(邦訳:サイバーセキュリティ投資評価手法に関する研究)
| 石川 朝久 (株)野村総合研究所/NRIセキュアテクノロジーズ(株) |
[背景]セキュリティ対策の実施は,組織として必須である
[問題]セキュリティ対策をどこまでやればよいか,投資基準が明らかでない
[貢献]セキュリティ投資評価手法の提案
[問題]セキュリティ対策をどこまでやればよいか,投資基準が明らかでない
[貢献]セキュリティ投資評価手法の提案
サイバーセキュリティ事故は毎日のように発生しており,サイバーセキュリティはITの問題ではなく,経営マネジメントの問題と認識され,対策の推進が重要とされる.セキュリティ対策は,ガイドライン・規制を参考に適切に実装すれば,その多くを予防可能である.しかし,セキュリティ対策をどこまで実施すればよいか投資基準は明らかでなく,セキュリティ戦略上の課題である.また,サイバーセキュリティ投資評価を行うためには,その前提として事故の想定被害額を正確に算出する必要がある.しかしながら,被害額の詳細は公開されていないため,過去の事例に基づく想定被害額の算出は難しく,それゆえ投資による効果予測も困難な現状にある.また,経営層からは,調査や顧客対応の費用に加えて企業価値に対する影響や,リスク転移手法であるサイバー保険の有効性など投資を判断する上で考慮すべき点は多く,サイバーセキュリティ投資で考慮すべき点は増えている.
本研究は,これらの課題を解決するサイバーセキュリティ投資評価手法を提案したものである.
本研究のテーマの一つでは,インシデントにおける企業価値への測定手法に焦点を当てた.インシデント発生時は,調査・顧客対応などのコスト以外に,企業価値への影響なども考慮する必要がある.セキュリティ事故発生時における企業価値への影響を評価する方法として,Twitterの感情分析データを用いたイベント・スタディ手法を提案した.イベント・スタディ手法とは,株価データを利用して,新製品の発表や企業不祥事など企業価値に影響を与えるイベントの短期的影響を測定する手法として知られている.しかし,株価データを持たない非上場企業等には応用ができないという課題が存在する.本研究では,対象企業に関連するTwitterの投稿を感情分析したデータ「ツイート感情指数」を株価データの代替として利用し,セキュリティ事故の分析可能範囲の拡大を提案した.また,論文中では,また,両データを用いた事例分析を行い,短期間において強い相関性があることを検証し,提案手法の有効性を示した.
また,別のテーマでは,サイバー保険の費用便益分析を提案した.サイバー保険へ加入する有益性は,契約内容,想定攻撃シナリオ,各社のおかれた固有の状況に依存する.一方,サイバー保険の支払額や保険料,被害額などは公開されていないため,客観的な評価が進んでいない.本研究では,公開情報を元に仮想企業を想定し,ベンダや研究機関が提供している統計情報を組み合わせ,その企業がサイバー攻撃を受ける状況をモンテカルロ・シミュレーションで解析した.この手法により,公開情報に基づくサイバー保険の定量的評価を与え,有効性があることを示した.
上記の研究により,サイバーセキュリティ投資評価について,個人情報と企業価値への影響を分析する手法を提案し,またリスク転移手法として知られるサイバー保険についてその有効性を示すことができた.このことにより,サイバーセキュリティ投資評価手法の精緻化に寄与できたと考えている.
(2018年6月1日受付)