タニワキ日記

情報通信技術(ICT)関連のコラムです。記事は筆者の個人的見解です。

サイバー攻撃のもたらす経済的損失を考える

    サイバー攻撃はますます熾烈になってきている。NICT情報通信研究機構)が運用しているサイバー攻撃観測網NICTER(ニクター)の観測結果によると、2017年の我が国におけるサイバー攻撃は前年比20%増、一昨年の2015年からの2年間で2.8倍と急増している。こうした中、2018年2月、米国において2つの報告書が公表された。いずれもサイバー攻撃が社会経済システムに与える経済的損失を推計し、その背景等について分析したものとなっている。

 

    まず、大統領経済諮問委員会CEA(Council of Economic Advisers)の報告書は「悪意のあるサイバー活動が米国に及ぼすコスト」というタイトルが付されている。CEAエコノミストで構成され、経済動向の分析と経済政策の在り方について大統領に意見具申を行う役割を担っている。こうした経済の専門家集団がサイバー攻撃に関する分析をまとめたということは、サイバー攻撃が米国経済に与える影響が極めて深刻なものになってきているということを意味している。

 

 今回の報告書では、サイバー攻撃によって米国経済が蒙っている経済損失額として、2016年時点で570億ドル(6.1兆円)~1090億ドル(11.7兆円)と推計した上で、こうした損害が生じた3つの経路について解説している。

 

    具体的には、まず第一に、サイバー攻撃を受けて被害が出た企業の株価が下落する。すると、その企業の株を保有している企業の資産価値が低下することになる。第二に、サイバー攻撃が熾烈化する中、企業等における攻撃対策のための支出が拡大する(この点はサイバーセキュリティ関連企業の売り上げが伸びることで市場が拡大するというもう一つの面もあるだろう)。第三に、情報通信技術に対する信頼性が揺らぎ、最先端の、しかし脆弱性を有している可能性がある情報通信技術を企業が採用しなくなり、これによって企業の生産性が低下する可能性があると指摘している。

 

 CEA報告書ではサイバーセキュリティを社会全体の「共通財」であると位置づけている。「個」の企業がバラバラにセキュリティ対策に取り組むのではなく、企業間・官民間の連携による「面」での取り組みが重要になる。各企業がサイバー攻撃に対して持っている脆弱性はその企業固有のものではなく、同様の情報システムが広く使われていることを考えれば、社会全体に共通する脆弱性(リスク)だ。この社会全体のリスクを正当に評価するためには、各企業の情報システムに対する攻撃情報などを共有することが求められる。各企業の情報が完全に面的に共有され、各企業において等しく対策が講じられる理想的な状況では、社会全体として最適なセキュリティ水準が実現する。しかし、実際には情報共有の不完全性が存在していることから、最適なセキュリティ水準を下回るセキュリティ水準しか実現しない。各企業が十分な対策を講じていない場合、攻撃者に情報システムや機器を乗っ取られ、他の企業の情報システムへの攻撃を誘発することにもなってしまう。これを報告書では「負の外部性」と読んでいる。各企業が最大限の対策を講じることでリスクの内生化が実現し、「負の外部性」を最小化することができる。

 

    しかし、各企業が最大限の努力を払ってセキュリティ対策を講じたとしても、攻撃側が圧倒的に有利な立場にあるサイバー空間では残存リスクが存在する。各企業が最大限努力して対策を講じることができたとして、その上でなお残る残存リスクをプールして、各企業から損害保険会社に残存リスクを移転するサイバーセキュリティ保険を活用することでリスクの共有化を図ることが可能になる。しかし、報告書も指摘しているように、各企業のインシデント情報の共有化などが進んでいないことからサイバーセキュリティ保険の適正な料率算定が実現せず、結果としてサイバーセキュリティ保険の普及が進まない状況にある。各企業が損害保険会社等との間でセキュリティ対策の評価結果やインシデント情報を共有する枠組み(関係者間で行われる第二者開示)や対外的な対策状況の公表(第三者開示)が適切に進めば、事態は改善の方向に向かう可能性がある。

 

    CEA報告書はこうした情報共有の重要性を指摘しつつ、さらにサイバーセキュリティ関連技術のイノベーションの促進やセキュリティ対策に関する標準の策定・普及などを国が進めることで、社会全体としてサイバー攻撃の経済的損失を減少させることができると指摘している。

 

    もう一つの報告書がシンクタンク戦略国際問題研究所CSIS(Center for Strategic and International Studies)の「サイバー犯罪の経済的インパクト」と題する報告書だ。

 

 CSIS報告書では、サイバー犯罪が世界経済全体に及ぼす経済的損失について、CEA報告書と同じ2016年時点で6千億ドル(63.6兆円)と推計している。CEA報告書が推計した米国経済に与えた経済損失額の6~10倍といった規模感であり、2つの報告書の推計方法などは異なるものの、概して整合的な推計であるという印象がある。

 

 CSIS報告書では、こうしたサイバー犯罪による経済的損失が大きくなっている背景について5つの項目に整理している。まず第一に、サイバー犯罪者は新しい技術を迅速に採用する傾向が強い点が挙げられる。防御する側は攻撃者の攻撃の態様を分析して対処するため、「一歩遅れ」の対応にならざるを得ない。攻撃者が圧倒的に優位な立場に立つという意味で「非対称性」があるといわれる所以である。こうした状況に対しては攻撃データをビッグデータとして解析し、人工知能などを活用しつつ、攻撃者の次の一手を予測する「予兆分析」という手法が有効になってくる。また、冒頭にご紹介したNICTではスターダストと呼ばれるプロジェクトに取り組んでいる。このプロジェクトでは、実際の組織で使われている情報システムを模した擬似システムを作り、ここに攻撃者を誘い込む。攻撃者は狙った情報システムに侵入できたと誤認して、情報システム内を探索したり、外部との通信を試みたりする。その動きを研究者がリアルタイムで観測・解析し、新たな攻撃手法などの分析を行っている。こうした取り組みも攻撃者の「次の一手」を予測するのに役立つだろう。

 

 サイバー犯罪が増加している背景の二点目として報告書が挙げているのは、ネット利用者が急増しているという点である。特に、新興国においてネット利用者が急増しており、こうした新興国ではサイバーセキュリティ対策が脆弱なところが多く、サイバー犯罪のターゲットになっている。また報告書では、第三の背景として、ブラジル、インド、北朝鮮ベトナムなどの具体的な国名を挙げながら、サイバー犯罪の中心となる犯罪センターが増加しており、こうしたセンターにおいて犯罪者への非合法の支援が行われている点を指摘している。

 

 さらに四点目の背景として、サイバー犯罪で窃取した情報等を現金化することが容易になってきており、ブラックマーケットの拡大や仮想通貨の利用拡大で、匿名のままで現金化が行えるツールが増えてきていることを挙げている。加えて五点目として、サイバー犯罪に用いるツールがダークウェブで多数取引されており、クラウドベースで犯罪ツールを提供するCybercrime as a Serviceも多数出てきていると指摘している。

 

    サイバー攻撃は複雑・巧妙化するとともに、その量も幾何級数的に増加している。サイバー空間とリアル空間が一体的になっていく中、サイバー攻撃による被害もさらに大きくなっていくことが懸念される。今回ご紹介した2つの報告書はいずれも経済的観点からサイバーセキュリティ対策の強化の必要性を分析しているものであり、今後こうしたアプローチが日本でも必要になってくるだろう。(本稿中意見にわたる部分は筆者の個人的見解です)

 

f:id:yasutaniwaki:20180402055428j:plain