今回の論文はコチラ。2023年発行の Journal of Cybersecurity からの論文です。
Journal of Cybersecurity, Volume 9, Issue 1, 2023
どんな人におすすめ?
サイバー被害の発生頻度や被害額を、統計的に説明する必要がある人向けの論文です。サイバーインシデント関連の数字を読み解く際に、事前に頭に入れておきたい情報が書いてあります。
どんな調査でも、市場に出てきている限りは何かしらの意味があります。しかし、その中にはいろんなレベルがあって、マーケティング目的の調査が多いのも事実。なので、読み手が知的に武装することが大切です。この論文は、装備アイテムを探しているそんな私たちにピッタリ。
どんな内容?
サイバー被害額の平均値や中央値を単体で見るとよからぬことになるので気を付けましょう、という話です。
統計的に、サイバーリスクはえげつない程のファットテールです。そもそもファットテールって何だよって声が聞こえてきたので、分かりやすかった外部サイトのリンクを貼っておきます。サイバーセキュリティを考える上でファットテールはものすごく重要な概念なので必ず押さえておきましょう。ついでに『ブラックスワン』や『パレード分布』も覚えちゃいましょう。
この研究では、サイバーインシデントに関する大量のデータを用いて、被害の深刻度や業界別の分布などを統計的に分析しています。主として利用したデータセットはAdvisen Cyber Loss Data で、分析したデータセットは、2008年から2020年までの132,126以上のサイバーイベントです。組織数はおよそ5万ほど。肝になる分析に使ったデータセットはこの一部のようですが、統計上の信頼性としては十分です。
注目ポイント
注目すべきは、分析対象となったサイバーインシデントの損害平均額は中央値の約160倍(!!!)であるという点です。160倍ってちょっとバグってますよね。仮に全体の損害平均額が1600万円だとしたら、中央値は10万円になっているということです。このような分布傾向の場合は、平均値・中央値・最頻値などのそれっぽい数値を単体で見てもあまり意味がありません。全体を見ないと騙されます。
平均値と中央値に大きな乖離があるのはファットテールの特徴です。『弊社の平均年収は1600万ですよ!』と言われて転職したのに、蓋を開けてみれば社員の半数は年収10万円以下でした、みたいな状態です。数字としては嘘ではないけれど、文脈としては嘘だと言えます。
今回のサンプルでは、85%のイベントが200万ドル以下の損失で、1,000万ドルを超える損失は5%、1億ドルを超えるサイバー関連損失は1.4%、10億ドル超の損失は0.17%でした。下のグラフの通り、明らかにファットテールです。
ちなみに、損害額の平均値は今回のケースだと1,684万ドル。一ドル=130円換算だと大体22億円です。体感的にも22億円もの損失が出てるケースは中々ないですよね。そして中央値は22億÷160=約1375万円です。日本だと超大規模な被害は極めて少ないので、平均値も中央値ももっと低いと思われます。
感想
ファットテールであるということに対しては『だよね〜』って感じです。サイバーリスクはファットテールであるということを示した研究は他にも複数あるみたい(この論文の引用にありました)です。なので、ファットテールは議論の前提としていいと思います。
この論文を読みながら連想されたのは、ナシーム・タレブ著「反脆弱性」とか、庭山一郎著「究極のBtoBマーケティング ABM」とかです。ビジネスではファットテールやパレート分布が事象理解の前提だよってのが共通点かと。あと、ここまで不確実性が高いと客観確率が出せないので、主観確率を扱うベイズ統計がサイバーセキュリティだと重宝されるんだな〜と理解しました。
最後までお読みいただきありがとうございました。ではまた次回。
おわり
※ 論文からの引用は発行元の規則に則っています。
