テクノロジー
製品
リソース
会社
日本語
テクノロジー
製品
ブログ
リソース
会社

世界のスタジアムやイベントを保護する自己学習型AI

Karim Benslimane, Director of Cyber Intelligence | 2022年3月3日木曜日

スタジアムや大規模施設の運営者はこうした施設特有のサイバーセキュリティ課題に直面しています。サイバー犯罪者を惹きつける「ハニーポット」とも言われるエンターテインメント業界は、主に次の3つの理由から脅威アクターにとって魅力的な標的です:

  • ハクティビズムリオ および 東京 オリンピックでも見られました
  • 世界的イベントの舞台は、地政学的な動機を持つサイバーテロリズムの標的となります
  • これらのイベントにかかる多額の金銭を背景として、イベント主催者や関連する事業者はランサムウェア等の金銭的動機によるサイバー犯罪の主要な標的になります

大規模イベント実施中にサイバー障害が発生した場合の影響は誇張してもし過ぎるということはありません。たとえば、電源供給が一時的に途切れることでテレビ放送が中断される、入場制御システムの中断で観覧者が会場に入れない、または監視カメラシステムの故障による犯罪や人身事故のリスクが増大するなどの可能性などがあります。データの信頼性がなくなり、スタジアム内のシステムが間違った値を出力するようになれば、危険なレベルの混雑を招く可能性もあります。サイバー世界と物理世界の間の壁は既に消失しています。サイバー攻撃が人体の安全性を脅かすのです。

本ブログでは、スタジアムのサイバーセキュリティにおける主要な課題を指摘し、私が国際イベントおよび施設のICTおよびサイバーセキュリティ責任者としてDarktraceを導入する理由となった、自己学習型AIのユニークな機能を紹介します。

アクセスのパラドックス

最大の問題は、さまざまな内部サービスが、多数の未知で管理されていないユーザー、サプライヤー、デバイスに対して提供されているサイトを安全にするというパラドックスにあります。

試合開始時間、これは ‘D-Day’(大規模作戦開始時間)とも呼ばれますが、膨大な数の人々がそれぞれのデバイスを使って、ネットワークやインフラにアクセスしようと押し寄せます。水門が開かれたのです。しかしもちろん、従業員や顧客の機密データ、クリティカルなOTシステムなど、デジタル環境の特定の部分は保護された状態を維持しなければなりません。私はこれを、家のドアを開けて、町中の人々を中に入らせ、歩き回らせる状態に例えます。それでも主寝室だけは守らなければなりません。

また、イベント実施中にサービスやコンテンツを提供するためにさまざまな人達がサイト上で作業できなくてはなりません。放送局、スタッフ、サプライヤーなどがイベントの運営に関与する必要がありますし、これらの人々すべてがITインフラにアクセスあるいは接続する必要があります。さまざまな形で、こうした外部の事業者もすでに境界内に入っているのであり、彼らが未知の悪意ある脅威を媒介する可能性もあります。

アクセス可能性とセキュリティの間のバランスを取るには、境界ベースのセキュリティから、内部の脅威を検知し対処するセキュリティへとマインドセットの転換が必要になります。この仕組みは複雑であり、悪意ある挙動をインシデントのコンテキストに基づいてリアルタイムで識別できるテクノロジーが必要です。1つの挙動または接続が、あるコンテキストでは良性であっても、別のコンテキストで見ればきわめて破壊的であることもあります。ツールやテクノロジーがこれらを区別できなければならないのです。

これが、Darktraceの自己学習型AIが適していると私が考えた理由です。それは境界で防御するのではなく、既に内部に入っている悪意あるアクティビティを検知し対処することに重点を置くアプローチです。Darktraceはその環境固有の「生活パターン」を学習するため、脅威の兆候であるかすかな変化を検知し、事前にプログラミングされたルールやプレイブックに依存することなく、的を絞った対処を開始することができます。

IT/OTの統合

2つ目の主要な課題は、ITとOTの統合の問題です。スタジアムやアリーナは、さまざまなICS(Industrial Control Systems)要素で構成されています。

図1:スタジアムを構成するIT/OT要素の相互関係

これには、多数のスイッチやケーブル、監視カメラで構成される複雑なシステムに加えて放送局や報道機関が持ち込む各種機器やテクノロジーが含まれ、今やこれらのITおよびOTコンポーネントはすべて相互接続されています。これは、これらのテクノロジーがIP(Internet Protocol)ベースの脅威に直面することを意味します。

したがって、スタジアムの管理に使用される企業インフラが直面するのと同じサイバーセキュリティ課題が、ICSセキュリティ上の問題にもなったということです。

この問題はITセキュリティとOTセキュリティをそれぞれ単独で見ても対応できません。これら2つの環境はアナログからIPへの移行により統合されたからです。そこで、IT環境で発生し産業用システムに移動する脅威を検知し対処するための統一されたアプローチが必要となります。さらに、サイバーセキュリティテクノロジーは複雑性にも対応できなければなりません。

DarktraceのAIは最も複雑な環境でその強みを発揮します。より多くのデータポイントが、AIの意思決定により大きなコンテキストを提供することになります。DarktraceはOTとITを、統一されたAIエンジンでカバーします。このAIエンジンはさらに、クラウドインフラ、SaaSアプリケーション、Eメールシステム、エンドポイントに渡り、脅威検知と対処を行うことができます。Darktraceは大規模なスタジアムのデジタルインフラを構成する、乱雑な、入り組んだシステムにも即座に適応できます。

時間要因

もう1つの要因は、スタジアムで行われるイベントの特性としてタイミングがきわめて重要であり、運営および実行組織に多大なプレッシャーがかかるということです。‘D-Day’ はやり直しや延期ができず、イベント中にサイバー障害が発生した場合、1分1秒が貴重になります。

そのため、一般にもよく知られている2つの指標に大きな重点が置かれることになります。それらは、平均認知時間(MTTK:Mean Time To Know)、すなわちチームがインシデントを認識するのにどれだけかかるか、ならびに平均復旧時間(MTTR:Mean Time To Restore) すなわちチームが脅威をどれだけ迅速に封じ込めることができるか、という指標です。スタジアムで行われるイベントの管理においてはこれらの指標を最小化することがどこよりも必要かもしれません。

このことはサイバーセキュリティテクノロジーを評価する上での3つ目の基準につながっています。それは、対処に役立つものか?ということです。とりわけ、その対処がきめ細かく的を絞った対処であり、さらなる中断を招くことなく脅威を封じ込めることが可能かということです。

これについては、Darktraceの自動遮断技術は人間の反応では遅すぎる、あるいは人間がまったく不在の場合にも、マシンスピードのアクションを実行してサイバー攻撃を封じ込めることができます。自動対処はDarktraceのAIを使って行われるため、ITおよびOTシステム全体に渡って何が「正常」であるかについてのきめ細かく絶えず更新される理解に基づいています。これにより、対処のためのアクションは的を絞ったものになります。中断というコストを伴うことなく、脅威を解消するように設計されたものです。脅威の性質および深刻度に応じて、デバイスまたはアカウントの通常の「生活パターン」を強制することにより、特定の悪意ある接続をブロックすることが可能です。 1分1秒を争う状況で、サイバーセキュリティテクノロジーに求められるのはこのようなスピードときめ細かさです。

プラグアンドプレイ

スタジアムや大規模な施設の運営者においては、通常Darktraceのトライアル期間を延長し、「通常の状態」と「イベント開催時」の双方をカバーするよう、より長い期間をかけてAIに「正常」を学習させます。高度なAIの能力により、イベント開催日を「正常」の理解に取り込むことができるのです。

イベント開催日が来ても、そのような場合にすべてのユーザーやデバイスがどのように振る舞うかをきめ細かく理解しているため、脅威を示すかすかな違いを識別することができます。

Darktraceはデジタルエンタープライズのあらゆるエリアに展開することができます。これにはEメールも含まれ、これはさらなる重要な防御のレイヤーとなります。イベントがあるたびに新たな送信者との何千ものメール交換が発生し、ウイルスやランサムウェア拡散のリスクが高まります。また、クラウドおよびSaaS環境も同じ自己学習型アプローチでカバーし、アカウント乗っ取りやその他のクラウドベース脅威を示す異常な挙動も阻止することができます。

どのようなエリアに導入するにしろ、Darktraceによりスタジアム運営者はイベントの重要な側面に集中することができ、ネットワークトポロジーやインフラに変更を加えることなくリアルタイムの保護を実現できます。

適応型防御

サイバー犯罪者達は、攻撃の特定の特徴を探すようにトレーニングされたセキュリティツールを回避するため、常に新たなアプローチを考えています。彼らが創造性を発揮し新たな戦術やテクニックを次々と試すなかで、こうした従来型のツールを使うオペレーターは常に後追いの状態に陥ります。

図2:サイバーセキュリティは攻撃と防御が目まぐるしく変化するゲームである

組織をゼロから学習するAIベースのアプローチは「いたちごっこ」に終止符を打ち、防御側にバランス上の優位をもたらし、脅威の一歩先を行くことを可能にします。

ビジネスの「正常」についてのきめ細かな理解、IT/OTに対する統一されたカバレッジ、そして即座に的を絞ったアクションを実行する自動遮断技術により脅威に対抗することが可能となり、大規模スタジアムやイベントの運営者は、来場者、デジタル視聴者、パートナー、選手やパフォーマーにとっての最高の体験を提供することができるのです。

Karim Benslimane

Karim Benslimane is Darktrace’s Director of Cyber Intelligence, working with clients in the public and private sector to analyse the most sophisticated cyber-threats today, and advising security professionals on the employment of artificial intelligence to strengthen their defensive strategy. Prior to joining Darktrace, Karim was Information & Communication Director at the Singapore Sports Hub, Head of IT at Vinci Stadium, and the IT Research & Development Manager at Stade de France. Karim is a technical specialist in cyber and counter-terrorism exercises with over two decades of experience defending the sports and event industry from sophisticated threats. He has led major IT and cyber security projects for international arenas and events such as the Football World Cup, Rugby World Cup, World Athletics Championships and over 500 games and concerts. He is based in Singapore.