SISOC TOKYO 発足セミナー 企業価値向上のサイバーセキュリティ

東京大学 大学院情報学環 教授
田中 秀幸 教授
08

 田中教授は、これまで情報セキュリティの経済的分析について研究されており、社会科学のアプローチで取り組んでいくとの挨拶があった。これまでの研究の蓄積について発表いただいた。

サイバー攻撃の狙いの変容

 今日は、「企業価値」に着目して話をしたい。長期のスパンで見ると、サイバー攻撃の狙いが変わってきている。以前は愉快犯的、自己顕示欲を満足させる方向にあった。しかし、2000年代後半以降、それが金銭目的に変わっている。標的型攻撃のように、特定の組織や企業を狙って情報をとることで、企業価値に影響を与えるようになってきている。

2013年末のターゲット社へのサイバー攻撃

 企業価値にどのように影響を与えるかについての例を示したい。2013年末のターゲット社(アメリカの総合スーパー)の例では、4000万件のクレジットカード情報が盗まれ、7000万件の個人情報が漏洩し、CEOが退任する事態となった。
 その時の株価がどうなったか。クリスマス商戦前に「67ドル」だった株価は、3ヶ月後、「55ドル」まで下がってきている。17%株価が下落した。時価総額にして、9000億円のマイナスで大きなダメージとなった。

2014年の日本の事例

 日本で個人情報が漏洩した事例を1つ紹介する。このケースでは、約2,900万件の顧客情報が外部に流出した。このインシデントによって当該企業の株価は、約4500円から約3200円に27%下落した。時価総額でみると、1000億円以上を失ったことになる。同企業は、260億の特別損益を計上したが、時価総額でみるとそれ以上の被害となったとも言える。
 近年発生しているサイバーセキュリティ攻撃は、企業価値に直結しており、非常に大きなインパクトが有ることに留意する必要がある。

企業価値

 企業価値として株価を見ているが、それは企業が将来得ると期待されるキャッシュフローの割引現在価値が株価に反映されるからである。
 キャッシュフローを生み出すのは、設備などの目に見える資産だけではない。人材、ブランドなどの目に見えない資産も重要である。また、ブランドが確立していれば、多少のインシデントがあっても影響が受けにくくなる効果も期待される。さらに、ブランド価値がセキュリティに対して、積極的に株価を上げる場合もある。
 この寄付講座の研究では、主に株価に着目しながら、セキュリティと企業価値について研究を進める。

セキュリティ・インシデントの負の影響

 ターゲット社の例で示したように、セキュリティ・インシデントが公表されると株式市場は悪く反映する。イベントスタディに基づく先行研究で見ると、1-3%下落を引き起こしている。
 ただ、国別や時代によっても反応は異なる。また、セキュリティ・インシデントが発生しても、株価が下がらないケースもあり、どのようにすればうまく対処できるかも重要になる。こうした論点についてこれから研究したいと考えている。

サイバーセキュリティ・ブランド:セキュリティ対策の正の効果

 セキュリティ対策が企業価値に及ぼすポジティブな効果についても紹介したい。セキュリティ対策を積極的に情報開示している企業は株価が上がることが知られている。シグナル効果とも言われるが、対策を講じていることを明らかにすることで、信用度が増し、サービス利用者などが増える積極的な効果がある。セキュリティ投資を単なるコストとして捉えるのではなく、前向きな投資であるという点にも着目して、この寄付講座では分析していきたい。

IoT時代のサイバーセキュリティと企業価値

 今年7月に報道された事例であるが、クライスラーのUコネクトというサービスで、140万台のリコールがあった。セキュリティホールを開示し、外部から乗っ取られて自動車を制御されることを明らかにした。この事例では、フィアット・クライスラー社の株価は2%下落した。同サービスにネットワークを提供していたスプリント社の株価は8%も下落した。このようなIoT時代のサイバーセキュリティと企業価値についても、本寄付講座の中で研究していきたい。

 最後に、「負の影響の軽減」「サイバーセキュリティ・ブランドの構築」「IoT時代のサイバーセキュリティと企業価値」の3つの軸で、企業価値を向上するサイバーセキュリティを考えていきたいと、これからの研究の方向性を示して講演を締めくくった。

  • パンフレットダウンロード