サイバーセキュリティにおいて、現在は「圧倒的に攻撃者有利」の時代だ。繰り返されるサイバー攻撃への対応が企業の命運を左右する現在、企業が考えるべきセキュリティ対策について、EYアドバイザリー・アンド・コンサルティング シニアマネージャーの森島直人氏に話を聞いた(前回)。
セキュリティ対策のコスト
ーー「販管費」という扱いであるセキュリティ対策のコストは、どのように算出すればいいでしょう。
EYアドバイザリー・アンド・コンサルティング株式会社 シニアマネージャーである森島直人氏
森島氏:そこは永遠の課題です。セキュリティは収益を生まないので、投資に対して得られた利益の割合を表す投資利益率(Return On Investment:ROI)のような指標で測定することができません。そもそも、何も起きないことがセキュリティ対策の効果ですから、効果測定が極めて難しいのです。
ただし、指標が全くないかというとそういうわけではありません。脅威の種類によってはある程度当たりをつけることができます。それは、攻撃者が経済的利益を目的としている場合です。
先ほどの個人情報を保持している事業部を例にすれば、個人情報を持っているという状況に対する脅威、あるいは脅威の元となる動機は、基本的にはこの個人情報を窃取して、売りさばくことによる経済的利益です。
攻撃者はこの「経済的利益を得るための攻撃」に対して投資するわけです。彼らの中では攻撃をするための人員の確保や技術の開発といった投資やコストに対して、奪い取った情報を売ることによって得られる利益が、きっちりと対応付けられる。
ということは、攻撃者のROIを悪化させることができれば、攻撃を諦めさせることができる。
簡単に言えば、攻撃者が「情報を売って得られる収益以上にコストをかけないと情報を窃取できない」という状態を作れば、経済的合理性のある攻撃者ならば攻撃をしなくなるだろう、という期待はできるわけです。
このように攻撃者側の立場で考えれば、経済的利益を求める攻撃に対しては、落としどころの見当をつけやすいかと思います。
ーー「自分が持っている情報の価値」が分かれば、どの程度コストをかけていいかを考えられそうだと。
ただ、注意しなければいけないのは、自分たちが持っている情報の価値を自分たちの尺度で考えることは難しいということです。
例えば、われわれが1000万円ほどの価値しかないと思っている情報でも、これを他の情報と組み合わせることで、攻撃者は1億、2億の価値を生み出すかもしれない。
個人情報は典型的で、さまざまな企業から窃取した個人情報を名寄せすることで、本人すら気づいていないような個人像が浮かび上がるレベルの情報に成長するかもしれない。
