A stochastic Gordon-Loeb model for optimal cybersecurity investment under clustered attacks

本論文は、サイバー攻撃のクラスター化をホークス過程でモデル化した連続時間確率モデルを開発し、動的計画法を用いて従来のゴードン・ロエブモデルを拡張することで、現実的な脅威動向を考慮したより効果的なサイバーセキュリティ投資戦略を導き出すことを提案しています。

要約

🏰 物語：お城と「群れ」で襲ってくる敵

昔から、お城（企業や組織）を守るためには、壁を高くしたり、兵士を増やしたりする「セキュリティ投資」が必要です。
しかし、**「いつ、どれくらい、お金を使えば一番得なのか？」**という答えは、実は簡単ではありません。

この論文は、これまでの考え方を大きくアップデートしました。

1. 従来の考え方：「静かな海」のモデル

昔の有名なモデル（ゴードン・ロエブモデル）は、敵が**「静かな海」**のように、一定の間隔で、ランダムに一人ずつ襲ってくるものだと考えていました。

• イメージ: 砂漠に一人ずつ現れる盗賊。
• 対策: 「年間予算を決めて、毎日少しずつ壁を補強しよう」という**「静的な計画」**でした。
• 問題点: 現実のサイバー攻撃は、そうではありません。

2. 新しい発見：「群れ」で襲ってくる敵（ホークス過程）

この研究が注目したのは、サイバー攻撃には**「群れ（クラスタ）」**で襲ってくる性質があるという事実です。

• イメージ: 嵐が来る時、最初はポツリと雨が降りますが、ある瞬間に**「ドッカン！」と集中豪雨になり、その後も「波のように次々と」**襲ってきます。
• 仕組み: 一つの攻撃が起きると、システムに隙ができたり、他の攻撃者が刺激されたりして、**「次の攻撃が起きやすくなる」**という連鎖反応（自己励起）が起きます。
• この研究の役割: 従来のモデルは「静かな海」しか見ていませんでしたが、この論文は**「嵐の予報（ホークス過程）」**を使って、攻撃が「群れ」で来る現実をモデル化しました。

---

🌊 核心：どうやって「賢く」投資する？

この研究が提案するのは、**「状況に応じて即座に反応する、しなやかな投資戦略」**です。

💡 アナロジー：「天気予報と傘」

• 古い方法（静的モデル）: 「今日は雨の確率が 30% だから、1 日 1 本だけ傘を持っていこう」と決める。
  • 結果：突然のゲリラ豪雨（攻撃の群れ）が来たら、傘が足りなくて濡れてしまいます。
• 新しい方法（この論文のモデル）: **「リアルタイムの天気予報」**を見ながら行動します。
  • 空が少し曇ってきたら（攻撃の兆候）、傘を 1 本持っておく。
  • ドッカン！と雨が降り出した瞬間（攻撃が集中した瞬間）、予報が「激しい雨が続く」と示せば、**「今すぐ傘を 10 本もって、壁を強化する！」**と即座に判断します。
  • 雨が上がれば、また少し力を抜く。

このように、「攻撃の波（群れ）」を察知して、その瞬間に投資額を増減させるのが、この論文が導き出した「最適解」です。

---

📊 研究が示した驚きの結果

この「しなやかな戦略」を実際にシミュレーションしたところ、以下のような素晴らしい成果が得られました。

1. 「群れ」を無視すると損をする

   • 攻撃が「群れ」で来ることを無視して、平均的な頻度だけを見て計画を立てると、「いざという時の備え」が不十分になります。
   • 逆に、群れを考慮した戦略を使うと、同じ予算でも、より大きな損失を防げることがわかりました。

2. 投資の「タイミング」が命

   • 攻撃が集中している最中に、**「今、一番お金を使うべきだ！」**と判断して投資を増やすことで、次の攻撃のダメージを劇的に減らせます。
   • 逆に、攻撃が落ち着いている時は、無理に投資しすぎず、コストを抑えることができます。

3. 保険料も安くなる

   • この「賢い投資」をすることで、お城が壊れる確率（損失）が減るだけでなく、「壊れる時のバラつき（リスク）」も小さくなります。
   • 保険会社から見れば、「このお城は守りがしっかりしている」と判断され、保険料（プレミアム）を安く設定できる可能性が高まります。

---

🎯 まとめ：この論文が伝えたいこと

この研究は、**「サイバーセキュリティは、一度決めた計画を淡々と実行するものではなく、敵の動き（攻撃の波）に合わせて、常に柔軟に反応するスポーツのようなもの」**だと教えてくれます。

• 古い考え方: 「予算を決めて、毎日同じように守る」。
• 新しい考え方: 「攻撃が集中しそうな瞬間を見極め、その瞬間に全力で守る」。

この「リアルタイムな反応力」を持つことが、現代のサイバーリスクから身を守るための、最も賢く、最も効果的な方法なのです。

「嵐が来る前に傘を差す」だけでなく、「嵐が激しくなった瞬間に、さらに大きな屋根を被せる」。
そんな、しなやかで賢い守りの重要性を、数学が証明してくれました。

技術概要

以下は、Giorgia Callegaro らによる論文「A stochastic Gordon-Loeb model for optimal cybersecurity investment under clustered attacks（クラスター型攻撃下における最適なサイバーセキュリティ投資のための確率論的 Gordon-Loeb モデル）」の技術的な要約です。

1. 問題の背景と定義

現代の組織にとって、サイバーリスクは主要な運用リスクの一つであり、攻撃の頻度と被害額は増加傾向にあります。従来のサイバーセキュリティ投資モデル（特に Gordon-Loeb モデル）は、静的な枠組みであり、攻撃の「時間的クラスタリング（連続して発生する傾向）」や、投資のタイミングを動的に最適化する課題を十分に扱えていませんでした。

本研究は、以下の課題を解決することを目的としています。

• 攻撃のクラスタリング特性の反映: サイバー攻撃は単発ではなく、脆弱性の発見やマルウェアの拡散に伴い、時間的に集中して発生する（自己励起性を持つ）という実証的な特徴をモデルに組み込む。
• 動的な投資最適化: 攻撃の発生というランダムな事象に対して、リアルタイムで適応的に投資額を調整する最適なポリシーを導出する。
• 投資の非線形性と減価償却: 技術の陳腐化（減価償却）と、大規模投資における限界効用逓減を考慮したコスト構造の導入。

2. 手法とモデルの概要

2.1 攻撃のモデル化：ホークス過程 (Hawkes Process)

攻撃の到着を記述するために、ポアソン過程ではなくホークス過程を採用しました。これは、ある事象の発生が将来の事象発生確率を高める「自己励起（self-exciting）」特性を捉えるために不可欠です。

• 攻撃数 $N_t$ はホークス過程としてモデル化され、その確率的強度（ハザード率）$\lambda_t$ は以下の式で記述されます。
  $$\lambda_t = \alpha + (\lambda_0 - \alpha)e^{-\xi t} + \beta \sum_{i=1}^{N_t} e^{-\xi(t-\tau_i)}$$
  ここで、$\beta > 0$ は自己励起の強さ、$\xi$ は減衰率を表します。攻撃が発生すると $\lambda_t$ が一時的に上昇し、攻撃が連続して発生する「バースト」現象を再現します。

2.2 投資と脆弱性のダイナミクス

• セキュリティレベル ($H_t$): 投資率 $z_t$ と技術的陈腐化率 $\rho$ を考慮し、連続的な微分方程式で定義されます。
  $$dH_t = (z_t - \rho H_t)dt$$
• 侵害確率: 攻撃発生時 $\tau_i$ における侵害確率は、その時点のセキュリティレベル $H_{\tau_i}$ に依存する関数 $S(H_{\tau_i}, v)$ で与えられます（Gordon-Loeb モデルの拡張）。
• 損失: 侵害が発生した場合、確率的な損失 $\eta_i$ が生じます。

2.3 最適制御問題の定式化

目的は、計画期間 $[0, T]$ における期待純便益の最大化です。

• 目的関数: 投資による期待損失の減少額から、投資コスト（線形項と凸な二次項で構成され、急激な投資を抑制）を差し引き、期末のセキュリティレベルの残存効用を加算したものを最大化します。
• 状態変数: 確率的強度 $\lambda_t$ とセキュリティレベル $H_t$ の 2 次元マルコフ過程。
• 解法: この問題は 2 次元の確率的最適制御問題として定式化され、**動的計画法（Dynamic Programming）**を用いて解かれます。価値関数 $V(t, \lambda, h)$ は、ハミルトン・ヤコビ・ベルマン (HJB) 偏積分微分方程式 (PIDE) を満たします。

3. 主要な貢献

1. 確率的・動的な Gordon-Loeb モデルの構築:
   従来の静的モデルを、攻撃のクラスタリング特性を捉えるホークス過程と、リアルタイム適応的な投資ポリシーを可能にする連続時間確率制御フレームワークに拡張しました。
2. 数値解法の開発:
   非線形 PIDE を解くための効率的な数値手法（直線法と ODE システムの離散化）を開発し、最適投資ポリシーを計算可能にしました。
3. クラスタリング効果の定量的評価:
   静的なポアソン過程モデルや一定投資戦略との比較を通じて、攻撃のクラスタリングを無視することがいかに非効率な投資判断につながるかを数値的に示しました。
4. 保険への示唆:
   サイバーセキュリティ投資を「自己保険」として解釈し、最適な予防策が期待損失だけでなく、損失の分散（変動性）も減少させることを示しました。これにより、サイバー保険の保険料算定における予防措置のインセンティブ設計に理論的根拠を提供しました。

4. 数値結果と知見

シミュレーション実験（標準パラメータ設定）により以下の結果が得られました。

• 動的ポリシーの優位性:
  最適動的ポリシーは、一定投資戦略（静的ポリシー）と比較して、期待純便益が最大で15% 程度向上しました。特に初期セキュリティレベルが低く、攻撃リスクが高い状況でその効果が顕著です。
• クラスタリングの影響:
  • ホークス過程 vs ポアソン過程: 攻撃頻度の平均値が同じであっても、攻撃がクラスタリングする（ホークス過程）場合、ポアソン過程を仮定したモデルよりも高い投資が行われるべきであることが示されました。
  • リスク回避: クラスタリングを無視したモデル（ポアソン）は、攻撃バースト時のリスクを過小評価し、結果として投資不足に陥ります。
• 適応的な投資行動:
  最適投資率 $z^*_t$ は、現在の攻撃強度 $\lambda_t$ に応じてリアルタイムで調整されます。攻撃強度が上昇し（クラスタ発生時）、特に平均強度を超える局面では、投資額が劇的に増加し、防御態勢を強化します。
• 保険料への影響:
  最適な予防策（動的投資）を採用することで、期待損失は約 65% 減少し、損失の標準偏差も約 53-57% 減少しました。標準偏差原理に基づく保険料算定では、これにより保険料が約 63% 低下することが示されました。

5. 意義と結論

本研究は、サイバーリスク管理において「攻撃の時間的依存性（クラスタリング）」を考慮することの重要性を浮き彫りにしました。

• 実務的意義: 組織は、攻撃が単発ではなく連鎖的に発生するリスクを認識し、攻撃の兆候（強度の上昇）に応じて即座に投資を増額する適応型戦略を採用すべきです。
• 保険・規制への示唆: 保険会社や規制当局は、単なる平均的な攻撃頻度だけでなく、攻撃のバースト特性を考慮したリスク評価を行い、予防措置（セキュリティ投資）のレベルに応じた保険料の差別化（ダイナミック・プライシング）を推進するべきです。
• 学術的貢献: 確率的最適制御とホークス過程を組み合わせることで、現実的なサイバー攻撃環境下での投資意思決定を定量的に分析する新たな枠組みを提供しました。

結論として、静的なモデルや単純な確率過程に基づくアプローチでは、サイバー攻撃の動的かつ複雑な性質を捉えきれず、非効率な投資決定を招く可能性があります。本研究で提案された確率的枠組みは、より現実的で効果的なサイバーセキュリティリスク管理の基盤となります。