出典: Olekcii Mach(Alamy Stock Photoより)
急速に進化するテクノロジー、ますます巧妙化する攻撃者、そしてサプライチェーンの脅威の増加により、システミックなサイバーリスクの評価は困難になっています。加えて、毎年増加し続ける脆弱性と、より迅速なエクスプロイト(悪用)も問題です。
システミックなサイバーリスクを測定するために開発されたリスクモデルは、組織が破壊的な攻撃の発生可能性を判断し、セキュリティの穴を明らかにするのに役立ちます。保険会社は、システミックなサイバーリスクを評価するためにモデリングを利用し、それが引受、補償範囲、保険料の決定に影響を与えます。
政策立案者は、過去の攻撃や多要素認証の未導入といったセキュリティの弱点、インターネットに公開されたリモートデスクトッププロトコル(RDP)などの高リスク技術の使用に基づいて、潜在的な混乱や経済的損失を予測できます。
今年のラスベガスで開催されるBlack Hat USAカンファレンスで、CoalitionのERMアナリティクス責任者であるMorgan Hervé-Mignucci氏は、システミックなサイバーリスクの定義を拡大する必要性について明らかにします。サイバー攻撃、データ漏洩、情報漏洩はより危険かつ頻発しており、従来のシステミックサイバーリスク評価・管理アプローチでは不十分になっていると同氏は述べています。
モデル改善の呼びかけ
現在、サイバー災害モデリングは、組織がストレステストを実施していることを確認することに焦点を当てた保険用語に基づいています。これにより、広範囲な攻撃からどれだけ回復できるかが示されます。しかし、システミックなサイバーリスク評価には、経済への影響や、被保険者・非被保険者を問わず組織同士がどれほど相互接続されているかといった他の要素も考慮する必要があると、Hervé-Mignucci氏は述べています。
「もどかしいことに、私たちは過去ばかり見てきましたが、6か月後に何かが起きて、後追いになってしまうのです」と同氏は語ります。「だからこそ、より積極的なアプローチが必要です。」
システミックなサイバーリスクモデルが大規模かつ広範囲な被害を考慮することは重要ですが、予測される連鎖的な影響が誇張されたり過小評価されたりすることもあります。例えば、NotPetyaやCrowdStrikeの障害後の損失をモデルは正確に予測できませんでした、とHervé-Mignucci氏は明かします。
さらに、サプライチェーンは大幅に拡大しており、多くのベンダーが十分なセキュリティプロトコルを持っていないため、システミックなサイバーリスクモデルにとって死角となっています。また、多くのモデルは、従業員が自宅でISPネットワークを使ってノートパソコンで作業する状況も捉えていません。
新しいアプローチとは?
国家レベルの脅威グループによる大規模なリスクだけに焦点を当てるのではなく、日常的に発生する一見小さな脅威にも対応する必要があり、それらがより大きな混乱や経済的損失を引き起こす可能性があるとHervé-Mignucci氏は説明します。グローバルなサービス停止は通常非常に短期間ですが、地域的なものははるかに長く続くこともあります。また、政策立案者やリスクマネージャーが、影響が非常に局所的であることを忘れてしまい、事象が過大評価されることもあります。
多くのモデルはMicrosoftのような大きな市場シェアを持つベンダーに基づいて予測を立てていますが、新しいアプローチが必要だとHervé-Mignucci氏は強調します。そのアプローチには、どのベンダーが侵害された場合に最も大きな連鎖的影響を引き起こすかを特定することが含まれます。
「一方で、私たちはネットワークの中心性が高く、業界全体を麻痺させる可能性のある見落とされがちなベンダーを特定しています」とHervé-Mignucci氏は述べます。「興味深いことに、そのうちいくつかはすでに独占禁止当局の監視下にありました。昨年大きな混乱を引き起こしたChange HealthcareやCDK Globalのように。」
「あなたのベンダーのベンダーも確認せよ」
サイバー災害モデルは約10年前に登場しました。しかし、現在のモデルは自然災害モデルのように設計されており、それがサイバー分野での誤りにつながっているとHervé-Mignucci氏は述べます。
「[Coalitionのアプローチでは]その業界のすべての企業をスキャンし、グラフを作成します」と同氏は言います。「そこには企業、ドメイン、資産、テクノロジーが含まれます。それによって、その業界に対してはるかにデータ主導のアプローチが可能になります。」
政策立案者は、金融、ヘルスケア、重要インフラ機関が異なる地域にあっても、すべてテクノロジーによって相互に結びついていることを忘れてはなりません。さらに、セキュリティ上の懸念をもたらすオープンソースソフトウェアの基盤部分も存在します。「これらの要素について、もう少し数値的な裏付けを持たせたい」と同氏は述べています。
ベンダーリスク管理は、システミックなサイバーリスクを改善するための重要な要素であり続けます。組織は自社のベンダーだけでなく、そのベンダーのベンダーも確認すべきだとHervé-Mignucci氏は促します。「セキュリティ投資を怠らないでください。それが壊滅的な事態を引き起こす可能性もあるのです。問題が起こる前に予測しておく方が良いでしょう」と同氏はアドバイスしています。