インシデント発生時の実質的損害が数十万円程度と見られる中で、会社の保護に億の金額をかけようとする人はいません。反対に、データ漏洩による全体的な損失が何千万円のレベルに及ぶ可能性があるときにセキュリティ費用を一万円ばかり節約しようとするのも、同じくらい意味がありません。しかし、サイバーインシデントによって企業が被るおおよその損害額を算出するには、どのような情報を使用するべきでしょうか?また、このようなインシデントが実際に起きる可能性は、どのように判断できるでしょうか?Black Hat 2020カンファレンスで、バージニア工科大学のウェイド・ベーカー(Wade Baker)教授とCyentia Instituteのシニアアナリストであるデイヴィッド・セヴァスキー(David Seversky)氏は、リスク評価に対する見解を発表しました。このテーマについては、もう少し考えてみる価値がありそうです。
有用なサイバーセキュリティ講座では、リスク評価は2つの要因、すなわちインシデント発生の確率と潜在的損失に左右されると教えています。しかし、そのデータはどこからくるのでしょう?何よりも、それをどのように解釈すべきでしょうか?潜在的損失の評価を誤ると、誤った結論が導き出され、最終的には最適とはいえない保護戦略につながります。
算術平均は目安になるか?
データ漏洩インシデントに起因する金銭的損失を研究する企業は、数多く存在します。彼らが示す「主要な調査結果」は、規模が同程度の企業の損失を平均したものであることがほとんどです。この結果は数学的には有効で、人目を聞くような見出しではひときわ目立ちますが、リスクの算出において本当に信頼できる数字なのでしょうか?
同じデータを、損失をx軸、損失の原因となったインシデントの数をy軸にとってグラフに表すと、算術平均が正しい指標でないことが明らかになります。
インシデントの90%で、平均損失は算術平均を下回っている。
平均的な企業が被る損失について論じるのであれば、別の指標に目を向ける方が理にかなっています。具体的には、中央値(標本を2つの均等な部分に分ける値。報告された数値の半分はこれよりも大きく、半分は小さい)と、幾何平均(相乗平均)です。大半の企業が被っているのは、このような損失です。算術平均の場合、損失が異常に大きい少数のインシデントが原因で、非常に分かりにくい数値が出てしまうことがあります。
漏洩したデータレコードの平均損失額
疑問の余地がある「平均」の例は、もう一つあります。漏洩の影響を受けたデータレコード数に、失われたデータレコード1件あたりの平均損失額を乗算して、データ漏洩インシデントの損失額を計算する方法です。この方法では、規模の小さいインシデントの損失は低く、大規模インシデントの損失は著しく高く見積もられることが知られています。
例を挙げましょう。以前、構成を誤ったクラウドサービスが企業に約5兆ドル(日本円にして500兆超)の損失を与えたというニュース記事が、多数の分析サイトに広がりました。この天文学的な金額がどこから来たのかを調べれば、5兆ドルという数字は「漏洩した」データレコード数に、失われたレコード1件あたりの平均損失額150ドルを単純に掛けたものだったことが明らかになります。この150ドルという数字は、Ponemon Instituteの『2019 Cost of a Data Breach Study(2019年のデータ漏洩コスト調査)』から来たものです。
しかし、このニュースにはいくつかの補足説明があってしかるべきです。まず、この調査はすべてのインシデントを考慮に入れているわけではありません。また、使用された標本だけを考慮したとしても、算術平均では損失をはっきりと把握できません。ここでは、データの損失による損害額が1セントより大きく1万ドル未満であるケースのみが考慮されていました。さらに、この調査の方法論から明らかなように、影響を受けたデータレコードが10万件を超えるインシデントの場合、平均は有効ではありません。したがって、クラウドサービスの構成ミスの結果として漏洩したレコードの総数に150を掛ける算出方法は、根本的に間違っていました。
この方法で真のリスク評価を行うとすれば、もう1つ、インシデントの規模に応じた損失の確率を表す指標を含める必要があります。これはおおよそ以下のようになります。
波及効果
インシデントのコストを計算するときに見逃されがちな要因の一つに、現代のデータ漏洩は1社にとどまらず複数企業の利益に影響を与えるという点があります。多くのインシデントで、第三者企業(パートナー、受託業者、サプライヤー)が被った損害の総額は、データ漏洩元の企業の損害を超えています。
このようなインシデントの数は年々増加しています。一般的に見られる「デジタル化」の傾向は、さまざまな企業の業務プロセスの相互依存度を高める一方です。RiskReconとCyentia Instituteが共同で実施した調査『Ripples Across the Risk Surface』の結果によると(リンク先は英語)、この種類のインシデント813件が、5,437の組織に損失をもたらしていました。つまり、データ漏洩を起こした企業1社につき、平均して4社以上の企業がそのインシデントの影響を受けています。
実践的アドバイス
以上を踏まえ、サイバーリスクを評価するに当たっては、以下の点を念頭に置く必要があると言うことができます。
- ニュースの派手な見出しを信用しない。多数のニュースサイトが同じ情報を掲載しているからといって、その情報が正しいとは限りません。常に、主張を裏付ける情報源を確認し、研究者の方法論を自分自身で分析することを心がけましょう
- リスク評価においては、自分が十分に理解している調査結果のみを使用する。
- 自社で発生したインシデントが他社のデータ損失につながる可能性があることを心にとどめておく。漏洩の原因が自社の過失にあった場合、相手方が法的手段を取ることが考えられ、インシデントによる損害が膨れ上がる可能性があります。
- パートナー企業や受託業者で発生したデータ漏洩の影響を被る可能性があることを心にとどめておく。こうしたインシデントは、あなたやあなたの会社ではコントロールできません。