「所持している情報の価値を自分たちの尺度で考えることは難しい」と考えると、持っている情報や価値観だけで価値設定をするのは、危険かもしれません。
かなり遠くから俯瞰(ふかん)して、この情報にはどのような使い道があるのか、客観的に考える必要があります。
これは、その情報を取り扱う業務執行部門が考えるべきことですが、例えば第2の防衛線や、外部の専門家に相談するといったことも必要かもしれません。
一方、例えば、「防衛に関する情報」を取り扱う事業部の場合はどうでしょうか。このような情報は、国家が関与して政治的な目的により標的にされる可能性があります。
この場合、攻撃者はその情報を入手することが目的ですから、どれだけコストがかかっても攻撃を成功させたいわけです。
このように、攻撃を成功させることそれ自体が目的となっている場合、対策としては考えうる限りのことをするしかないということもあり得ます。
ーー特に最近は、高校生でも容易にマルウェアを作成できるほど、攻撃者側の技術もコストも下がっています。そうすると、防御側のコストの方が高い状況が続いてしまうように思います。
容易に作成できるマルウェアは、既存の攻撃手法の組み合わせであることがほとんどです。
したがって、防御する側としては、普通にやるべきことをしていれば、このような攻撃は守れることが多いと考えられます。つまり、攻撃者側の利益と防御側のコストは、やはり比例しています。
5月に猛威を振るった「WannaCry」も、既存のマルウェアや流出した攻撃コードを組み合わせて作成されており、攻撃手法自体も安価に構成されたと考えられます。
この攻撃は、「MS17-010のパッチ」が適切に適用していれば少なくとも、脆弱性を悪用するエクスプロイトの「EternalBlue」関連の感染は防げたはずです。
なお、WannaCryはほかの点でもコストを削減する工夫をしていたように思います。
ひとつには、ランサムウェアであったこと。ランサムウェアは被害者の情報や業務の可用性を人質として収益を得ることを目的としています。そのため、摂取した情報の売却先や仲介方法の決定などのコストを省けます。
次に、ワームの機能を有していたこと。自動的に感染が広がることで、ターゲットの選定やターゲットのアセスメント(事前影響評価)のコストを省略できます。
ただし、コストを削減しすぎたためか、そもそも経済的利益の獲得が主目的ではなかったのか、攻撃方法や身代金の収集方法が少々雑で、攻撃者が得られた収益自体も少なかったようです。