今日、企業に求められるサイバーリスク対策として、さまざまなフレームワークが提示されているが、共通するのは、リスクの洗い出し・評価が対策の「一丁目一番地」という点だ。
■ サイバー攻撃の「影響度」評価
サイバーリスクの評価といっても、そのねらい、方法論、対象範囲はさまざまである。本稿では純粋なインシデント発生状況やセキュリティレベルの評価ではなく、経営者やビジネスサイドに理解しやすい経済的・社会的指標に基づく評価を紹介する。つまり、脆弱性診断やストレステストが検証する「頻度(蓋然性)」の評価ではなく、“万が一”サイバー攻撃を受け被害が発生した場合の「影響度」の評価である。
ただし、現時点でサイバーリスクの評価手法は確立されていない。どのような評価手法を採用するかで、評価結果や必要な対応は大きく変わる。サイバーリスクの評価にあたっては、自社の事業や資産を踏まえて評価手法を検討・選択することが重要である。
いくつかの評価例を紹介する。最もシンプルな方法は「デルファイ法」である。これは専門家インタビューやアンケートを繰り返すことによって重点リスクを特定・評価するものである。サイバーリスクだけではなく、その他の無数のリスクを相対的に比較評価することが可能である。
■ 最悪ケースを定量化する「シナリオ法」
「シナリオ法」は、一定の前提条件・仮定に基づくサイバー攻撃による損失・影響評価であり、一般的には予想最大損失額(PML)を算出する。英ロイズ社と米サイエンス社による評価レポート(2017年7月)は有名な例だ。彼らが想定するシナリオは、(1)クラウドインフラの制御プログラムが改竄され、無数のクラウドサーバーが停止するもの(2)あるアナリストが電車に鞄を置き忘れ、鞄に入っていた脆弱性レポート(あるOSの全バージョンに影響を与えるもの)がダークウェブ上で売買され、サイバー攻撃が引き起こされるもの――であった。それぞれの全世界での最大損失額は(1)で530億ドル、(2)で287億ドルと見積もられている。シナリオ法は容易に「最悪ケース」を想定することができるが、前提条件・仮定による評価結果のブレが大きいのも事実である。
■ 企業価値の変動幅を測る「CAR分析」
米政府経済諮問委員会の報告書(18年2月)でみられるような「累積超過収益率(CAR)分析」も一定の前提条件・仮定に基づくサイバー攻撃による損失・影響評価だ。CAR分析は企業価値の損失額を評価する。具体的には、サイバー攻撃が行われた際の企業価値の変動幅(実値)と何もなかった場合の企業価値の変動幅(仮定値)の累積差分を算定する。これは、サイバー攻撃被害の定量化が難しい分野(営業秘密や戦略情報の漏洩等)で定量評価可能というメリットがある。他方、実際に起きたサイバー攻撃を事後的に評価するものであり、また「何もなかった場合の価値の変動幅」を計量することは難しい。
■ 確率論的損失評価=「モンテカルロ法」
金融業界でよく知られた「モンテカルロ法によるVaR(Value at Risk)計測」は、過去のサイバー攻撃被害のデータや損失モデルに基づき、数万~数百万回のシミュレーションを繰り返すことによる確率論的損失評価である。一定の信頼区間(50%、90%、95%等)に基づき最大損失額を算出するため精緻だが、評価結果の妥当性はデータセットとモデルに依存する。国際通貨基金(IMF)は18年6月、報告書「サイバー攻撃が金融業界に与える損失」を公開したが、評価結果は限定的なデータセットに依存し、「例示的な評価」であると認めている。また、変化の激しい攻撃トレンドは過去のデータセットからの計測だけでは不十分かもしれない。
ここで紹介したリスク評価の評価軸は主に経済的損失額だが、非経済的損失評価も重要である。例えば、日本政府の「重要インフラの深刻度評価」では、評価対象を重要インフラサービスに限定しているものの、サービスの「持続性」「安全性」でサイバー攻撃の深刻度を評価している。一般企業に置き換えれば、サイバー攻撃による「事故・人命安全への危険」「重要事業の中断期間」等は評価尺度になり得る。
【21世紀政策研究所】