「サイバー攻撃でいくら損する？」を試算できる待望のフレームワークが誕生：Cybersecurity Dive

The FAIR Instituteはランサムウェアをはじめとした重大なサイバー攻撃に関連するコストを試算し、関係者がより適切にリスクを算定するための基準を作ろうとしている。

[Matt Kapko，Cybersecurity Dive]

　米国証券取引委員会（以下、SEC）が定めた義務化によって、提出書類の中でサイバーセキュリティインシデントの開示が頻繁に実施されるようになった（注1）。しかし、これらのインシデントの重大性に関連して、上場企業が被る財産的な損失についてはいまだ疑問が残る。

　リスク管理団体であるThe FAIR Instituteが2023年10月20日（現地時間、以下同）に発表した「重大性評価モデル」は、オープンソースのフレームワークである「FAIR Materiality Assessment Model」を活用して、これらの損失の定量化を目指している。

サイバー被害の金銭的な損失を試算する待望のフレームワークが誕生

　2023年10月17日に開催されたThe FAIR Instituteの年次カンファレンスでは、MGM Resorts（注2）やCaesars Entertainment（注3）、Johnson Controls（注4）、Clorox（注5）、Progressive Leasingに対して実行された5つのサイバー攻撃の影響に関する言及があった（注6）。

　重大性評価モデルを使った試算によると、これらの5つの事件に関する主要なコストと二次的なコストの合計額は6億6300万ドルに上る。

　The FAIR Instituteとその設立パートナーであり、重大性評価モデルによる計算サービスを運営するSafe Securityは、継続的にデータとリソースを追加する予定だ。

　この計算サービスは自動化されているわけではない。組織や他の関係者がサイバー攻撃による損失の重大性を定量化するに当たり、SECに対する提出書類や他の一般に利用可能な情報に記載されたデータをどのように活用すべきかを示すモデルとして機能している。この取り組みは、ツールそのものよりも、組織のサイバーリスクに関する重大性を評価するための基準を作成することに焦点を当てている。

　The FAIR Instituteの研究ディレクターであり、Safe SecurityのCOO（最高執行責任者）であるパンカジ・ゴーヤル氏は「この計算サービスのゴールは、特定のしきい値に限定されることなく、侵害に関する強固なリポジトリーになることだ。このツールは質問に答え、サイバーリスクの重要性に関する意思決定をガイドするために設計されている」と話す。

　重大性評価モデルは、組織独自のサイバー損失モデルを作成し、リスク定量化分析やベンチマークデータと組み合わせることで、ビジネスにとって最も重要なリスクシナリオに関する金銭的リスクを継続的に試算できる。

　NPO法人のR Street Instituteでサイバーセキュリティと新興脅威に関するディレクターを務めるブランドン・ピュー氏によると、この取り組みはセキュリティインシデントに透明性をもたらし、ビジネス上の意思決定の指針となる推定値を提供するのに役立つという。

　「これは特に重要だ。なぜならば重大性の判断に具体的な基準はなく、さまざまな要因と考慮事項に依存するためである。ただし試算は確実ではないため、それだけに依存せず、あくまでも意思決定を補助するツールとして使用すべきだ」（ピュー氏）

　この計算サービスは情報プライバシーや事業の中断、サイバー攻撃を利用した恐喝、ネットワークセキュリティに関連する潜在的な金銭的損失を試算する。リース契約サービスを提供するProgressive Leasingに対するランサムウェア攻撃について、このサービスは、情報プライバシーに関するコストとして最大9100万ドル、ネットワークセキュリティに関するコストとして最大130万ドルを試算している。

　このフレームワークは、インシデント発生前にその重大性を予測でき、インシデント発生後に実際の情報に基づいて金銭的なリスクを計算できる。「これは、企業が予防の観点を含めたリスクシナリオを計画し、継続的にリスクを管理するのに役立つ」とゴーヤル氏は述べた。

　重大性評価モデルを使用して重大性に関するしきい値を定義した企業は、上位のサイバーリスクシナリオとその潜在的な重大性を特定し、ビジネスに最も大きな影響を与える可能性のあるリスクへの取り組みの優先順位を決められる。

　また、このツールは、潜在的な損失を試算し、その試算と事前に設定した重大性に関するしきい値とを比較したい企業にとっては、財務コストモデルとしても機能する。The FAIR Instituteによると、これらの損失の試算は、企業がサイバーセキュリティインシデントをSECに報告する必要があるかどうか、またいつ報告する必要があるかを判断するのに役立つという。

（注1）SEC cyber disclosure rules put CISO liability under the spotlight（Cybersecurity Dive）
（注2）MGM Resorts’ Las Vegas area operations to take $100M hit from cyberattack（Cybersecurity Dive）
（注3）Caesars Entertainment says social-engineering attack behind August breach（Cybersecurity Dive）
（注4）Cyberattack against Johnson Controls sparks downstream concerns（Cybersecurity Dive）
（注5）Clorox warns of quarterly loss related to August cyberattack, production delays（Cybersecurity Dive）
（注6）How Material is That Hack?（The FAIR Institute）

原文へのリンク