安全なイベント開催は脅威インテリジェンスとデジタルセキュリティから始まる

OPINION

今年はFIFAワールドカップから米国建国250周年記念祝典まで、世界中の観衆を集め、厳しい注目とともに膨大なセキュリティ対応が求められる大規模イベントが目白押しです。そのほとんどは無事に終わることを前提に企画されていますが、「何事もなく終わる」ことと「リスクがない」ことは同義ではありません。

大規模イベントを取り巻く脅威は、多くの場合、誰かが会場のゲートにたどり着くよりずっと前から始まっています。ホテルのシステムが侵害されれば、選手や経営幹部、あるいは代表団がどこに宿泊しているかが漏れてしまいます。政府機関や省庁のオフィスが侵害されれば、スケジュールや行動が露呈しかねません。ファンイベントやテーマ性のある集まり、交通拠点を狙う脅威は、群衆の統制が難しく攻撃者が付け入りやすいと見なされる、警備の外周部分を標的にすることがあります。

筆者はキャリアの大半を、大規模イベントや経営幹部、対外的な組織を取り巻くリスクがどのように形成されるかを見極める仕事に費やしてきました。その間、イベント警備プログラムはより高度に、より潤沢なリソースを備え、より包括的なものへと進化してきたのを目の当たりにしてきました。カメラ、手荷物検査、境界管理は今も欠かせない要素ですが、それらはより広範な戦略の一部として機能してこそ最大の効果を発揮します。最も効果的なプログラムは、来場者が到着するはるか前から、デジタルと物理の両面でイベントを取り巻くエコシステム全体に形成されるリスクを織り込んでいます。

脅威アクターは早期から動き出す

筆者がこれまで手がけてきた評価案件では、常に同じパターンが浮かび上がってきました。計画的な脅威は、目に見えるセキュリティ上の懸念として表面化する前に、たいていデジタルの痕跡を残しているのです。こうした兆候は、選手権や国際大会からフェスティバル、政治イベントに至るまで、あらゆる大規模な集まりを中心に形成される可能性があります。というのも、敵対的な活動は往々にして、そのブランドや観衆、参加者、そしてそれらすべてによって生じるデジタル上の露出を軸に組織化されるためです。

脅威アクターはイベント開始のかなり前から準備を進めます。ドメインを登録し、漏洩した認証情報を収集し、公開されたスケジュールを監視し、従業員やベンダーの情報をスクレイピングし、SNSの活動を追跡し、群衆が集まるはるか以前からイベントを取り巻くエコシステムを研究します。来場者が到着する頃には、混乱や詐欺、標的型攻撃の下地がすでに整っている可能性があります。

計画的な脅威が一度にまとまって現れることはほとんどありません。むしろ、公開チャンネルやマイナーなプラットフォーム、メッセージングアプリ、犯罪フォーラム、あるいはディープウェブ・ダークウェブに散らばる小さな兆候の積み重ねとして形成されていきます。不審な投稿や偽のチケット販売サイト、流出したホテルの詳細情報は、単体で見れば無関係に映るかもしれませんが、それらを合わせて見ることで、より広いリスクの全体像が浮かび上がってくることがあります。

だからこそ、デジタルセキュリティと脅威インテリジェンスは、イベント計画の初期段階から組み込んでおく必要があります。堅牢なセキュリティプログラムには、計画的な脅威が形成されるオンライン環境を監視し、関連する兆候を結びつけ、物理的なセキュリティ上の懸念に発展しうるリスクをエスカレーションさせるためのリソースを含めるべきです。

2024年にウィーンで発覚した、テイラー・スウィフトのコンサートを標的とした計画は、この問題の重要性を物語る事例です。この時、警戒すべき兆候は会場や開催当日に現れたわけではありませんでした。Telegramなどの情報源から得られたインテリジェンスによって、当局はコンサート開催前に行動を起こすことができました。この事例は、オンライン上の活動が深刻な物理的影響を伴う脅威を浮かび上がらせることがあること、そしてデジタルインテリジェンスを当初からイベント警備計画に組み込む必要があることを示しています。

物理的脅威とサイバー脅威は切り離せない

イベント警備の準備には、物理的な環境とそれを取り巻くデジタル上の活動の両方に目を配る必要があります。公共の安全、移動手段、チケット販売、なりすまし、データ流出、サイバー犯罪に関わるリスクは、書面上は別個のものに見えるかもしれませんが、実際には互いに結びつき、現実のセキュリティ判断を左右することが少なくありません。

こうしたつながりこそが、早期のデジタル可視性を重要にしている理由です。抗議活動は、オンライン上の議論として始まり、やがて物理的な混乱を招くことがあります。詐欺まがいの宿泊施設リストは、オンラインで始まりながら、現地の来場者に実害を及ぼすことがあります。チームやベンダー、主催者に関わる情報漏洩は、現実世界での標的型攻撃に利用されかねない情報を露出させることがあります。一見サイバー上の問題に見えるものが、瞬く間に物理的なセキュリティ上の懸念へと発展しうるのです。

物理的なセキュリティシステムは今も欠かせません。カメラ、入退場管理、スクリーニング、境界防護は、脅威が会場に近づく段階でそれを察知し、食い止める助けとなります。しかし、そうしたシステムがリスクをチームが初めて認識するきっかけになるようでは、対応はすでに後手に回っています。より強固なプログラムは、計画の早い段階でデジタルインテリジェンスを活用し、脅威がエスカレートする前にチームが特定・対処できるようにするものです。

課題は、イベントに関連するリスクが必ずしも正面ゲートを通じて動くわけではないという点です。大規模かつ広範囲に及ぶ集まりは、ホテル、空港、交通経路、ファンゾーン、スポンサーの販促活動、メディア出演、要人の移動、非公式の集まりなど、あらゆる場所にリスクの露出を生み出します。米国建国250周年記念祝典と来たるワールドカップは異なるイベントですが、いずれも同じセキュリティの原則を物語っています。すなわち、セキュリティの全体像は会場のはるか外側にまで広がっているということです。

こうしたより広い環境が重要なのは、リスクの全体像を形作るのが会場だけでなく人であるからです。選手、公職者、企業幹部、スポンサー、ベンダー、来場者は、メインイベントの前後にホテルや交通経路、ファンイベント、スポンサー主催の晩餐会などを行き来することがあります。こうした露出を早期に特定できなければ、たとえ強固な境界警備を敷いていても、チームは別の場所で始まったリスクに後手で対応する羽目になりかねません。 

優れた戦略は開催当日より前から始まる

最も効果的なイベント警備戦略は、イベントそのものが始まるはるか前から始動しています。事前評価では、会場やベンダー、著名な来場者、オンラインコミュニティ、交通インフラ、近隣の集合場所など、イベントを取り巻くエコシステム全体に目を向ける必要があります。

実践的なイベントプログラムでは、次の3つの領域を優先すべきです。

著名人: UnitedHealthcareのCEOであるBrian Thompson氏の殺害事件や、Charlie Kirk氏の暗殺事件など、最近の事例は、公共の場での暴力が必ずしも群衆そのものを狙うとは限らないことを示しています。多くの場合、リスクの中心にあるのは、その知名度やスケジュール、行動によって露出を生み出す特定の人物です。

境界外での活動: 会場の堅固な警備は重要ですが、すべてのリスクが正面ゲートを通じて動くわけではありません。SXSW付近で発生した銃撃事件は、たとえイベント自体とは無関係であったとしても、ホテルや交通経路、レストラン、ファンイベント、来場者が集まる公共スペースの周辺で何が起きているかをチームが把握しておく必要性を物語っています。

早期のデジタル脅威インテリジェンス: セキュリティへの投資は、物理的な防護だけにとどめるべきではありません。チームには、デジタル上の兆候を早期に監視するリソース、活動をトリアージするテクノロジー、リスクを検証するアナリスト、そしてエスカレーションやテイクダウンが必要な際に迅速に行動する体制も求められます。

目的は、あらゆる兆候を追いかけることではありません。重要な兆候を見極め、それらがどうつながっているかを理解し、プレッシャーが高まる前に正しい判断を下すことです。そのためには、危機が起こる前から、物理セキュリティ、サイバー、要人警護、広報、法務、ベンダー、会場運営者、そして公共部門のパートナーが同じリスクの全体像を共有しながら連携する必要があります。

成功するチームとは、早い段階で責任の所在を明確にし、部門を横断してインテリジェンスを共有し、物理・デジタル両方のチームに明確な行動指針を示せるチームです。目的はすべてを見通すことではなく、リスクが危機へと転じる前に、重要な兆候を十分早く見極めて人々を守ることにあります。

翻訳元: https://www.darkreading.com/threat-intelligence/safe-events-threat-intel-digital-security

ソース: darkreading.com