災害もサイバー攻撃も、実際に被害を受ける前に、企業活動に与えるダメージの深刻さを理解することはなかなか難しい。とくにサイバー攻撃は今や、自然災害よりも格段に発生頻度が多く、企業がいつその攻撃に直面するかわからない。いったん攻撃を受けると、信用の失墜や賠償問題など、企業として致命的な損害を被ることも少なくない。
DXの推進では多くの場面で先進的なテクノロジーを採用しており、それに伴って高度なサイバーセキュリティー対策が不可欠となる。そこでは的確なリスクマネジメント、つまり費用の投資対効果を計るためにリスクの発生頻度や損失額を算出し、金銭的価値としてリスクを定量化することが有効となる。
経営者はサイバー攻撃に直面した際に被る金銭的な被害を具体的に把握し、投資対効果を見据えたうえで、有効な対策を講じることができる。
これまでのサイバーセキュリティー・リスクの管理方法は、NIST-CSFやISO/IEC 27001、COSO内部統制などのフレームワークを用いたセルフアセスメントや成熟度評価など、リスクを定性的に捉える手法が一般的である。
ただしこれらの方法論は、あるべき姿とのギャップ分析、他の組織とのベンチマーク、プロセス自体の品質評価や目標設定への活用には役立つものの、サイバーセキュリティー侵害が生じた場合に備えた引当金の要否や必要金額の算出など、投資対効果の観点での損失額の算出や、より効果的なセキュリティー・リスク低減策の検討や選定には力不足となる。
そこでIBMでは今年3月、リスクを定量化するための幅広い知見と有効なフレームワークを活用した「IBMサイバーセキュリティー・リスク定量化支援サービス」の提供を開始した。
サイバーセキュリティー・リスクを金銭的価値として定量化することで、他の経営リスクと同様、ビジネスと財務上の影響に基づいたリスク軽減の取り組みを優先順位付けし、リスクとセキュリティー対策への投資について、より迅速で的確な意思決定を行うことが可能となる。
リスク定量化のアプローチ
同サービスではまず、サイバーセキュリティー・リスクを定量化するために、「資産」「脅威」「影響」という3つの構成要素から(図表1)、保護すべき資産に対して脅威が顕在化するまでのリスクシナリオを策定する。
1つ目の構成要素である「資産」は、企業・組織として保護すべき重要な情報システムや設備、データを選定し、各々の金銭的価値を算出する。
たとえば、機密情報が格納されたデータベースやアプリケーション、物理的な施設、従業員、サプライヤーとの関係、現金、貯蓄、投資などの金融商品などが該当する。
2つ目の構成要素である「脅威」は、資産に対して攻撃し、組織に損失をもたらす可能性のある事象を選定し、各々の発生頻度を算出する。
たとえば、ハッカーや組織犯罪グループが仕掛けるサイバー攻撃、従業員の内部不正、地震、ハードディスクの故障、バグのあるソフトウェア、コンピューターウィルスやマルウェアなどが該当する
3つ目の構成要素である「影響」は、資産に対し脅威がもたらされた結果として発生する損害事象とその損害額を算出する。
たとえば、セキュリティー事故(情報の漏えい、紛失、改ざん、滅失等)により直接的に生じる損害額(情報の市場価値、情報の作成に要した費用等)、事故の復旧に要する費用(人件費、機器費、設備費等)、問い合わせ対応の人件費、謝罪広告費用、訴訟費用、事故が発生しなければ得られた利益額、風評被害、信頼失墜による売上低下、株価への影響などが該当する。
その後、策定されたリスクシナリオに対して、FAIRフレームワーク のリスク要因(図表2)について検討と分析を行う。
たとえば、「管理の実施頻度」については、どのようなスキルを持った従業員が何人体制でどのような管理を行っているのかを情報収集し、セキュリティー専門家が分析を加えて各要素の数値を算出。そしてシミュレーションすることで、想定されるサイバーセキュリティーのリスクシナリオが顕在化した場合の金銭的価値を算出する。
同サービスが経営判断を決定づける事例
どのような場合にサイバーセキュリティー・リスクの定量化が投資の意思決定に寄与するのか、「IBMサイバーセキュリティー・リスク定量化支援サービス」の適用事例では次のようになる。
企業Aの人事システムにはセキュリティー上の脆弱性が存在する。脆弱性を放置しておくとフィッシングの脅威にさらされ、多くの従業員個人情報が漏えいする恐れがある。脆弱性をなくすにはシステム更改と暗号化の対応が必要であるが、費用対効果を提示できなかったため、対応への投資は承認されなかった。
そこで「IBMサイバーセキュリティー・リスク定量化支援サービス」を採用し、対応を行わなかった場合の損失を算出したところ、最終的にはフィッシング被害で6.1億円の損失を引き起こすおそれがあることがわかった(図表3。21ドル=105円換算で算出)。
リスクが金銭的価値として定量化されたことで、経営陣はこの潜在的な損失の予測に基づき、システム更改および暗号化への対応として1.1億の投資判断を下したという。
このように経営層がサイバーセキュリティーの重要性を理解するには、対策を講じないことによるリスクを金銭的価値として定量化し、対策を講じることで得られるメリット、すなわち投資対効果を数値として明確に示すことが極めて効果的である。
[i Magazine・IS magazine]