せいうちセキュリティ

研究論文からサイバー犯罪とセキュリティを考えてみる

【論文考察】サイバー犯罪でも容疑者プロファイリングは可能か

今回の論文はコチラ。2023年3月発行のInternational Journal of Cybersecurity Intelligence and Cybercrime からの論文です。サイバー犯罪から犯罪者をプロファイリングしようという試み。面白い。

Gerstenfeld, J. (2023). Understanding the connection between hackers and their hacks: Analyzing USDOJ reports for hacker profiles. International Journal of Cybersecurity Intelligence and Cybercrime, 6(1), 59-76.

 

 

どんな人におすすめ?

不十分な情報からでも犯人像をある程度推察する必要がある人向けの論文です。この論文にも「サイバー犯罪捜査に役立てることを目的としている」と明記されている通り、サイバー事案の捜査やアトリビューション(技術的にも政治的にも)を段階的に行う必要がある場合に役に立つ情報です。

それ以外の人にも意味がある情報だとは思いますが、大半の情報セキュリティ関係者には「役に立つ」というより「おもしろい」に近いと思います。おもしろいことはいいことなんですが、プロじゃない人がプロファイリングを振りかざすと、恥をかいたり無自覚に差別や偏見を引き起こしたりするので気を付けましょう。

 

どんな内容?

因果関係とはいかないまでも、ハッキングの特徴と犯人の特性の間には相関関係が存在するものもありそうだ、という話です。

この研究では、2019年1月から2021年12月までの米国司法省(USDOJ)の報道記事122件を分析しています。ハッカーの年齢、性別、国籍と、そのハッカーが実行するサイバー攻撃の特徴との間に関係があるかどうかを統計的有意差があるかどうかで判断しようぜというやり方です。USDOJが出している事案が分析対象なのでアメリカが受けたサイバー被害に限定されいます。また、「ハッキング」という用語は、さまざまなサイバー犯罪に適用される可能性がありますが、この研究では簡略化・統一化のために「コンピュータへの不正アクセス」のみを「ハ ッキング」と定義しています。
 

注目ポイント

統計的有意差が見られたものは以下です:

  • 男か女か:122人が関与した54のハッキング関連事例を分析したところ、女性は8人、男性が95人であることが判明した。19名については報告書で性別が特定されていない。
  • 単独犯かペアか集団か:36件が個人による単独犯で、残りは3人以上のグループ(n=71)と二人組(n=15)による犯行だった。
  • 年齢とハッキング手法(1)ソーシャルエンジニアリングを利用したハッカーは、そうでないハッカーよりも平均して4歳若い。
  • 年齢とハッキング手法(2)若いハッカーほどフォローアップアクセスを多用する。
  • 年齢とハッキング手法(3):年配のハッカーほどソフトウェアの構築・保守を行う。
  • 他国を攻撃する犯人の傾向:国際的に活動する攻撃は61件で、そのうち9割に当たる56件がグループ内で攻撃を実施した。カイ二乗分析では、この関連性が非常に有意であることが確認された。また、二値ロジスティック回帰を用いて居住地を予測したところ、独自のソフトウェアを構築または保守している攻撃者は、国際的に活動する可能性が5倍以上高いことがわかった。

上記すべてが相関関係であり、因果関係ではないことには注意です。
なんとなくわかってはいたけど、統計的に示されると改めてハッとしますね。特に男女比はSTEM教育における男女比をモロに反映しているのかも。

 

感想

私自身プロファイリングが大好物なので、サイバー犯罪の世界にもプロファイリングの試みがあると知り、勝手に感慨深くなっていました。海外ドラマの「クリミナル・マインド」に代表されるFBI式プロファイリングはさすがに現代には沿わないですが、犯罪主体がなぜ犯行に及ぶのかに物語性を見出すのは面白いですよね。

MITRE ATT&CKはある種のプロファイリング手法だとも捉えられます。サイバー攻撃は目に見えないから分析しにくいというのは事実だと思う一方で、物理世界の犯罪に比べたら攻撃手法が圧倒的に少ないので、ATT&CKやサイバーキルチェーンの考えがより現場に浸透していくといいなあと思っています。

 

最後までお読みいただきありがとうございました。ではまた次回。

 

おわり

 

※ 論文からの引用は発行元の規則に則っています。

ランキング参加中
セキュリティ

【コラム】セキュリティリサーチャーと対話ができるマーケターが必要な理由

季節外れに暑かった5月中旬の話です。

約三か月の育休から復職してオフィスに行ったら、知り合いのAさんにばったり会って久しぶりに話をしました。そのときに、Aさんから聞かれたことがとても印象に残っているので、そのことを書いてみようと思います。

 

もくじ

 

サイバーセキュリティの話題が取り上げられるのは良いけれど

Aさんからの質問はこんな感じでした。ちなみにAさんは実績も経験も豊富なサイバーセキュリティリサーチャーです。

「最近、前よりもメディアがサイバー攻撃を取り上げるようになっていると思うんですけど。ちょっと鼓吹(こすい)するような感じもあるような?そんなことないですか?」

 

ふむ。面白い。なんだかサイバーセキュリティの現在地がわかるような気配がしました。その気配をひも解いてみたいと思います。

結論を先に書くと、私の考えはこの三つです。

  1. サイバーセキュリティの民主化が、今まさにすすんでいる。
  2. メディアの表現から受ける印象は「わかりやすさ」の結果であり、サイバーセキュリティの社会的進化のためには避けて通れない。
  3. サイバーセキュリティをポピュリズムで終わらせないためには、セキュリティリサーチャーと対話ができるマーケターが必要。

以下に詳しく書いていきます。

 

サイバーセキュリティの民主化

問いかけられた瞬間に私の頭によぎったのは、細谷功著「具体と抽象 ―世界が変わって見える知性のしくみの冒頭の文章でした。ちょっと長いですがその部分を引用します。

 

世の中、何ごとも「わかりやすい方向」に流れていきます。
書店には「わかりやすい…」といったタイトルの本が並び、テレビ番組も「日本語字幕」に加えて、万人に分かりやすい番組が増え、政治家にも経営者にも「わかりやすく説明すること」が求められています。
これは普遍的かつ後戻りできない、一方的な不可逆の現象のようです。
会社などの組織も、創業したばかりのときは「一人の設計者」によってできあがったものが、時の経過とともに次第に「民主化」して万人のものとなるのは歴史の常です。そうなると求められるのは必然的に、「万人へのわかりやすさ」ということになります。しかもこの状況は一度できあがってしまえば、簡単には後戻りはせず、極論すればこの状況が変化するのは、「新しいもの(人やしくみ)が古いものに取って代わる」ときだけです。この「時間経過とともに民主化される」構図は会社組織に限った話ではありません。
「わかりやすい」とは、多数派に支持されることを意味します。だからわかりやすい商品のほうが、わかりにくいものよりも売れます。したがって会社では、わかりやすいことをやる人が必ず優勢になります。選挙でも大抵「わかりやすい人」が勝ちます。
一つのしくみの中で、「わかりやすさ」は不可逆的に増殖していきます。

(中略)
「わかりやすさ」の象徴が「具体性」です。本でもテレビ番組でも公演でもネットの記事でも、「具体的でわかりやすい」表現が求められ、「抽象的な表現」は多数派の人間を相手にした場合は徹底的に嫌われます。
(中略)
人間の知性のほとんどは抽象化によって成立しているといっても過言ではありませんが、すべて具体性が重視される「わかりやすさの時代」にはそれが退化していってしまう危険性があります。

私がAさんの質問から感じたのは、サイバーセキュリティの社会的進化の気配と、サイバーセキュリティ専門家が抱えるジレンマでした。

 

「わかりやすさ」の結果

冒頭の質問のとおり、Aさんは新聞やテレビ、ネット記事などのサイバー攻撃の取り上げ方をやや鼓吹している表現のように感じたわけですが、これは『サイバーセキュリティの民主化』が進んでいることの現れであると言えます。

ここ数年で日本でもデジタル技術が社会基盤として浸透してきました。インターネットやデジタルデバイスが生活の一部となり、令和5年時点でデジタルの民主化が達成された状態です。ここ数年で「わかりやすいDX入門」的な話が増えたのは、デジタルの民主化がBtoBで起きたからだと理解できます。

サイバーセキュリティはデジタル領域の一つなので、DXの流れでサイバーセキュリティにも必然的に民主化の流れが訪れます。私が仕事をしている中でも「経営層に対してわかりやすくサイバーセキュリティの必要性を訴えてください」という依頼が増えました。サイバーセキュリティがみんなのものとなって、「万人へのわかりやすさ」が求められる時代に入ったわけですね。

そうなると、今度はメディアの登場です。新聞やテレビなどは「マスメディア」というだけあって、多くの人に情報を伝える役割を担っています。歴史を振り返っても、マスメディアなしでは民主化は果たされません。マスメディアの力を借りながら、サイバーセキュリティは民主化に向けて前進します。「いかに具体的に、短く、わかりやすくサイバーセキュリティを話せるか」が成功の鍵となるため、抽象的な話はそぎ落とされます。このサイバー攻撃はどこの国からきているのか…深刻な脆弱性が見つかったらどうすべきか…日本企業は何をすべきか…このような難題へのシンプルな答えが、メディアには必要です。シンプルでなければ民主化は起こらないからです。こうして、わかりやすいサイバーセキュリティの表現が多くの目に触れることになり、「わかりやすいサイバーセキュリティ」による民主化は不可逆的なものとなります。

このように「民主化」の観点からメディアの役割を考えてみると、(一部の極端な表現をするメディアを除いて)その表現は何かを鼓吹しようというわけではありません。成熟した社会の価値でもあり呪縛でもある「わかりやすい表現」の結果です。ここには善悪の区別はなく、ルールとして「わかりやすいものが生き残る」だけだと考える方が正確かもしれません。

 

リサーチャーと対話ができるマーケターの価値

問題は、ここからどうするかです。サイバーセキュリティの民主化は止まりません。ますます「わかりやすいサイバーセキュリティ」しか生き残れない時代になります。『サイバーセキュリティをわかりやすくシンプルに説明?無理無理!そんなこというヤツはサイバーセキュリティをわかってないんだよ!』と思いたくもなりますが、やるしかないです。だってそうしないと生き残れないんですもの。

では、それを誰がやるのか。難解で複雑なものの本質を見抜いてわかりやすく説明する…これほどマーケター冥利に尽きる仕事はないでしょう。そう、ここからは私たちマーケターの腕の見せどころです。僕たちがやらずに誰がやる。「わかりやすいものしか生き残れない」という現実から目を背けずに、どんなものでもわかりやすく説明したるわいという心意気と情熱がサイバーセキュリティ業界のマーケターには必要です。当然ながらマーケティングセンスも大事です。

しかしながら、心意気と情熱、そしてマーケティングセンスがあったとしても、それだけでは民主化の壁を超えることはできません。もう一つ、必ず必要になるのが技術的な見識です。サイバーセキュリティそのものが技術を扱うものである以上、避けては通れない現実です。私見ですが、最低限の知識として「マスタリングTCP/IP ~入門編~」「セキュリティ技術の教科書」に出てくるレベルでは知っておくべきです。

私も20代のころは『いや、いうても俺はマーケターだし。一緒にやってくれるエンジニアいるし。自分がすべきはマーケ的なことっしょ!』と自分に言い訳をしながら技術的な基本教養をないがしろにしていました。最初はそれっぽいうわべの知識でやっていても、そもそも担当している業務の難易度が低いので何とかなりましたが、途中で頭打ちになりました。どんなに市場や顧客を分析してSTPを作ろうとしても、ポジショニングがとれないんですね。なぜか。自分が技術的に理解できる範囲でしか思考が広がらないので、持ちうる問題意識が浅いからです。そうなると、無意識のうちに「自分がすべきこと」が「自分がわかること」にすり替わってしまいます。それがしばらく続くと、仕事が回ってこなくなります。周りははっきり口に出すことはありませんが、「あいつは表面的な知識だけでやり過ごす奴だ」という目で見られ始めます。横着してきたツケが回ってきたなと思いました。同時に、自分が好きなマーケティングという仕事を続けるには技術もちゃんと勉強しないといけないと気付けた瞬間でもありました。

Aさんのように物事を深く理解しているリサーチャーは、先ほど例に挙げたアトリビューションや脆弱性管理、セキュリティコントロールの選定がどれだけ複雑なものかを理解しています。なぜならそこに対する広くて深い見識があるからです。マーケターはそんなリサーチャーよりも特定領域の知識がなくて当然ですが、リサーチャーが難しいと思っていることを同じように難しく思えなくてはなりません。言い換えれば、課題解決はできなくとも同じ問題意識を持つべきである、ということです。リサーチャーと対話ができるとは、同じ課題感を持てるということです。

リサーチャーと同じ課題感を持てないと、自分が理解できるものの範囲で「わかりやすさ」を追求し始めます。20代の私と同じ構図ですね。しかも民間企業は営利団体なので、一定期間内に成果を出すことが求められます。すると何が起こるかというと、「わかりやすく表現できるもの」ばかりが語られはじめます。サイバー攻撃の事例が「わかりやすい」ものの最たるものでしょう。そうすると、サイバーセキュリティの中でも「わかりやすくしやすいもの」が偏重して語られるようになり、本来あるべき姿ではないサイバーセキュリティ像が民主化されることになります。これが、民主化のワーストケースです。ポピュリズムと言ってもいいかもしれません。それを避けるためには「どのようにわかりやすくするか」よりも「何をわかりやすくすべきか」を深く考える必要があります。サイバーセキュリティのマーケターは「何を」にこだわるべきです。そしてそのこだわりは、技術的見識から生まれます。

 

だから、マーケターはリサーチャーと対話をしましょう。対話できるレベルになれるように技術を勉強しましょう。

 

長くなってしまいました。最後まで読んでいただき、ありがとうございました。

ではまた次回。

 

ランキング参加中
セキュリティ

【論文考察】「レジリエンスとは何か」ではなくて「レジリエンスには何が必要か」を議論しよう

今回はこの論文を選んでみました。2023年4月発行のInternational Journal of Cybersecurity Intelligence and Cybercrime からの論文です。個人の「サイバーレジリエンス」に焦点を当てた研究です。今回の論文は、その結果よりも過程に注目です。

 

 

どんな人におすすめ?

レジリエンス」が重要なのはわかるけどイマイチ腹落ちしていない人に読んでもらいたい論文です。あとは、サイバーセキュリティ業界でブランディングマーケティングを担当している人に読んでもらいたい。今に始まったことじゃないです、いまやインターネットには人目を惹こうとすることだけを目的としたカタカナ語使いが溢れかえっています。本質を理解するには自分の頭で考えなければなりません。その最たるものが「レジリエンス」です。

前提として、市場全体がレジリエンスを目指すことに全く異論はなく、むしろそうすべきだと私も思っています。レジリエンスという言葉そのものが悪いわけでもありません。「カタカナ語が氾濫している!」とかいって目くじらを立てる人もいますが、言葉そのものに善悪もありゃしません。もしもカタカナ語が混乱を生み出しているとしてたら、その使い手が悪いです。私の経験上、この手の問題は、使い手側の知識に奥行がないことが原因です。大体の人はレジリエンスを「回復力とか弾力性とかそんな感じの意味」として扱っています。それ以上の知識がないので「インシデントから普及できる力」をカッコつけてレジリエンスって言ってる的なノリです。悲しいかな。でも大丈夫!この論文を読んでちょっとだけ奥行を出していきましょう。

 

どんな内容?

この論文の主旨は「一個人のサイバーレジリエンスを評価できる客観的指標を特定しようぜ」です。2016年ごろから、サイバーセキュリティ業界でもレジリエンスに焦点を当てた研究が増えてきているようです。ですが、今までは組織のレジリエンスに注目してきてはいたけど、個人のレジリエンスには全然触れてきませんでした。そうした問題提起から始まったのが今回の研究です。
この研究の結果として、「ヒューマン・サイバーレジリエンス・スケール」というイカした調査票が開発され、579名のサンプル(男性=236名、女性=340名、その他の性別=3名。参加者の地理的分布は、カナダ=152名、イギリス=275名、アメリカ=152名。サンプルの平均年齢は33.86歳)からいくつかの傾向が見えてきました。
その傾向の例として、
  • 男性は『学習』や『効果的な対策』でレジリエンスが高まりやすい
  • 女性は『社会的支援(人とのつながり)』でレジリエンスが高まりやすい

といったものがあります。どれも興味深い発見ですね。上記の発見は性差を変数とした差分に着目していますが、他にも消費者向けのセキュリティを考えるうえで面白い結果も出ていました。

 

注目ポイント

注目すべきパートは、論文の序盤にある文献レビューと、レジリエンスを構成する要素の分析です。レジリエンスが重要だってことはサイバーセキュリティ業界でも異論はないと思います。しかし大体のコンテンツには「レジリエンスを目指して頑張ろう!」的な感じでスローガンのように使われるばかり。そろそろ「レジリエントな組織や個人には何が必要なのか」を突き詰めていくべきフェーズなのではないでしょうか。

まず知識として知っておきたいのは、レジリエンスという言葉は何十年も前から使われている言葉だということです。歴史的には、最初は物理学の世界で使われていたものですね。外圧(Stress)を押し返す力という意味で弾力性(Resilience)を意味していました。そこから心理学にも応用されるようになり、やがて日常に浸透するようになりました。広く多くの人に知られるようになるにつれて、その定義や使いどころも広くなっていったわけです。今では「レジリエンス」というと心理学用語として理解されることが多く、その定義はストレスや逆境に積極的に対処する能力、すなわちストレス要因を学習経験として利用して自己成長し、将来の課題に対してより良い準備をする能力となっています。それがサイバーにも応用されて『サイバーインシデントを適切に予防・対応・対処し、復旧できる能力。インシデントから学びを得る能力』という意味合いで使われるようになりました。より抽象化してその本質を突き詰めると『ネガティブな出来事をポジティブな価値に変換する能力』と言えそうです。

そして「レジリエンスの構成要素」は以下です。サイバーではなく心理学などで定義されているものです。6つの内的要素と2つの外的要素で成り立っています。

  1. 適応力…タスクの要求を満たすために思考や行動を調整することで、逆境に生産的に対応する能力
  2. 習熟度…ストレス要因から生じる認知的・感情的混乱を予測、管理、抑制、または防止する能力
  3. 自己効力感…デジタル空間におけるユーザー個人の能力とその自覚。
  4. 積極性…楽観的な思考。逆境に前向きに取り組む能力。
  5. 忍耐力…逆境や挫折にもかかわらず目標や目的を追求しようとする個人の意欲
  6. 能動的対処…ストレス要因が発生したときに、個人が利用できる内外のリソースを意識的に活用する能力
  7. 社会的支援…ストレス要因の発生時に助けてくれる人
  8. 構造化された環境…個人が採用する規則的で一貫した行動やルーチン

上記8つがいわば「レジリエントな人」の特性なわけですが、言い得て妙かなという感じですね。サイバーにも応用ができそうです。このような特性を持つ社員を増やして、このような組織文化を醸成していくことがレジリエントな組織の作り方と考えてもよさそうです。

 

感想

今回の論文は、サイバーのことを深く知るためにはサイバー以外のことも知らなきゃダメよというのを端的に示してくれていると思います。

レジリエンスの構成要素とその説明をしっかりと考えるだけでもいろいろな発見があります。例えば、適応力とは行き当たりばったりで対処する能力ではなくて「入念に作った計画を臨機応変に変更できる能力」のことだと考えたほうがよさそうですし、忍耐力があると言えるようにするには確固たる目的や目標がないとダメだ、とか。構造化された環境なんかは、インシデント対応訓練そのものですよね。

組織のサイバーレジリエンスを目指すなら、まずは自分がレジリエントな個人になる必要があるよなぁ、と心から思いました。

 

最後までお読みいただきありがとうございました。ではまた次回。

 

おわり

 

※ 論文からの引用は発行元の規則に則っています。

ランキング参加中
セキュリティ

【論文考察】米国のサイバー防衛戦略はどう進化してきたか

今回の論文はこちら。民間組織の情報セキュリティ部門には馴染みのない「国防系」のサイバーです。

Erica D Lonergan, Jacquelyn Schneider
 
Journal of Cybersecurity, Volume 9, Issue 1, 2023, tyad006

 

もくじ

 

どんな人におすすめ?

国や軍の立場を踏まえてサイバーの話をする必要がある人向けの論文です。する必要がなくても、各国の動向を把握しておかなければサイバー空間の動きも把握できない昨今の情勢を鑑みると、重要インフラとかのセキュリティに関わっている人も一読するとサイバー空間の理解に奥行きが出て、とてもいいと思います。

国家と民間組織ではそれぞれの組織目標が異なるので、サイバーパワーおよびサイバーセキュリティの捉え方も大きく異なります。とはいえ、国も民間も協力しあってサイバーセキュリティに取り組んでいかなくては負け確になってしまう今の時代、こういう論文にもアンテナを張っておくと後々役に立つのではないか。ブリコラージュ万歳。

 

どんな内容?

超大国アメリカでさえも2011年から今までで3回もサイバー戦略を変えているから、俺たちも歴史から学ぼうぜ!っていう話です。ドイツの初代宰相であるオットー・フォン・ビスマルクは「愚者は経験から学び、賢者は歴史から学ぶ」というエモい名言を残しました。賢者のやり方でサイバー戦略を考えていこうのがこの論文です。

具体的には、アメリカ国防総省DoD)が2011年・2015年・2018年に公表したサイバー戦略を分析しながら、過去十数年で軍事的なサイバーパワーの考え方がどう変化してきたのかまとめています。Journal of Cybersecurityでも二番目によく読まれている論文だけあって、軍事的な観点からのサイバーパワーとはなんぞやの本質をついている内容です。

DoDがが最初のサイバー戦略を発表したのは2011年7月。オバマ政権の国際サイバースペース戦略の後に発表されたもので、サイバースペースとインターネットが人権、民主主義の促進、経済的機会に与える影響について楽観的な見解を示していました。ちょうど「アラブの春」があって、世間がSNSをはじめとしたデジタル技術/サービスの「ポジティブな側面」に胸を躍らせていた時期です。なので、当時の戦略には、サイバースペースにおける、またはサイバースペースを通じての軍事力の行使に関する有意義な議論が全くありませんでした。カリフォルニア・ベイエリアのテック企業の急成長もあり、サイバー空間の発展が人間を幸せにするという暗黙の前提があったうえで色々な議論が進んでいた時期だと思います。

ところが2015年にはポジティブさが薄れてきます。米国2011年以降、国家安全保障や防衛上の利益に影響を与えるサイバーインシデントの規模、重大性、対象が大幅に増加したんですね。APT10による複数のキャンペーン、Cloud Hopper、ニューヨーク州のダムへの侵入など。2011年の戦略とは異なり、2015年の戦略では優先すべき敵対者を明確に特定しています(ロシア、中国、イラン、北朝鮮、非国家主体)

そしてトランプ新政権が誕生した翌年の2018年、サイバー戦略はよりアグレッシブに方向転換します。トップが変わると方針も変わるいい例です。この年に展開された戦略以降、重要な概念となっているのが「Defend forward」と「Persistent engagement」です。いま話題のアクティブ・ディフェンスにも通じる考え方ですね。

 

注目ポイント

軍事的な観点からサイバーパワーを理解するために重要な概念が以下の通り三つあります:

  1. 国際規範の確立…国際通念を作り上げて、自国の行動に正当性を持たせること。
  2. サイバー空間での抑止力の有用性サイバー攻撃を行う主体を実行に移させないこと。
  3. エスカレーション・リスクサイバー攻撃が上位レベルの軍事行為に発展しないようにすること。

この三つの切り口で、過去3回のDoDのサイバー戦略を比較したのがこちら↓

 
2011年
2015年
2018年
規範
民主主義と人権を中心とした国際規範を強く重視し、DoDは安定規範に対するリスクとして大きく捉えられる。
国際的な規範に合致した活動をするために、DoDの抑制を宣言することにさらなる重点を置いた。
DoDは、軍事サイバー作戦を通じて確立された規範を持つ、それ自体が規範の立役者であると見なされている。
抑止力
抑止力は明確に定義されておらず、中核的な概念ではない。
抑止力はアンカリング・コンセプト、拒否と回復力に焦点を当てる。懲罰による抑止力については曖昧。
抑止力は、新しい戦略コンセプト、ディフェンド・フォワード/パーシステント・エンゲージメントと並行して存在する。
エスカレーション
エスカレーションは重大な懸念事項であり、軍のサイバー作戦はリスクの源泉と見なされている。
エスカレーション信念は、2011年の戦略と一致する。
エスカレーションについては言及されていない。軍事的なサイバー作戦は、紛争の閾値以下に抑えることができる。

<上表:サイバー戦略比較表。筆者訳。>

 

感想

大変読みにくい論文でした。日常的に触れているサイバーセキュリティとは、出てくる用語も観点も違うからです。でもわからないところを調べながら三回くらい読むとなんとなく筋が読めてきます。どうかあきらめずにトライしてみてください。

論文の最後に「レジリエンス・アプローチ」の説明があったんですが、それがすごいよかったです。レジリエンスは最近の流行りみたいですが、マーケティング要素が強すぎて中身が薄いものが多いです。なぜ薄さを感じるかというと、レジリエンスを単に「回復力」と訳して、それ以上理解しようと思っていないから。レジリエンス・アプローチの本質は、①サイバー防衛が時として失敗する可能性を想定していること、②したがってレジリエンス・アプローチにおける戦略的成功とは破壊的な出来事を予期し、準備し、耐え、回復し、そこから学習することができることです。一度やられた後に、強くなって、立ち上がる力。組織にも個人にも、求めれているものは同じですね。

 

最後までお読みいただきありがとうございました。ではまた次回。

 

おわり

 

※ 論文からの引用は発行元の規則に則っています。

ランキング参加中
セキュリティ

【論文考察】なぜ「フェイクニュース」という言葉を使わないほうがいいのか

今回は、ユネスコが2018年に発効したフェイクニュースに関するハンドブックから一部を取り上げます。ChatGPTが大衆の注目を集めています。このタイミングでフェイクニュースに対する理解を一段階深めておきましょう。

"Thinking about ‘information disorder’: formats of misinformation, disinformation, and mal-information" from : Journalism, ‘Fake News’ & Disinformation. UNESCO. 2018
by Claire Wardle and Hossein Derakhshan

 

 

どんな人におすすめ?

『一対多』で情報発信をよく行う人向けの論文です。特に、組織を代表してメッセージを発信する役割の人。ジャーナリストはもちろんのこと、民間組織の広報・マーケティングブランディング担当者で、ブログやSNS、メールマーケティングなどをしている人は知っておかないと怖い内容です。自戒の念を込めて執筆。

マーケティング関係の仕事をしている人たちは、相手の興味関心を惹きたいと強く思っており、役割的にもそう思ってしかるべきです。ただし、気を付けないと炎上したり、気づかないうちにゆっくりと信頼を失ったりします。そうならないためにも知っておきましょう。知は力なり。

 

どんな内容?

フェイクニュース」という言葉が出てきたら、①Misinformation(誤報)、②Disinformation(偽情報)、③Malinformation(不正情報)に分割して考えよう、という話です。日本だとあまり浸透していない考え方ですが、世界的にはかなり重要視されています。アメリカだとCISAのこのページとか。

www.cisa.gov

フェイクニュースと聞くと思い浮かべがちなのが「AIで作った有名人の偽動画」だったり「ツイッターで流れてきた事実とは異なる偽ニュース」だったりしますが、実はもっと複雑です。というか、見落とされるポイントがあります。それを見落とさないようになる考え方が「MDM (Mis- Dis- Mal-) information」です。整理しましょう。

  1. Misinformation(誤報…事実とは異なるけれども、発信者は真実だと信じている情報のことです。勘違いや思い込みが含まれます。たいていの場合、発信者はよかれと思って情報を拡散しています。災害時などにSNSで散見されます。
  2. Disinformation(偽情報)…発信者がそれを事実とは異なると知ったうえで流す情報のことです。これは意図的に嘘を流しているということなので、発信者に悪意があるとみなします。本物っぽいウソ動画なんかはまさにコレです。
  3. Malinformation(不正情報)…事実に基づいているものの、個人や組織に損害を与えたり、文脈を無視して利用される情報のことです。これは具体的なイメージつきにくいかもしれませんが、何の正当性もなく個人の性的指向を明らかにする文書は不正情報です。YouTubeによくあがってる切り抜き動画なんかも、文脈を無視して誤解を招く表現になっていると不正情報と言えます。ただ、何をもって不正とするかが面倒なところです。

巷でよく使われるフェイクニュースという言葉は、上の1と2が混同されています。事実と異なる情報であればマルっとフェイクニュースとなっちゃってる。そうするとMalinformationを見逃します。下の図がわかりやすいです。「事実か偽か」と「悪意があるかないか」の二軸で考える癖をつけておきましょう。

Information disorder(引用元:https://en.unesco.org/sites/default/files/f._jfnd_handbook_module_2.pdf

 

注目ポイント

以下のコミュニケーション形態に触れる時には特に注意しましょう。従来の『フェイクニュース』の定義ではカバーされていないかもしれません。

Satire/ParodySNSから情報を得ることが多くなった今、風刺的なコンテンツだと理解されずに拡散される可能性があります。

False connection…見出しや画像がコンテンツを示すものではないものです。よくあるのは釣りサムネとか。これはマーケティングでもやりがち。

Misleading content…誤解を与えるような表現をすることです。。例えば、コメントを事実のように書くことがそれにあたります。

False context…正しい情報が誤った文脈でシェアされることです。元情報が事実なのでタチが悪いです。発信者の言いたいことのために元情報が切り取って使われたりします。情報を簡単に手に入れたい人ほど引っかかりがち。

Manipulated content…本来よりも刺激的なタイトルにするなどして情報を歪めることです。これはマジで気をつけるべし。全体の一部を過剰に強調することも嘘の一種です。

Fabricated content…完全に捏造されたものです。コラージュコンテンツとか。

 

感想

バズワードを細分化して考えることって大事だなと改めて思いました。フェイクニュースという言葉は特に政治的に利用されがちです。権力者が好まない報道を弱体化させる手段として重宝されます。なんか都合の悪い情報が出たら『これはフェイクニュースだ!』と言ったもん勝ちみたいなところがあります。だから、フェイクニュースという言葉でひとくくりにせずに、情報の質をキチンと捉ることが大事なんですね。

情報操作は国家間争いでも鍵となる活動なので、国民としてもMDM-Information(特に不正情報)についての感度をあげていくべきタイミングだと思います。

 

最後までお読みいただきありがとうございました。ではまた次回。

 

おわり

 

※ 論文からの引用は発行元の規則に則っています。

ランキング参加中
セキュリティ

【論文考察】サイバーインシデント被害額の「平均値」に意味はあるのか

今回の論文はコチラ。2023年発行の Journal of Cybersecurity からの論文です。

Journal of Cybersecurity, Volume 9, Issue 1, 2023

 

 

どんな人におすすめ?

サイバー被害の発生頻度や被害額を、統計的に説明する必要がある人向けの論文です。サイバーインシデント関連の数字を読み解く際に、事前に頭に入れておきたい情報が書いてあります。

どんな調査でも、市場に出てきている限りは何かしらの意味があります。しかし、その中にはいろんなレベルがあって、マーケティング目的の調査が多いのも事実。なので、読み手が知的に武装することが大切です。この論文は、装備アイテムを探しているそんな私たちにピッタリ。

 

どんな内容?

サイバー被害額の平均値や中央値を単体で見るとよからぬことになるので気を付けましょう、という話です。

統計的に、サイバーリスクはえげつない程のファットテールです。そもそもファットテールって何だよって声が聞こえてきたので、分かりやすかった外部サイトのリンクを貼っておきます。サイバーセキュリティを考える上でファットテールはものすごく重要な概念なので必ず押さえておきましょう。ついでに『ブラックスワン』や『パレード分布』も覚えちゃいましょう。

www.ifinance.ne.jp

この研究では、サイバーインシデントに関する大量のデータを用いて、被害の深刻度や業界別の分布などを統計的に分析しています。主として利用したデータセットAdvisen Cyber Loss Data で、分析したデータセットは、2008年から2020年までの132,126以上のサイバーイベントです。組織数はおよそ5万ほど。肝になる分析に使ったデータセットはこの一部のようですが、統計上の信頼性としては十分です。

 

注目ポイント

注目すべきは、分析対象となったサイバーインシデントの損害平均額は中央値の約160倍(!!!)であるという点です。160倍ってちょっとバグってますよね。仮に全体の損害平均額が1600万円だとしたら、中央値は10万円になっているということです。このような分布傾向の場合は、平均値・中央値・最頻値などのそれっぽい数値を単体で見てもあまり意味がありません。全体を見ないと騙されます

平均値と中央値に大きな乖離があるのはファットテールの特徴です。『弊社の平均年収は1600万ですよ!』と言われて転職したのに、蓋を開けてみれば社員の半数は年収10万円以下でした、みたいな状態です。数字としては嘘ではないけれど、文脈としては嘘だと言えます

今回のサンプルでは、85%のイベントが200万ドル以下の損失で、1,000万ドルを超える損失は5%、1億ドルを超えるサイバー関連損失は1.4%、10億ドル超の損失は0.17%でした。下のグラフの通り、明らかにファットテールです。

対数正規分布(青)、一般化パレート分布(赤)、ログガンマ分布(緑)、ワイブル分布(紫)の場合のサイバーイベントの重大度の確率密度関数のフィット。灰色の線は、それぞれのケースにおける推定中央値、推定90%分位値、推定95%分位値に対応している

ちなみに、損害額の平均値は今回のケースだと1,684万ドル。一ドル=130円換算だと大体22億円です。体感的にも22億円もの損失が出てるケースは中々ないですよね。そして中央値は22億÷160=約1375万円です。日本だと超大規模な被害は極めて少ないので、平均値も中央値ももっと低いと思われます。

 

感想

ファットテールであるということに対しては『だよね〜』って感じです。サイバーリスクはファットテールであるということを示した研究は他にも複数あるみたい(この論文の引用にありました)です。なので、ファットテールは議論の前提としていいと思います。

この論文を読みながら連想されたのは、ナシーム・タレブ著「反脆弱性」とか、庭山一郎著「究極のBtoBマーケティング ABM」とかです。ビジネスではファットテールやパレート分布が事象理解の前提だよってのが共通点かと。あと、ここまで不確実性が高いと客観確率が出せないので、主観確率を扱うベイズ統計がサイバーセキュリティだと重宝されるんだな〜と理解しました。

 

最後までお読みいただきありがとうございました。ではまた次回。

 

おわり

 

※ 論文からの引用は発行元の規則に則っています。

ランキング参加中
セキュリティ

【論文考察】経営層に自社のサイバーリスクをどう分類して説明するか

今回の論文はこちら。2018年10月16日公開の論文ですが、コロナ禍を経て重みが増した気がします。

Ioannis Agrafiotis, Jason R C Nurse, Michael Goldsmith, Sadie Creese, David Upton
Journal of Cybersecurity, Volume 4, Issue 1, 2018

 

もくじ

 

どんな人におすすめ?

「ウチがサイバー攻撃を受けたらこんなヤバい事態があり得ます」って偉い人たちに体系的に説明したい人向けの論文です。

攻撃に起因するビジネス被害の説明は、サイバーセキュリティに関わる人なら誰しもが悩むお題です。どんな被害があり得るのかがわかんなくて悩むというよりかは、人にどう説明するかが難しくて悩む系のヤツ。特に経営層に説明したり勉強会をするときなんかは、プロ同士の会話としても分かりやすさの観点からも、体系的に説明できたほうが良いですよね。

 

どんな内容?

結論としては、以下の5カテゴリーでサイバー攻撃に起因する被害を説明しようという話。

  1. 物理的・電子的被害
  2. 経済的被害
  3. 心理的被害
  4. 風評被害
  5. 社会的被害

この研究のテーマは『サイバーハーム(cyber harm)』です。本文内にも何回も出ていて、研究全体の背骨ですね。サイバー○○という言葉はたくさんありますが、サイバーハームは初めて聞きました。でも、これがけっこう大事な考え方でした。

 

一言で言えば、サイバーハームとは『資産と影響に焦点を当てたリスク分析のアプローチ』です。脅威と攻撃に注目しがちな伝統的なサイバーセキュリティの考え方とは少し違う角度でのものの見方ですが、メリットは以下の2つ。

  1. 経営層が理解しやすい説明になること。ビジネス資産が侵害された場合の影響を特定して、その影響につながる可能性のある脅威を検討するプロセスをとるので、同じプロトコルで話ができます。組織内紛争によくある『ビジネス軍 vs 技術軍』のドンパチを避けることができ、無用な血が流れずに済むかもしれません
  2. 脅威ランドスケープよりも自社資産のほうが変化が緩いこと。最新の脅威を把握することは大切ですが、最近のサイバー攻撃の変化の早さと言ったらゲンナリするほどです。なので、脅威ランドスケープに軸足を置くとグラついてしまいます。リスク低減のためには自社資産から物事を分析するのがええんじゃないかという理屈です。

 

注目ポイント

そんなこんなで、膨大な文献調査とデータベースレビュー、ひいては犯罪学や経済学の過去研究まで考慮して、作成されたサイバーハームの分類法がコチラ。

Taxonomy of organizational cyber-harms(引用元:https://academic.oup.com/cybersecurity/article/4/1/tyy006/5133288

この一枚だけでも尊いサイバー被害を分類する時点で勇者なのに、こんな図にまでしてくれている優しさ。著者のみなさんに感謝します。ありがとうございます。

サイバー慣れしている人にとっては、オレンジ枠の一番左『物理的・電子的被害』のところが違和感があるかもしれません。なんでフィジカルとデジタルを一緒にすんのよ的な。ただ、現代のビジネスプロセスにはどこかしらにデジタル技術が含まれていることやIoTの浸透を考えると、フィジカルとデジタルを分けて考えることはビジネス的にはもう無意味だとも思えます。だから、経営層に説明するには分けなくてもいいのではないでしょうか。

あともう一つ。論文の後半にある『The propagation of cyber-harm(サイバーハームの伝播)』というセクションもアツいです。ここでは、2011年と2014年のソニー、2014年のJP Morgan、2015年のAshley Madisonの被害事例を分析して、先に示したどのサイバーハームがどのタイミングで発生したのかを図化しています。

Propagation of harm after the cyber-attacks on Sony in 2011 (a) and 2014 (b), JPMorgan (c) and Ashley Madison (d).(引用元:https://academic.oup.com/view-large/figure/127123094/tyy006f2.tif

ひとつの物理的・電子的被害が発端となって、その後に複数の経済的、心理的、社会的、風評被害が連鎖的に起こることが分かります。サイバーハームがサイバーハームを産むという構図。怖い。特に心理的被害は過小評価されがちの節があります。

 

感想

経済学・哲学・犯罪学・心理学などの分野を参照しながら、サイバー攻撃による被害を抽象化しているところが素敵な論文でした。前半部分を退屈に感じる人も多いかも知れませんが、参考論文がたくさん引用されているので知的好奇心が刺激されます。Journal of Cybersecurityの歴代論文の中でも『Most cited(最も多く引用された)』のも分かります。是非読んでみてください。

 

最後までお読みいただきありがとうございました。ではまた次回。

 

おわり

 

※ 論文からの引用は発行元の規則に則っています。

ランキング参加中
セキュリティ