< CISO’s Voice > 大規模イベントのリスクマネジメント
【第3回】リスクマネジメントの実践

執筆者
清水 智 Shimizu Satoshi
トレンドマイクロ 執行役員 日本地域CISO

リスクマネジメントの実践

成功指標が明確になり、それを組織内外に浸透できれば、あとはリスクマネジメントの実践というフェーズということとなる。これは、リスク特定~対応(低減)までのフェーズと、リスクが現実化した(事件化した)際の対応フェーズに分けて考えれば良い。
最初にすべきことは成功指標をベースとしたリスク特定であり、これらは指標一つ一つに対して、達成できない可能性を検討することで実施する。

リスク特定:

リスク特定方法には様々な技法があるが、最も一般的な技法はグループディスカッションによるものだ。ただし、参加者の目線やスコープをきちんと合わせていかないとうまく纏まらないことも多く、ファシリテーターの役割やスキルが重要になる。スコープを合わせる上で有効なテクニックは前述したプロンプト・リストの活用である。PESTLE(Political, Economical, Social, Legal, Technological, Environmental)や6Ms(Man, Machine, Method, Material, Measurement, Management)、TECOP(Technological, Environmental, Commercial, Operational, Political)などが有名なものとして知られている。どれを選んでも良いし、それぞれから組み合わせたりしてリスク特定対象の特性に合わせた独自のものを使用しても良いが、いずれにせよ考える「視点」「観点」を明確に分けることで挙げられるリスクについての粒度が揃いやすくなることはリスクマネジメント活動を主催する立場の人は知っておくべきだろう。次に気を付けたいことは、特定する「リスクをどう記述するか」という点である。ある人は「自然災害リスク」と挙げるかもしれないし、ある人は「台風被害により大会運営が困難になる」とするかもしれない。リスク特定時にはできるだけ、「何によって何が起きるのか」を明確にした特定方法を推奨する。

リスク分析:

特定されたリスクに対しては、それがどのように起きるのかを分析する必要がある。例えば、「サイバー攻撃によりイベント警備に関する機密が盗まれる」というリスクを特定したのであれば、それがどういうシナリオで発生するのか、例えば脆弱性対応不備を突いたゼロデイ・エクスプロイトによるものや、フィッシングメールによるもの、関係者のアカウントを乗っ取られてのもの・・・のように様々なシナリオが考えられる。ここでも、プロンプト・リストを作成して観点を整理しながら漏れのないシナリオを作成することが大切である。前述した情報漏洩の例では、「外部Adversaryによる」「内部者による」「意図的ではない」「サプライチェーンによる」といった分類をまず行い、それぞれのルートを特定していけば特定漏れが防ぎやすくなる。こうした発生ルートを特定する技法は「故障の木分析(Fault Tree Analysis)」と呼ばれ、サイバーセキュリティにおいてはアタックツリーなどと呼ばれることもある。

図6 : 故障の木分析

また、実際に事象が発生した際のどのような影響が発生するかも分析しておく必要がある。その分析結果は後半で行う「リスク対応計画」を立案する上でも重要な役割を果たす。影響分析の技法としては「影響の木分析(Event Tree Analysis)」である。

図7: 影響の木分析

この分析を行う上での鍵は、進展キー(図6における、Event1, Event2…)をできるだけ確実に行うことであり、過去の経験な事例などが参考になる。故障の木分析、影響の木分析のいずれも、重要になるのは何を頂上事象(Top Event)とするかであり、あまり大き過ぎるとシナリオが複雑化しすぎて分析がしにくくなる。逆に小さく取り過ぎると数が膨大になる。それを踏まえて適切なスコープ調整ができるかどうかが、リスクマネジメントを実践する上での重要なスキルということになる。

リスク評価:

リスク評価とは特定、分析したリスクの大きさを求める工程である。そして、それらのシナリオの実現可能性とそれに対するリスク低減施策をマッピングして、{リスクの大きさ=(発生可能性x発生時のインパクト)/ 施策の有効性}を求める。リスクの大きさは定性的(大・中・小など)での表現と定量的に数値化する方法があるが、一般化されていない指標を無理矢理導入してしまうと、値を示された側がピンと来にくいという問題もある。例えば「偏差値」というような一般化された指標であれば、50ということは平均にいることがすぐに体感できるが、リスク値が例えば89ポイントと説明されてもそれが大きいのか小さいのか、なかなか理解し難い。従ってリスク特定・分析・評価の初期段階では無理に定量化するのではなく、定性的な評価を行い、リスク対応計画が進む中で定量化していく手法を推奨したい。

RACIの設定:

大規模イベントを主催する組織には当然ながら様々なファンクション・エリア(FA)が存在し、特定したリスクは必ずしも一つのFA内で閉じないものも多い。従ってリスク対応策を検討する手前の段階で特定されたリスク対応計画を立案するための役割をRACI(Responsible, Accountable, Consulted, Informed)などを利用して役割を明確にしておくと良い。

リスク対応計画:

特定・分析・評価されたリスクに対してはまず大きな方針を合意して決定する必要がある。大きな方針とは「受容・保持」「低減」「回避」「転嫁・共有」の4つに分けられる。特定・分析・評価されたリスクの一つ一つに対してまずこの4つを割り当てていく。そしてなぜそう判断したのかの理由を記載しておく。その上で「低減」「回避」「転嫁・共有」の3つに分類されたリスクについては対応計画を立案することになる。リスク対応計画は、「故障の木分析」で特定した発生ルートに対策をマッピングすることと「影響の木分析」でリスクが現実のものとなった場合にその影響を最小化できるルートにどのように導くことができるかの2つの観点で検討する。そしてリスク低減施策が十分なレベルに低減可能かを細かく調整していく。この過程ではリスクの大きさを定量化しておくことが必要になる。そして対応施策を実施した際のリスクの大きさを再評価してリスク台帳をアップデートしていく。従ってリスク台帳は、最初に特定したリスクを分析した結果で複数のルートが想定される場合には、その分だけ行数を増やしておくと良い。そして各行のリスク値の総和がそのリスクの全体量ということになる。

第三者レビュー:

対応計画とリスクの際評価が終わると次にすべきことは、第三者レビューである。これは利害関係のない第三者による客観的な評価を行うことにより確実で有効な対応計画とすることができる。勿論、リスクによっては内外の環境変化により変動するため、第三者レビューは定期的に行うことが望ましい。

図8: リスク特定~リスク対応計画

インシデント発生時の対応:

リスクは当然ながら100%回避することは難しい。従って万が一インシデントが発生した場合を想定したインシデント対応計画の立案は大規模イベントの成否にとって大きな鍵となる活動である。既に特定・分析・評価・対応・再評価を行ったリスク台帳があるので、これをインプットとしてそのリスクが実際に発生した場合の対応計画を策定するのである。

対応するオペレーション・センター(OC)の明確化:

大規模イベントに関連して発生するインシデント(事件)は、その状況に応じて必ずしもイベント主催者が主幹すべきものばかりとは限らない。例えば競技会場を狙った爆破テロのようなものであれば、主幹すべきは警察組織となる。また来訪するVIPを狙ったテロとなると、対象国の警備体制との連携が必要になる。従って最初にすべきはリスク台帳に沿って主幹OCがどこかを割り当てることであり、この作業は関係する全組織合同で行う必要がある。(海外関係者との調整は国内で一旦合意したものをベースに実施すると良い)。そして、主幹となったOCが中心となって、それぞれの種類の事件への対応方針(CONOPS - Concept of Operations)を策定する必要がある。この方針がそれ以降の細かいオペレーションを定義する上でのバイブルとなる。2017年に見学することができたボストン・マラソン(2013年に爆破テロが発生したイベント)の警備体制ではこのCONOPSをしっかり文書化し警備に関わる全員が何度も熟読しているため、前日や当日のブリーフィングは逆に実にあっさりしたものだったことが印象的だった。そしてCONOPS文書の冒頭にはしっかりとボストン・マラソンの価値、成功とは何かが記載されていた。

図9: 階層型セキュリティ・ガバナンス・フレームワーク

図9はセキュリティ体制を階層構造で示し、それぞれのレイヤーがどのような役割を担うかを示したものである。国家レベル、都市・地域レベルまでが主に政府や地方自治体、そして法執行機関が主幹し、海上セキュリティをイベント主催者が主幹する。ボストン・マラソンの警備体制では階層3に米軍、階層2が州警察、郡警察、市警察及び大学警察などが担当する形となっており、関わる組織が多いため連携を取るためには大きな方針(CONOPS)にはこの階層構造と役割が明記されていることが求められる。

オペレーション計画(COA)の策定:

大きな方針(CONOPS)に続くのがCOA(Course of Action)と呼ばれる具体的な行動指針である。これは机上で行動シナリオを作り何度もシミュレーションを行い行動計画を詰めていくという工程である。前述した「影響の木分析」をインプットとして事件がどのように進展していくのか、それに対してどのようなアクションが必要かを細かく定義していく。その中で重要となるのはコミュニケーションと意思決定となるが、こうしたアクションを細かく記載していくことで、コミュニケーションの発信元、受信範囲、意思決定者などを確実に決めておくことができるため、いざコトが起きた際に混乱することなくスムーズで的確な対応が可能になるのだ。また、シミュレーションを行う上で、各ステップごとにWhat-If分析(もし~だったらと想定する)を行うことで、一連の対応行動が進展していく中での落とし穴がないかを確認することができる。

訓練:

机上シミュレーションによって精度が高められた後に実施すべきは「訓練」と「改善」である。訓練シナリオは影響の木分析とCOAをベースに策定する。そして敢えてシナリオ進展の途中に敢えて「異常」を意図的に入れ込み、対応チームがどのように反応するのかを見極めることも重要である。そして訓練した結果はきちんと文書化した上で分析し改善点を確認し、COAの精度を高めていく。特に複数組織のOCが関わるようなレベルのリスクに関しては、定期的な訓練を行っておかないと、いざという時に計画通りにいかないことが多くなるため、訓練そのものの計画や実施には相応なリソースが必要になり、調整も難しい面もあるが「成功のイメージ」をしっかり共有することで組織を跨って共通の目標に向けて難題を乗り越えることができるのである。ここでも「成功指標」の明確化とその共有が非常に重要になるのである。

図10: 事件発生時の対応計画立案

情報の共有:

最後に、リスクマネジメント及び事件対応を適切に行うための情報共有の重要性について触れたいと思う。前述した通り大規模イベントに関わる組織は必ずしもイベント主催者に閉じるものではなく、政府、地方行政、警察組織、軍隊など様々に相互に関わりを持つ。そして各組織が持つインテリジェンスはむろんそのまま相互に共有できるものでもないため、どのような情報をどのような共有基盤で共有可能かをしっかり設計・構築・運用することが必要になる。そしてそうした必要な情報が何かということを、正しいリスク分析を行っておくことで把握しておくことができる。例えば、海外のテロリストが脅威源となるようなリスクであれば、テロリストであることが疑われる人物や関連人物の入国記録などが必要になる。サイバーテロを狙うグループの準備活動をダークウェブなどで検知した場合は、彼らの行動を捕捉して何が行われるかを予測して防御する必要がある。リスクに対するセンサーの設置とその集約、情報分析と共有、そうした情報によりどのような行動が必要かというCOAとの関連付け。そうした十分なリスクへの準備活動とインテリジェンスの共有・活用が大規模イベントを成功させるためのリスクマネジメントを行う上では特に重要になるが、このテーマに関してはサイバーセキュリティ戦略とも関連するのでまた別の機会で詳しく寄稿したいと思う。

図11: レイヤーが異なるオペレーション・センター間の連携モデル

2020年に行われる予定だった「東京2020オリンピック・パラリンピック競技大会」は新型コロナウイルスというパンデミック・リスクに支配され1年延期されて実施された。当然数年前のリスク特定段階でもパンデミックに対するリスク特定はなされていたと考えられるが、ここまでの規模で影響を及ぼすとまでは想像できなかったであろう。リスクはどんなに事前準備しても時として大きく変化しその変化に合わせてきめ細かく対応することが求められる。それは関わる人たちの想像を超える努力を要する。従って関わる全員が「大会の成功」という共有の目標となって一丸となることが何よりも重要であり、そうした成功イメージを共有できるリーダーシップが重要になるのである。コロナ禍に未だ苦しむ日本の社会も目指すべきゴールを明確に、そのゴールに向かってそれぞれの立場でなすべきことをする、そうした国民の力の結集が必要なのだろうと思う。