ケント大学の研究チーム、サイバー被害を57種類に分類：サイバー被害の指標となるか

ケント大学コンピューティング学部の研究チームは、サイバー攻撃が個人や企業、国に与える被害を分類する研究を推進、57種類を特定した。検知や防御といった技術的な対策の他に、攻撃によるさまざまな被害を評価する指標が必要だという。

[＠IT]

　英ケント大学は2018年10月24日（英国時間）、サイバー攻撃の分類に関する発表を行った。同大学コンピューティング学部の研究チームがサイバー攻撃による個人や企業、国への悪影響を分類し、少なくとも57種類を特定した。

　研究チームの問題意識は、組織がサイバー攻撃による被害を理解し、評価するための有効な指標やツール、フレームワークがないというものだ。技術の進歩により、組織は業務の多くの部分をデジタル化しており、その結果、サイバー攻撃の脅威が急速に変化し、攻撃の潜在的な影響が不確かになっているにもかかわらず、被害の指標がない。

　今回の研究では、これらの悪影響が時間とともにどのように広がるかについても、3つの事例に基づいて考察している。これもサイバー攻撃がもたらすさまざまな被害への理解の向上を助けるものだという。

　研究チームはサイバー攻撃が与える悪影響を、論文の中で「サイバー被害」と呼んでいる。サイバー被害は「物理／デジタル」「経済」「心理」「評判」「社会」の5つのカテゴリーに大別されるとした。

　研究チームがカテゴリーごとに特定している被害の種類の数とその例は次の通り。

1. 物理／デジタル：15（人命の喪失、インフラの損害など）
2. 経済：16（株価の下落、規制に基づく制裁金、減益など）
3. 心理：12（落ち込み、困惑、恥辱など）
4. 評判：10（幹部の退職、顧客との関係悪化、メディアの厳しい追及など）
5. 社会：4（特定の技術などに関する世間的評価の低下、主要サービスの停止などによる日常生活の破壊、組織内の士気の低下など）

サイバー攻撃の結果について研究チームが分類した5カテゴリー57種の被害（出典：ケント大学の研究者による論文：doi:10.1093/cybsec/tyy006）

　研究チームは、ソニーやJ.P.Morgan、オンラインデートサイトのAshley Madisonなどで発生し、広く報じられたサイバーインシデントを分析した結果、複数のカテゴリーにまたがった幅広い被害が見られたと指摘する。

　さらに研究チームによれば、こうしたインシデントは、企業にとってのサイバー被害分類の重要性も示しているという。サイバー攻撃によってどのような被害が発生し得るかを十分検討しなかった企業が、既知の脆弱（ぜいじゃく）性への適切な対策を怠り、そのために被害に見舞われていると、研究チームは説明している。

　サイバー被害の詳細な分類研究の成果は、企業や個人、さらには政府によるサイバーセキュリティの現状理解を助けるのみならず、全ての人やモノがインターネットに接続し、IoT（Internet of Things）が拡大する中で、より重要な役割を果たすと期待している。

　今回の研究に関する論文は「Journal of Cybersecurity」の2018年10月16日に掲載されている。