1. トップ
  2. Action(活動)
  3. カジノシークレット いんすたんと キャッシュバック
  4. 2018年11月8日 No.3384
  5. サイバー攻撃のリスクカジノシークレット いんすたんと キャッシュバック

カジノシークレット いんすたんと キャッシュバック

Action(活動) カジノシークレット いんすたんと キャッシュバック 2018年11月8日 No.3384 サイバー攻撃のリスクカジノシークレット いんすたんと キャッシュバック -21世紀政策研究所 解説シリーズ/21世紀政策研究所研究委員(東京海上日動リスクコンサルティング主任研究員) 川口貴久

川口研究委員

今日、企業に求められるサイバーリスク対策として、さまざまなフレームワークが提示されているが、共通するのは、リスクの洗い出し・カジノシークレット いんすたんと キャッシュバックが対策の「一丁目一番地」という点だ。

■ サイバー攻撃の「影響度」カジノシークレット いんすたんと キャッシュバック

サイバーリスクのカジノシークレット いんすたんと キャッシュバックといっても、そのねらい、方法論、対象範囲はさまざまである。本稿では純粋なインシデント発生状況やセキュリティレベルのカジノシークレット いんすたんと キャッシュバックではなく、経営者やビジネスサイドに理解しやすい経済的・社会的指標に基づくカジノシークレット いんすたんと キャッシュバックを紹介する。つまり、脆弱性診断やストレステストが検証する「頻度(蓋然性)」のカジノシークレット いんすたんと キャッシュバックではなく、“万が一”サイバー攻撃を受け被害が発生した場合の「影響度」のカジノシークレット いんすたんと キャッシュバックである。

ただし、現時点でサイバーリスクのカジノシークレット いんすたんと キャッシュバック手法は確立されていない。どのようなカジノシークレット いんすたんと キャッシュバック手法を採用するかで、カジノシークレット いんすたんと キャッシュバック結果や必要な対応は大きく変わる。サイバーリスクのカジノシークレット いんすたんと キャッシュバックにあたっては、自社の事業や資産を踏まえてカジノシークレット いんすたんと キャッシュバック手法を検討・選択することが重要である。

いくつかのカジノシークレット いんすたんと キャッシュバック例を紹介する。最もシンプルな方法は「デルファイ法」である。これは専門家インタビューやアンケートを繰り返すことによって重点リスクを特定・カジノシークレット いんすたんと キャッシュバックするものである。サイバーリスクだけではなく、その他の無数のリスクを相対的に比較カジノシークレット いんすたんと キャッシュバックすることが可能である。

■ 最悪ケースを定量化する「シナリオ法」

「シナリオ法」は、一定の前提条件・仮定に基づくサイバー攻撃による損失・影響カジノシークレット いんすたんと キャッシュバックであり、一般的には予想最大損失額(PML)を算出する。英ロイズ社と米サイエンス社によるカジノシークレット いんすたんと キャッシュバックレポート(2017年7月)は有名な例だ。彼らが想定するシナリオは、(1)クラウドインフラの制御プログラムが改竄され、無数のクラウドサーバーが停止するもの(2)あるアナリストが電車に鞄を置き忘れ、鞄に入っていた脆弱性レポート(あるOSの全バージョンに影響を与えるもの)がダークウェブ上で売買され、サイバー攻撃が引き起こされるもの――であった。それぞれの全世界での最大損失額は(1)で530億ドル、(2)で287億ドルと見積もられている。シナリオ法は容易に「最悪ケース」を想定することができるが、前提条件・仮定によるカジノシークレット いんすたんと キャッシュバック結果のブレが大きいのも事実である。

■ 企業価値の変動幅を測る「CAR分析」

米政府経済諮問委員会の報告書(18年2月)でみられるような「累積超過収益率(CAR)分析」も一定の前提条件・仮定に基づくサイバー攻撃による損失・影響カジノシークレット いんすたんと キャッシュバックだ。CAR分析は企業価値の損失額をカジノシークレット いんすたんと キャッシュバックする。具体的には、サイバー攻撃が行われた際の企業価値の変動幅(実値)と何もなかった場合の企業価値の変動幅(仮定値)の累積差分を算定する。これは、サイバー攻撃被害の定量化が難しい分野(営業秘密や戦略情報の漏洩等)で定量カジノシークレット いんすたんと キャッシュバック可能というメリットがある。他方、実際に起きたサイバー攻撃を事後的にカジノシークレット いんすたんと キャッシュバックするものであり、また「何もなかった場合の価値の変動幅」を計量することは難しい。

■ 確率論的損失カジノシークレット いんすたんと キャッシュバック=「モンテカルロ法」

金融業界でよく知られた「モンテカルロ法によるVaR(Value at Risk)計測」は、過去のサイバー攻撃被害のデータや損失モデルに基づき、数万~数百万回のシミュレーションを繰り返すことによる確率論的損失カジノシークレット いんすたんと キャッシュバックである。一定の信頼区間(50%、90%、95%等)に基づき最大損失額を算出するため精緻だが、カジノシークレット いんすたんと キャッシュバック結果の妥当性はデータセットとモデルに依存する。国際通貨基金(IMF)は18年6月、報告書「サイバー攻撃が金融業界に与える損失」を公開したが、カジノシークレット いんすたんと キャッシュバック結果は限定的なデータセットに依存し、「例示的なカジノシークレット いんすたんと キャッシュバック」であると認めている。また、変化の激しい攻撃トレンドは過去のデータセットからの計測だけでは不十分かもしれない。

ここで紹介したリスクカジノシークレット いんすたんと キャッシュバックのカジノシークレット いんすたんと キャッシュバック軸は主に経済的損失額だが、非経済的損失カジノシークレット いんすたんと キャッシュバックも重要である。例えば、日本政府の「重要インフラの深刻度カジノシークレット いんすたんと キャッシュバック」では、カジノシークレット いんすたんと キャッシュバック対象を重要インフラサービスに限定しているものの、サービスの「持続性」「安全性」でサイバー攻撃の深刻度をカジノシークレット いんすたんと キャッシュバックしている。一般企業に置き換えれば、サイバー攻撃による「事故・人命安全への危険」「重要事業の中断期間」等はカジノシークレット いんすたんと キャッシュバック尺度になり得る。

【21世紀政策研究所】

「21世紀政策研究所 解説シリーズ」はこちら

「2018年11月8日 No.3384」一覧はこちら