株式会社第一生命経済研究所は12月17日、柏村祐氏によるレポート「なぜ「セキュリティ投資」を増やしてもサイバー攻撃の被害は減らないのか~「高度化」ではなく「産業化」する脅威への経済的対抗策~」を発表した。
同レポートでは、多くの侵害事例において、攻撃手法そのものは既知の脆弱性や安価なツールの組み合わせで、脅威の本質は技術的な「高度化」よりも、圧倒的な「低コスト化」と「産業化」にあるとし、攻撃側はすでに、極めて効率的な分業体制とサプライチェーンを構築し、ROI(投資対効果)を最大化する「ビジネス」として攻撃を実行していることを踏まえ、このサイバー空間で起きている構造変化を、攻撃者のインセンティブ構造や費用対効果に着目する「ミクロ経済学」の視点から解き明かしている。
同レポートでは、かつてサイバー攻撃は一部の天才的な技術者による「職人芸」であったが、現在はアダム・スミスが説いた「分業」による生産性向上がサイバー犯罪の世界でも起きており、その参入障壁は完全に崩壊し、誰でも参入可能な「巨大産業」へと変貌を遂げたとし、その背景にある下記3つの不可逆的な構造変化を紹介している。
1.「RaaS」による攻撃能力の民主化と参入障壁の消滅
2.生成AIによる「言語の壁」の崩壊
3.犯罪エコシステムの「市場化」とサプライチェーンの確立
同レポートでは結論として、サイバーセキュリティはもはやIT部門の管轄事項ではなく、自社の事業継続性を守るための「経済戦争」であるといえ、本来であれば国家レベルの政策介入によって攻撃者の市場メカニズムを破壊すべき課題であるが、マクロな解決を待つ間にも被害は拡大し続けるため、ミクロな経済主体である企業は、自組織を「攻撃しても儲からない対象」へと変質させ、攻撃者の標的リストから外させるための経済合理的防衛策を講じなければならないとしている。
