東京五輪パラ、なぜ4億回のサイバー攻撃でもトラブル起こさず？成功のレガシー残す

　東京オリンピック・パラリンピックでは、約6万人の警察官を動員したリアルのテロ対策と並んで、サイバーテロ対策が大きな課題となりました。各方面がよく準備し、事前テストも行ったことで、ほぼ何事もなく終わったのは何よりです。そればかりか、大きなイベントや有事の際に最優先で維持すべきオンライン・サービスを事前に選定しておけ、などの豊富で実践的なガイドライン知識・ノウハウがオリ・パラの遺産（legacy;レガシー）として残り、公的組織にも民間組織にも大いに参考になるようになりました。形のあるレガシーは風化しますが、無形の知識・ノウハウは、風化しないどころか、それが優れて「使える」ものであれば、使われ続けることで維持、発展、成長さえしていきます。

東京オリ・パラ期間中のサイバー攻撃

　総括にはまだ少し早いかもしれませんが、パラリンピック終了後1カ月以内にいくつかの記事が出ています。

・サービス＆セキュリティ株式会社「東京オリンピック・パラリンピックのセキュリティインシデントの振返りとフィッシング件数増加の注意喚起」

　この記事では、2020年10月と比べて、わずか10カ月後の2021年8月にフィッシングメールの件数が11倍にも激増したとあります。確かに、私個人のメールボックスを見た感じでも、カード会社や金融機関、保険会社を装ったフィッシング詐欺メールは数倍以上に増えた、という印象があります。しかし、おそらくはオリ・パラとは無関係で、たまたま海外（アルファベットが中国名のサイトへの誘導が多い）の詐欺グループが、高精度化した無料機械翻訳サービスを本格的に活用しはじめたタイミングが重なっただけではないか、と思われます。新型コロナウイルス対策を装った悪質な偽サイトの増加も、たまたま時期が重なったといえるでしょう。

　いずれにしても、手動での監視、ブラックリスト、ホワイトリストの管理、詐欺メール本文を機械学習へ送る手間が馬鹿にならず時間を奪われるのはたまったものではありません。自動送信には、自動迎撃のAIで対抗したいものですが、手口も巧妙化する一方で困ったものです。見せしめの厳罰処分を各国で一斉に行うなどできないものでしょうか。

・NHK NEWS WEB「東京オリ・パラ期間 サイバー攻撃 4億5000万回 運営に影響なし」

　こちらは、間違いなくオリ・パラ関連です。期間中、オリ・パラの大会運営に関わるシステムやネットワークに、合わせて約4億5000万回のサイバー攻撃があったとのこと。ISP側でのフィルタリング、都度、ユーザの協力を得て通信ブロック、端末クリーンアップなどの対策の結果、すべてブロック。システムダウンや、遅延などは起きず、大会運営になんら悪影響もなかったということで、輝かしいサイバーセキュリティ対策の成功事例となりました。

　データが比較可能な2012年のロンドン大会の2倍以上だということです。これは、8年という、ITの世界では太古の昔と比較したら100倍、1000倍にもなっていてもおかしくない、との予想を裏切る結果でしょう。2012年のロンドンが当時としては画期的な猛攻撃を受けていたとみるべきかもしれません。

　短期間向けのシステムということで、膨大な文書、ファイルの蓄積を台なしにするランサムウェアのようなものはなかったようです。もちろん、ランサムウェア等の無差別攻撃に対応できるよう、十分な対策をしていたと思われます。感染した場合の対処法を講じる必要はなかったようです。

運営現場、事務方と技術サイドの協力の成功

　先述のレガシーの冒頭（zipファイルの中身）には、次があります。

・リスクアセスメント・ガイドラインv4.1.0.pdf

・頭紙 東京2020大会に向けたリスクアセスメントの全体像v6.0.0.pdf

　業務の維持、継続のために、重要サービスを事前に選定し、そのサービスレベルを具体的に規定（復旧時限なども！）することが明記されています。さすが、内閣サイバーセキュリティセンター。そして、これらメリハリをつけた具体的で詳細なガイドラインに基づいて実際にリスクを事前に想定、評価し、予防や対策の事前予行演習まで行っていました。

　これは、「言うは易し、行うは難し」というやつで、どの大組織でも、事業部門の現場と情報システム部門他の間接部門が本当に1つの目標に向けて緊密に効率よく協力し合うのは一般的には非常に困難です。こちらの記事が引用するアスタリスク・リサーチ 代表取締役 エグゼクティブ アドバイザ 岡田良太郎氏によれば、「技術の言葉ではなく平易な言葉で目標を立てた」のが成功要因といいます。

　しかし、実際に上記ガイドライン、アセスメントを読んでみると、平易な言葉の裏に技術的に厳密な定義、サイバーセキュリティ特有の概念が示されていて、これらの理解を避けて通ることはできないといえます。この点、見事にリアル、サイバーのテロ対策をやりきった警察のトップ、斎藤実・前警視総監（筆者の高校の同級生です）が、法学部出身ながら警察のサイバーセキュリティ技術者試験に合格するなど、事務方が技術の理解に本気で取り組んだことも、大きな成功要因だったと評価すべきでしょう。

平時のサイバーセキュリティに必要なAIとは？

　クラッキング、企業内ネットワークへの侵入と、ランサムウェア（データを人質にとる）をはじめ各種攻撃への対策は、オリ・パラのような短期間の「有事」だけでなく日常、平時にも必要です。攻撃者によるパスワード解読は、今後、英語の辞書とその変形だけでなく、リアルタイムでさまざまに攻撃の仕方を変えてくるようになるでしょう。

　それに対抗するには猛スピードでパターンを捉え、対応法を即座に自動変更できるAIを活用することになっていくでしょう。5月の私の記事「「デジタル秘書」化するAI、セキュリティ対策に浸透…メール誤送信防止にも活用」に記した通りで、敵の攻撃が自動化、AI化で高度化してくる以上は、「目には目を、歯には歯を」でAI導入が不可避になってくるという予言です。攻撃者が量子コンピュータを使い始める可能性も視野に、今後、対策を考えていく必要があります。

　サイバー攻撃の被害は、感染した場合の対処法に「身代金を払ってはいけない」とあるのが浸透し、また、隠ぺいしては再発防止策が不十分になるとの認識が広まってまいりました。しかし、原因が外部でなく、内部、すなわち社員による不正行為にある場合は、引き続き多くのケースで隠ぺいせざるを得ないと考える経営者が多いかもしれません。いずれにせよ、平時からどのような対策をしておくべきでしょうか？

　社外へのメール送信を30分とか遅延させて、上司が全文を読むという「ソリューション」を売っているSI業者もあります。しかし、部下のほうが数が多いのです。貴重な上司の時間をリアルタイムで部下のために捧げるのでは組織は回らないでしょう。

　単純作業、泥仕事は、AIという道具に分担させましょう。例えば、個人情報やNGフレーズを自動的に検出し、その件数がある閾値を超えたらリアルタイムで通知したり、いったん送信を自動的に中止させたりすることで初めて、「業務が回る」仕組みとすることができるでしょう。改正個人情報保護法の来春の施行に向けて、実際の漏洩よりずっと手前の段階での個人情報の把握と管理が義務付けられます。それをすべて人手でまかなうのは非現実的であり、これらAIを使うしかない、ということになりそうです。

　これらについては、11月24～26日のSaaS見本市ONLINEや、12月8～10日のリスク対策EXPO ONLINE で、私の会社の提案を見ていただいてもいいですし、他の主張も併せて批判的に分析し、単純作業、泥臭い仕事をなるべく早くAIに代行させましょう。人間が人間らしい高度で創造的な業務にシフトするのを速めるよう（これが正しいDXのコツの1つです！）、共に尽力してまいれたら幸いです。　

（文＝野村直之／AI開発・研究者、メタデータ株式会社社長、東京大学大学院医学系研究科研究員）