サイバー攻撃の評価基準「5段階評価」深刻度の目的は?わかりやすく

スポンサーリンク
スポンサーリンク

政府がサイバーセキュリティー戦略本部の会合で、サイバー攻撃を受けた場合の深刻度を5段階評価に分けることを決めました。

目的や実際に役に立つのかというところを見ていきたい

サイバー攻撃の評価基準概要

レベル0:影響なし

レベル1:ほぼ影響なし

レベル2:一定の影響が発生

レベル3:大きな影響が発生

レベル4:著しく深刻な影響が発生

これらは、重要インフラがサイバー攻撃を受けた場合に、

「今回のサイバー攻撃の深刻度は1だよ~」と発表する。

これによって、「1か、なら問題ないな」と思えるようになるということだ。地震の震度と同じだろう。震度5を超えると、危機感を持ち始める。

ではこの評価基準の問題点についてみていきたい。

問題点①:過去の基準がないから当分の間、意味をなさない

例えば、我々日本人は地震を何度も経験している。

なので、震度4と言われると「ふーんそんなもんか。土砂崩れには気を付けないとな」、震度3と言われると「ああそう」と無反応をとることができる。

ところが、サイバー攻撃の場合には、「一定の影響が発生」とか「大きな影響が発生」とか意味が分からない。

一定の影響も大きな影響も影響を受けているがその大きさはどの程度違うのか、想像もつかない。なので、何度も体験することによってしか反応を図れない基準である

問題点はまだある

問題点②:通信も電気も、両方同じ数字で表現

例えば地震の場合は、震度5と言われたら、5の揺れだ。後はどこで起こったかを把握して津波などの二次災害を掲載する。このように、震度5の中身は非常にシンプルで単純である。「どれだけ揺れたか」それが震度だ。

一方、サイバー攻撃の「深刻度」は、電力、通信、ニュースサイト、掲示板、情報漏えい、ウイルス拡散、などなどすべてが同じ数字で表される。

つまりサイバー攻撃の場合、数字よりもその中身の方が重要なので、数字が意味を成しているかと言われたらいささか疑問である

「深刻度3:サイバー攻撃により、岩手県で一部停電が発生しました」

「岩手県で一部停電が発生!サイバー攻撃によるものです」

ハッキリ言って、一般人にとってこの上二つに意味があるのかと言われたら、

良い点:しょうもない攻撃に、国民が反応しなくなる

例えば、「○○機関に不正アクセスが確認されました」と報道があったとします。

この時、

「○○機関に不正確セスが確認されました。深刻度0。排除は即座に完了し、全く影響はありません」

と情報を拡散できるのは非常に強いかなというところ。

サイバー攻撃ってしょうもない事件でも、大きな不祥事なイメージになったりしますからね。サイバー攻撃があった事実だけを取り上げて大騒ぎなんてことは減るんじゃないかなーと思ったりします

国内ニュース
シェアする
スポンサーリンク
スポンサーリンク
スポンサーリンク
旬とぴ