セキュリティ セキュリティ セキュリティ セキュリティ事例 事例 事例 事例の の の の分析 分析 分析 分析

4.3.1 本研究本研究でとりあげる本研究本研究でとりあげるでとりあげるセキュリティでとりあげるセキュリティセキュリティセキュリティ事例事例事例事例

ある学校の教員用PCで発生したセキュリティ事例に着目する [NPO情報セキュリテ ィフォーラム 07]。

事例において、この PC は、セキュリティ対策のためセキュリティ推進部門であるシ ステムの管理者によって週1回のパスワードの変更が必要となるよう設定されていた。

しかし、利用者である教員がそれを覚えきれないためパスワードを記した紙を机の引き 出しに保存し、それが学生に知られて PC 内の情報が漏えいした。漏えいした情報の中 には理解度試験が含まれていたため、理解度試験の再作成とその実施が必要となった。

その教員は以前はパスワードを記憶していたが、それを忘れたため推進部門に依頼して 取り消し・再発行の手続きをしたことがあり、その時の経験からパスワードを紙に書い て記録していた。

この事例では、セキュリティ推進部門のとった推進策は「パスワードを一週間ごとに

変える」であった。すなわち、セキュリティ推進部門の取り得る戦略は、「パスワードを 一週間ごとに変える」と「パスワードを一週間ごとに変えない」である。戦略「パスワ ードを一週間ごとに変えない」をとった場合、パスワードの変更は従業員（本事例では 教員）の判断に任されることになる。

推進部門が「変える」の戦略を選択した場合、従業員は、システムにより強制的に一 週間ごとの変更を強いられる。このため、従業員が取り得る戦略は、「決めたパスワード を覚える（紙に書き留めない）」か「決めたパスワードを覚えない（紙に書き留める）」

のいずれかとなる。

4.3.2 パラメータパラメータのパラメータパラメータののの算出算出算出算出

従業員のペイオフ G2 を構成するパラメータの値を種々の公表値をもとに求める。共 通の評価尺度とするため、ペイオフの値は全て金額に換算して算出する。

4.2 で述べたように、実際のセキュリティ事例における損害額や対応費用、従業員が 認識するセキュリティ事故の発生確率などを具体的に求めた先行研究は見当たらない。

また、セキュリティという特殊性のため、事故の発生自体の公表がなされない場合もあ る。公表された場合でもその詳細については明らかにされないことが多く、部外者が追 調査を行うこともまた困難である。

本事例のような教育現場におけるセキュリティ事象も、詳細な情報の公開や分析を行 った例は見当たらない。そこで本研究では、公表されている各種の調査データや統計デ ータを用い、妥当と思われる推定を行って計算する。セキュリティ施策は継続的に行わ れるため、単位時間あたりの値で考える。単位時間は１年とする。

（１）従業員の時間あたりのコスト

総務省の調査[総務省、09]によれば、高等学校教育職の月額平均給与は430,111円とさ れている。月の労働時間20日、1日8時間とすると、

430,111円÷(20日×8h) ≒ 2,688［円/h］ …(22)

が、従業員の時間当たりのコストとなる。本研究では今後この金額を従業員の時間当 たりのコストの値として用いる。

（２）セキュリティ対策実施による業務効率の低下量Yd

従業員がセキュリティ対策を行うことによる業務効率の低下量Ydは、一つのパスワー ドを作成し記憶するのに必要な時間となる。十分なセキュリティ強度を持ついわゆる「良 いパスワード」の必要性や生成方法は、政府・公共機関や一般の雑誌などでとりあげら れており、多くの組織でも従業員に対する教育が行われている[警察庁 03][IPA 08][日 経パソコン 08] [日経パソコン 10]。従業員は、これらに従って、パスワードを考案し、

それを記憶に留めるよう暗誦し、パソコンのパスワード変更画面でそれまでのパスワー

ドを入力した後に新たなパスワードを入力し、確認のため同一のパスワードを入力する。

これらの作業は通常は数分で完了する。ここでは、その時間を3分とする。時間当たり のコスト式(22)から、

Yd＝2,688円/時×（3/60）≒134.4［円］ …(23) となる。

（３）セキュリティ対策に従うための対応コストCa

セキュリティ推進部門が戦略「パスワードを一週間ごとに変更する」を選んだ場合、

従業員は、最初のパスワード設定に加え、さらに51回のパスワードの作成と記憶を年間 に行う必要がある。この51回分の作業は、従業員から見れば推進部門から指示されそれ に従うのに必要なコストCaとなる。式(23)から、

Ca＝134.4円×51回＝6,854［円］ …(24) となる。

（４）事故が発生したときの損失量Y2

推進部門が一週間ごとのパスワード変更を指示せず、従業員もそれを行わなかった場 合には、ある確率でセキュリティ事故が発生し、業務上の損失が生じる。本事例の場合 は、実際に漏えいが発生して理解度試験の再実施が必要となった。よって、理解度試験 の再作成、再実施、再採点、再集計等の手間が事故発生時の損失Y2となる。理解度試験 の再作成、再実施の準備と実施、再採点と再集計に合計2日間分の手間がかかると想定 する。時間当たりのコストから、

Y2＝2,688（円/h）×2日×8h＝43,008［円］ …(25) となる。

（５）ペナルティV

推進部門から一週間ごとのパスワードの変更を指示されたとき、従業員がその指示に 従わずにパスワードを紙に書き留める戦略をとった場合には、ランダムな文字列を紙に 記載するだけの作業で済むので、それに必要なコストはほとんどかからない。しかし、

それにより事故が発生した場合には、従業員はペナルティを受ける。

民間企業の人事労務担当者に対しておこなった、従業員に対する処分内容の調査[労務 行政研究所編集部 10]によると、提示した12 の違反事項のモデルケースのうち、意図 的かつ悪質な二つのケース「社内機密データを勝手に持ち出し、インターネット上で公 開した」と「上司のパスワードを使って、アクセス権のない社内機密データに不正にア クセスし、コピーした」以外は、最も多かった処分は譴責（始末書提出）であった。こ れは、最も処分が重い場合を想定しての回答である。よって、ここでは従業員がパスワ ードを紙に書いて書きとめ、それが事件事故となった場合に受けるペナルティVを、始

末書の作成と上司や関係者への謝罪とする。これには半日の時間がかかると想定する。

時間当たりのコストから、

V＝2,688（円）×4h＝10,752［円］ …(26) となる。

（６）従業員が認識する事故の発生確率P2

従業員が認識するセキュリティ事故の発生確率の数値を算出する。

4.2.1で述べたように、セキュリティ事故において従業員が事故の発生確率をどの程度

の値と認識していたかの報告例はない。本事例の従業員に対して新たに調査を行うのも 極めて困難である。また、広く一般のインターネットユーザーに対して行ったアンケー トはあるが、「現在のインターネットの安全性は、100%中、平均 54.8%」に感じている という漠然とした評価結果であった[さくらインターネット(株) 09]。一方、広くリスク についてその実際の発生頻度を報告した例[武田、06]はあるが、人口10万人あたりの年 間の死亡者の数であり、重大とはいえ命に関わるようなことの少ないセキュリティ事故 の確率とは、状況が異なっていると思われる。

そこで本研究では、学校における情報漏えいの発生状況の調査結果から、発生件数の 率を従業員の認識する事故の発生確率とみなして算出する。

本研究では、経済産業省が実施した調査[経済産業省 03b]に着目した。この調査は無 作為に抽出した全国の小中高等学校206校に対して行われたもので、回収99部（回収率 48%）、回答校105校であった。この中に、情報セキュリティ事故の経験の有無を尋ねた 問いがある（問い(29)番）。その内容と得られた回答を抜粋して表4.1に示す。

この問いにおいて、②、③、④が情報漏えいの経験である。これらの合計は8件なの で、回答した学校の総数105件から、従業員が認識する事故の発生確率P2は

P2＝8÷105≒0.0762＝7.62［%］ …(27) となる。

以上、算出した本セキュリティ事例のパラメータの値をまとめたものを表4.2に示す。

表4.1 情報セキュリティ事故の経験（全国の学校に対する調査からの抜粋）

選択肢 ① ② ③ ④ ⑤ ⑥ ⑦ ⑧ ⑨ 計

小学校 18 1 0 1 0 1 0 34 3 58

中学校 17 3 1 1 0 0 1 11 1 35

高等学校 8 0 1 0 0 0 0 3 0 12

回答数 43 4 2 2 0 1 1 48 4 105

　⑦ その他の事故 （ 　　　　 ） 平成１５年度　初等中等教育現場における情報セキュリティに係る現状調査

グローバルセキュリティエキスパート株式会社　実施 財団法人コンピュータ教育開発センター　協力 経済産業省平成15年度受託事業

平成16年3月公表

(29) 情報セキュリティにまつわる事故を経験したことはありますか (①～⑦までは複数回答可）。

　⑧ 特になし。

　⑨ わからない。

調査方法と期間

アンケート方式:平成16年2月1日～平成16年2月20日 アンケート配付先と回収率

全国の小中高等学校無作為抽出206校配付、回収99部(回収率48％)

　① コンピュータウイルスに感染した。

　② 外部から不正アクセスが行われた。またはネットワークを通して攻撃が行われた。

　③ 内部で不正アクセスが行われた。または、校内LANから攻撃が行われた。

　④ 情報の漏えいがあった。

　⑤ 公開しているホームページの改ざんがあった。

　⑥ メールサーバが踏み台などで利用された。

表4.2 本セキュリティ事例のパラメータの値

パラメータ 値 単位 意味

Y_d 134.4 円 セキュリティ対策実施による業務効率の低下量 C_a 6,854 円 セキュリティ対策に従うための対応コスト

Y₂ 43,008 円 事故が発生したときの損失量 V 10,752 円 ペナルティ

P₂ 7.62 ％ 従業員が認識する事故の発生確率