大規模イベントのリスクマネジメント【第1回】「統合型」でなければうまくいかない

有識者・経験者からの学び私が最初に大規模イベントのリスクマネジメントへの関わりを持ったのは、2013年９月に決定した2020年のオリンピック・パラリンピック夏季大会の東京開催が決定した時でした。
両親の「お前も小さい頃、聖火リレーを見学したんだよ」という言葉でのみ1964年の大会について知っていた私にとっては何か役に立てることはないか、その思いから自分にできることは何かと考え、最初に実施したことはその道のプロのレクチャーを受けることでした。
幸い、米国人の友人がスポーツ団体や大会のコンプライアンス問題やセキュリティに関する専門家であることを思い出し、早速彼にコンタクトを取り彼は二つ返事で私の要請に応えてくれました。

2015年7月にようやく彼とのアポイントメントが取れ、笑顔で手を振ってきた彼に挨拶もそこそこに早速私はこう聞きました。
「マイケル（彼の名前）、大規模イベントのサイバーセキュリティの在り方について教えて欲しい！」

マイケルは笑いながら、
「せっかちだね、君は。まず最初にすべきことはサイバーだけでない全体のリスク構造を理解することから始めた方がいい」

そう言うとマイケルは、ホワイトボードにキーワードを書き出しました。

Due Diligence, Holistic Risk Management, Stakeholder Analysis, Examination of Event-related legislation, Policies, Procedures, Services and Systems…

正直なところ、マイケルが書いていくキーワードには私はあまりピンとこなかったので思いきって聞いてみました。

「マイケル、わかっていると思うけど、私の専門領域はサイバーセキュリティなんだよ？」
マイケルは茶目っ気たっぷりな顔でウィンクしてみせると私の問いかけには答えずにキーワードの書き出しを続けていき、そして丁寧に一つ一つのキーワードについて説明してくれました。

「例えば、イベントに関わる業者の一つがテロ組織と繋がっていたらどうなる？イベントを脅かすリスクは一意ではない、輻輳していて相互に関連している。特に君が得意なサイバー領域はこれらすべてに関係している、もっと言えばサイバー空間によって結び付けられていると言ってもいいだろう。わかるかい？それこそが全体構造から理解すべきと私が言った理由なんだよ？」

今でこそ統合型のリスクマネジメントの必要性は多くの企業でも認識されていますが、マイケルの挙げたキーワードの中の「Holistic (包括的な) Risk Management」という言葉に強く感銘を受けたのです。

マイケルの言葉は2012年に私が会社にリスクマネジメントの専門部署を組成した時に、漠然とその意義や重要性を感じていた私自身の感覚を明確に説明してくれた言葉だったのです。マイケルはこう続けました。
「個々の領域の専門家は多い。でもバラバラにリスクに対応していたらそれぞれの効果を打ち消し合うことにも繋がりかねない。特にスポーツイベントの組織委員会は臨時に組成され多くの組織から人を出して構成されるだろう？統合型にしておかないと、絶対にうまくいかないんだ。この領域の専門家を紹介してあげるから、彼らから具体的なことを学んだらいいよ。」
忙しく国内外を飛び回っているマイケルは、再びウィンクすると慌ただしく面談したホテルを去っていきました。

そして約束通り彼は、国際イベント・セキュリティを手掛けている国際組織である ICSS（International Centre for Sport Security）を紹介してくれました。
彼らからは、FIFAワールドカップや、各種グッドウィルゲームなど大型スポーツイベントのリスクマネジメントのアプローチについて実の多くのことを学ぶことができたのです。
そして彼らからは、マイケルが最初に私に告げたようにリスクマネジメントは「統合型」でなければならないという共通の言葉を聞きました。私はそこから、統合型リスクマネジメントというアプローチやその在り方にについて考えていくこととなったのです。

下の図はなぜ統合型であるべきなのかを説明しているRBS（Risk Breakdown Structure）チャートです。
電力供給の停止が発生するリスクは災害、事故、意図的攻撃、政治的要因、経済的要因と多岐に渡っていることがわかります。それぞれの領域は相互に無関係ではない上に特に昨今のインフラ基盤はサイバー空間を通して相互に密接に関係しています。
従ってそれぞれの専門領域ごとに取り組むのではなく、統合型で取り組むべきなのです。

ここから、私が2018年にフランスのサイバーディフェンスの専門雑誌であるS&Dマガジン誌に寄稿した際の「Major Event Security and effective capability building」から2024年パリ大会に向けた提言の内容に基づいてリスクマネジメントの取り組みについて紹介していきます。

統合型リスクマネジメント統合型リスクマネジメントというと、すぐに思い起こされるフレームワークとしてはCOSO（トレッドウェイ委員会組織委員会<Committee of Sponsoring Organizations of the Treadway Commission>）のERM（Enterprise Risk Management）フレームワーク※1でしょう。
私も早速、関連資料（注：この当時は2017年の改訂版より以前のいわゆる旧ERM）を読み返すなどしながら、大規模イベントのリスクマネジメント・フレームワークの定義について色々と検討しました。
その結果COSOのモデルは例えば大規模イベントを主催する組織委員会やサプライチェーン、インフラ提供事業者などに対してどのようなリスクガバナンス体制を構築すべきか、という点において合点がいきました。
早速ERMのモデルをベースにリスクガバナンス体制の在り方について検討を進めると、そのモデルは「３線モデル」であるべきとの結論に至りました。
※1COSO ERM : https://www.coso.org/_files/ugd/3059fc_61ea5985b03c4293960642fdce408eaa.pdf

３線モデルとは、リスクマネジメントのファーストラインに現場のオペレーション、セカンドラインにリスクを統括するチーム、そしてサードラインには客観的立場でアドバイスをする専門家チームを配した体制のことです。

なぜ３線モデルにすべきと考えたか、それには２つの理由があります。
まず一つ目はリスクを専門チームに集約することでボトルネックが発生する可能性があるという点、そして二つ目としては現場がリスクに対する当事者意識を持たなくなるという懸念です。特に後者は当社において自身が統合型リスク管理部門を発足させて以来課題に感じてきたテーマです。
現場には当然ながら現場ならではの優先順位があります。その中でことさらにリスクについて主張しても組織内に対立構造を生む可能性があります。
３線モデルを導入し現場に当事者意識を持って動いてもらうことは想像以上に大変なことですが、大規模スポーツイベントを成功させるという大きな目標の下では実現させなければならないテーマだと考えます。これでガバナンス体制案も決まりました。

しかし、エンタープライズ・アーキテクチャ全体を包含するリスクマネジメント体制としてはERMのモデルは最適であると確信を持てたのですが、その先の具体的なリスクマネジメント・プロセスの運用を見据えると、何かしっくりこない、腹落ちしきれないという感覚を持っていました。
そこで、私は再びマイケルと彼のチームメイトであり、スポーツ・セキュリティの権威とも言えるメンバーとのオンラインでのミーティングをセットしてくれたのです。

「君の疑問はよくわかるよ。我々も多くの大会関係者から同じような質問を受けたことがあるんだ。きっと、君は何がイベントの成功なのかが明確でないから、ERMのようなフレームワークを実際のリスクマネジメントのアクションに落とし込もうとした時にギャップを感じているんじゃないかい？」

自分自身がなかなか言語化して相手に伝えることができなかったことを彼らはいとも簡単に説明してくれました。しっくりこなかった最大の原因は、このリスクマネジメントの目的とは何かという点にあったのです。それなら、仮でも良いのでイベントの成功の定義からスタートしてみよう、そして成功を阻害するモノは何か、そのリスクをどう低減するのか、どこまで低減すれば良しとするのか、そうした指標化をしないといけないんだ、ということに気付くことができました。

次回は、リスクマネジメントの目的と成功指標について言及していきます。

連載の第２回はこちら→

清水智

トレンドマイクロ株式会社
日本地域CISO

2002年トレンドマイクロ入社、製品開発部門、セキュリティのコアテクノロジー部門での品質マネジメントや事業継続マネジメントの責任者を歴任。2012年より統合型リスクマネジメントの重要性を認識し社内に専門チームを発足。大規模スポーツイベントのセキュリティ、サイバーセキュリティ、リスクマネジメント、人材育成などのマネジメント領域における専門家。2020年10月よりトレンドマイクロ・日本本社のCISOを務める。

政府へのセキュリティ政策提言、INTERPOL向けサイバー犯罪捜査官育成などに携わる。一般社団法人サイバー犯罪捜査・調査ナレッジフォーラム代表理事、一般財団法人日本サイバー犯罪対策センター（JC3）理事、国際刑事警察機構グローバルサイバー犯罪専門家委員会委員なども務める。