今回の論文はこちら。2018年10月16日公開の論文ですが、コロナ禍を経て重みが増した気がします。
Ioannis Agrafiotis, Jason R C Nurse, Michael Goldsmith, Sadie Creese, David Upton
Journal of Cybersecurity, Volume 4, Issue 1, 2018
もくじ
どんな人におすすめ?
「ウチがサイバー攻撃を受けたらこんなヤバい事態があり得ます」って偉い人たちに体系的に説明したい人向けの論文です。
攻撃に起因するビジネス被害の説明は、サイバーセキュリティに関わる人なら誰しもが悩むお題です。どんな被害があり得るのかがわかんなくて悩むというよりかは、人にどう説明するかが難しくて悩む系のヤツ。特に経営層に説明したり勉強会をするときなんかは、プロ同士の会話としても分かりやすさの観点からも、体系的に説明できたほうが良いですよね。
どんな内容?
結論としては、以下の5カテゴリーでサイバー攻撃に起因する被害を説明しようという話。
この研究のテーマは『サイバーハーム(cyber harm)』です。本文内にも何回も出ていて、研究全体の背骨ですね。サイバー○○という言葉はたくさんありますが、サイバーハームは初めて聞きました。でも、これがけっこう大事な考え方でした。
一言で言えば、サイバーハームとは『資産と影響に焦点を当てたリスク分析のアプローチ』です。脅威と攻撃に注目しがちな伝統的なサイバーセキュリティの考え方とは少し違う角度でのものの見方ですが、メリットは以下の2つ。
- 経営層が理解しやすい説明になること。ビジネス資産が侵害された場合の影響を特定して、その影響につながる可能性のある脅威を検討するプロセスをとるので、同じプロトコルで話ができます。組織内紛争によくある『ビジネス軍 vs 技術軍』のドンパチを避けることができ、無用な血が流れずに済むかもしれません
- 脅威ランドスケープよりも自社資産のほうが変化が緩いこと。最新の脅威を把握することは大切ですが、最近のサイバー攻撃の変化の早さと言ったらゲンナリするほどです。なので、脅威ランドスケープに軸足を置くとグラついてしまいます。リスク低減のためには自社資産から物事を分析するのがええんじゃないかという理屈です。
注目ポイント
そんなこんなで、膨大な文献調査とデータベースレビュー、ひいては犯罪学や経済学の過去研究まで考慮して、作成されたサイバーハームの分類法がコチラ。
この一枚だけでも尊い。サイバー被害を分類する時点で勇者なのに、こんな図にまでしてくれている優しさ。著者のみなさんに感謝します。ありがとうございます。
サイバー慣れしている人にとっては、オレンジ枠の一番左『物理的・電子的被害』のところが違和感があるかもしれません。なんでフィジカルとデジタルを一緒にすんのよ的な。ただ、現代のビジネスプロセスにはどこかしらにデジタル技術が含まれていることやIoTの浸透を考えると、フィジカルとデジタルを分けて考えることはビジネス的にはもう無意味だとも思えます。だから、経営層に説明するには分けなくてもいいのではないでしょうか。
あともう一つ。論文の後半にある『The propagation of cyber-harm(サイバーハームの伝播)』というセクションもアツいです。ここでは、2011年と2014年のソニー、2014年のJP Morgan、2015年のAshley Madisonの被害事例を分析して、先に示したどのサイバーハームがどのタイミングで発生したのかを図化しています。
ひとつの物理的・電子的被害が発端となって、その後に複数の経済的、心理的、社会的、風評被害が連鎖的に起こることが分かります。サイバーハームがサイバーハームを産むという構図。怖い。特に心理的被害は過小評価されがちの節があります。
感想
経済学・哲学・犯罪学・心理学などの分野を参照しながら、サイバー攻撃による被害を抽象化しているところが素敵な論文でした。前半部分を退屈に感じる人も多いかも知れませんが、参考論文がたくさん引用されているので知的好奇心が刺激されます。Journal of Cybersecurityの歴代論文の中でも『Most cited(最も多く引用された)』のも分かります。是非読んでみてください。
最後までお読みいただきありがとうございました。ではまた次回。
おわり
※ 論文からの引用は発行元の規則に則っています。