攻撃者の費用対効果を下げる対策
なお、蔵本氏はブラックマーケットの現状を紹介。たとえば、iOS のZeroDay攻撃はZerodiumでは、1件当り 150万ドルもの値がつくという。不動産1件分で攻撃コードがやりとりされているというイメージだ。ウイルスは数万円もあれば闇市から購入可能でき、比較的安易な売買も多い。なお、攻撃者はTrustwaveによると1425%の費用対効果が得られると試算されており、攻撃にかなりの額を投資している人がいて、攻撃をする人が儲かる図式となっている。
これを踏まえてセキュリティ対策を考えると、以前は「サイバー攻撃を受けないようにする対策」と考えることが一般的だったが、現在は、「攻撃者の費用対効果を下げる対策」へと考え方をシフトするべきだという。何を目指してセキュリティ対策を行うかを強く意識することが重要だ。
それでは、具体的に攻撃者の「費用対効果」をどうやって下げるべきか。NIST SP 800-61をベースにカスタマイズして考えてみると、まずは、やられないようにする「防御力向上」があげられるだろう。そして、やられている事をすぐに検知する「検知分析」、やられても被害を小さくする「被害軽減」 、やられた後でも、情報を保護する「事後対応」の4段階における施策が考えられる。蔵本氏は、車の運転の例を出し、「やられないようにするということは事故を起こさないようにするということと同じ。それでも事故を100%なくすことはできない。以下3つの施策は、車が事故を起こしても被害を最小化するためのシートベルトやエアバッグのようなものだ」と説明する。
出所:日本マイクロソフト株式会社 蔵本 雄一氏 Security Online Day 2016 講演資料より
「防御力向上」はがんばっていても、「検知分析」「被害軽減」「事後対応」がおざなりになっているとサイバー攻撃を食らった場合の被害が大きくなる、と蔵本氏は分析する。
こうした事故・事件が多発する中、サイバーセキュリティと経営の関係も少しずつ変化をしているようだ。2014年のデータではあるが、NISCによると上場企業225社のうち136社、約60%が、有価証券報告書の事業リスク欄に「サイバーセキュリティリスクを開示する」と記載している。これまで情報セキュリティといえば「保険」という見方をされていたが、今は自社のセキュリティ対策をアピールすることが「株式会社としての株価を安定させる安心材料」であり、「株価を上げるための戦略的な施策」として位置づけられているのだ。
とはいえ、セキュリティ対策さえすれば事業が上手くいくわけではない。はたしてサイバー攻撃への対策を考える際に、全体をどのように考えればいいのか。そのヒントとして、蔵本氏があげたのが「PEST 分析で最大公約数を考えること」である。Political(政治的要因)、Economy(経済性要因)、Society(社会的要因)、Technology(技術的要因)のそれぞれ頭文字を取ったもので、マーケティングではよく使われる分析方法だ。これをもとに考えると、政治的要因からはマイナンバー対策が必要となり、社会的要因や技術的要因としてワークスタイル変革やサイバー攻撃対策に取り組む必要がある。「PESTに共通して効果が上がるものは何か」と、いろんなところに費用対効果が波及することを考えるべきというわけだ。
出所:日本マイクロソフト株式会社 蔵本 雄一氏 Security Online Day 2016 講演資料より
