サイバーリスクは財務リスクに直結するにもかかわらず、サイバーセキュリティはもっぱら技術的問題として捉えられ、ビジネス上の問題という認識はあまりされていません。
サイバーセキュリティのリスクの増大に伴い、それに対処するためのコストも増加するので、サイバーリスク・アセスメントやサイバーセキュリティ脅威に対する予算策定は重要な課題になります。
データ侵害で発生するコスト
大規模なデータ侵害の総コストを計算することは、極めて困難です。サイバー攻撃による影響は実に広範に及び、しかも長期間蓄積し続ける可能性があります。
データ侵害が発生すると、企業の評判は大きく損なわれ、顧客の信頼や支持が失われ、売上高にも強い悪影響が及びます。訴訟や罰金による制裁につながる可能性もあります。EUの一般データ保護規則(GDPR)に違反すると、最高で2,000万ユーロか年間の世界売上げの4%のどちらか大きい方の額の罰金が科される可能性があります。データ侵害からのリカバリーにも、社員の作業時間、外部ベンダーへの支払い、新しいインフラストラクチャの整備、顧客への通知などが伴い、莫大な費用がかかる可能性があります。
サイバー攻撃された場合、米国においては、ほとんどの州が、影響を受けた顧客への通知はもちろん、州への報告を義務付けています。必要な情報は州ごとに異なり、コストを計算できるような統計をとることは困難です。データ侵害の被害を受けた企業は被害の詳細を明らかにしたがりませんが、データ侵害に関連する費用は長期にわたって蓄積されて膨大化する可能性があります。特に、長期の訴訟に発展すれば何年にも及ぶ損害が出るでしょう。
データ侵害のリスク
リスクは多くの場合、過去のデータと過去の事象に基づいて計算されますが、サイバーセキュリティの未来は過去とは類似しておらず、過去を参考にしても正確なことはわかりません。攻撃は常に進化し続けています。以前は安全だと思われていた業種もターゲットになっており、次々にデジタル化されていくあらゆる機能に関して、アップグレードのプロセスでセキュリティ装備への綻びを導入する可能性があります。セキュリティリスクが増大すればそれだけ、サイバー犯罪によって発生するコストも増加します。
第三者のインフラストラクチャを使用することでもたらされる脅威があることについても認識しておく必要があります。コントロールが困難なので、監視できないままリスクが伝播する可能性があります。これらのリスクは思いもかけないところに潜んでいる可能性があります。たとえば、2013年の Target のデータ侵害は、冷暖房空調設備と冷蔵のベンダー経由で発生しました。
ネットワークに接続されるデバイスが飛躍的に増え続けるので、正確に把握できないまま、しっかり診断できずに放置されているところを攻撃される可能性が広がります。
参考ブログ: How Can Companies Solve The Cybersecurity Skills Shortage?
リスク管理にかけるべき費用
情報セキュリティへの予算がIT予算全体の大きな部分を占めるようになっていることは間違いありません。それでも、脆弱性を最小限に抑えるために多額の費用を注ぎ込むべきだという主張はすんなりとは受け入れられないでしょう。測り知れないリスクに備えて万全を期そうとすれば会社の採算ラインを割り込んでしまうかもしれません。
企業は、市場での差別化のために、ユーザーのデータを保護し、サイバー攻撃を防ぐことに投資するという戦略をとることも可能です。顧客の間にリスク意識が熟成されてきているので、顧客セキュリティがしっかりしているという評判は、競争力を高める可能性があります。
サイバーリスクに対する大きな補強策として、サイバー保険があります。
サイバー保険に関する考察
サイバーセキュリティ保険は、急速に成長している新市場であり、多くの企業がこの分野に参入しています。既存の過失・怠慢(E&O)保険が進化した形で生まれ、セキュリティ侵害からの復旧費用を軽減し、リスクの一部を負担します。
リスクが集約されると、サイバー保険会社は深刻な問題に直面することになるでしょう。同じサイバー犯罪者が多数の被保険会社を同時にターゲットにした場合、すべての被保険会社に補償しなければなりません。リスク拡散のための保険が、保険会社への集中的なリスクになるかもしれません。
E&O、過失と怠慢、という名前が示唆するように、この保険はランダムなリスクを対象にしていますが、サイバーセキュリティ保険は、アクティブなハッカーの動きに対処する必要があります。同様のリスク構造を持つ唯一の他の保険としてテロリズム保険がありますが、それには政府プログラムの後ろ盾があります。現在の予測モデルでは、サイバー攻撃を特徴付けるサイバー脅威、レスポンス、意図的に改変された脅威の複雑さにはまだ対応できません。
主要なサイバー保険会社が破綻してリスクモデルの欠陥が明らかになるかもしれませんが、サイバー保険市場は活性化することが見込まれます。
報告の重要性
データ侵害、その詳細、そしてそのコストを報告するための、集中化され標準化された方法が本当に必要です。保険会社間でのデータをプールするという合意に基づいて何らかのシステム化が行われるか、サードパーティーの標準化団体が結成されて動きにつながるか、行政機関が義務づけるか、またはその組み合わせによって、実現化することが待たれます。
正確で綿密な報告によってデータが蓄積されていかなければ、サイバーセキュリティのリスクとコストを推測することは極めて困難です。