サイバーセキュリティ対策の投資額の計算について

サイバーセキュリティ対策は、想定される被害額に見合った適切な投資が不可欠です。つまり、投資額が想定被害額を上回る場合、リスクの受容を含めた検討が必要です。例えば、KADOKAWAでは1回あたり約20億円の被害が想定されています。これに基づき、年間の発生確率を計算し、予算を確保します。今後は、さらに強固なセキュリティ体制の確立が期待されます。

KADOKAWA、特損20億円を計上　「ニコニコの補償費用や復旧費用で」　サイバー攻撃の業績影響を発表https://t.co/ytxIwAMmuO
— ITmedia NEWS (@itmedia_news) August 14, 2024

なお、サイバーセキュリティのリスクマネジメントにおいては、間接的なリスクの考慮も非常に重要です。この点については、KADOKAWAのIR資料にもその影響が明確に反映されているのではないかと思います。例えば、サイバー攻撃による直接的な損失だけでなく、出版・IP創出セグメントやWebサービスセグメントへの影響が業績に反映されており、間接的なリスクも含めた評価が行われていることが読み取れます。

2025年3月期通期連結業績見通しおよび第1四半期決算に関するお知らせ

Table of Contents

セキュリティ予算額を算出するための基本的な計算式

KADOKAWAのセキュリティ予算額を算出するための基本的な計算式を以下のように定義できます。

想定被害額 (E)

これは、セキュリティインシデントが発生した際に予想される被害額を指します。KADOKAWAの場合、1回あたりの想定被害額は約20億円と仮定します。

年間発生確率 (P)

これは、セキュリティインシデントが1年間に発生する確率です。この確率は過去のデータや業界の平均から推定されます。ここでは仮にPを「0.15 (15%)」とします。

セキュリティ予算額 (B)

セキュリティ対策に充てる予算額は、以下のように計算されます。

$$B=E×P$$

具体例

仮にKADOKAWAの1回あたりの想定被害額が20億円で、年間発生確率が15%（0.15）であるとすると、セキュリティ予算額は次のようになります。

$$B=20億円×0.15=3億円$$

この3億円が、KADOKAWAがセキュリティ対策に割り当てるべき年間予算の目安となります。

備考

これはシンプルなモデルであり、実際には追加の要因（インフレ、規制要件、保険など）を考慮する必要があります。
また、複数のセキュリティインシデントを考慮する場合は、個別のリスクを総合して予算を算出することが求められます。

この計算式を参考に、具体的な数字を基に予算策定を行うことができます。

年間の発生確率を求める方法について

年間の発生確率を求める方法には、過去のデータや業界の平均などを活用する一般的な方法と、リスク評価の専門的な手法があります。以下にいくつかの代表的な方法を紹介します。

1. 過去のインシデントデータの分析

過去の発生頻度から推定: 組織が過去数年間に経験したセキュリティインシデントの回数を集計し、年間発生頻度を求めます。
　
例: 過去5年間で10回のインシデントが発生していれば、年間平均は2回となります
発生確率は、年間平均のインシデント回数をベースに求めます。
式:

$$P = \frac{\text{過去に発生したインシデントの回数}}{\text{観測期間の年数}}$$

例えば、10回のインシデントが5年間で発生している場合
$$P = \frac{10}{5} = 2 \text{（年間発生回数）}$$
確率として表す: 年間の発生確率を確率として表す場合、年間平均回数に応じた発生確率を設定します。例えば、年間2回の発生が平均であれば、発生確率は200%と表せますが、セキュリティ予算を算出する際には、「1回以上発生する確率」として計算する場合もあります。この場合、統計モデルやポアソン分布などを利用します。

2. 業界平均やベンチマークの活用

業界データ: 同業他社や同規模の企業の平均的なセキュリティインシデントの発生率を参考にします。セキュリティコンサルティング会社や業界団体が提供するレポートを活用することが多いです。

例: 特定業界での年間インシデント発生率が3%であれば、それを自社の年間発生確率として採用します。

3. リスク評価モデル

定量的リスク評価: 定量的なリスク評価手法（FAIRモデルなど）を使用して、年間発生確率を計算することもできます。これには、脅威アクターの能力、組織の脆弱性、既存のセキュリティ対策の有効性などを考慮します。この方法では、さまざまな要因を考慮して、より精密な確率を導き出します。

4. シナリオ分析

シナリオベースのアプローチ: 異なる脅威シナリオを想定し、それぞれのシナリオが発生する確率を評価します。これは主に専門家の意見や、過去のデータを元に推定されます。
確率の統合: 複数のシナリオに基づく確率を統合して、全体の年間発生確率を求めることができます。

5. ポアソン分布を用いる方法

ポアソン分布は、ある時間内にある回数のイベントが発生する確率を計算するためのモデルです。インシデントが一定の割合で発生し、互いに独立している場合に使用できます。

式:
$$P(X=k) = \frac{\lambda^k \cdot e^{-\lambda}}{k!}$$
　ここで、λは平均発生回数（例: 年間インシデント発生回数）、kはインシデント発生回数、eは自然対数の底（約2.718）です。

これらの方法を組み合わせることで、KADOKAWAなどの企業が自社のセキュリティインシデントの年間発生確率をより精度高く見積もることができます。最適な方法は、企業のデータの可用性や具体的な状況に応じて選択します。

Q＆Aについて

無謬性の神話にとらわれるのではなく、答えのない課題に対して向き合い、対話を通じて私たちが少しずつ真理に近づいていくことが重要だと考えています。このような建設的な議論を通じて、多くの人々に新たな気づきが生まれることを願っています。

リスクアセスメントした際のインシデント発生可能性、中小だと0に近似してしまうので経営まで納得する定量評価はほんと難しいと思う。なんなら被害額や見合う投資額と言われると私の力量不足とは思うが占いレベルになってしまう。
エヌ氏 @RETLAfthcan

回答：コメントありがとうございます。おっしゃる通り、中小企業においてはインシデントの発生可能性をリスクアセスメントで定量的に評価しようとしても、実際には0に近づくことが多く、経営層に納得してもらうのは本当に難しいですよね。被害額やそれに見合う投資額の算出も、特にリソースが限られた環境では、占いのように感じることもあると思います。ただ、私もこの分野に取り組む中で感じているのは、リスク評価は完全な精度を求めるというより、どれだけ経営層と現場がリスクの共有認識を持てるかが重要なのかもしれません。難しいながらも、一歩ずつ最善策を模索していくしかないですね。

そもそもサイバーセキュリティでは生命保険や自動車事故のような大数の法則が働かず、大きめの脆弱性や新たな攻撃手法によって地震に近い特異値を取りやすいので、年間発生確率から投じるべきセキュリティ予算額を弾くのは無理があるんじゃないかな
Masanori Kusunoki / 楠正憲 @masanork

回答：ご指摘ありがとうございます。確かに、大数の法則が適用されない場合もありますが、リスクの一部を定量化することは、不確実性に対処するための一つの手段と考えられます。そのようなリスク評価を通じて、柔軟な対応を可能にするリスク緩和策や、特異な事象への備えも検討することが重要だと思います。

ちょっと前につぶやいていたセキュリティ対策の適切な投資額計算式は作ればよいものの、結局確率はどないやねんと思っていが。が、過去の発生状況から確率などを算出している模様。時間取って、ゆっくり読んでみようと言っても、どこまで言っても最後は経営判断だと思う
Takuro SASAKI @dkfj

回答：コメントありがとうございます。おっしゃる通り、最終的には経営判断が大きな影響を及ぼす部分だと思います。確率の算出自体は、過去の発生状況や業界の平均を基にすることが多いですが、それだけでは全てのリスクをカバーできない部分もあります。リスクの受容や投資の判断は、経営層がビジネス全体を考慮して決断する必要があるのはまさにその通りですね。

最近セキュリティソリューションの幅が広がってアレも入れてコレも入れて…ってなると結局、年間3億あっても簡単に予算を超えると思うんだよな…。
テの字 @ces_Tineke

回答：コメントありがとうございます。確かに、セキュリティソリューションの選択肢が増えると、どんどん追加で投資が必要になり、気づけば予算を超えてしまうこともありますね。特に、次々と新しい脅威が出てくる中で、あれもこれも導入しようとすると、3億円では足りなくなる可能性も十分考えられます。だからこそ、リスク評価をしっかりと行い、本当に守るべき部分に最優先で予算を割り当てることが重要だと思います。すべてに対策を施すのではなく、リスクに応じたメリハリのある投資が求められますね。

取り組み自体は意義がありそうだけど「紛争・天災時の火災には効かない火災保険」みたいになりそう。記述統計的に予測できる範囲なら提言通りシステム運営側の責任範囲として運営者が予算を確保すればいいと思うけど、角川みたいなのはテロの一種として政府の介入を認めたほうが法的に楽な気もする。
はる兄さん @Kobucchan

回答：コメントありがとうございます。まずは企業としてのリスクを定量的に評価し、そのリスクに見合った投資を行うことは依然として重要ですが、テロのような極端なリスクに対しては、政府や公共機関の支援や介入を視野に入れた方が現実的な部分もあるかもしれませんね。両者のバランスを取りつつ、最適な投資と対策を講じる必要があると感じます。

謝辞

最後にこのような感想を頂きました。感謝申し上げます。

真剣な提案を行ってくださる方がいるからこそ、違う角度からも意見を持つ事ができました。これからもよろしくお願いします。
はる兄さん @Kobucchan

投稿者: 二本松哲也

SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させることー競争原理から共創原理へ二本松哲也のすべての投稿を表示