ハッキング経済--サイバー犯罪のコストはどのくらい？

　「犯罪は割に合う」とも言われる。しかし、サイバー犯罪の被害に遭った企業の財布から、お金が飛んでいくのは確かだ。

　3月、Juniper NetworksとRAND Corporationは、「Hackonomics: A First-of-Its-Kind Economic Analysis of the Cyber Black Markets」（ハッキング経済：サイバーブラックマーケットに関する初の経済分析）という記事を公開した。その結論は「サイバーブラックマーケット」は世界的な違法ドラッグ取引よりも高利潤であるというもので、企業のサイバー犯罪に関するコストについて、考えさせられる内容だった。

　サイバー犯罪の実際のコストに関してはさまざまな見方があり、サイバー犯罪の脅威について2014年に発表された数多くのレポートには、細かい部分で違いがある。さまざまな問題があるが、特に企業が何を盗まれたかを把握するのが難しいという点が、正確な調査やレポート、研究を困難にしている。

　また、レポートの内容に違いがあるのは、それらのレポートを発表している企業の一部（具体的には、サイバー犯罪の防止や検知のためのソフトウェアを販売する企業）が、サイバー犯罪が成長産業であるという評判を広める一翼を担う、利害関係者であることとも関係しているのかも知れない。

　でっち上げの有名な例は、2009年のに戦略国際問題研究所（CSIS）が発表したもので、この調査ではグローバル経済がハッキングで受けるコストを1兆ドルと推定している。Barack Obama大統領や、さまざまな情報機関の当局者、米議会の政治家たちは、サイバー犯罪対策の法制化を進める際、盛んにこの数字を引用した。

　しかしInternational Business Timesは2013年に次のような記事を掲載している。

　 この数字は、地域レベル、州レベル、そして連邦レベルで米国政府と密接に連携している、Intelのソフトウェアセキュリティ子会社McAfeeによる、大規模な誇張だとわかった。

　 CSISの新しい調査で、2009年の調査の手法には数多くの欠陥があり、具体的な数字ははるかに計算が難しいことが明らかになった。

　2014年のCSISのレポートでは（これもMcAfeeとのパートナーシップによる調査だが）、非常に幅の広い数字が出ており、これも報道されたときには懸念を呼んだが、1000億ドルから4000億ドルという幅は、2009年の大きすぎる数字に比べれば数分の1に過ぎない。

ハッキングを受けると、具体的にどのくらいのコストが企業に発生するか

　さまざまなレポートを読んでいくと、「ハッキングのコスト」に関する推定の幅は非常に広いことがわかる。また、その数字が意味するところも違っている。

　研究者のKelly White氏は2014年に発表された23本の脅威レポート（かなりの数だが、すべてではない）を要約し、1枚の興味深い、グラフや図を豊富に使った「Paper: The Best of The 2014 InfoSec Threat Reports」（2014年情報セキュリティ脅威に関するレポートの要旨）という文書をまとめた。