サイバーセキュリティのニュースにはパターンがある
はじめに
2014年以降、脆弱性やインシデントについて追っております。
そのうちに、サイバーセキュリティ関連ニュースが人口に膾炙するのには、おおよそ一定の法則があると思うようになりました。残念なことですが、一部には過度に心配を煽るようなフェイクニュースに近いものも存在しています。考察します。
動機
ニュースに躍らされて、エンジニアが消耗するのを避けたい。
想定する利用シーン
ニュースに躍らされた上司から、
「〇〇君、この脆弱性について調べている?」
と聞かれたときに、
「これはニュースパターンのAですね。」
と答えて、即刻で鎮火させる。
ニュースを評価するためのポイント
サイバーセキュリティのニュースのパターン化する上での軸は、次の2点に限定して良いと考えます。
- 情報源の意図:ニュースの一次ソースの意図
- 拡散した理由:ニュースがバズった理由
ニュースのパターンは、どちらかと言えば拡散した理由による影響が強いです。
情報源の意図
サイバーセキュリティニュースの作り手の意図としては、以下のものが考えられます。これらが、ときに誤りや過剰さを伴うことで、複雑化します。二次ソース以降では、これらが複数絡み合います。
愛称 | 代表的な発信元 | 意図の概要 | 信頼性 |
---|---|---|---|
Accountability | メーカー、サイバー攻撃の被害組織 | 脆弱性の修正や、インシデントの発生を告知する。 | High |
Evangelical | 公的機関、公益法人、セキュリティ団体 | 関心を引いて、対策を促進させる。不安を煽り、ニーズを掘り起こす。 | Middle |
PR | 研究者、セキュリティベンダ、イベント開催者 | 成果を公表し、信頼度や知名度の向上を図る。イベントへの注目を集める。 | Middle~Low |
Commercial | ニュースサイト | 大量のトラフィックを誘導し、広告収入等を得る。 | Low |
Maneuvering | ハクティビズム活動家、国家 | 競争相手や特定の集団を貶めようとする。 | Low |
Other | 一般人 | 単純なリアクション、社会貢献的な意図のあるものなど様々。 | Low |
拡散した理由
実際の深刻度に比べて、過度にニュースが拡散してしまう理由として、次のようなものが考えられます。
まだ表にかけていない理由が、他にもあると思います。今後さらに増やしていきたいです。
愛称 | 理由の概要 |
---|---|
Giant | 政府、独立行政法人、GoogleやIntelのような大企業、等の影響力が大きい組織や個人が公表した、もしくは関係している。 |
Misunderstanding | 公開情報が少ない時期に、限られた情報をもとになされた推測に行き過ぎがあり、それがそのまま波及してしまう。蓋を開けたら大したことはなかったが、もう止められなかった。 |
Periodical | 他に報道すべきニュースがなかった。 |
Seaborne | 欧米を中心とした海外においてニュースが流行った。 |
Propaganda | セキュリティベンダ等による広告戦略が成功した。 |
パターンの実例への適用
実際にメディアに騒がれた例について、パターンを適用します。
情報源の信頼性が低く、且つ拡散した理由が上記の表に含まれているものであれば、静観して良い理由になりうると考えます。
情報源の意図 | 拡散した理由 | 実例 |
---|---|---|
PR | Propaganda | Ghost, Badlock |
PR | Misunderstanding | KRACKs |
PR | Giant | Spectre/Meltdown |
Commercial | Seaborne | WannaCry, Petya |
Maneuvering | Giant | サイバー攻撃による米大統領選への関与 |
考察
発想としては、重要インフラ専門調査会で議論されている「深刻度」に近いものです。
2017年3月16日 重要インフラ専門調査会第10回会合 資料9 重要インフラサービス障害に係る深刻度判断基準の例について
しかしすべてのセキュリティのニュースを、Level 1〜5のように数字で評価することには、関係者の総意を得るのが困難な印象です。また、昨今のサイバー攻撃の手法や脆弱性の詳細は、技術的な難易度が高いものが多く、しっかりとした説明をするためには相当な準備が必要となります。簡単ではありません。
このため、上司になぜそのニュースに対応しなくてよいのかを説明するのには、脆弱性やインシデントそのものの深刻度よりも、なぜニュースが拡散したのかという理由に対して、ソフトウェア開発におけるデザインパターンのようなものを適用して説明するほうが、理解が手軽に得られるのではないでしょうか。