サイバーセキュリティインシデントの重大性を分類するために結成された世界初の組織が、1年間の潜伏期間を経て英国で発足した。
サイバーモニタリングセンター(CMC)は、サイバー保険業界の関係者と英国のサイバーセキュリティの第一人者数名によって設立されました。CMCは、ハリケーンが被災地域に及ぼす被害の大きさに基づいてハリケーンを分類するサファ・シンプソン・スケールに類似した、最も深刻なコンピュータ攻撃の深刻度分類システムを導入しています。
CMC に関する一般向けの情報発信は 2024 年 1 月に開始され、その時点では、資料では、CMC はサイバー保険会社とその再保険会社が、体系的なイベントを構成するものを独自に定義するのに役立つシステムであると示唆されていました。
システミックイベントとは、ベンダーへの攻撃など、単一の発生源から発生し、他の多くの組織に重大な影響を及ぼすイベントです。NotPetyaや、最近ではCrowdStrikeの失態が挙げられます。
近年、業界モデルの改善は見られるものの、サイバー保険分野においては依然としてシステミックリスクが問題となっており、保険会社、再保険会社、保険契約者、リスク管理者など、関係者に影響を及ぼす状況となっています。システミックリスクには明確な定義が欠如しています。システミックリスクとは何かを明確に理解しなければ、保険契約の契約条件が何であるか、そして場合によってはいつ保険金が支払われるべきか、あるいは支払われるべきかを明確に理解することはできません。
CMC のシステムは、この問題を解決し、結果として生じる可能性のある訴訟を未然に防ぐことを目的とし、独立した非営利団体からのソリューションを提供します。
このシステムは、サイバーイベントを1~5のスケールで分類し、5が最も深刻です。各イベントは、英国NCSCの創設CEOであるキアラン・マーティン氏が議長を務めるCMCの技術委員会によって分類されます。委員会は、産業界、学界、シンクタンクである王立安全保障研究所(RUSI)の専門家で構成されています。
委員会メンバーは、被害額が1億ポンド(1億2,360万ドル)を超える兆候が見られる場合、英国の複数の組織が影響を受ける場合、および評価に必要な情報が入手できる場合に、臨時に会合を開く予定だ。
方法論文書 [PDF] には、メンバーが半日集まり、2 つの成果物 (重大度の分類 (1 ~ 5) と、決定に至った経緯、決定の根拠となったデータ、場合によっては信頼度に関するコメントを詳述したレポート) を発表すると記載されています。
深刻度スコアは、事象の経済的影響と影響を受けた組織の数を考慮して決定されます。決定に考慮される財務的要素には、インシデント対応費用、通知費用、身代金支払い、データ復旧費用、事業中断費用などが含まれますが、これらに限定されません。事後に課される賠償金や罰金は考慮されません。
サイバーモニタリングセンターの分類マトリックスを示すイラスト – クリックして拡大
財務的影響の閾値は、1,000万ポンド、1億ポンド、10億ポンド、50億ポンドです。影響を受ける組織数の閾値は、それぞれ270、2,700、27,000、136,000で、ONSデータによると、英国の公的機関および民間組織全体の0.01、0.1、1、5%に相当します。1,000ポンド以上の費用が発生した組織のみが、ここに含められます。
インシデントが影響を受けるすべての組織に大きな損害を与えるほど、また、イベントの影響を受ける組織が増えるほど、指定される重大度レベルは高くなります。
CMCは昨年の主要なイベントでこのシステムをテストし、盗まれたMOVEitデータの公開は、英国での規模が小さいことから、カテゴリー1の深刻度スコアを獲得しただろうと木曜日の発表イベントで述べた。
サイバーモニタリングセンター開設イベント – クリックして拡大
Synnovisへの攻撃については、NHSの数千件の処置が再スケジュールを余儀なくされ、甚大な人的被害をもたらしたにもかかわらず、単一産業の単一セグメントにのみ影響を与えたため、カテゴリー2の評価しか得られず、その意味で焦点が狭かったと判断されました。真のシステム的事象とは見なされていませんでした。
しかし、CrowdStrikeの障害はカテゴリー3と最高評価を受けました。悪意のある第三者によるものではなく、個々の組織あたりの被害額も他の事象よりも低かったものの、英国全体のはるかに広い範囲に影響を与えたため、3つの事象の中で最もシステム的な影響があったと判断されました。
- 支出監視機関、英国政府のIT防御強化の怠慢な進捗を非難
- 英国、公共部門のランサムウェア被害に対する身代金支払い禁止を検討
- 英国が直面するリスクの深刻さは大きく過小評価されているとNCSCの年次レビューは警告している
- 英国プーチン大統領、増大するサイバー脅威に対抗するためAI防御を強化
カテゴリー5の事例としては、ロシアのNotPetyaキャンペーンが挙げられます。仮に、CrowdStrikeの障害がセンサーアップデートの不具合ではなく攻撃によって引き起こされた場合、カテゴリー4の事例となる可能性が高いでしょう。もし悪意のある攻撃であれば、組織の復旧にはより長い時間がかかり、結果としてコストも増大し、カテゴリーが1つ上のレベルに上がるでしょう。
実世界への応用
もともと保険業界を支援することに重点が置かれており、システムの主な適用範囲も依然としてこの分野にあるようですが、CMC は分類マトリックスをより広範なメリットをもたらすものとして位置付けています。
CMCの長期的なビジョンは、政策立案者と一般市民に利益をもたらすことです。過去5年間のCMC分類データを活用することで、最も深刻なデータ侵害と、それほど大きな影響を及ぼさない可能性のあるデータ侵害を区別することが可能になります。CMCは立法府に情報を提供する立場にはありませんが、将来の規制に影響を与える可能性のある事象について、よりきめ細かな理解を提供したいと考えています。
マーティン氏は、2023年8月に公表された2つの情報漏洩事例を比較し、CMCの見解では、情報漏洩の被害者数が必ずしも深刻度を分類する上で有用な方法ではない理由を説明しました。英国選挙管理委員会の情報漏洩は約4,000万人に影響を与えましたが、PSNIの情報漏洩は数千人しか影響を受けませんでした。しかし、職員に直接的な被害が及ぶ可能性を考慮すると、後者の方が依然として深刻だと考えられています。
CMC に依存する可能性のある他の国としては、英国政府が、莫大な費用がかかるサイバー攻撃をカバーするためのバックストップを設置することを決定した場合、英国政府も含まれる可能性があります。
CMCのCEOウィル・メイズ氏は、バックストップが確立されるなら、追加資金の放出のきっかけも特定する必要があり、そこにCMCが関与することになるだろうと述べた。
マーティン氏は、近い将来、CMC はまだ完成品ではなく、アプローチを変更する必要のある領域があることを認めた。
「私たちは、異議や批判があることは承知していますし、覚悟しています」と彼は発表時に述べた。「改善しなければならないことは分かっています。もしこれが簡単なら、誰かがすでにやっているはずです。」
「したがって、これを可能な限り完全に透明な方法で実行することで、政策立案者と一般の人々がサイバー犯罪をよりよく理解できるようにするだけでなく、それに貢献できることを願っています。」
発表イベントでThe Registerに話した専門家たちの感想は肯定的だったが、CMCのシステムの有効性は長期間にわたって証明される必要があるという意見が確かにあった。
CMCのシステムが将来、保険関連の訴訟を防ぐために利用される可能性があるとCMCが認めていることを踏まえ、CMCのシステムの正当性が法廷で争われることを組織は予想しているかとの質問に対し、メイズ氏はCMCとサファー・シンプソン・スケールの類似点に戻り、これまで一度も異議が唱えられたことはないと述べた。
長期的な目標は、対象となる事象の発生から30日以内に重症度分類を発行することですが、これは義務ではありません。CMCは、2025年には45日間の公表期間を目指し、2026年以降は30日間に短縮する予定です。®
