本連載は、週刊 金融財政事情(2024年4月~5月)に連載された記事の転載となります。以下の文章は原則連載時のままとし、場合によって若干の補足を加えて掲載しています。

優先的に対処すべきサイバーリスクの見極めが重要

サイバー攻撃の悪質化・巧妙化が進んでいます。近年、ランサムウェアやサプライチェーン攻撃、標的型攻撃による機密情報の窃取等といった深刻な犯罪行為が横行し、その手段も逐日洗練され執拗さも増しています。企業側においても、リモート環境の増加やクラウドの一般化等により、サイバー攻撃の起点や経路となり得るアタックサーフェス(攻撃対象領域)は拡大しています。おそらく、多くの企業は、サイバー攻撃をシステム障害ほどには身近に感じていないと思われます。しかし実際は、いつ、どの企業において発生してもおかしくない状況と言えるでしょう。

このような状況下で、世のなかから求められる対策も次々に増え、変化しています。サイバーリスクへの懸念が高まるにつれ、企業内の各所からサイバー対策の改善・拡充ニーズが発現してきます。しかし経営資源は有限であり、予算や人材面の制約から、すべてに対応することは困難でしょう。業務・組織・システムがそれぞれ異なる脆弱性を有するなか、優先的に対処すべきリスクを正しく見極めるには、定性的情報を基にした随時の判断では限界があり、連続性のある組織共通的な尺度を用いる重要性が高まっています。こうした背景から、近年「サイバーリスクの定量化」が注目されています。

サイバーリスクを財務的損失に換算

サイバーリスクの定量化とは、サイバー攻撃が組織にもたらす影響を財務的損失に換算する枠組みを指すものです。想定されるサイバー攻撃シナリオに対して、被害発生に至る可能性とビジネス上の影響を考慮し、潜在的な損失額の大きさを算出します(下図参照)。

【サイバーリスクの定量化における一般的なアプローチ】

金融機関におけるサイバーリスクの定量化とは?_図表1

出典:KPMG作成

サイバーリスクを定量化するメリットとして、経営層での意思決定の迅速化・高度化が挙げられます。たとえば、リスク評価の結果から追加対策の実施について経営層の承認を得る場合、一般に、従来の定性的判断理由を基にした説明では、サイバーセキュリティに詳しくない経営層の理解を得るのに相応の時間を要することとなります。

しかし、サイバーリスクを定量化することで、追加対策がどの程度損失低減に寄与するかを金額ベースで伝えることができるため、経営層は他の投資案件等との比較検討が容易になります。その結果、どこまで実施すべきかの判断を下しやすくなるのです。

オペレーショナル・レジリエンスについて解説した本連載第2回でも述べたとおり、リスクベースで合理的なサイバーセキュリティを実現するうえでは「サイバー攻撃から優先して守るべき業務や資産の特定」が重要となってきます。定量化によって把握したリスクエクスポージャーを活用することで優先付けを高度化し、経営資源の適正配置につながることが期待できます。そのほか、統制強化に係る投資額の妥当性、サイバー保険の最適化等、定量化結果が役立つシチュエーションは多々あります。

信頼性の確保されたアプローチの実現

サイバーリスクの定量化における一般的なアプローチは図表のとおりですが、妥当かつ信頼性の確保された定量化を実現する上で、重要なポイントが2つあります。

1つ目は、サイバーリスクの特性を考慮した定量化モデルの採用です。災害等によるシステムリスクとは異なり、サイバーリスクは攻撃から被害発生に至るまでに多数のステップを複雑に経由します。たとえばフィッシングなら、標的型メールからマルウェア等に感染→外部からコントロール可能な状態が確立→内部ネットワーク内で認証情報の窃取・権限昇格→機密情報の外部転送(情報漏えい)→侵入形跡の消去→システムデータの暗号化といった具合です。被害の発生可能性を導くには、このサイバー攻撃から被害発生に至るメカニズムを反映した定量化モデルを使うことが重要となります。

2つ目は、組織に向けられるサイバー脅威の実態を示すデータの活用です。外部で公開されている一般情報だけではなく、社内で実際にサイバー脅威に対峙する際のログや結果を活用することによって、定量化の精度を高めることができます。たとえば、侵入検知システム(IDS)や、ファイアウォールのセキュリティログ、セキュリティパッチの適用状況、侵入テストの結果等が挙げられます。また、自社だけで充足できない情報については、外部機関が公開する調査データ・統計データ等で補完してもよいでしょう。

ただ、開始当初からさまざまなデータを用いた高度な分析を目指すのは現実的とは言えません。まずは使用可能な範囲のデータ活用から小さく始めて、継続的にデータ活用の高度化を図っていくことが望ましいでしょう。

妥当かつ信頼性の確保されたアプローチによって導かれた損失額は、ステークホルダーに対して一段と強固な説明力を提供してくれるはずです。他方で、定量化モデルやデータ活用は継続的に改善・高度化を図るとともに、中長期的に取り組む覚悟も必要となります。サイバーリスクの定量化の取組みが広く浸透することにより、さまざまな企業における経営層でのサイバーセキュリティ議論の活性化、そして意思決定の高度化が図られることが期待されます。

週刊 金融財政事情 2024年4月23日掲載(一部加筆・修正しています)。この記事の掲載については、一般社団法人金融財政事情研究会の許諾を得ています。無断での複写・転載は禁じます。

執筆者

KPMGコンサルティング 
アソシエイトパートナー 田畑 直樹
シニアマネジャー 山口 万梨子

金融分野のサイバーセキュリティ最前線

お問合せ