大規模イベントとサイバーセキュリティ

企業のセキュリティ対策が「継続」を前提とするのに対し、大規模イベントのセキュリティは「期限付きのプロジェクト」として設計・運用される点に本質的な違いがあります。では短期間に多数の関係者とシステムが集中する中で、どのようにリスクを管理し、対策を講じるべきでしょうか。これまで数々の大規模イベントにおけるセキュリティ設計に携わってきた東海大学 情報通信学部教授の三角育生氏を迎え、PwCコンサルティング合同会社の丸山満彦氏が、企業にも通じる知見と教訓を伺いました。

登壇者

東海大学
情報通信学部教授・学部長
三角 育生氏

PwCコンサルティング合同会社
パートナー
丸山 満彦

大規模イベントのセキュリティが重要な3つの理由

丸山：
三角さんは、かつて内閣サイバーセキュリティセンター（NISC）や経済産業省でサイバーセキュリティに関する重要な職務を担われていました。私も内閣官房に出向していた当時、ご一緒にお仕事をさせていただきました。三角さんは、ちょうど東京オリンピックの開催が決まり、その準備が本格的に始まった時期にサイバー関係で関わっていらっしゃいましたね。

三角氏：
はい。東京オリンピックに向けた準備期間中には、ラグビーワールドカップや主要国首脳会議（サミット）など、国が関与する大規模なイベントが次々と開催されました。2020年以降も、大阪・関西万博などの重要イベントが続いています。このような期間はサイバー上の脅威とリアルな現場でのリスクマネジメントを両輪で考える必要があり、両者の連携が非常に重視されていました。

丸山：
では最初の質問です。なぜ大規模イベントにおけるセキュリティは重要なのでしょうか。その背景を教えてください。

三角氏：
「大規模イベント」は、国や公共機関が関与していることが一つの特徴です。多くの人が集まり、要人（VIP）が来訪するような、非常に注目度の高いイベントです。

こうしたイベントでセキュリティが重要となる第一の理由は、開催を確実に実現する必要があるからです。大規模イベントは来場者や関係者、ステークホルダー、VIPなど、多様な人々が集まる場ですから、安全を確保することが大前提となります。近年では特に、サイバー起因の安全問題が強く意識されるようになってきました。

加えて、安全を守るだけでなく、イベントの目的や成果を確実に実現することも求められます。さらに、国や自治体といった公共機関が関与している場合には、レピュテーションリスク――社会的信用への影響――にも十分配慮しなければなりません。

このように、大規模イベントの成功には、サイバーとリアルの両面からのセキュリティ対策が不可欠なのです。

丸山：
サイバーセキュリティは全体の安全を構成する一要素ですが、近年ではその比重が大きくなってきており、注目度も高まっています。先ほど触れていただいたレピュテーションリスクについて、もう少し詳しく教えていただけますか。

三角氏：
大規模イベントでは、小さな事象がきっかけでネガティブな情報が一気に拡散することがあります。せっかく多くのリソースを投入して準備してきたにもかかわらず、評判が損なわれれば、イベントの本来の目的や成果が台無しになりかねません。特に最近はSNSの影響力が大きいため、そうした情報拡散への対策も並行して行う必要があります。

丸山：
たしかに、サイバー攻撃によってシステムが停止し、運営に支障が出るといったリスクに加え、レピュテーション面での影響も看過できないですね。最近では、SNS上での影響も大きく、AIを使ったフェイク動画なども容易に作られるようになっています。こうした情報の拡散を防ぐためには、監視が重要になるのでしょうか。

三角氏：
もちろん監視も大切ですが、それだけでは十分ではありません。むしろ重要なのは、正確な情報を適切なタイミングで発信することです。フェイクニュースやサイバー攻撃、システム障害といった事象が発生し、現場に混乱が生じた場合、その様子がSNSなどを通じて一気に拡散される恐れがあります。

一度でも不安を招くような情報が広まってしまえば、イベント全体の信頼性に深刻な影響を及ぼしかねません。デジタルの影響力が非常に大きくなっている今だからこそ、リアルとサイバーの両面を視野に入れた、総合的なリスクマネジメントが求められていると感じます。

主体も動機もさまざま、広範に影響が及ぶサイバー攻撃の脅威

丸山：
大規模イベントにおけるサイバー攻撃は、どのような意図で仕掛けられるケースが多いのでしょうか。イベントの成功を妨害し、主催者の信頼を損なうことが主な目的ですか。

三角氏：
そうですね。特に、主催者や共催者が国や自治体などの公共機関である場合、その信頼性やイメージを損なわせることを狙った攻撃が想定されます。大規模イベントは注目度が高く、多くの人が集まるため、特定の相手を標的にしたテロ行為、いわゆるサイバーテロのリスクも十分に考慮する必要があります。

丸山：
サイバー攻撃が、大規模イベントにとって明確なリスクとして意識され始めたのは、いつ頃からだったのでしょうか。

三角氏：
私の認識では、2012年のロンドンオリンピックが、サイバー攻撃のリスクが本格的に意識された最初の大規模イベントでした。当時は、2008年に登場したスマートフォンやタブレットが急速に普及し、ITが私たちの生活に深く浸透してきたタイミングでした。そのような社会環境の中で行われるイベントとして、従来のリアルなテロ対策に加え、サイバー攻撃も重要な脅威として位置づけられたのです。

大規模イベントのもう一つの特徴は、主催者だけでは完結せず、電力・金融・輸送といった多様なインフラ事業者や関係機関との連携によって成り立っていることです。こうしたステークホルダーのいずれかに障害が発生すれば、たとえそれがIT障害であっても、あるいはサイバー攻撃であっても、イベント運営や来場者の体験に直接的な支障を及ぼします。

たとえば、電子決済システムに障害が起これば会場での購買が困難になりますし、金融機関のバックエンドに問題があれば、スポンサー企業への支払いなどにも影響します。攻撃の主体が国家、テロ組織、金銭目的の犯罪者、ハクティビスト、あるいは愉快犯など多岐にわたる可能性があり、ひとたびインフラに影響が出れば、関係者全員にとって深刻な問題になるということです。

丸山：
つまり、攻撃の動機や背景は一様ではなく、国家的な意図から金銭目的、愉快犯まで、さまざまなケースが想定されるということですね。どのような目的であっても、実際に障害が起きればイベント全体に深刻な影響を及ぼします。こうした現実を踏まえ、私たちも想定外を前提に、備えを怠らない姿勢が重要だと理解しました。

セキュリティを支える“見えない調整力”

丸山：
ここまでイベントを狙った攻撃のリスクについてお話しいただきましたが、そもそも大規模イベントの運営体制にも、セキュリティ面で特有の難しさがあるのではないかと思います。たとえば、限られた準備期間や、複数の関係者が関わる体制といった面で、企業の通常の事業運営とは異なる課題があるように感じます。実際にどのような難しさがあるのでしょうか。

三角氏：
大きな課題の一つは、準備期間が限られていることです。企業であれば、継続的に事業を展開しながら、投資計画に沿ってセキュリティ対策や事業継続対策を段階的に進められます。しかし、大規模イベントは「期限付きのプロジェクト」です。準備期間内に関係者が集まり、臨時の組織や事務局を立ち上げて体制を整える必要があり、短期間でのチームビルディングや役割分担が求められます。

また、セキュリティに充てられる予算にも制約があります。イベントの収益源は主に入場料とスポンサー収入であり、集客数や注目度によって左右されます。その限られた予算の中で、会場の設営や人件費などと並行して、サイバーセキュリティにも対応しなければなりません。だからこそ、限られた資源を最大限に活用しながら、リスクに備えていく必要があるのです。

丸山：
大規模イベントは関係者の数も多く、調整も難しそうです。1日の来場者数が10万人といった大規模な人の流れがある中では、セキュリティ面の課題はさらに複雑になりますね。

三角氏：
おっしゃる通りです。イベントのセキュリティは、3つのレイヤーで考える必要があります。1つがイベントそのもの（コアビジネス）です。2つ目がそれを運営する組織のセキュリティです。そして3つ目が、来場者の移動・通信・決済などを支える周辺インフラ（エッセンシャルサービス）です。

これらの周辺インフラは外部事業者が担っており、通常の企業活動であれば契約ベースでリスク分担が可能です。しかし、公共性の高いイベントの場合は「誰が全体を見ていたのか」が問われる構造になり、全体のコーディネーションが極めて重要になります。

丸山：
特に最近はIoT機器を活用した設備も増えていて、もし障害が発生すれば来場者の動線や避難行動にも影響を及ぼしかねません。

三角氏：
はい。IoT機器が使用されていると、物理的なトラブルがサイバーリスクと結びつき、混乱が拡大する可能性があります。たとえば入場処理システムに障害が起これば、会場での混雑や雑踏事故につながるリスクがあります。そのため、ネットワークや機器の状態を物理・論理の両面から事前に点検しておく必要があるのです。

さらに難しいのは、主催者が直接管理していない部分にもリスクが及ぶことです。外部委託先の対応力やセキュリティ水準をどう担保するかが課題になります。契約に監査条項などを盛り込むことも一つの手段ですが、それが難しい場合には、政府が全体の号令をかけ、共通ルールのもとで連携を促す必要もあります。

私が内閣サイバーセキュリティセンターに在籍していた頃も、大規模イベントの際には周辺インフラのリスクマネジメントを支援し、開催が近づくと発生したインシデントへの全体調整を行う体制が不可欠でした。サイバーと物理の両面を連携して管理しなければ、個別対応では限界があるのです。

限られたリソースでリスク全体を俯瞰することが企業への教訓

丸山：
大規模イベントのセキュリティ対策には、限られた期間や予算の中で多くのリスクに備える工夫がありました。そうした取り組みから、企業が学べることや応用できる点を教えてください。

三角氏：
「目的を安全かつ着実に達成する」という点で、イベントと企業は共通の課題を持っていると思います。イベントは開催の成功、企業はビジネスの継続ですね。その中でサイバーセキュリティは、IT障害や自然災害、パンデミックなどと同様に、全体的なリスクマネジメントの一要素として捉える必要があります。

イベントでは、限られた期間や予算の中で、リスク全体を俯瞰しながら優先順位をつけて対策を講じます。企業でも同じように、自社のコアビジネスを安定的に遂行するために、ITやネットワーク、ソフトウェアといった基盤への依存度を的確に把握したうえで、サイバーの視点をリスクマネジメント全体の中に落とし込むことが重要です。

たとえば、電子決済に障害が発生した場合、現金での対応や別の決済手段を用意しておくといった備えです。そういったBCP（事業継続計画）上の対策は、セキュリティを「守る側」だけでなく、「使う側」としてどう実装するかという視点が欠かせません。

さらに、企業が依存するサプライチェーンやインフラサービスは、本質的にはエッセンシャルサービスと同じ位置づけになります。ですから、自社だけでなく、その周辺も含めてセキュリティのあり方を定義していくのです。サービスを提供する側として、安全性と継続性をどう担保するかを考える責任が、これからの企業には強く求められます。

丸山：
限られた時間や予算の中で、全体を見渡しながらリスクに備えるという点で、大規模イベントのセキュリティ対策からは、企業にとっても多くの学びがあると感じました。

今日のお話を通じて、サイバーセキュリティを単体で考えるのではなく、事業継続や顧客サービスの観点から、リスクマネジメント全体にどう組み込むかが重要であることが明らかになりました。本日はありがとうございました。