サイバー攻撃に対する本当のコストを理解するのは困難です。サイバーセキュリティーによる影響は測定が非常に難しいため、そのリスクに備える体制を最適化したいと考えている組織にとっては大きな問題になっています。セキュリティー投資の優先順位を適切に設定するためには、全体の損失リスクを理解する必要があります。
セキュリティー管理は複雑ですが、それに対する費用と対応をどのように決めていくかという原則は、比較的シンプルなものです。規模の大小に関係なく、どの組織もセキュリティーにかけるコスト以上の損失を避けたいと考えています。たとえば10ドル盗もうとしている強盗がいて、その強盗から身を守るのに20ドルかかるとすれば、安全に対するコストのほうが損失リスクより高いという経済的に不均衡な状態が発生します。これは好ましい状態ではありません。しかし100ドルを盗もうとしている強盗がいて、その強盗から身を守るのに20ドルしかかからないとすれば、明らかに80ドルの経済的なメリットがあります。もっと複雑な組織でも、どのような種類の損失(ダウンタイム、競争力、評判、資産損失など)でも、これと同じ原理が適用できます。
全体の影響がわからなければ、その価値を計算することはほぼ不可能です。結果、ROI(投資回収率)の推定をすることもあいまいなものになってしまいます。コストと損失リスクを把握しておくことが、投資の価値を理解するための重要なポイントであり、この種の好ましくないあいまいさを解消することにつながります。
ところがここで悪い知らせがあります。それは、サイバーセキュリティーは複雑で、損害や機会逸失コストを算定することが困難だということです。そのため、手元にある情報を基に、正確な判断をしようとして一般常識のフィルターにかけようとします。しかし、それでは判断する能力が不足しているため、不正確さを招き、不適切なセキュリティー投資につながることがあります。たとえば、2015年前半に、FBIはCryptoWallランサムウェアによる影響額を推定しました(英文https://www.fbi.gov/sandiego/press-releases/2015/fbi-warns-public-of-cryptowall-ransomware-schemes)。その基になったのは、Internet Crime Complaint Center(IC3)に届け出のあったすべての被害を積算した数字です。CryptoWallに対する被害を積算した被害額は1800万ドル(約22億円) を超えました。このときは、たった1つのマルウェアがこれほど大きな被害をもたらしたということで、この算定額は妥当かつ相当だと思われていました。
ところが、私も含めて、専門家たちは間違っていました。このケースでは、総合的なデータも比較対象となる類似の例もなかったのです。これではすべてを網羅できないことを皆が知っていました。被害者全員がIC3に報告するわけではありません。それなのに、このような前提で事態を過小評価してしまったのです。しかし、もっと正確な数字を算出するために、さらなる計算が必要だということに気付かなかったのです。そのため、手元にあるデータにとらわれてしまったのです。実際には、この計算は一桁以上間違っていました。
数か月後、Cyber Threat AllianceがCryptoWallに関するレポートを発表しました。CTAはマルウェアからビットコインウォレットに流入した実際の金額を特定しました。ビットコインウォレットを使った仕組みは被害者が身代金(ランサム)の支払いに使用した決済の仕組みです。この種の暗号通貨(暗号化技術に基づく仮想通貨)の利点は、当事者のIDは非公開でも、取引自体が公開されているという点です。CTAの分析結果によると、ブロックチェーントランザクション(仮想通貨を使った過去の取引)の公開属性のおかげで、CryptoWallの被害総額が実際には3億2500万ドル(約400億円)だったことがわかります。
つまり、当初の計算とは大きな違いがあったのです!22億円という被害額を信じることなく、実際に支払われた身代金の額から得た400億円という正確なデータを得たことは大きな前進です。正確な数字によって、より問題が明確になり、セキュリティー対策にどれくらい投資するかという判断の際に役立つデータを提供することができます。しかし、これでまだ話が完結したわけではないという点も認識しておく必要があります。CTAのレポートはランサムウェア攻撃による被害額を明らかにすることはできましたが、二次的な損害や影響については含まれていません。身代金を支払わなかった企業が被った損害、感染者一人ひとりが対応に費やした時間やそれによって生じたフラストレーション、攻撃からの回復や、将来的に類似のマルウェア感染から防御するためにかかるコスト、運用上の障害によって発生した業務上の損失、信頼の逸失、生産性低下は分析結果に入っていません。全体の被害を把握するためには、はるかに多くの情報を精査する必要があります。
それらをすべて金額に換算する必要があります。もし、全体の損害や影響が常に明確に把握できるとしたら、人や組織はセキュリティーへの投資を効果的に行えるのでしょうか。たぶん、そううまくはいかないでしょう。しかし明確に把握できれば、誰もが情報に基づき、適切な決断が下せるようになります。リスク管理とは、優れた意思決定と、最適なセキュリティーレベルを特定することにつきます。全体の損害を正確に把握できなければ、関係者は論理的な方法で適切な判断を下すことができません。CrytpoWallの影響測定における失敗は、サイバー攻撃に対する隠れたコストを特定しようとしているアナリストが探し求めている膨大な事例のほんの1つに過ぎません。サイバーエコシステム全体では、このような間違いがどれほど多数発生しているのか考えたとき、私たちは氷山の一角に立っていること、そして水面下にはまだ多くの問題が隠れていることに気付きます。
サイバーセキュリティーの世界では、何を信じるべきかを自問する必要があります。広い視野で見た場合、ほとんど、サイバーセキュリティーによる全体の影響やコストを過小評価しています。これが本当なら、対策や投資も同様に不十分ということになります。業界は隠れた本当のコストを明確にし、適切なセキュリティーレベルの特定と、戦略的方向付けを行う必要があります。これができて初めて、サイバーセキュリティーの効果と持続可能性が達成できるのです。
※本ページの内容はMcAfee Blogの抄訳です。
原文:The Hidden Costs of Cyber Attacks
著者: Matthew Rosenquist(specializes in security strategy)
■関連サイト
・マカフィーblogのエントリー
・マカフィー
