RSS
Human Hardeningとサイバー判断力

攻撃に対して「ハックされにくい人間」に

Day 75 これが起きたら、どれほど深刻か? (被害の大きさ パート1) When This Happens, How Bad Is It?

»

[シリーズ構造] 柱D|脅威の現実
サイバー攻撃の発生確率は抽象論ではなく、文脈で決まります。本稿では、NIST・OWASP・MOM などの実証的フレームワークを使い、同じ SQL インジェクション脆弱性でも、公開サイトと内部ツールで発生確率が大きく変わることを示します。証拠に基づく確率評価と、取締役会で説明可能な論理づけによって、リスク評価は単なる直感から、弁護可能な判断支援へと変わります。

▶ シリーズ概要: シリーズ全体マップ:人間のしなやかさ ― サイバー判断力のために

▶ 柱E|脅威の現実 関連記事:

これが起きたら、どれほど深刻か?

~ステップ5:インパクトの定量化~

前提知識: 脅威モデリングの基礎知識(必要に応じて Day 68 からお読みください)

u5292553157_Create_an_image_of_unfinished_jigsowpazzules_of_t_954d64a6-ad1c-4cc0-acd2-16a0f1213b57_2.png

私たちはここまで、色々なピースを揃えてきました。

  • 誰が攻撃するのか(脅威アクター)
  • どのように攻撃するのか(拡張 MOM分析)
  • 何を狙っているのか(意図と価値)
  • 歴史的背景(先例)
  • どれほどのリソースを持つのか(能力・スキル)
  • どれほど起こりやすいか(可能性・発生確率)

ここまでで、「攻撃者の意思決定の地図」はほぼ完成しました。でも、まだ1つだけ、決定的に欠けているものがあります。それが、「被害の大きさ(Impact)」です。

攻撃は起こりうる。それは「もし」ではなく「いつ」。
しかし、起こったとき、どれほど壊れるのか?
これは、発生確率とはまったく別の軸であり、防御戦略の"重力"そのものを決める要素です。

今日と明日は、この「Impact」を分解し、そして 今までのピース、すべてを統合したThreat Profile を完成させます。

インパクトが、思っている以上に重要な理由

少し、立ち止まって考えてみてください。

ここに、あまり表に出てこない 残酷な真実 があります。

それは

「起こりやすさ」だけでは、守るべきものは決まらない

ということです。

「起こりやすい」低インパクトの脅威は、
「起こりにくい」壊滅的インパクトの脅威よりも、
重要度が低いことがある。

直感に反するかもしれません。
でも、数字は嘘をつきません。

少し、数字で見てみましょう。

  • 90%の確率で、150万円の損害 → 期待損失は135万円
  • 5%の確率で、150億円の損害 → 期待損失は 7億5,000万円

さて。

どちらが、より多くの予算に値するでしょうか?

答えは、もう分かっていますよね。

でも
現実の意思決定は、必ずしもそうなっていません。

理屈では、誰もが理解している。ホワイトボードの前では、うなずける。

それでも、ほとんどのCISO、セキュリティ担当者は、この問いに即答できない。

なぜでしょう。

彼らは、
90%を追いかけることに忙しい間に、
5%が静かに待っている からです。

その5%は、

  • めったに起こらない
  • 過去の先例もほとんどない
  • 日常のダッシュボードには映らない

だから、
「今じゃない」
「そのうち考えよう」
と、後回しにされる。

でも、現場を長く見ていると、分かってきます。

本当に静かな脅威ほど、音もなく近づく。

そして、その5%は、一度起きれば、組織だけでなく、「私達」まで終わらせる準備をしている。

責められるのは、「なぜ起きたのか」ではありません。

問われるのは、「なぜ、分かっていたのに備えなかったのか」 です。

インパクトは、数字ではありません。
責任の大きさ であり、
戻れない一線 です。

だから、発生確率 だけを見てはいけない。

今日、ここで一度、
「起こりやすさ」から目を離して、
「壊れ方」 を見に行きましょう。

今日と明日で、それらすべてを統合します。

逃げ場のない、でも 現実に使える判断の地図 を。

5つのインパクト次元

-- なぜ「被害の大きさ」は一面的ではいけないのか

OWASPは、技術的インパクトを機密性(Confidentiality)・完全性(Integrity)・可用性(Availabilityの3要素で捉えています。

一方、ビジネスの世界では、財務・評判・コンプライアンス・プライバシー といった軸が語られます。

どれも正しい。

でも、それだけでは 現実の被害を説明しきれない

だから、ここで私は 第5の次元 を加えます。それは、人的インパクト、人的被害。なぜなら、サイバーセキュリティインシデントは最終的にシステムではなく、人を傷つけるからです。

それでは1つ1つ見ていきましょう。

財務インパクト -- 数字で見えるが、軽視されがちな破壊力

財務インパクトは「直接損失」だけではありません。

構成要素

  • 直接的な金銭損失
  • 規制罰金
  • 復旧・再構築コスト
  • 法的費用
  • 顧客向け信用監視コスト

そして、本当に測るべきなのは 次の4種類の損害 です。

  1. 流動性危機(キャッシュフローはもつか)
  2. 利益破壊(収益構造が壊れるか)
  3. 将来価値の毀損(時価総額・評価額)
  4. 規制罰則(一時的か、構造的か)

財務インパクト評価(例)

※以下のスケールは一例です。
実際には、各組織の事業内容・規模・規制要件に応じて調整してください。

リスク影響レベル

レベル 絶対値 相対値(比例)
軽微 (1) 〜750万円〜1,500万円 収益 <0.5% / 営業利益 <2%
小 (2-3) 750万円〜5,250万円 収益 0.5-2% / 利益 2-5%
中 (4-5) 5,250万円〜7,500万円 収益 2-3% / 利益 5-10%
高 (6-8) 7,500万円〜1億5,000万円 収益 3-5% / 利益 10-30%
重大 (9-10) 1億5,000万円超 収益 >5% / 利益 >30%

日本版「生存現実」対比(例)

Fortune 500 級(日本の大手企業)

  • 売上:数兆円
  • 営業利益:数千億円
  • 現金・与信・保険:潤沢
  • 社内リソース:法務・広報・CSIRT・外部顧問あり

1億円のサイバー損害が起きた場合

  • 売上比:01% 未満
  • 利益比:05% 未満
  • 会計処理:特損・引当で吸収
  • 社内評価:「痛いが致命傷ではない」

生存は揺らがない

判断は「最適化」「レピュテーション管理」「再発防止」

日本の中小企業(従業員30-100名)

  • 売上:1億〜10億円
  • 営業利益:数百万円〜1億円
  • 現金余力:数か月分
  • 専任IT・法務:なし or 兼務

1億円のサイバー損害が起きた場合

  • 売上比:3〜20%
  • 利益比:100%超(赤字転落)
  • 現金流動性:給与・仕入れが止まる
  • 社会的影響:取引停止・信用失墜

事業継続そのものが危機

判断は「対応」ではなく「生き残れるか」

同じ「1億円」でも意味が違う

大手と中小企業の比較

観点 大手 中小企業
金額の重さ 管理可能 致命的
判断軸 最適化 生存
失敗の許容 ある ほぼない
回復手段 複数 限定的
時間 買える 買えない

リスクは金額ではなく、「その組織が次の月を迎えられるか」で測られる

Fortune 500 レベルの大企業にとっての「重大」は 数十億〜数百億円

一方で、中小企業にとっての「重大」は 数千万円〜1億円

同じImpactスケールを使うこと自体が、すでに不公平なのです。

だから日本では:

  • 絶対額ベースのグローバル基準をそのまま持ち込まない
  • 相対インパクト(利益・キャッシュフロー・存続)で再定義する
  • 「低確率・高インパクト」を無視しない
  • 中小企業では「一度=終わり」になり得る

同じ侵害でも、意味はまったく違う。これが「比例的防御」が必要な理由です。

レピュテーションインパクト -- 最も長く残り、最も測れない

多くの場合、最大の長期損害は評判 です。

そしてAIは、これをさらに増幅します。

  • ディープフェイク
  • 偽情報キャンペーン
  • ストーリーの武器化

AIは、インパクトの性質そのものを変えてしまいました。AIは、レピュテーションインパクトを 瞬時に世界規模へ拡散し、深く広く増幅 します。ISOやNISTで「高(8)」と評価される事案が、AIによって「重大(10)」へ跳ね上がる。データ漏洩は、重大な株価下落と永続的な評判損失 を引き起こします(Makridis, 2021; Rosati et al., 2019)。

ビジネスインパクト -- 回復しない傷

財務を超えた 業務への影響

  • 軽微な遅延(1)
  • 数ヶ月の混乱(5)
  • 永続的な麻痺(10)

ここで重要なのは、いくつかの損害は二度と治らない という事実です。

去った顧客の多くは、戻らない。
壊れた信頼は、元に戻らない。

これは高〜重大(8-10 のビジネスインパクトを意味します。

法的・規制インパクト -- 個人に跳ね返る瞬間

  • 技術的不適合(1)
  • 多額の制裁金(5-7)
  • 許可取消・刑事責任(10)

幹部が刑事責任を問われる時点で、無条件に「重大(10)」 です。

AI特有のリスクも加わります。AIトレーニングデータを含む漏洩は、新しいガバナンス体制下で 追加の精査と責任 を生みます。

人的インパクト -- 私たちが忘れてきた、最も重要な次元

最後に、そして 最も重要な次元

人的インパクト。

  • 現場の疲弊
  • 判断ミスへの自己責任化
  • 離職
  • 家族への影響
  • 心理的外傷

私たちは、サーバー稼働率で成功を測りすぎてきました。でも、サイバーセキュリティは人間の仕事 です。人が壊れれば、組織は必ず、遅れて壊れる。だから、これからはこう問い直す必要があります。

このインシデントは、何人の人生を、どれだけ壊すのか。私たちは、侵害件数を数え、停止時間を数え、損失額を数えてきました。でも、人生は数えてこなかった。

この「人的被害」については、もう少し時間をかけて、別のシリーズとして掘り下げていこうと思います。

数字や金額では表せない影響。判断のあとに、誰の夜が削られ、誰の人生の軌道が、静かにずれていくのか。

それは、インパクト評価の最後の項目ではなく、本当は、最初に置くべき問いなのかもしれません。

最重要事項

今日は少し長くなりました。このへんで終わりにしたいと思いますが、最後に、ひとつだけ。

インパクトは、判断の「最後」に置くものではありません。
インパクトは、基準そのものです。

インパクトとは、「これが起きたら、どれほど悪いのか?」という問いに答えるもの。

それは、曖昧な感覚でも、経験則でもありません。

私たちは、少なくとも 5つの次元 で、それを捉えなければならない。

  1. 財務:組織は、生き残れるのか
  2. レピュテーション:信頼は、戻るのか
  3. ビジネス:事業は、続けられるのか
  4. 法的・規制:責任は、どこに落ちるのか
  5. 人的:誰の人生が、どれだけ削られるのか

ここで、最も重要な点があります。

全体インパクトは、「平均」ではなく、
最悪値(ワーストケース)で決まるということです。

たとえ他の次元が軽微でも、ひとつが「重大」であれば、それが、その脅威の本当の重さです。

OWASP、NIST、ISOといった標準フレームワークは、この判断を助ける構造化されたインパクトスケールを提供しています。

一貫性のために。
説明責任のために。
そして、コンプライアンスのために。

使うべきです。

ただし、それをチェックリストで終わらせてはいけない。

もはや問われているのは、「起きたかどうか」ではありません。

「どんな物語として拡散され、誰が壊れるのか」

それがが問われる時代です。

今日はこの辺で。
明日は、ここまで見てきた
インパクトと脅威プロファイルの総まとめを行います。

ーーーー

[Series Structure] Pillar D | Threat Reality

Calculating the likelihood of a cyberattack isn't abstract -- it's contextual. This article applies real frameworks (NIST, OWASP, MOM) to two SQL injection scenarios and shows how the same vulnerability can yield very different likelihoods depending on exposure, opportunity, and context. By grounding probabilities in evidence and context -- and preparing board-ready explanations -- we move risk assessment from opinion to defensible decision support.

▶ Series overview: Series Map -- Human Flexibility for Cyber Judgment

▶ Other posts in Pillar E (Pillar D | Threat Reality):

When This Happens, How Bad Is It?

Step 5: Impact Quantification

Prerequisites: Days 70-74

u5292553157_Create_an_image_of_unfinished_jigsowpazzules_of_t_954d64a6-ad1c-4cc0-acd2-16a0f1213b57_2.png

Yesterday, we calculated how likely threats are.

Today, we answer a different--and often more important--question:

How bad is it if this actually happens?

Over Days 70-74, we built the foundations:

  • Who attacks (threat actors)
  • How they attack (MOM analysis)
  • What they want (intent)
  • Historical context (precedence)
  • Their resources (capability)
  • How likely it is (likelihood)

Today completes the picture.

Target identification + full integration.

Where will attackers strike?
How do we defend proportionally?

We now bring everything together:

MOM + IRP + Likelihood + Impact= Complete Threat Profile→ Actionable Defense Strategy

Why Impact Matters More Than You Think

Here's the brutal truth:

A likely threat with low impact may matter less than an
unlikely threat with catastrophic impact.

Let's look at the numbers.

  • 90% likelihood × $10K damage
    $9K expected loss
  • 5% likelihood × $100M damage
    $5M expected loss

Which one deserves more budget?

Standards-Based Impact Framework

Cybersecurity standards such as ISO 27005 and NIST SP 800-30 provide structured approaches to impact assessment.

These frameworks establish consequence scales aligned with enterprise risk management, ensuring:

  • Consistency
  • Audit readiness
  • Executive-level accountability

They typically assess impact across:

  • Financial: From negligible loss to catastrophic operating profit destruction
  • Operational: From minor disruption to permanent organizational paralysis
  • Legal & Regulatory: From technical non-compliance to criminal prosecution
  • Reputational: From localized awareness to sustained global damage

These form the foundation of our extended five-dimensional impact model, enhanced for:

  • AI-era amplification
  • Narrative warfare
  • Human consequences

All increasingly critical in the 2026 threat landscape.

Five Impact Dimensions

We extend traditional models by adding the dimension that matters most.

OWASP focuses on technical impact (confidentiality, integrity, availability).

Business risk models add (financial, reputational, compliance, privacy).

But cybersecurity incidents don't just damage systems.

They damage people.

So we introduce a fifth dimension: Human Impact.

① Financial Impact

Components
Direct losses, regulatory fines, recovery costs, legal fees, credit monitoring.

We measure four distinct damage types:

  • Liquidity shock (cash flow collapse)
  • Profit destruction (earnings loss)
  • Future value loss (valuation / market cap)
  • Regulatory penalties

For example,

Risk Impact Levels

Level Direct Loss (Absolute) OR Proportional Impact (Relative)
Insignificant (1) <$50K-$100K OR <0.5% revenue / <2% operating profit
Minor (2-3) $50K-$350K OR 0.5-2% revenue / 2-5% profit
Moderate (4-5) $350K-$500K OR 2-3% revenue / 5-10% profit
High (6-8) $500K-$1M OR 3-5% revenue / 10-30% profit
Major (9-10) >$1M OR >5% revenue / >30% profit


Fortune 500 vs. SMB: Survival Reality

Cybersecurity Impact Comparison

Factor Fortune 500 Enterprise Small Business ($5M revenue)
Breach Cost $50M $1.6M
Revenue Impact 0.1% (rounding error) 32% (liquidity collapse)
Ransomware Resources to negotiate & recover 88% exposure rate
6-Month Survival ~100% ~40% (60% close)
Outcome Stock dip, executive fired Bankruptcy, liquidation, family ruin

Same incident. Completely different meaning.

Some More Examples (10M Customer Records)

  • GDPR fine: €18M
  • Class action settlement: $45M
  • Forensics: $8M
  • System remediation: $15M
  • 3-year credit monitoring: $12M

Total: $98M → Major Impact (10)

Reputational Impact

Often the largest long-term damage--and the hardest to quantify.

In the AI era, reputational harm was amplified.

Deepfake disinformation campaigns turn incidents into existential crises.
What frameworks once rated as High (8) become Major (10) when AI weaponizes the narrative.

Academic research confirms sustained stock price decline and long-term brand damage following breaches.

③ Business Impact

Operational consequences beyond immediate financial loss.

From minor project delays (1)
to permanent organizational paralysis (10).

Some damage never heals.

Customers who leave rarely return.
That's High to Major (8-10) impact--multi-year disruption with irreversible loss.

④ Legal & Regulatory Impact

Ranges from technical non-compliance (1)
to permit revocation and criminal prosecution (10).

If executives face criminal charges, impact automatically escalates to Major (10).

AI-specific risk: breaches involving AI training data trigger heightened scrutiny under emerging AI governance regimes.

⑤ Human Impact (The Critical Dimension)

The dimension we forget.
The one that matters most.

We must stop measuring success by server uptime
and start measuring it by human harm.

This is why human-centric security isn't abstract philosophy.

It's economic necessity.
It's moral imperative.

Every breach we prevent is 100-250 lives protected from financial ruin, burnout, and irreversible life damage.

The Bottom Line

Impact answers one question:

"How bad is it if this happens?"

Five dimensions:

  1. Financial
  2. Reputational
  3. Business
  4. Legal & Regulatory
  5. Human

Overall impact = the highest single dimension.

Standards frameworks give us structured scales--
use them for consistency, accountability, and compliance.

But remember:

In the AI era, reputational and human impact scale faster than probability.

Tomorrow (Day 76): We link everything together and complete threat profiling.

-----

References 出典・参照 (このパートのみ)

Bada, M., & Nurse, J. R. C. (2020). The social and psychological impact of cyberattacks. In Emerging cyber threats and cognitive vulnerabilities (pp. 73-92). Academic Press. https://doi.org/10.1016/B978-0-12-816203-3.00004-6

BitSight Technologies. (2025). The state of cybersecurity burnout in 2025. https://www.bitsight.com/blog/state-of-cyber-security-burnout-today

Cross, C., & Holt, T. J. (2025). Beyond fraud and identity theft: Assessing the impact of data breaches on individual victims. Journal of Crime and Justice. Advance online publication. https://doi.org/10.1080/0735648X.2025.2535007

Federal Trade Commission. (2003). Identity theft survey report. https://www.ftc.gov/sites/default/files/documents/reports/federal-trade-commission-identity-theft-program/synovatereport.pdf

Fernandez De Arroyabe, I., Arranz, C. F., Fernandez De Arroyabe, J. C., & Schumann, M. (2023). The severity and effects of cyber-breaches in SMEs: A machine learning approach. Enterprise Information Systems, 17(2), Article 1942997. https://doi.org/10.1080/17517575.2021.1942997

IBM Security & Ponemon Institute. (2025). Cost of a data breach report 2025. IBM Corporation. https://www.ibm.com/security/data-breach

Identity Theft Resource Center. (2025). 2025 consumer impact report: Financial & emotional impacts rise across the board. https://www.idtheftcenter.org/post/2025-consumer-impact-report-financial-emotional-impacts-rise/

International Organization for Standardization. (2022). ISO/IEC 27005:2022: Information security, cybersecurity and privacy protection--Guidance on managing information security risks. ISO.

Khadka, K., & Ullah, A. B. (2025). Human factors in cybersecurity: An interdisciplinary review and framework proposal. International Journal of Information Security. Advance online publication. https://doi.org/10.1007/s10207-025-01032-0

Li, Y., Yazdanmehr, A., Wang, J., & Rao, H. R. (2019). Responding to identity theft: A victimization perspective. Decision Support Systems, 121, 13-24. https://doi.org/10.1016/j.dss.2019.04.002

Makridis, C. (2021). Do data breaches damage reputation? Evidence from 45 companies from 2002-2018. Journal of Cybersecurity, 7(1), tyab021. https://doi.org/10.1093/cybsec/tyab021

Morgan, P. L., Asquith, P. M., Bishop, L. M., Hockey, G. R. J., & Raywood-Burke, G. (2020). A new hope: Human-centric cybersecurity research embedded within organizations. In International conference on human-computer interaction (pp. 204-215). Springer. https://doi.org/10.1007/978-3-030-50309-3_14

National Institute of Standards and Technology. (2012). Guide for conducting risk assessments (NIST Special Publication 800-30 Rev. 1). U.S. Department of Commerce. https://doi.org/10.6028/NIST.SP.800-30r1

Proofpoint. (2025). 2025 voice of the CISO report. https://www.proofpoint.com/us/resources/threat-reports/voice-of-ciso

Rosati, P., Deeney, P., Cummins, M., Van der Werff, L., & Lynn, T. (2019). Social media and stock price reaction to data breach announcements: Evidence from US listed companies. Research in International Business and Finance, 47, 458-469. https://doi.org/10.1016/j.ribaf.2018.09.007

Sophos. (2025). The human cost of vigilance: Addressing cybersecurity burnout in 2025. https://www.sophos.com/en-us/blog/report-addressing-cybersecurity-burnout-in-2025

TechAisle. (2025). 2025 SMB cybersecurity report. TechAisle Research.

U.S. Bureau of Labor Statistics. (2024). Household dependency and employment statistics. U.S. Department of Labor. https://www.bls.gov/

U.S. Small Business Administration. (2024). Small business profile. Office of Advocacy. https://advocacy.sba.gov/

Verizon. (2025). 2025 data breach investigations report (DBIR). Verizon Business. https://www.verizon.com/business/resources/reports/dbir/

蓮見祥子 2026/01/12 07:09:21 Comment(0)

コメント

コメントを投稿する