麻痺する社会インフラ
パンデミックの最中にハッカーは医療システムを攻撃し、英国をはじめとする多くの病院が機能不全に陥りました。
全てのものがインターネットに繋がるIOTの時代、医療、運輸、金融など全てのインフラが攻撃対象となっており、我々の生活は麻痺しかねません。
しかも、ハッカーに対して身代金を払った企業は泣き寝入りするケースが多く、その被害は表に出てきません。
従って公表されているサイバー攻撃は氷山の一角であると推測されます。
現在のサイバー対策にどの様な問題があり、それをどう解決すべきかについて米誌Foreign Affairsが「How to Cyberproof the Private Sector」(民間企業をサイバー攻撃から守る方法)と題した論文を掲載しました。
著者のRaj M Shah氏はResilience Insurance社の創始者で、サイバーセキュリティーの専門家ですが、米国防総省の元顧問という経歴をお持ちです。
Foreign Affairs論文要約
世界中でサイバー攻撃が発生する中、民間企業はサイバーセキュリティへの支出を劇的に増加させました。
最近の調査によると、従業員数が1,000人を超える企業は、2021年4月までの1年間に平均1300万ドル以上(約15億円)をサイバー防衛に費やし、わずか2年前から3倍以上に増加させました。
その支出はもっともです。
昨年の夏、米国の石油パイプラインへのサイバー攻撃により、OPECの石油禁輸を連想させる様なダメージが発生しました。
しかしこの支出の増加は脅威を回避するという点で、あまり役に立っていません。
サイバー攻撃の大部分は、フィッシングや既知の脆弱性のパッチの適用が遅いなどの基本的なエラーが原因であり、攻撃者は低コストのやり方で高価なサイバー防御システムに侵入しています。
企業は、進化するサイバー脅威への対応が遅すぎ、脆弱なソフトウェア製品を調達しており、セキュリティ支出を正しく割り当てていません。
しかし、より大きな欠陥は、標的となる民間企業が現在のサイバー脅威に関するタイムリーで包括的な情報を入手できないことです。
何故なら特定の攻撃に関するインテリジェンス、および特定の防御の有効性は、サイバーセキュリティ会社によって秘匿される傾向があるからです。
これらの問題に対処するために、米国政府は、サイバー脅威に関するインテリジェンスデータの共有を促進する必要があります。
しかし、それだけでは不十分です。
包括的なサイバー防御戦略には、企業自身が脅威に迅速に対応し、最善の防御を実施する事が必要になります。
イスラエルの企業Cybersixgillは、企業の情報セキュリティ責任者の90%が古いインテリジェンスデータに基づいてサイバーセキュリティの意思決定を行っていると推定しています。
また、情報共有がほとんどないため、サイバー攻撃者は同じ脆弱性を何度も突いて、世界中の何千もの企業に損害を与えることが可能です。
一方、企業は、評判を損なうことや訴訟にさらされることを恐れて、サイバー攻撃が発生してもそれを開示することを躊躇する傾向があります。
その躊躇により、ハッカーは他の会社に対して同じ方法を再利用できます。
また、サイバーセキュリティー会社も、同様に、特定のセキュリティ防御の有効性に関する情報を共有することを望んでいません。
その結果、多くの企業は、データではなく、マーケティングや口コミに基づいてサイバーセキュリティ投資の決定を下しています。
この問題は克服できないものではありません。
20年前、航空業界は、航空会社に墜落やニアミスに関する情報を共有させる際に同様の困難に直面しました。
しかし、2007年に、連邦航空局(FAA)は共有(ASIAS)プログラムと呼ばれる自主的な情報共有機関を設立しました。
現在、米国が運営する航空会社の99%から安全性データを受け取っています。
この成功にはいくつかの理由があります。
ASIASと共有されるすべてのデータは、完全な匿名性が保たれます。
同時に、航空会社は、ASIASと積極的にデータを共有する場合にのみ、FAAの監査を免除されます。
これはフリーライダー(データを共有しない会社)を排除する意味で重要な条件です。
この手法により、安全性が高まりました。
今世紀の最初の7年間に16件の死亡事故が発生したのに対し、その後の10年は2件のみです。
サイバーセキュリティー庁(CISA)は、連邦航空局(FAA)のこの成功モデルを真似しようとしました。
しかし、情報提供者の数が極めて少ないため、期待された機能を発揮できませんでした。
CISAは、自社の脅威データを積極的に共有している企業のみがデータを利用できるようにする必要があります。
そうすれば、多くの企業が同業他社の1つが攻撃されたときに特定の防御を迅速に強化できるようになります。
これにより、サイバー攻撃を開始する難しさとコストが大幅に増加します。
サイバー脅威への企業の対応を強化するために、一部の専門家は政府による監視の強化を求めています。
しかし、政府の規制は絶えず変化する脅威に対してあまり効果的ではありません。
新しい攻撃法は、一部の規制を一夜にして時代遅れにする可能性があります。
一方、政府はサイバー保険業界と提携することができます。
サイバー保険業界は、サイバー侵害に対する請求の規模と頻度を減らすために、企業に費用対効果の高いセキュリティ対策を実施させることに強い関心を持っています。
すでに、多くのサイバー保険会社は、絶えず変化するリスクに対応する変動価格モデルを採用しています。
たとえば、ランサムウェア攻撃がより頻繁かつ破壊的になるにつれて、サイバー保険料は昨年の間に96%上昇しました。
この様な保険料の急上昇は、脆弱性を改善し、サイバーセキュリティ予算を効率的に割り当てるよう企業に圧力をかけます。
変化する脅威に機敏に対応する人は、保険料が下がるのを目にするでしょう。
火災保険会社が建築基準法の改善と消防署の数の増加を促進するのと同様に、サイバー保険会社は企業に最も効果的で最新のセキュリティ基準と慣行を採用させることができます。
政府機関や企業に最低レベルのサイバー保険を義務付けることにより、政府は効果的なサイバーセキュリティを急速に広めることができます。
現在、重大な障壁が、サイバー保険の広範な使用を妨げています。
マカフィーは世界経済がサイバー攻撃から受ける損失は年間1兆ドル(約115兆円)を超えると集計していますが、サイバー保険市場全体で年間保険料は55億ドル(約6千億円)しかありません。
ランサムウェアやサプライチェーン攻撃の急増に伴い、多くの保険会社が市場から撤退しています。
最近の調査によると、77%の企業が、できるだけ広範囲なサイバー保険に加入したいと考えている様ですが、多くの保険会社は、保険範囲の拡大に消極的です。
更に、民間保険会社は最も深刻なサイバー攻撃、特に国家によって行われる可能性のある大規模なデジタルネットワークを狙った攻撃に対して保険を提供できません。
たとえば、米国経済の大部分が依存しているクラウドインフラへの直接攻撃は、1兆ドル近くの費用がかかる可能性があります。
保険業界は、そのような損失を吸収するための集合的なリソースを欠いています。
この問題の1つの解決策は、政府を最後の砦の保険会社にすることです。
パンデミックが発生した時、政府の救済により多くの企業が破産しませんでした。
同様に、真に壊滅的なサイバー攻撃が発生した場合、民間企業は政府の支援を受ける必要があるかもしれません。
ただし、前提条件が必要です。
政府の救済を受けられることを企業が知っている場合、サイバーセキュリティに投資するインセンティブが低下します。
代わりに、政府は、厳格なサイバーセキュリティ基準を満たし、最低限の民間保険を付保した企業にのみバックストップを提供する必要があります。
如何に増大するサイバー攻撃の脅威に備えるか
マカフィーの試算では、世界のサイバー攻撃損害額は年間1兆ドル(115兆円)に達する様ですが、これは驚くべき数字ですね。
日本の国家予算を上回ります。
地球温暖化のリスクも金融業界や保険業界が吸収できるリスクの上限を超える可能性があると言われますが、サイバー攻撃も同様のリスクをはらんでいると思います。
しかしこの論文の提唱する情報の共有は、この業界ではなかなか難しい様に思います。
ワクチンの製造ノウハウを無償でシェアすべきとの話も結局実現しませんでしたが、サイバー対策を専門とする会社にしてみれば、彼らのノウハウは飯の種です。
航空会社の事故データ共有とは若干性質が異なる様に思います。
ここのところをどう解決するかが今後の最大の難問だと思います。
上記論文では民間企業の防御に焦点を当てていますが、我々個人の資産もハッカーに狙われています。
デジタル化は世の流れですが、サイバー攻撃のリスクは高まります。
十分気をつけましょう。
最後まで読んで頂き、有り難うございました。