まず、今回の研究に取り組むに至った経緯を教えてください。

サイバーセキュリティの技術者は、あらゆるサイバー攻撃を防ぐべく、強力なセキュリティシステムの開発に取り組んできました。

しかし、企業など実際の運用現場では、「安全性」よりも「利便性」が優先されがちです。また、小規模な組織の場合、サイバーセキュリティを専門とする部署や、専門知識を有する人材を置く余裕がないところもあります。そのため、強力なシステムであっても、不適切な使われ方がなされ、安全を十分に守れないことが少なくないのです。

つまり、サイバー攻撃を防ぐためには、セキュリティ技術の開発だけでは不十分だということですね。

はい。現場の「攻撃されやすい体質」を併せて改善していく必要があります。

そのためには、まず、企業や組織の「主観的脆弱性」について調べる必要があると考えました。

既存のセキュリティ対策は、ファイアウォールや暗号など、サイバー攻撃に対して技術的なアプローチを中心に行われてきた。しかし、サイバー攻撃の被害をゼロにできないことから 、現場の「攻撃されやすい体質」の認識とその改善は、新たな被害のリスク削減に不可欠である

「主観的脆弱性」とは何ですか。

「攻撃者の主観」に立った、サイバーセキュリティ上の欠陥のことです。先述したシステムの不適切な運用や不十分なIT体制はもちろん、データの不適切な管理や脆弱な情報端末の使用なども、これに該当します。サイバー攻撃のリスクを考える上では、技術的な課題に加えて、人的・組織的な問題を考慮に入れる必要があります。

そしてもう１つ、重要な要因があります。それが「主観的攻撃利得」、すなわち「攻撃者がサイバー攻撃によって獲得するメリット」です。これは被害者が受ける実害と、イコールの関係にあります。

この前提を踏まえて、まず「主観的脆弱性」と「主観的攻撃利得」をもとに、サイバー攻撃の対象となりうる組織を予測するシミュレーションシステムの構築を目指しました。

また、サイバー攻撃は日々進化・多様化しているため、100％防ぐことは著しく困難です。そこで、第二の目標として、攻撃を受けた際の被害（主観的攻撃利得）を最小限に抑えるための技術開発に取り組んでいます。

以上の目標を達成するため、本研究は、企業リスクガバナンス評価の専門家や、機械学習の研究者と共同で進めました。さらに、企業法務や危機管理がご専門の弁護士の先生にも、ご協力いただいています。

他分野の専門家や研究者と協力することで、セキュリティについて多面的に考察することができた

それでは、まず予測システムについてのご研究について教えてください。

まず、医療機関を対象にアンケート調査を行い、「主観的脆弱性」の調査と収集に取り組みました。医療機関を選んだのは、詳細な個人情報を多く保有するなど「主観的攻撃利得」がひじょうに大きいためです。

アンケートの内容は、各医療機関の一般的なセキュリティ環境、電子カルテ以外の重要情報の有無、厚生労働省のチェックリストから重要情報の管理に関する項目を抜粋したり、サイバー攻撃の経験についても尋ねるなど、脆弱性の収集を主目的に、攻撃利益に関わる質問も加えました。