「情報セキュリティエコノミクスシンポジウム2013 〜情報セキュリティエコノミクスは何に役立つか〜」に行ってきた。
- 日時:2013年3月5日(火) 10:00〜17:30
- 会場:コクヨホール (東京都港区港南1-8-35)
- 主催:独立行政法人情報処理推進機構(IPA)
- 後援:経済産業省、情報セキュリティ政策会議、特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)、独立行政法人経済産業研究所(RIETI)、
【概要:Webより】情報セキュリティに関連した事象に対する社会科学的分析は、海外では2001年頃から取り組まれており、個人や社会、制度や経済などの観点からの取り組みが必要とされています。一方国内では、学術分野での取り組みが少数見受けられる程度です。
IPAでは、情報セキュリティエコノミクスと呼ばれる分野における取り組みとして、「組織の内部不正防止ガイドライン」の作成や「日本的経営と情報セキュリティ研究会」における活動を行ってきました。これらの取り組みを紹介し、情報セキュリティエコノミクスの意義を広めることおよび国内における活動を推進するためのイベント「情報セキュリティエコノミクスシンポジウム2013」を開催いたします。
IPAのセミナーも久しぶりだ。いつものことだが、すべての発表資料が1冊に製本されて、きっと金があるんだろうなと邪推してしまう。
開会挨拶
WEBで発表して2週間300名の応募があった。
IPAの紹介。400名の職員(正規200名)。ITが抱える多様な課題を解決し、だれもが安心して暮らせるたよれるIT社会を実現する。
IPAの4つの事業分野:IT社会の「安心」と「信頼」を作る。ITの明日を切り開く。中小企業の飛躍を支える。日本のITを世界と結ぶ。
IPAセキュリティセンターのミッションと事業。ミッション:経済活動・国民生活を支える情報システムの安全性を確保すること。普及啓発・国際連携。ウイルス・不正アクセス及び脆弱性対策。暗号技術。セキュリティの第三者認証。調査・分析(ラボ:2008年より)。企画。
これまでのセキュリティ対策の考え方:セキュリティマネジメント
情報セキュリティインシデントの現状:単純ミスから複雑なミスへ:単純なミスは少なくなったが複雑なミスが(管理ミスなど)が増加した。
情報セキュリティ対策実施上の問題点:経営者の支援:費用対効果が見えない。どこまですればいいのは基準が示されていない。などが多い。
情報セキュリティエコノミクスが対象とする領域:経済学・社会学・心理学などの総合的社会学分野によるアプローチ政策。国家情報セキュリティセンター。・・・
本セミナーは長丁場になるけどよろしくお願いします。関係各機関の支援に感謝する。
セキュリティエコノミクスに期待すること
スマートフォンの普及:スマートフォンをねらった攻撃。
SNSの利用の本格化:SNSの利用率は2012年末には50%を越えた。これに伴い、いままで想定されなかった問題も発生している。(ホテルアルバイトのつぶやき、など)
サイバー空間を取り巻くリスクの深刻化
情報漏洩時案(最近の事例):管理ミス、従業員の不注意等による事件・事故が後を絶たない。多くの事故は日頃の情報セキュリティ対策により防げると考えられる。
標的型攻撃の半数は、従業員2500人未満の規模の企業。政府機関のほか、製造業企業、金融機関等様々な企業がターゲット。
最近のサイバー攻撃等(攻撃数):標的型とみられるサイバー攻撃を受けたことがある(企業)2007年5.4%→2011年33%。「ない」と回答したところは本当にわかっているのか。
最も弱いところがねらわれる:弱い部分はどこにある?機械と人間。通常業務と窓口業務。企業と団体。職員と関係者。(たとえば、お宅のストーブを買ったら火を噴いた。写真を添付する。→メールを開けざるを得ない→ウイルスに感染する)
情報セキュリティインシデントが経営に与える影響:倒産、訴訟、・・・
社会人にとって必要不可欠な情報セキュリティの素養:ITパスポート試験の点数…
情報セキュリティ対策の社会的な取り組み:OSやソフトのアップデート、ウイルス対策ソフト。システムの堅牢性。ウイルスの発見、不信システムの挙動。攻撃パターン、不信メールの・・・
「読み書き・そろばん」+「セキュリティ」:経営者の意識改善なども必要。
企業における脅威と被害の新たなモデル
現状のIPAにおける被害額算出モデル。狙い:情報セキュリティ対策にはコストがかかり、経営層の理解を得ることが難しい。経営層を説得するための指標がないか?→セキュリティインシデントが及ぼす経済的損失を明らかにすることが求められているのではないか。
・情報セキュリティ対策の推進、普及を図るための材料の提供
・セキュリティインシデントが及ぼす経済的損失の度合いを把握するモデルの提供
被害額算出モデル(マクロモデル)
1企業当たりの平均被害額×国内企業数×インターネット利用率×ウイルス感染率=国内企業の総被害額
被害額算出モデルの改定の考え方
・ミクロモデル=算出目的を明確化し、対象被害の拡大を検討
・マクロモデル=過去データのぶれ幅を参考に、推進方法の見直しを検討
【まとめ】
<情報セキュリティインシデントに伴う被害・損失の把握>
研究会において、一定の課題を整理するとともに、新たな推計方法も提示。
今後とも、企業経営または政策判断に資するための取り組みが、ミクロ面及びマクロ面の両面から求められる。
あまりにも話(しゃべり)が早すぎるので、何を言っているのかよくわからなかった。もう少しゆっくりしゃべればいいのに…。
情報セキュリティにおける被害分析結果
情報セキュリティ事象被害状況調査
・IPAがセキュリティ被害の実態調査を主眼に1998年度より開始
・以下の情報に関して、調査対象年度時の状況を質問:企業情報(従業員数、売上高、上場、業種、その他)。導入している/していない情報セキュリティ対策。情報セキュリティ被害遭遇の有無(コンピューターウイルス感染、サイバー攻撃など)。被害内容の詳細。被害からの復旧作業に関する詳細。
検証テーマ:どのような対策を講じた場合、セキュリティ被害遭遇のリスクを減らすことができるのか?
検証結果:導入により感染確率減少効果が見込まれる対策→Web閲覧フィルター。機器・記録媒体の持ち込み・持ち出しの制限
今後の課題:対策の代替性の厳密な検証、対策の補完性の検証、対策パッケージの検証
経済学におけるリスクとセキュリティの考え方
1.水と唖然は自由財か:リスクと国民性
・アメリカ留学中の酒井はノウテンキ
・セキュリティ国民性:ベンダサンからもう一撃
2.リスクの経済学:古くて新しい学問
・リスク観の今昔:伝統的にリスクをドクと考える傾向
・リスク観は時代と風土によって変化
話が脇道にそれてばっかりで、肝心な内容は「私の本を買って読め」って…。
情報セキュリティと倫理調査の分析結果報告
内容
・情報倫理ってなに
・倫理教育が求められている:常識が疑われる事例。倫理教育は情報セキュリティとともに。
・情報セキュリティに倫理は必要
・IPAアンケート調査結果の紹介
まとめ
- ネットには様々な情報が氾濫し、誰もがアクセスでき、また容易に発信することもできる
- 情報を発信する側の倫理が求められている:インターネット利用者に対する倫理教育
- 情報を受け取る側の情報リテラシーも求められている:情報の真偽を判断する能力
企業ガバナンスと情報管理の境目
ガバナンスと経営は情報次第:正確な情報をタイムリーかつ十分に受け、・・・
通常の「コンプライアンス」関連の課題ではないが、日本企業が検討すべきもの
1)取締役会が受ける情報の頻度、質、方法
余裕をもって読みたい。場合によって、事前に質問・相談をしたい。取締役会の何週間か前にできている資料もある。過去の時系列列データ、パフォーマンス指標など、時間をかけて常に分析したい情報もある。頻度の課題。紙VS電子。前夜、4メガバイトのPDFのおそろしさ。現状の問題。
BDTIの提案:役員会情報ハブ
クラウドにある。データだけではなく意見交換の場。M&Aのクラウド・データルームと同じ仕組みで情報セキュリティを確保する。デバイスによって、アクセス制限。X秒以内にシャットダウン。暗号化。個々の書類・ファイルのアクセス制限が設定できる。閲覧のみ、閲覧が許可されている人・されていない人、印刷可能・不可能、ダウンロード。書類・数字・ニュースがすぐに流れている。電子メールによる、内容にふれないアラーと。時系列の経理・指標数字など(まずは公表データ)をExcelファイルを落としてダウンロード可能。
2)有事の際、素早い反応と危機管理・対応
“Bad news travels fast”(悪事千里を走る)
しかし、社内では、必ず「悪事千里を走る」じゃない! ある種の情報に対して「すぐに報告するかどうか」に関する配慮を持たせない方が安全
“Up-the-ladder”の原則
PR・コミュニケーション専門家が唱える。公表「されてしまう」より、事前に当社が自発的に公表し、どのような対応プランを実行するか、を説明した法が100倍よい。日本の企業は比較的にこの点について下手であると思われる。
なぜ日本企業は比較的下手か? 「臭いものにふた」、内部の者同士の思考、先送りの組織的傾向。間違った「会社のため」という忠誠心。会社が恥にさらされることを避けようとして、挙げ句の果てにもっと大きな恥(たとえば、隠蔽事件)にさらされてしまう。外部むけのコミュニケーション・・・
遅れて認め、公表する場合のリスク:なるべく早期発見、早期対応、早期説明・公表・開示の大原則に従えば、自浄能力ある・・・
二次不祥事は怖い!:二次不祥事とは、一次不祥事を隠すこと、報告・公表・対応策が遅れてるいことによって「ガバナンスがしっかりしていない」、「信頼できない」というようにみられること。
二次不祥事は、消費者、行政当局、従業員などを敵に回す。「組織ぐるみ」と思われたら、マスコミと株主を本気にさせる。社長の説明を誰も信じない。消費者、投資家、顧客の利益より自社もしくは個人の利益優先主義の企業風土という評判が定着する。社会批判・・・
情報セキュリティが企業の戦略と成功にいかに大事なのか、一連の事件から明快
3)生産性向上のための情報・IT活用に関連する責任の所在とガバナンス
日本の製造業はイノベーション、海外移転、実質賃金低下などで、何とか生産向上を続けているが・・・
非製造業(サービス・セクター)の生産向上の伸び悩みはなぜ続くのでしょうか?
英米と比べてICT投資が出遅れた
日本的経営と情報セキュリティ
・そもそもの問題意識
・RISTEX研究成果(2010年)
・行動経済学的知見
・失敗学非親和性仮説
・セキュリティ経営
・エグゼクティブのためのいくつかのヒント
・属人風土と組織的逸脱
・組織風土と不正行為
・法人の運営に関するチェック・システム
・COSOフレームワークにおける取締役会への期待
・日本の監査制度
・リスク管理と非常時対応(3.11の経験から)
情報セキュリティエコノミクスのレシピ 〜情報セキュリティエコノミクスは何に役立つか〜
情報セキュリティ大学院大学 教授 林 紘一郎 氏
・パネリスト:
東京大学 教授 田中 秀幸 氏
中央大学 教授 大杉 謙一 氏
宮内宏法律事務所 弁護士 宮内 宏 氏
JNSA 事務局長、(株)ディアイティ 代表取締役社長 下村 正洋 氏
社会科学の分野で実務にどう役立つかをディスカッションする。
・大杉教授
商法・会社法が専門。セキュリティに関しては専門ではない。
1.情報セキュリティのコストは計算しやすいが、メリットは計算しがたい。→専門家に頑張ってほしい。
高度人材より中度人材が多く期待される。
2.日本では適度にリスクを取るという思考になりにくい?
適度なリスクテイキングは必要なのではないか。
3.企業の情報セキュリティの体制は、会社法でいう「内部統制システム」の一部。内部統制システム全体の中に情報セキュリティの体制が組み込まれる必要がある。
・宮内弁護士
自主規制か公的規制か:公的規制は、その強制力に利点がある。強制力を持つ以上、明確な基準が求められる:・・・
自主規制には多くのメリットがある:領域別・対象別に、きめ細かい内容を盛り込みやすい。:情報セキュリティの施策について、・・・
情報セキュリティ意識の向上:トップへの啓発:事例などを元に、対策の必要性をアピールし、・・・
「組織における内部不正防止ガイドライン」におけるトップへのアピール:経営者に対し、ガイドライン中の参照すべき箇所を明確にし、背景、概要、法制度、経営者の責任、体制構築について、基本的な事項の理解を促している。
異分野の協力について:異分野の協力の難しさ:そもそも、言葉遣いが違っているため、コミュニケーションが困難:研究のあり方、成果のあり方にも違いがあり、方向をあわせるのが難しい面がある。:学際的研究活動を成功させるためには・・・:鳴り物入りで実施した学際研究が、大きな成果を出さない例も多い。:いわゆるシナジー効果を出すには、一定の時間と人材の育成が必要なのではないか。
学際的分野として情報セキュリティ:情報セキュリティは、異分野間の壁を打破するのに好適な分野:本来的に、多くの分野の協力が必須:長期にわたる活動の継続が可能:情報セキュリティ、ガイドライン、対策等について、個別の対策を項目だけでなく、そのありかた、目的き、方向について、「熱い」議論をしていく必要がある
・下村JNSA事務局長
「セキュリティ産業が情報セキュリティエコノミクスに期待すること」
- セキュリティ対策推進の阻害要因
- 阻害要因解消について(必要性)
- 阻害要因解消について(効果)
- 阻害要因解消について(必要な対策)
・田中教授:いままでの発表にたいするコメント。
色々と議論されていたが、話についていけなかった。内容が難しすぎたわけではないのだが、畑違いのような話が出て理解できなかった…orz。
おまけ
会場近くの「博多らーめん 由丸」で昼飯を食べた。豚ばらチャーシュー麺は油ギトギトのこってり系だった。とんこつラーメンは大好きなのだが、油が多くて少し胃にもたれる感じだった。もう若くないということか…orz。それでも、スープまで全部美味しく頂きました。
