セキュリティは「後回し」、ソフトウェア産業の変遷

　ソフトウェア産業とサイバーセキュリティ産業は、長年別々の産業、市場として発展してきた。歴史的な経緯を考えればそれは必然ともいえるが、現在の状況が本当に最適なのか、疑問が残る。

　ソフトウェア産業は、コンピューターという機械の発明とそれが社会に普及する中で生まれた。黎明期においては、コンピューターハードウェア、特にメインフレームの影に隠れた存在であり、ソフトウェアは単なる一部品に過ぎなかった。

　しかし、コンピューターの可能性がソフトウェアにあることが明らかになると、ソフトウェアは独立した市場を形成するようになった。そして、システム開発やパッケージソフトがハードウェア市場を逆転するまで、さほど時間はかからなかった。

　また、コンピューターがハードウェアの観点から発明されたように、ソフトウェアもまず機能に重点を置いたため、セキュリティは後回しにされてきた。バグがあっても、当時はサイバー攻撃・サイバー犯罪という概念が存在しなかったのだろう。

　その後、無害なトリックプログラムからサイバー攻撃が発生するようになると、後付けのようにセキュリティソフトやセキュリティ対策がビジネスとして生まれた。

　結果として、ソフトウェアは工業製品でありながら、セキュリティという安全性についてはセキュリティベンダーなどの別の企業に依存するモデルで成長したのだ。

セキュリティ分野への影響強まる「サイバー保険」

　こうした状況に変化をもたらしそうな動きの1つに、サイバー保険がある。サイバー保険自体は新しいものではなく、リスクマネジメントの4つの施策である、受容・転嫁・低減・回避のうち、転嫁対策の1つとして以前から存在していた。


　近年のランサムウェア問題では、身代金の支払いの合理性や正当性が議論されるが、サイバー保険はその適用が話題となっている。

　しかし、ここで問題にしたいのは、身代金支払いへの保険適用の是非ではない。ESET WORLD 2024において、ESET チーフ セキュリティ エバンジェリスト トニー・アンスコム氏は、サイバー保険がセキュリティベンダーに与える影響について語っている。

　アンスコム氏によると、サイバー保険の市場は今後も広がる見込みであり、保険会社がユーザー企業、あるいはセキュリティベンダーに対して、セキュリティ分野での介入や影響力を強める可能性があるという。

　たとえば、保険会社の契約企業がサイバー攻撃を受けた場合、保険会社は保険適用の詳細を判断するため、被害額や状況を細かく分析する必要がある。そのため、調査員はサイバーセキュリティ、マルウェア解析、フォレンジックなどの専門知識が求められることになる。

　また、保険契約にあたっては、企業のリスク分析も適切に行わなければ、適正な保険料の計算ができない。そもそも、サイバーインシデントのリスクやインパクトを業種ごとに指標化しなければ、保険商品の設計も不可能だ。アンスコム氏は、サイバー保険を保険組合による船舶の航海保険になぞらえていた。

　これまでのセキュリティ産業に、ユーザー企業とセキュリティベンダーに加えて、保険会社という新たなプレーヤーの台頭が目立ってきている。今後状況によっては、保険会社が企業のセキュリティシステムの設計や構築を指揮する場面が増えるだろう。 【次ページ】改めて問われるソフトウェアの「機能安全問題」とは