1．ま　え　が　き

　オリンピック・パラリンピック競技大会は，その性質上セキュリティポリシーを適切なレベルでコントロールすることが難しく，過去大会でもセキュリティインシデントが度々発生していた．更に，ITの高度化かつ多様な活用に伴い，各大会運営機能組織（FA: Functional Area）も積極的にクラウド環境を選定しているため，守るべき対象が広範囲かつ多種多様に広がり，リスクコントロールが更に難しくなってきている．複雑かつ広範囲な環境を守り切る上で組織連携を前提としたガバナンスの重要さが増している．

　本稿では，サイバーセキュリティチームが，組織委員会及び大会関係者に対して横通しで実施したセキュリティガバナンスの取組みを紹介する．

2．大 会 の 特 性

　ガバナンスの取組みを紹介する前に，その前提となる，大会の特性について整理する．

　まず，世界最大規模の競技大会として注目を浴びるため，様々なサイバー攻撃や犯罪の標的とされやすい点が挙げられる．本特集5-1「東京2020大会のサイバーセキュリティの統括　2．大会に関するサイバー脅威」⁽¹⁾において述べたとおり，大会運営に対して直接的な影響を与えるサイバー攻撃だけでなく，大会の信用や価値を失墜させることで間接的に影響を与える攻撃（レピュテーションリスク）や，経済的利益を狙った犯罪などに対して，適切に備え，対処を行わなければならない．特に，大会運営の妨害を意図した攻撃への対処には，活動の背景となる情報の収集も重要であり，アンチドーピング問題や国家の威信発揚などの周辺情報も常に考慮する必要がある．場合によっては，“大会に向けて万全の準備，万全なセキュリティ体制を整えた”というようなメッセージの発信が攻撃を誘発してしまうこともある．

　大会関係者の多さも大きな特徴である．昨今の攻撃では，セキュリティ対策の弱い関係者をまず狙い，そこを起点として連鎖的に本命の対象を狙うといった手法がとられることも多く，関係者全体を包含した防御が求められる．2020年10月に平昌2018大会のサイバー攻撃の状況が米国から発表された．そこにはセキュリティ対策の弱い企業への攻撃が起点であった事例が報告されており，正にこのサプライチェーンリスクが現実化してしまったと言える．IT環境の多様化に加えグローバルオペレーションが進み，かつ競技会場の広がりも進む東京2020大会においては，多様な組織と環境に対していかにしてガバナンスを徹底し，守りを固めるかが非常に大きな課題であった．