世界のスタジアムやイベントを保護する自己学習型AI

　自律型サイバーセキュリティで業界をリードするAI企業のダークトレースより、メディアアラートをご案内いたします。世界がコロナ禍から克服しようとする中、北京では冬季パラリンピックが開催され、日本でも政府がイベントの人数制限を撤廃する検討に入るなど、大規模なイベントが復活の兆しを見せつつあります。一方、昨今の情勢を踏まえるとこうしたイベントや会場を狙うサイバー攻撃に対する懸念はこの上なく高まっています。大規模イベントを取り巻くサイバーリスクとその最善の対策について、ダークトレースのサイバーインテリジェンスディレクター（Director of Cyber Intelligence）、Karim Benslimaneが前職でダークトレース製品を導入した経験も踏まえて解説いたします。

　スタジアムや大規模施設の運営者は、こうした施設特有のサイバーセキュリティ課題に直面しています。サイバー犯罪者を惹きつける「ハニーポット」とも言われるエンターテインメント業界は、主に次の3つの理由から脅威アクターにとって魅力的な標的です：

・ハクティビズム – リオ および 東京 オリンピックでも見られました

・世界的イベントの舞台は、地政学的な動機を持つサイバーテロリズムの標的となります

・これらのイベントに係る多額の金銭を背景として、イベント主催者や関連する事業者はランサムウェア等の金銭的動機によるサイバー犯罪の主要な標的になります

　大規模イベント実施中にサイバー障害が発生した場合の影響は誇張してもし過ぎるということはありません。たとえば、電源供給が一時的に途切れることでテレビ放送が中断される、入場制御システムの中断で観覧者が会場に入れない、または監視カメラシステムの故障による犯罪や人身事故のリスクが増大するなどの可能性などがあります。データの信頼性が失われ、スタジアム内のシステムが間違った値を出力するようになれば、危険なレベルの混雑を招く可能性もあります。サイバー世界と物理的世界の間の壁は既に消失しています －サイバー攻撃が人体の安全性を脅かすのです。

　以下に、スタジアムのサイバーセキュリティにおける主要な課題を指摘し、私が国際イベントおよび施設のICTおよびサイバーセキュリティ責任者としてDarktraceを導入する理由となった、自己学習型AIのユニークな機能を紹介します。

アクセスのパラドックス

　最大の問題は、さまざまな内部サービスが多数の未知で管理されていないユーザー、サプライヤー、デバイスに対して提供されているサイトを安全にしなければならないという、パラドックスにあります。

　試合開始時間、これは‘D-Day’（大規模作戦開始時間）とも呼ばれますが、膨大な数の人々がそれぞれのデバイスを使って、ネットワークやインフラにアクセスしようと押し寄せます。水門が開かれるのです。しかしもちろん、従業員や顧客の機密データ、クリティカルなOTシステムなど、デジタル環境の特定の部分は保護された状態を維持しなければなりません。私はこれを、家のドアを開けて、町中の人々を中に入らせ、家中を歩き回らせる状態に例えます。それでも主寝室だけは守らなければなりません。

　また、イベント実施中にサービスやコンテンツを提供するためにさまざまな人達がサイト上で作業できなくてはなりません。放送局、臨時スタッフ、サプライヤーなどがイベントの運営に関与する必要がありますし、これらの人々すべてがITインフラにアクセスあるいは接続する必要があります。さまざまな形で、こうした外部の事業者もすでに境界内に入っているのであり、彼らが未知の悪意ある脅威を媒介する可能性もあります。

　アクセス可能性とセキュリティの間のバランスを取るには、境界ベースのセキュリティから、内部の脅威を検知し対処するセキュリティへと、マインドセットの転換が必要になります。この仕組みは複雑であり、悪意ある挙動をインシデントのコンテキストに基づいてリアルタイムで識別できるテクノロジーが必要です。1つの挙動または接続が、あるコンテキストでは良性であっても、別のコンテキストで見ればきわめて破壊的であることもあります。ツールやテクノロジーがこれらを区別できなければならないのです。

　これが、Darktraceの自己学習型AIが適していると私が考えた理由です。それは境界で防御するのではなく、既に内部に入っている悪意あるアクティビティを検知し対処することに重点を置くアプローチです。Darktraceはその環境固有の「生活パターン」を学習するため、脅威の兆候であるかすかな変化を検知し、事前にプログラミングされたルールやプレイブックに依存することなく、的を絞った対処を開始することができます。

IT/OTの統合　

　2つ目の主要な課題は、ITとOTの統合の問題です。スタジアムやアリーナは、さまざまなICS（Industrial Control Systems）要素で構成されています。

図1：スタジアムを構成するIT/OT要素の相互関係

　これには、多数のスイッチやケーブル、監視カメラで構成される複雑なシステムに加えて、放送局や報道機関が持ち込む各種機器やテクノロジーが含まれ、今やこれらのITおよびOTコンポーネントはすべて相互接続されています。これは、これらのテクノロジーがIP（Internet Protocol）ベースの脅威に直面することを意味します。

　したがって、スタジアムの管理に使用される企業インフラが直面するのと同じサイバーセキュリティ課題が、ICSセキュリティ上の問題にもなったと言えます。

　この問題はITセキュリティとOTセキュリティをそれぞれ単独で見ても対応できません。これら2つの環境はアナログからIPへの移行により統合されたからです。そこで、IT環境で発生し産業用システムに移動する脅威を、検知し対処するための統一されたアプローチが必要となります。さらに、サイバーセキュリティテクノロジーは複雑性にも対応できなければなりません。

　DarktraceのAIは最も複雑な環境でその強みを発揮します。より多くのデータポイントが、より大きなコンテキストをAIの意思決定に提供することになります。DarktraceはOTとITを、統一されたAIエンジンでカバーします。このAIエンジンはさらに、クラウドインフラ、SaaSアプリケーション、Eメールシステム、エンドポイントにわたって、脅威検知と対処を行うことができます。Darktraceは大規模なスタジアムのデジタルインフラを構成する、乱雑な、入り組んだシステムにも即座に適応できます。

時間要因

　もう1つの要因は、スタジアムで行われるイベントの特性としてタイミングがきわめて重要であり、運営および実行組織に多大なプレッシャーがかかるということです。‘D-Day’はやり直しや延期ができず、イベント中にサイバー障害が発生した場合、一分一秒が貴重になります。

　そのため、一般にもよく知られている2つの指標に大きな重点が置かれることになります。それらは、平均認知時間（MTTK：Mean Time To Know）、すなわちチームがインシデントを認識するのにどれだけかかるか、ならびに平均復旧時間（MTTR：Mean Time To Restore）、すなわちチームが脅威をどれだけ迅速に封じ込めることができるか、という指標です。スタジアムで開催されるイベントにおいては、これらの指標を最小化することがどこよりも必要かもしれません。

　このことはサイバーセキュリティテクノロジーを評価する上での3つ目の基準につながっています。それは、そのシステムが対処に役立つかということ、とりわけ、その対処がきめ細かく的を絞った対処であり、さらなる中断を招くことなく脅威を封じ込めることが可能かということです。

 　これについては、DarktraceのAutonomous Responseは人間の反応では遅すぎる、あるいは人間がまったく不在の場合にも、マシンスピードのアクションを実行してサイバー攻撃を封じ込めることができます。自動対処はDarktraceのAIを使って行われるため、ITおよびOTシステム全体に渡って何が「正常」であるかについてのきめ細かく絶えず更新される理解に基づいています。これにより、対処のためのアクションは的を絞ったものになります。中断というコストを伴うことなく、脅威を解消するように設計されたものです。脅威の性質および深刻度に応じて、デバイスまたはアカウントの通常の「生活パターン」を強制することにより、特定の悪意ある接続をブロックすることが可能です。 一分一秒を争う状況で、サイバーセキュリティテクノロジーに求められるのはこのようなスピードときめ細かさです。

プラグアンドプレイ

　スタジアムや大規模な施設の運営者においては通常、Darktraceのトライアル期間を延長し、通常の状態とイベント開催時の両方をカバーするよう、より長い期間をかけてAIに「正常」を学習させます。高度なAIの能力により、イベント開催日を「正常」の理解に取り込むことができるのです。

　イベント開催日が来ても、そのような場合にすべてのユーザーやデバイスがどのように振る舞うかをきめ細かく理解しているため、脅威を示すかすかな違いを識別することができます。

　Darktraceはデジタルエンタープライズのあらゆるエリアに展開することができます。これにはEメールも含まれ、これはさらなる重要な防御のレイヤーとなります。イベントがあるたびに、新たな送信者との何千ものメール交換が発生し、ウイルスやランサムウェア拡散のリスクが高まります。また、クラウドおよびSaaS環境も同じ自己学習型アプローチでカバーし、アカウント乗っ取りやその他のクラウドベース脅威を示す異常な挙動も阻止することができます。

　どのようなエリアに導入するにしろ、Darktraceによりスタジアム運営者はイベントの重要な側面に集中することができ、ネットワークトポロジーやインフラに変更を加えることなくリアルタイムの保護を実現できます。

適応型防御

　サイバー犯罪者達は、攻撃の特定の特徴を探すようにトレーニングされたセキュリティツールを回避するため、常に新たな攻撃のアプローチを考えています。彼らが創造性を発揮し新たな戦術やテクニックを次々と試すなかで、こうした従来型のツールを使うオペレーターは常に後追いの状態に陥ります。

図2：サイバーセキュリティは攻撃と防御が目まぐるしく変化するゲームである

　組織を一から学習するAIベースのアプローチは「いたちごっこ」に終止符を打ち、防御側にバランス上の優位をもたらし、脅威の一歩先を行くことを可能にします。

　ビジネスの「正常」についてのきめ細かな理解、IT-OTに対する統一されたカバレッジ、そして即座に的を絞ったアクションを実行するAutonomous Responseにより脅威に対抗することが可能となり、大規模スタジアムやイベントの運営者は、来場者、デジタル視聴者、パートナー、選手やパフォーマーにとっての最高の体験を提供することができるのです。