Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

東京五輪のサイバー攻撃対策は公開する必要があったのか?

産経ニュースの3月22日記事に、東京五輪サイバー攻撃対策の内容が記載されていました。

www.sankei.com

 

きっと私は考えすぎ・・・と言われるかも知れませんが、

政府のまとめた「2020年東京五輪パラリンピックを見据えたサイバー攻撃への対策」のリーク記事が各ニュースソースに上がっていました。この記事を読んで、セキュリティの考え方からすると、「何を対策しているのかを知らせない」方が良かったのではないかと思うのです。

 

とは言え、大した事は書いてません。

  • 各競技場に非常用発電機を配備(電源システムへの攻撃想定)
  • 制御系システムの復旧方法を構築
  • (制御系システムにサイバー攻撃を受け被害が出た)想定の訓練を実施
  • 厚労省がNISCからの要請を受け、医療機関のリスク分析に協力
  • NISCの医療分野の事務局を日本医師会に移す
  • 水道の情報システム障害が発生した際の復旧・代替手段を明記したガイドラインを改訂
 

 

記事を見た限り、こんなところでしょうか。

ざつくりと言えば、非常用発電機の各競技場整備以外は、インシデント対応計画を整備する事、制御系システムのインシデント対応訓練を実施する、こんな所がメインとなって検討を進めるようです。ガイドラインや手順の中身までは判明していないので、サイバー攻撃対策全容判明」の産経ニュースの標題が東スポに見えてしまう所ではありますが、「非常用発電機配備」や対応マニュアル整備などの大した事の無い情報であっても、攻撃側にヒントを残す事があまりよくないのではないかと思ってしまいます。

各競技場に非常用発電機があるならば、攻撃側は、電気インフラと非常用発電機の両方を想定した攻撃プランを立てるかも知れません。あるいは、非常用発電機切替の脆弱性を狙った攻撃(詳しく書けませんが、いくつか想像されるケースがあります)を考えるかも知れませんし、例えば水道はガイドラインだけ策定して想定訓練を行わないのであれば、攻撃成功率が高くなると判断して攻撃してくるかも知れません。

単なる想像の攻撃に過ぎませんし、これから更に東京五輪サイバー攻撃対策は強化されていくものと思いますが、「その情報を元に狙われる可能性がある」という意識の元、記者さんの”攻撃”にも政府や関係者の皆様は(対策の詳細は答えないという防御をして欲しいと、東京五輪の成功を祈る1都民として、切に希望します。

 

肩をすくめる白人男性のイラスト

 

更新履歴

  • 2018年3月25日PM(予約投稿)