「サイバーセキュリティ最前線」舞台裏の緊迫 BOAT RACE振興会が本格演習で得た「気づき」
システムの不具合や遅延があってはならない訳
BOAT RACE振興会は、公営競技の1つであるボートレースに関する情報システムの構築・運営・管理を担っている。システムは主に4つ。舟券の票数の集計やオッズの計算、投票券の発売・払い戻しをつかさどるトータリゼータシステム、スマートフォンやPCからの投票を受け付ける電話投票システム、出走表やレース結果などの情報を配信する競技情報系システム、そして、全国24カ所のボートレース場の映像を集配信するシステムだ。
「これらを正確かつ迅速に機能させるのが私たちの使命です」
同会理事の藤川修一氏は事もなげにそう話すが、決して簡単なことではない。ボートレースは毎日開催され、人気のレースだととりわけアクセスが殺到する。そうした過酷な条件下でも、システムの不具合や遅延は許されない。
「ファンの方が楽しみにされているレースで、投票券の購入ができないなどということは、あってはならないのです。それに、ボートレースの売り上げは主催する地方自治体の財源にもなります。学校や病院などの公共施設にも使われますので、絶対に止めるわけにはいきません」
止めないシステムを実現するため、随時処理能力を向上。コロナ禍以前から取り組んできたこともあり、急速なオンラインシフトでのアクセス増にもかかわらず、「この3年間はつながりにくいというお声をいただくことは一切ない」という。
「正常」を守る意識の高さが実践を求める
では、セキュリティ対策はどうか。いくら鉄壁のシステムを構築しても、巧妙化したサイバー攻撃を防げるとは限らない。万一の場合に被害を最小限に食い止めるためにもセキュリティ意識の向上が求められるが、同会はもともと危機意識自体が組織全体で高いようだ。
「とにかく『正常』をつねに意識しています。そうしないと、異変があったときに気づくことができません。ボートレースは約70年の歴史がありますが、選手から審判、検査員、運営に携わる全員が『何が正常か』を明確に理解できていなければ続けてこられなかったでしょう」(藤川氏)
単なる精神論ではなく、「正常な状態」を維持・把握する技術。ボートレースの公正かつ安全な運営を実施するために選手・ボート・モーターの管理をはじめとして、事細かく規程されているボートレースならではといえるだろう。
この特質が、あるインシデントを未然に防いだ。数年前、サイバー攻撃に対する多層的な防御をすり抜けてウイルスが侵入。ところが、運用を担当するシステムエンジニアが、不審な挙動を敏感にキャッチ。実害が出る前に除去できたという。「正常」をつねに意識していたからこそ防げた危機だ。
見逃せないのは、この経験が同会をさらに用心深くさせたことだ。すぐさまCSIRT(シーサート、セキュリティインシデント対応チーム)を新設し、さらに防衛体制を固めた。
「万全は期しましたが、実践経験の不足が気がかりでした。CSIRTのメンバーは、サイバー攻撃やインシデント対応について、知識やスキルだけなら十分に持っていると思います。しかし、違和感を覚えたり異常を感知したりしても、人間はなかなか即座に行動へ移せるものではありませんから」(藤川氏)
インシデントを未然に防いだことを“成功体験”とせず、ケアすべきポイントと捉え、NECの「サイバーセキュリティ訓練場演習」の受講を決める。長年の経験から、「正常」を保つ重要性と難しさを熟知しているからだろうが、CSIRTのメンバーにとってもこの判断はありがたいものだったようだ。実際、受講後に「強化した多層防御をサイバー攻撃に突破されたことがなかったので、体験できてすごくよかった」という声が上がっている。
実践に効くスキルとチーム連携の要諦に気づく
しかもこの演習は、よくある“楽しみながらスキルを向上する”タイプではなく、かなり本格的な仕様だ。NEC トレード・サービスソリューション統括部の中込健太氏は次のように説明する。
「もともと、NECグループ内で中核的なセキュリティ人材を育成する演習として実施しているものです。サイバー攻撃の被害に遭う衝撃的な体験と実践的な対策ができるうえ、丁寧な振り返りをすることで、とりわけ技術者の成長に効果を発揮してきました」
具体的にはどんな内容なのか。演習を受けたCSIRTのメンバーに聞いてみよう。
「模擬環境で発生するサイバー攻撃に対し、インシデントレスポンスを行うというものでした。架空の会社のウェブサイトが攻撃を受けて改ざんされるのを見たとき、心に火がつきました。一方で、一部の調査が足りなかったり、サーバーの侵害方法を確認できていたのに報告書へ記載できなかったりといったミスも目立ちました」
適切なタイミングで講師役のNECスタッフが助言をしたこともあり、「スキルアップにつながった」「新たな気づきを得た」といった声も多かった。チーム内の作業分担や報告・連絡の仕方など、実践形式でないと理解しにくいチーム連携の肝をつかむきっかけにもなったという。そうした座学だけでは得られにくい気づきが多数あったのは、藤川氏にとって狙いどおりだったようだ。
「実践形式の演習でないとできない経験を積めたことがわかりましたので、すぐに継続していこうと決めました。シナリオやチームが変われば必要な対応も違ってきますので、そうした経験の積み重ねが当会にとって大きな財産になっていくと思うのです」
そうした藤川氏の期待を受け、NECの中込氏も「ランサムウェア被害などのマルウェア対応演習など、バリエーションを増やしていきたい」と話す。新感覚ボートレース体験型VRアトラクション『BOATRACE VRスプラッシュバトル』など、来るべきメタバース時代への対応も進めている同会。最新のサイバー攻撃シナリオを定期的に体験し、組織内のセキュリティ人材育成を着々と図ることは、今後のDX戦略を構築するうえでも大きな意味を持ちそうだ。