サイバー犯罪集団の組織全容が日経新聞にも掲載されるようになってきて、サイバーセキュリティ対策は益々重要なテーマとしてなってきました。

犯罪者は体系的に構築された教育プログラムに則って常に最新の攻撃手法を学んでいるためあの手この手で攻撃を仕掛けてきますね。

私も含めて常に最新の攻撃手法に対する策を熟知している人は世界に存在しないと思われます。

自分にとって最適なコンテンツと方法を常に探して自分自身で学び続けるしか方法はありません。

対策する側にとっては終わりのない戦いに挑み続けることになりますね。

終わりのない戦いってかなり疲れますよね。

野球もキックボクシングも9回までとか3ラウンドまでとか終わりが見えているから事前の策を立てることができますね。

サイバーセキュリティ対策も同じで終わりが必要かと。

ウソでも良いので何らかのゴールを立てるしかありませんね。

ただしウソの度合いによっては全く無意味な策になってしまいお金と時間を浪費するだけになりかねません。

ウソを可能な限り本当に近づけるために考える必要がありますね。

先ずサイバー犯罪者の目的って何なんでしょうか?

重要な企業資産を不正に搾取してそれを高値で販売することは共通の目的だと考えられます。

搾取された場合の被害総額を試算すれば守るべき資産が特定できますね。

被害総額がそれほどでもない資産には高度で高価な防御策を施す必要はありません。

被害総額の試算方法も公式を利用すれば精度も上がるかもしれません。

単一のインシデントで想定される被害総額(Single Loss Expectancy)
年間のインシデント発生率(Annual Rate of Occurrence)

この2つの値を掛け算すると想定される年間の被害総額が割り出されます。

この値が高い資産を重要と捉えてその防御策にお金と労力をかけます。

これはサイバーセキュリティの世界だけの考え方ではありませんよね。

Enterprise Risk ManagementやInformation Life Cycle Managementの世界でもまったく同じ考え方がまかり通っています。

サイバーセキュリティと聞くと一部の専門家だけが理解している特殊な世界のように感じますが実態はそうでもないかと。

別の世界にもある考え方を応用することでハードルは下がりますねよ。