW杯に限らず,「DDoS攻撃」や「標的型メール」は
すべての企業に対する脅威です。
しかし,事前に予測して予防策をとることで,
トラブルの可能性を最小限にできるのも事実。
たとえば将来,みなさんの就職先の企業が
サイバー攻撃に遭ったとしましょう。
そのとき,防衛のためのスキルがあるかないかで,
対処のスピードや被害の度合いが大幅に変わってくるんです。
“守りたいもの”の
構造を知ろう!
では,まずはどこから「情報モラル・セキュリティ」の力を
高めていったらいいのか?
ただ闇雲に「守る」と言っても,それは無理な話ですよね。
大切な情報をさまざまな脅威から守るには,
最初にコンピュータの知識を深めておくことが不可欠です。
●サーバーやネットワークの構造はどうなっているのか?
●どんなソフトがどういう組み合わせで動いているか?
といった,機械の中身に興味をもってみましょう。
コンピューティングと,情報セキュリティの世界は表裏一体。
“守る側”のコンピュータの構造を理解することで,
守備が手薄なところが見えやすく,強化しやすくなるんです。
経験を積むことで,
不正を見抜ける
また,さまざまなウェブサイトやプログラムを見て経験を積んでおくと,
「違和感にいち早く気づきやすくなる」
という利点もあります。
小さな危機でも見過ごさない,観察眼を養えるんですね。
実際,ラグビーW杯の組織委員会に「標的型メール」が届いたときも,
一般職員が見過ごしてしまいそうなところを,
セキュリティ担当部署の人間だけは
「何かおかしいな!?」
という違和感に気づき,トラブルを未然に防げたこともありました。
セキュリティを支える,
計画性
そして,知識と経験を実際に現場で生かすためには,
計画を立て,実行する力も欠かせません。
なぜなら,ネットワークというのはいくら大規模に見えても,
根本を見れば一つひとつのサーバーやマシンの組み合わせ。
それらを,
●どのネットワークでつなぎ合わせるか?
●何を目的に動かしていくか?
●どんなサイバー攻撃を想定し,どう守りを固めていくか?
設計・構築する段階でも,守る段階でも,
あらゆるトラブルを想定した計画性が必要になるからです。
スタッフ約3,000人体制で臨んだラグビーW杯の場合でも,基本は同じ。
最初に綿密な計画を立て,実行したことが,
本番での“失敗ゼロ”につながったと感じています。
失敗してもいい,
経験を積むこと
では,「情報セキュリティ」力に欠かせない“計画性”は,
どう育てたらいいのか?
それはいかに多くの経験を積み,視野を広げていけるかに
かかっていると,私は考えています。
そして,成功だけでなく,失敗から学ぶことが重要。
たとえばゲームやスポーツにしても,
失敗してみないとわからないことってあるじゃないですか?
そんなとき,失敗を嘆くだけでなく
「達成できなかったのは何が原因か?」
「この戦略でダメなら,次はこうしよう!」
と試行錯誤することで,成功への感覚をつかんでいく。
それがいつしか,この力を高めることにつながるでしょう。
攻撃の向こうに
“人”がいるのを忘れない
また,いくらデジタルの世界であっても,
自分が向き合っている先には機械でなく人間がいる。
その基本を忘れてはいけません。
情報を守る側が人間なら,攻撃する側もまた人間。
「情報セキュリティ」は「情報モラル」によって
支えられているということです。
たとえばラグビーW杯でも,日本が“負ける”と予想されていた
アイルランドに勝利し,世間の注目度が一気に高まった途端,
サイバー攻撃が増えました。
ということは,ハッカーたちも,
どこかで試合を見ていたのかもしれません。
つまり,「情報モラル・セキュリティ」をセットで身につけることで,
サイバー攻撃を予測し,守りを固めやすくなりますね。
機械の構造を知り,人の心の動きを読む。
その両方ができれば,デジタル世界でより有利に戦えるスキルが
身につくはずですよ。
情報セキュリティは,じつは家の戸締まりと同じです。
コンピュータのプログラムを「家」だとすると,
●家の構造はどうなっているか?
●出入り口はどこにあるか?
●玄関の扉に合うのはどの鍵か?
といったポイントを理解しておかないと
家を泥棒から守るための計画が立てられませんね。
身の周りのものを「どう守るか?」と意識してみることで,
日ごろから「情報モラル・セキュリティ」の力を鍛えていきましょう。
親に怒られましたが,分解することで機械の構造を知り,それが大学の情報工学の勉強に役立った経験も。
構築と解体は,順番が逆なだけでじつは同じなんですね。
