「サイバーリスク」がビジネスリスクの第3位に

　ロイズと言えば保険シンジケートとして世界的に有名な組織ですが、同社はRisk Index というレポートにおいて、グローバル企業の経営層に向けて、ビジネスリスク要因をランク付けして提示しています。

　このほど最新版の2013年版が発表され、なんと3位に「サイバーリスク」がランクインしました。「サイバーリスクは経営課題である」という事実は一昔前ではやや教条的な含みがありましたが、このように明示されると今や非常に現実的課題であるということを改めて思い知らされます。ちなみに上位5つは以下のようになっています。



　なお、2011年版同レポートで「サイバーリスク」は12位であり、今回大きくランクアップされた形となっています。ロイズ社はその理由として、調査会社Ponemon社の 「ベンチマーク対象組織のサイバー侵害への対応コストが平均890万米ドル」、「最大被害額は4,600万米ドル」 という驚くべき調査結果を引き合いに出しています。

　なお、こうした被害をもたらす主因、即ちサイバー犯罪の手法として、悪意のあるコード（malicious code）、サービス不能攻撃（denial of service：DoS攻撃）、Webベースの攻撃（web-based attacks） が、そしてその攻撃主体としては、政治的または思想的な動機を持つ攻撃者（hacktivist：ハクティビスト）の台頭を挙げています。

セキュリティ対策投資、大事なのは「額」ではなく「バランス」

　さて、そのように脅威が活発になっているとあらば、それらの被害に備えようというのは自然な発想かと思います。しかしそこで同レポートでは、「多くの会社でサイバーセキュリティ対策費用を積み増しているものの、その投資の方向性は正しいのだろうか？」という疑問を投げかけています。

　いわく、サイバー保険の専門家は、情報漏えい対策費・フォレンジック費・事故時対外策（広報）費を含むパッケージ化された保険の導入に向いている。それは確かに緊急時にとても有効ではあるが、本質的には被害自体を未然に防ぐようにセキュリティ対策に投資すべきではないか。そのような対策を企業全体に浸透させるのは長い道のりになるかもしれない──というような論説です。

　SANS InstituteのPescatore氏もこれに同意の旨のコメントを寄せており、さらに踏み込んだ論を展開しています。

　即ち、同レポートでは、米保険情報研究所（Insurance Information Institute）の報告書も引用し、「サイバー事件・事故の3分の2は、組織内の管理体制に起因する」 という事実をもって、未然対策の有効性を訴えていますが、氏はさらに実態としてそのうち80～90％の事柄は簡単、一般的なセキュリティコントロールで防げたであろう、と述べています。

　筆者もこの点に関して、大きくうなづくところがあります。監査の経験上、「守るべき情報資産に対して重点的に対策を行う」という原則にこだわりすぎる余り、そこから外れた領域に予算を割けずに初歩的な対策すら打たれていない、というケースがよく見受けられるためです。同様に、都度発生する問題に場当たり的対策を重ねていくうちに、対策の投資バランスが偏ってしまうというケースもあります。


　これを正すため、Pescatore氏の所見どおり、簡単でも構わないのでコントロールが一通り行き届いているか、という観点で一度セキュリティ対策投資の「バランス」を見直すことが、セキュリティ対策投資の実効性を高めるうえで非常に有効と考えられます。ただ、そのためにはどのようなセキュリティ対策の観点があるかをあまねく把握する必要があります。

　ここで有効なのが「ベースラインアプローチ」です。

【次ページ】ベースラインアプローチに有用な3つのベンチマーク