大規模イベントのリスクマネジメント【第3回】リスクマネジメントの実践

リスクマネジメントの実践成功指標が明確になり、それを組織内外に浸透できれば、残りはリスクマネジメントの実践になります。実践をリスク特定～対応（低減）までのフェーズと、リスクが現実化した（事件化した）際の対応フェーズに分けて考えます。
最初にすべきことは成功指標をベースとしたリスク特定です。これらは指標一つ一つに対して、達成できない可能性を検討することで実施します。

リスク特定
リスク特定方法には様々な技法がありますが、最も一般的な技法はグループディスカッションによるものです。しかし参加者の目線やスコープをきちんと合わせないとうまく纏まらないことも多く、ファシリテーターの役割やスキルが重要になります。スコープを合わせる上で有効なテクニックは前述したプロンプト・リストの活用です。

例として
・PESTLE（Political, Economical, Social, Legal, Technological, Environmental)
・6Ms(Man, Machine, Method, Material, Measurement, Management）
・TECOP（Technological, Environmental, Commercial, Operational, Political)

などが有名なものとして知られています。
どれを選んでも問題ありません。それぞれから組み合わせたりしてリスク特定対象の特性に合わせた独自のものを使用しても良いです。
いずれにせよ、考える「視点」「観点」を明確に分けることで、挙げられるリスクについての粒度が揃いやすくなることはリスクマネジメント活動を主催する立場の人は知っておくべきでしょう。

次に気を付けたいことは、特定する「リスクをどう記述するか」という点です。ある人は「自然災害リスク」と挙げるかもしれませんが、ある人は「台風被害により大会運営が困難になる」とするかもしれません。リスク特定時にはできるだけ「何によって何が起きるのか」を明確にした特定方法を推奨します。

リスク分析特定されたリスクに対して、それがどのように起きるのかを分析する必要があります。
例えば「サイバー攻撃によりイベント警備に関する機密が盗まれる」というリスクを特定したとします。それがどういうシナリオで発生するのか、例えば脆弱性対応不備を突いたゼロデイ・エクスプロイトによるものや、フィッシングメールによるもの、関係者のアカウントを乗っ取られてのもの・・・のように様々なシナリオが考えられます。
ここでもプロンプト・リストを作成して、観点を整理しながら漏れのないシナリオを作成することが大切です。

前述した情報漏洩の例では、
「外部Adversaryによる」「内部者による」「意図的ではない」「サプライチェーンによる」
といった分類を最初に行い、それぞれのルートを特定していけば特定漏れが防ぎやすくなります。
こうした発生ルートを特定する技法は「故障の木分析（Fault Tree Analysis）」と呼ばれ、
サイバーセキュリティにおいてはアタックツリーなどと呼ばれることもあります。

また、実際に事象が発生した際のどのような影響が発生するかも分析しておく必要があります。その分析結果は後半で行う「リスク対応計画」を立案する上でも重要な役割を果たします。
影響分析の技法は「影響の木分析(Event Tree Analysis)」です。

※2 「EMOTET」に続き「IcedID」の攻撃が本格化の兆し、パスワード付き圧縮ファイルに注意
https://blog.trendmicro.co.jp/archives/26656
※3 Office 365偽サイトによるフィッシングキャンペーン、日本の経営幹部も標的
https://blog.trendmicro.co.jp/archives/27186

この分析を行う上で重要なことは、進展キー（図6における、Event1, Event2…）をできるだけ確実に行うことです。過去の経験な事例などが参考になるでしょう。
故障の木分析、影響の木分析のいずれも、重要になるのは何を頂上事象（Top Event）とするかであり、あまり大き過ぎるとシナリオが複雑化しすぎて分析がしにくくなります。逆に小さく取り過ぎると数が膨大になるため、それを踏まえて適切なスコープ調整ができるかどうかが、リスクマネジメントを実践する上での重要なスキルということになります。

リスク評価リスク評価とは特定、分析したリスクの大きさを求める工程です。そして、それらのシナリオの実現可能性とそれに対するリスク低減施策をマッピングして、｛リスクの大きさ=（発生可能性ｘ発生時のインパクト）/ 施策の有効性｝を求めます。
リスクの大きさは定性的（大・中・小など）での表現と定量的に数値化する方法がありますが、一般化されていない指標を無理矢理導入してしまうと、値を示された側がピンと来にくいという問題もあります。
例えば「偏差値」というような一般化された指標であれば、50ということは平均にいることがすぐに体感できますが、リスク値が89ポイントと説明されてもそれが大きいのか小さいのか、理解し難いです。
従ってリスク特定・分析・評価の初期段階では無理に定量化するのではなく、定性的な評価を行い、リスク対応計画が進む中で定量化していく手法を推奨します。

RACIの設定大規模イベントを主催する組織には当然ながら様々なファンクション・エリア（FA）が存在し、特定したリスクは必ずしも一つのFA内で閉じないものも多いです。従ってリスク対応策を検討する手前の段階で特定されたリスク対応計画を立案するための役割をRACI（Responsible, Accountable, Consulted, Informed）などを利用して役割を明確にしておくと良いです。

リスク対応計画特定・分析・評価されたリスクに対してはまず大きな方針を合意して決定する必要があります。
大きな方針とは「受容・保持」「低減」「回避」「転嫁・共有」の４つに分けられます。特定・分析・評価されたリスクの一つ一つに対してまずこの４つを割り当てていきます。そしてなぜそう判断したのかの理由を記載し、その上で「低減」「回避」「転嫁・共有」の３つに分類されたリスクについては対応計画を立案することになります。
リスク対応計画は、「故障の木分析」で特定した発生ルートに対策をマッピングすることと「影響の木分析」でリスクが現実のものとなった場合にその影響を最小化できるルートにどのように導くことができるかの２つの観点で検討します。
そしてリスク低減施策が十分なレベルに低減可能かを細かく調整します。この過程ではリスクの大きさを定量化しておくことが必要です。そして対応施策を実施した際のリスクの大きさを再評価してリスク台帳をアップデートしていきます。
従ってリスク台帳は、最初に特定したリスクを分析した結果で複数のルートが想定される場合には、その分だけ行数を増やしておくと良いです。そして各行のリスク値の総和がそのリスクの全体量ということになります。

第三者レビュー対応計画とリスクの際評価が終わると次にすべきことは、第三者レビューです。これは利害関係のない第三者による客観的な評価を行うことにより確実で有効な対応計画とすることができます。もちろん、リスクによっては内外の環境変化により変動するため、第三者レビューは定期的に行うことが望ましいです。

インシデント発生時の対応

リスクは当然ながら100%回避することは難しです。従って万が一、インシデントが発生した場合を想定したインシデント対応計画の立案は大規模イベントの成否にとって大きな鍵となる活動です。既に特定・分析・評価・対応・再評価を行ったリスク台帳があるので、これをインプットとしてそのリスクが実際に発生した場合の対応計画を策定します。

対応するオペレーション・センター（OC）の明確化

大規模イベントに関連して発生するインシデント（事件）は、その状況に応じて必ずしもイベント主催者が主幹すべきものばかりとは限りません。
例えば競技会場を狙った爆破テロのようなものであれば、主幹すべきは警察組織となります。また来訪するVIPを狙ったテロとなると、対象国の警備体制との連携が必要になります。
従って最初にすべきはリスク台帳に沿って主幹OCがどこかを割り当てることであり、この作業は関係する全組織合同で行う必要があります。
（海外関係者との調整は国内で一旦合意したものをベースに実施すると良い）
そして、主幹となったOCが中心となって、それぞれの種類の事件への対応方針（CONOPS - Concept of Operations）を策定する必要があります。この方針がそれ以降の細かいオペレーションを定義する上でのバイブルとなるのです。

2017年に見学することができたボストン・マラソン（2013年に爆破テロが発生したイベント）の警備体制ではこのCONOPSをしっかり文書化し警備に関わる全員が何度も熟読しているため、前日や当日のブリーフィングは逆に実にあっさりしたものだったことが印象的でした。そしてCONOPS文書の冒頭にはしっかりとボストン・マラソンの価値、成功とは何かが記載されてました。

図９はセキュリティ体制を階層構造で示し、それぞれのレイヤーがどのような役割を担うかを示したものです。国家レベル、都市・地域レベルまでが主に政府や地方自治体、そして法執行機関が主幹し、海上セキュリティをイベント主催者が主幹します。
ボストン・マラソンの警備体制では階層３に米軍、階層２が州警察、郡警察、市警察及び大学警察などが担当する形となっており、関わる組織が多いため連携を取るためには大きな方針（CONOPS）にはこの階層構造と役割が明記されていることが求められます。

オペレーション計画（COA）の策定

大きな方針（CONOPS）に続くのがCOA（Course of Action）と呼ばれる具体的な行動指針です。
これは机上で行動シナリオを作り何度もシミュレーションを行い行動計画を詰めていくという工程になります。前述した「影響の木分析」をインプットとして事件がどのように進展していくのか、それに対してどのようなアクションが必要かを細かく定義します。
その中で重要となるのはコミュニケーションと意思決定となりますが、こうしたアクションを細かく記載していくことで、コミュニケーションの発信元、受信範囲、意思決定者などを確実に決めておくことができるため、いざコトが起きた際に混乱することなくスムーズで的確な対応が可能になります。
また、シミュレーションを行う上で、各ステップごとにWhat-If分析（もし~だったらと想定する）を行うことで、一連の対応行動が進展していく中での落とし穴がないかを確認することができます。

訓練

机上シミュレーションによって精度が高められた後に実施すべきは「訓練」と「改善」です。
訓練シナリオは影響の木分析とCOAをベースに策定します。そして敢えてシナリオ進展の途中に敢えて「異常」を意図的に入れ込み、対応チームがどのように反応するのかを見極めることも重要です。そして訓練した結果はきちんと文書化した上で分析し改善点を確認し、COAの精度を高めていきます。特に複数組織のOCが関わるようなレベルのリスクに関しては、定期的な訓練を行っておかないと、いざという時に計画通りにいかないことが多くなるため、訓練そのものの計画や実施には相応なリソースが必要になります。
そのための調整も難しい面がありますが「成功のイメージ」をしっかり共有することで組織を跨って共通の目標に向けて難題を乗り越えることができます。ここでも「成功指標」の明確化とその共有が非常に重要です。

情報の共有

最後に、リスクマネジメント及び事件対応を適切に行うための情報共有の重要性について触れたいと思います。前述した通り大規模イベントに関わる組織は必ずしもイベント主催者に閉じるものではなく、政府、地方行政、警察組織、軍隊など様々に相互に関わりを持ちます。
そして各組織が持つインテリジェンスはむろんそのまま相互に共有できるものでもないため、どのような情報をどのような共有基盤で共有可能かをしっかり設計・構築・運用することが必要になります。そうすることで必要な情報が何かということを、正しいリスク分析を行って把握しておくことができます。

例えば、海外のテロリストが脅威源となるようなリスクであれば、テロリストであることが疑われる人物や関連人物の入国記録などが必要になります。サイバーテロを狙うグループの準備活動をダークウェブなどで検知した場合は、彼らの行動を捕捉して何が行われるかを予測して防御する必要があります。
リスクに対するセンサーの設置とその集約、情報分析と共有、そうした情報によりどのような行動が必要かというCOAとの関連付け、そうした十分なリスクへの準備活動とインテリジェンスの共有・活用が大規模イベントを成功させるためのリスクマネジメントを行う上では特に重要になりますが、このテーマに関してはサイバーセキュリティ戦略とも関連するのでまた別の機会で詳しく寄稿したいと思います。

2020年に行われる予定だった「東京2020オリンピック・パラリンピック競技大会」は新型コロナウイルスというパンデミック・リスクに支配され１年延期されて実施されました。当然、数年前のリスク特定段階でもパンデミックに対するリスク特定はなされていたと考えられますが、ここまでの規模で影響を及ぼすとまでは想像できなかったでしょう。

リスクはどんなに事前準備をしても、時として大きく変化しその変化に合わせてきめ細かく対応することが求められます。つまりそれは関わる人たちの想像を超える努力を要します。
従って関わる全員が「大会の成功」という共有の目標となって一丸となることが何よりも重要であり、そうした成功イメージを共有できるリーダーシップが重要になるのです。

コロナ禍に未だ苦しむ日本の社会も目指すべきゴールを明確に、そのゴールに向かってそれぞれの立場でなすべきことをする、そうした国民の力の結集が必要なのだろうと思います。

←連載の第２回はこちら

清水智

トレンドマイクロ株式会社
日本地域CISO

2002年トレンドマイクロ入社、製品開発部門、セキュリティのコアテクノロジー部門での品質マネジメントや事業継続マネジメントの責任者を歴任。2012年より統合型リスクマネジメントの重要性を認識し社内に専門チームを発足。大規模スポーツイベントのセキュリティ、サイバーセキュリティ、リスクマネジメント、人材育成などのマネジメント領域における専門家。2020年10月よりトレンドマイクロ・日本本社のCISOを務める。

政府へのセキュリティ政策提言、INTERPOL向けサイバー犯罪捜査官育成などに携わる。一般社団法人サイバー犯罪捜査・調査ナレッジフォーラム代表理事、一般財団法人日本サイバー犯罪対策センター（JC3）理事、国際刑事警察機構グローバルサイバー犯罪専門家委員会委員なども務める。