コラム

“見えない脅威”にどう挑むか——大阪・関西万博のサイバーセキュリティ体制と将来へのメッセージ

JADCコラム編集委員会

2025.10.14

2025年4月より開催されていた大阪・関西万博が、10月13日に閉幕した。今夏はかなりの猛暑であったにもかかわらず、連日多くの人が訪れ、来場者数は9月27日時点で2500万人を超えたとの発表があった。 ※1

世界各国が、それぞれの技術・芸術の頂点を持ち寄り発信する機会としてのこの巨大イベントは、今回、リアルとデジタルが融合した「未来社会のショーケース」とも呼ばれているが、その裏側では、国家、非国家主体、組織、個人など、さまざまなアクターによるサイバー攻撃のリスクがつねに存在している。

このリスクへの対応は、過去の国際イベントでの教訓を受けて、極めて高度かつ多層的に設計されている。とりわけ、2021年の東京と2024年のパリでのオリンピック・パラリンピックでのサイバーセキュリティ対策の経験は、大阪・関西万博の安全性を支える礎となっている。

東京2020オリンピック・パラリンピック大会:未知の攻撃への対応と事前準備の重要性

東京2020オリンピック・パラリンピック大会では、開催前から大規模な標的型攻撃や不正アクセスが確認されていた。IOCによれば、大会を標的としたサイバー攻撃は約4億5千万件にのぼり、DDoS攻撃、フィッシング詐欺、悪意のあるドメイン登録など、多様な手法が確認された。これらの攻撃は、警察庁、内閣サイバーセキュリティセンター(NISC。2025年7月1日に国家サイバー統括室に改組)、国内主要通信事業者など、国内外の組織が連携して構築した監視体制により大きな混乱を避けることに成功した。 ※2

重要だったのは、「攻撃は起きるもの」の前提のもと、シナリオ訓練や模擬演習を繰り返し実施したこととされている。組織横断的な対応体制の構築、通信事業者やクラウド事業者とのリアルタイムな情報共有、偽情報拡散への対処など、予防と即応の両面から堅牢な枠組みが整備されていたようである。

パリ2024オリンピック・パラリンピック大会:AIとゼロトラストの導入、国際連携の深化

2024年に開催されたパリ2024オリンピック・パラリンピック大会では、さらに一歩進んだ技術的対応が注目された。とくに、AIによる脅威検知 ※3 やゼロトラスト・セキュリティモデルの導入が進み、ネットワーク内に侵入された場合でも被害を最小化する仕組みが機能した。

また、フランス国家情報システム安全庁(ANSSI)は、欧州各国のCERT(Computer Emergency Response Team)やENISA(欧州ネットワーク情報セキュリティ庁)と連携し、国際的なサイバー演習や情報共有の枠組みを構築。ロシア系や中東系のサイバーグループによる攻撃を事前に察知・遮断するなど、事後対応だけでなく「予測型防御」が実現し、成果を上げた。 ※4

大阪・関西万博:包括的で多層的なサイバーセキュリティ体制

これらの経験を踏まえ、大阪・関西万博では、サイバーセキュリティの確保を万博運営の最重要課題の一つとして位置づけ、包括的かつ多層的な対策が講じられている。

まず、官民連携による監視・対応体制が構築されている。国家サイバー統括室(旧・内閣サイバーセキュリティセンター)が中心となり、経済産業省、総務省、警察庁、大阪府警などと緊密に連携して対応にあたっている。日本国際博覧会協会(万博協会)の内部には、サイバーセキュリティを担当する部課が設置され、監視体制が整備されている。通信事業者(NTT、KDDI、SoftBankなど)との連携も強化されており、ネットワーク層からアプリケーション層に至るまでの多層的な防御策が実装されている。 ※5

また、AIと自動化技術の活用も積極的に進められている。異常検知システムにはAI技術が組み込まれており、通常とは異なるトラフィックや行動パターンを即座に検知し、自動的に対応が開始される仕組みとなっている。これにより、初動対応の迅速化が図られるとともに、人的リソースの効率的な運用が可能となっている。

さらに、インシデント発生時の現場対応能力を高めるため、対応訓練や啓発活動が実施されている。ボランティアや運営スタッフを対象にしたセキュリティ教育、関連組織の情報システム担当者等が対象のサイバー防御講習などが行われているほか、災害・停電・サイバー攻撃を同時に想定した複合型のBCP(事業継続計画)も策定されている。また、2025年1月には、警視庁が主催するサイバー攻撃対処訓練が行われ、万博協会や大阪府内の重要インフラ企業など約35事業者のサイバーセキュリティ担当者が参加した。 ※6

このほか、国際連携の推進も重要な柱となっている。米国のCISA(Cybersecurity and Infrastructure Security Agency)、EUのENISA(European Union Agency for Cybersecurity)、ASEAN諸国のCERT(コンピュータ緊急対応チーム)、さらにはFive Eyes(アメリカ、イギリス、カナダ、オーストラリア、ニュージーランドの5ヶ国による情報共有枠組み)との間で、情報共有体制やインシデント対応プロトコルの標準化が進められている。

大阪・関西万博は、先進的な技術のショーケースであると同時に、サイバー空間における実戦の場としても世界的に注目されている。

大阪・関西万博の実施を受けたリスクマネジメントと情報共有について

大阪・関西万博に先立ち、2024年3月に実施された警察大学校主催のフォーラムにおいて、内閣官房の稲垣参事官(当時)が、万博開催に向けたサイバーセキュリティの取組の推進にあたっての2本柱について述べている。まず、1つ目はサイバーセキュリティ上のリスク評価や、それにより明確になったリスクへの対策を促進していくこと。2つ目はサイバーに係る脅威・インシデントに関する共有体制の整備およびインシデント発生時の対処体制の整備についてであり、これは「リスクマネジメント」と「情報共有」を重視していることに他ならない。 ※7

この2本柱については、万博開催間の一時的な取組に留めることなく、今後、これを契機に、既に普及している国際基準の枠組みを活用し、我が国においても国、そして企業(電力、通信、金融、防衛関連等)の平素からの底上げを図っておく必要がある。そして、このニーズを満たす欧米の国際的枠組みとして、NIST SP 800-37(Risk Management Framework: RMFという。)がある。

RMFは、サイバー・リスクを体系的に管理し、継続的にモニタリングすることで、最新の脅威に即応できる態勢を維持するための枠組みであり(リスクマネジメント)、特筆すべきは、この国際基準を満たすことで初めて、国際的な情報共有が可能になる点である(情報共有)。国際社会、とりわけウクライナを加えた米国、NATO、EUでは、すでにRMF等を軍民で導入済であり、どこかで攻撃の兆候が検知されると、数分以内に情報を共有、防護措置を講じられる体制が構築されているのである。

これは、ロシア・ウクライナ戦争からのフィードバックに基づく欧米の取組ともいえ、かかる観点で、我が国においても、国、そして企業へのRMFの導入は、もはや選択肢ではなく必須といえよう。恒常的な「リスクマネジメント」と「情報共有」の万全は、喫緊の課題であろう。

大阪・関西万博級の今後の国際イベントの対処の体制について

5月16日、能動的サイバー防御法案が可決し、2026年度中に同措置が開始される予定である。そして、前述の通り、7月1日、我が国のサイバーセキュリティの司令塔であるサイバーセキュリティ戦略本部の事務局として、内閣サイバーセキュリティセンター(NISC)が改組されて国家サイバー統括室が新設された。

サイバー攻撃を受けた場合、それを犯罪と認識するか、それとも国家による攻撃とするかで、対処する主体が異なる。後者と判断した場合にも、シームレスに対応するため、対処体制及び今後の万博級の国家レベルのイベントでの対処組織には、自衛隊を組み込むことも選択肢として検討することが必要であろう。

博覧会の“もう一つの顔”としての、将来へのセキュリティレガシー

大阪・関西万博における準備を含む包括的・多層的なサイバーセキュリティ対策は、単なる「イベントセキュリティ」にとどまらず、得られた知見と人材育成の成果は、2025年以降の関西圏のスマートシティ構想や国際イベント運営などにつながる「セキュリティレガシー」となっていくこと、そして、リスクマネジメントと情報共有、対処の体制についても、さらに進化したものとなることが期待される。

未来社会を映し出す博覧会の華やかな光の裏で、目に見えない攻防が日々繰り広げられている。安全・安心な社会の実現には、サイバー空間での信頼性確保が不可欠であることを、万博は静かに、しかし確実に私たちに教えてくれている。

    当社は、ウェブサイトの機能性向上とユーザーエクスペリエンスの向上のため、Cookieを使用しています。

    また、分析のためにもCookieを使用しています。引き続き当ウェブサイトを閲覧される場合、お客様のデバイスにCookieを保存することに同意したものとみなされます。