今後 今後 今後 今後の の の の課題 課題 課題 課題

組織におけるセキュリティ対策においては、技術的な方策と共にマネジメントが重要 である。しかし、従来、セキュリティマネジメントは、ベストプラクティスの実行やPDCA

サイクルの実施などのような、いわゆる企業マネジメント的な面からの研究と実践が主 であった。セキュリティの分野は、人がどのような場合にどのように行為の効果やリス クの大きさを認識するかという問題と大きく関係するので、研究で行ったようなゲーム 理論を用いたアプローチに加え、環境寄与行動やリスク認識などの、先行する社会科学 的な研究の知見を取り入れて研究を進めていく必要がある。

ゲーム理論的なアプローチとしては、n人ゲームへの拡張や複数のプレーヤからなる 構造のモデル化や、繰返しや混合戦略を含めたゲーム、複数の意思決定者が異なった状 況認知を行うような複雑な意思決定の状況を描写するハイパーゲーム[高橋 01]による 研究、ゲームのパラメータの精緻化に加え、xy平面とペイオフマトリックスとの関係に ついての精緻化などが今後の課題である。

謝辞 謝辞 謝辞 謝辞

本論文を終えるにあたり、電気通信大学大学院情報システム学研究科の太田敏澄教授、

諏訪博彦先生に、深く感謝いたします。太田先生には、私が長年の間一人混沌の闇の中 で思い悩んでいた課題に対し、眩いほどの「智」の光を当てることによってその特質を 鮮やかに浮かび上がらせていただき、これを研究のテーマとすることが出来ました。そ して、研究を進める中、卓越した見識と豊かな知見に裏打ちされた適切なご指導をいた だき、論文としてまとめることが出来ました。諏訪先生には、研究の手順や進め方、情 報収集の方法から資料のまとめ方などさまざまな面において、本当に貴重で有益なご支 援とアドバイスをいただきました。

指導教官である山本佳世子准教授、鬼塚真准教授、藤村考先生、審査員の福田豊教授、

鬼塚真准教授、阪口豊教授、吉永努教授、吉浦裕教授の先生方には、幅広い視点と深い 考察に基づく多くの貴重なご意見・ご指摘を頂きましたことを感謝いたします。

進学に対して深い理解を示し励まして下さった、出向先の上司であり元社長でもあっ た独立行政法人情報処理推進機構（IPA）理事長（当時）の故・西垣浩司様、IPA情報セ キュリティセンター長（当時）の山田安秀様、矢島秀浩様、IPA 情報セキュリティ分析 ラボラトリー長の小松文子博士に感謝いたします。

社会人学生としての私の活動を理解し協力していただいた会社の多くの皆様に感謝 いたします。

輪講での議論に積極的に参加し、多くの有益な示唆や意見をいただいた研究室の皆さ んに感謝いたします。毎回の輪講が終了した後も知的興奮で気分が高揚し、次の輪講の 開催がとても待ち遠しく感じられたのも、皆様のおかげです。

私を理科系の道にいざなって下さった、故・米山正信先生、故・遠藤耕喜博士、故・

C.L.Stong氏、故・手塚治博士に感謝します。

現代の科学力を総動員してもいまだに歯がたたない筋ジストロフィーという難病に とりつかれ、誰よりも死を意識しながら、誰よりも前向きに誰よりも明るく生き、私を 含めた周囲の多くの人々に深い慈愛をそそいで人生の価値と生き方を示してくれた、

故・太田美和子様に感謝いたします。

ここに名前を記すことのできなかった多くの方々の協力と声援に感謝します。

最後に、さまざまな面で私を支えてくれた両親と家族に、心より感謝します。

文献 文献 文献 文献

[アイシェア 08] (株)アイシェア、「コンピュータウイルスに対する意識調査」（2008） [Alhakami 94] Alhakami, A. ,Slovic, P. "A Psychological Study of the Inverse Relationship

Between Perceived Risk and Perceived Benefit", Risk Analysis Vol.14 (6), pp 1085-1096 (1994)

[(株)富士通総研経済研究所 07] (株)富士通総研経済研究所：日本における内部統制の 現状に関するアンケート調査、（2007）

[外務省 80] 外務省：プライバシー保護と個人データの国際流通についてのガイドラ インに関するOECD理事会勧告（1980年9月（仮訳） (1980)

[Gordon 02] L. A. Gordon and M. P. Loeb "The economics of information security investment" , ACM Trans. On Information and System Security, vol.5, No.4, pp.438-457, November (2002)

[浜屋 09] 浜屋敏：情報セキュリティと組織感情、Enterprise 2.0、富士通総研経済研究 所研究レポート No.345 （2009）

[浜屋 11] 浜屋敏：日本企業における情報セキュリティ逸脱行為と組織文化・風土と の関係、富士通総研経済研究所研究レポート No.373 （2011）

[林 08] 林紘一郎、「見えないものの品質保証・第三者認証と責任」日本セキュリティ・

マネジメント学会誌 Vol.22, No.1（2008）

[兵藤 03] 兵藤敏之、中村逸一、西垣正勝ほか：セキュリティ対策案選択問題のモデ ル化、情報処理学会研究報告 2003-CSEC-22（35）、pp249-256（2003）

[市川 09] 市川哲彦、永井好和、長谷川考博、三池秀敏：山口大学における情報セキ ュ リ テ ィ マ ネ ジ メ ン ト シ ス テ ム 構 築 の 実 例 、 情 報 処 理 学 会 研 究 報 告.IOT、 2009-IOT-6(6)、1-6, 2009-06-20（2009）

[池田 07] 池田信夫：リスク，不確実性およびセキュリティ、情報セキュリティガバ ナンス研究会シンポジウム 2007年11月 (2007)

[IPA 08] （独）情報処理推進機構、IPA 対策のしおりシリーズ(4)、「不正アクセス対 策のしおり 大丈夫ですか、あなたのパソコン？（パソコン利用者向け）」、2008年5 月16日 第3版

[Kahneman 79] Kahneman,D. ,Tversky,A. "Prospect Theory: An Analysis of Decision Under Risk" , Econometrica, Vol.47, pp.263-291 (1979)

[経済産業省 02a] 経済産業省：情報システム及びネットワークのセキュリティのため のガイドライン：セキュリティ文化の普及に向けて 新 OECD 情報セキュリティ・

ガイドラインの概要、（2002）、http://www.ipa.go.jp/security/fy14/reports/oecd/handout.pdf

（2011年10月14日最終確認）

[経済産業省 02b] 経済産業省：OECD Guidelines for the Security of Information Systems

and Networks TOWARDS A CULTURE OF SECURITY OECD情報システム及びネッ トワークのセキュリティのためのガイドライン セキュリティ文化の普及に向けて

（仮訳）（2002）、http://www.meti.go.jp/policy/netsecurity/oecd2002.htm （2011 年 10 月 14日最終確認）

[経済産業省 03a] 経済産業省：情報セキュリティ総合戦略，pp38-41（2003）

[経済産業省 03b] 経済産業省、初等中等教育現場における情報セキュリティに係る現 状調査報告書 (2003)

[経済産業省 08] 経済産業省：情報セキュリティ管理基準（平成 20 年改正版）、平成 20年経済産業省告示第246号（2008）

[経済産業省 09] 経済産業省：情報セキュリティガバナンス導入ガイダンス、平成21 年6月（2009）

[警察庁 03] 警察庁、セキュリティ講座 入門講座 ID・パスワード管理編(2003.12.17 更新)、http://www.npa.go.jp/cyberpolice/downloads/begin_07_031217.zip、（2012 年 2 月 10日最終確認）（2003）

[警察庁 08] 警察庁生活安全局情報技術犯罪対策課、「不正アクセス行為対策等の実態 調査 調査報告書」平成20年2月（2008）

[コンピュータソフトウェア著作権協会 06] (社)コンピュータソフトウェア著作権協 会、「2006年ファイル交換ソフト利用実態調査の概要、2006年7月25日公表（2006） [コンピュータソフトウェア著作権協会 07] (社)コンピュータソフトウェア著作権協

会、「ファイル交換ソフト「Winny」を使った公衆送信権侵害事件について、」2007年 5月18日公表（http://www2.accsjp.or.jp/activities/2007/news69.php）（2012年2月10日 最終確認）（2007）

[教育ネットワーク情報セキュリティ推進委員会 10] 教育ネットワーク情報セキュ リティ推進委員会、平成22年度 学校・教育機関の個人情報漏えい事故の発生状況・

教員の意識に関する調査 (2010)

[Loewenstein 01] Loewenstein,G.F., Weber,Elike U.,Hsee,Christopher, K. & Welch,Ned

"Risk-as-feelings hypothesis", Psychological-Bulletin Vol.127 (2), P 267-286 (2001) [松浦 03] 松浦幹太、「情報セキュリティと経済学」SCIS 2003, pp.475-480（2003） [McAfee 08] McAfee、"Sage Vol.3 One Internet, Many Worlds"（2008）

[宮崎 05] 宮崎邦彦、岩村充、松本勉ほか：交渉ゲームにおける鍵自己暴露戦略のイ ンパクト－電子署名技術の利用に係る新たな課題、情報処理学会論文誌、Vol.46、No.8、 pp1871-1879（2005）

[持永 09] 持永大、杉浦昌、小松文子、村野正泰、赤井健一郎、上田昌史、「情報セキ ュリティ事象の社会科学的アプローチによる研究の動向」、情報処理学会研究報告 CSEC 2009-CSEC-46(41) 1-7、(2009)

[武藤 01] 武藤滋夫：ゲーム理論入門、日本経済新聞社 (2001)

[内閣官房 00] 内閣官房 高度情報通信社会推進本部 情報セキュリティ対策推進会 議：情報セキュリティポリシーに関するガイドライン、pp13-17（2000）

[内閣官房長官 06] 安倍官房長官：記者会見（P2P ファイル共有ソフトを使わないよ う国民に呼びかけ）、2006年3月15日

[中川 09] 中川孝司、今井慈郎、武田亮、堀幸雄、林敏浩、廣瀬諭志、古川善吾：情 報セキュリティ監査・診断のための実施計画、実施体制、人材育成および継続運用に ついて、電子情報通信学会技術研究報告.ET、教育工学108（470）、123-127、2009-02-28

（2009）

[ネットエージェント 07] ネットエージェント(株)プレスリリース 2007年 8月 1 日、

(2007)

[日本規格協会 06] 日本規格協会：JIS Q 27002:2006 ( ISO/IEC27002:2005) 、情報技術

－セキュリティ技術－情報セキュリティマネジメントの実践のための規範、日本規格 協会（2006）

[日本規格協会 06] 日本規格協会： JIS Q 13335-1 情報技術－セキュリティ技術－情報 通信技術セキュリティマネジメント－第一部：情報通信技術セキュリティマネジメン トの概念及びモデル、日本規格協会（2006）

[日本経済団体連合会 05] (社)日本経済団体連合会「企業の情報セキュリティのあり方 に対する提言」2005年3月15日（2005）

[日本情報処理開発協会 07] (財)日本情報処理開発協会 公表データ（2007）

[日本情報処理開発協会 09] (財)日本情報処理開発協会、クレジット産業向け"PCI DSS"／ISMSユーザーズガイド、平成21年3月3日（2009）

[日経パソコン 08] 日経パソコン、2008.6.23、大事な秘密の守り方（2008） [日経パソコン 10] 日経パソコン、2010.4.12、強いパスワードの現実解（2010） [NPO日本ネットワークセキュリティ協会 10] NPO日本ネットワークセキュリティ協

会、2010 年情報セキュリティインシデントに関する調査報告書～個人情報漏えい編

～ (2010)

[NPO日本ネットワークセキュリティ協会 07] NPO日本ネットワークセキュリティ協 会、「脆弱性定量化に向けての検討報告書」2007年3月1日（2007）

[NPO日本ネットワークセキュリティ協会 09] NPO日本ネットワークセキュリティ協 会：2008年情報セキュリティインシデントに関する調査報告書、Ver.1.2、p3（2009） [NPO情報セキュリティフォーラム 07] NPO情報セキュリティフォーラム、教育現場

における情報セキュリティ事故・対応事例の研究事例集、p13 (2007)

[大木 09] 大木栄二郎：情報セキュリティ確保に係る組織的対応と課題、電子情報通 信学会ソサエティ大会講演論文集 2009 年_通信(2)、”SS-50”-”SS-51”、2009-09-01

（2009）

[大阪高等裁判所 01] 大阪高等裁判所：平成13年（ネ）第1165号 損害賠償請求控訴

事件 事件名 宇治市住民基本台帳データ大量漏洩事件控訴審判決、平成13 年12月 25日(2001)

[大谷 02] [大谷尚通、桑田喜隆、小迫明徳、井上潮、依存モデルを用いたセキュリテ ィ・アセスメントのための被害予測システムの検討、情報処理学会研究報告. CSEC, [コンピュータセキュリティ] 2002(12), 163-168, 2002-02-14

(2002)"

[PCISSC 10] PCI Security Standards Council, "PCI DSS V2.0",2010.10 (2010)

[労務行政研究所編集部 10] 労務行政研究所編集部：企業における情報管理の最新実 態，労政時報，第3777号/10.7.9，ｐｐ51-77（2010）

[サイバークリーンセンター 08] サイバークリーンセンター「2008年06月度 サイバ ークリーンセンター活動実績」（https://www.ccc.go.jp/report/200806/0806monthly.html）

（2012年2月10日最終確認）（2008）

[サイボウズ・メディアアンドテクノロジー 08] サイボウズ・メディアアンドテクノ ロジー（株）、日本情報漏えい年鑑2008 （2008）

[さくらインターネット(株) 09] さくらインターネット(株)、インターネット使用に関 する習熟度と危機管理意識調査（2009）

[産業構造審議会情報経済分科会情報セキュリティ基本問題委員会 08] 産業構造審議 会情報経済分科会情報セキュリティ基本問題委員会「第７回議事要旨」平成 20 年 4 月10日（2008）

[佐々木 05] 佐々木良一、石井真之、日高悠、矢島敬士、吉浦裕、村山優子：多重リ スクコミュニケータの開発構想と試適用、情報処理学会論文誌 46（8）、2120-2128、 2005-08-15（2005）

[佐々木 11] 佐々木良一、杉本尚子、矢島敬士、増田英孝、吉浦裕、鮫島正樹、船橋 誠壽：IT リスク対策に関する社会的合意形成支援システム Social-MRC の開発構想、

情報処理学会論文誌 52(9)、2562-2574、2011-09-15（2011）

[佐藤 98] 佐藤慶浩：情報セキュリティ方針（ポリシー）の必要性と策定方法～企業 は従業員（人）による情報セキュリティの維持に、どう対処すべきか～、情報処理学 会研究報告.EIP、98 (85)、81-88、1998-09-19（1998）

[総務省 03a] 総務省：地方公共団体における情報セキュリティポリシーに関するガイ ドライン（2003）

[総務省 03b] 総務省：地方公共団体における情報セキュリティ監査に関するガイドラ イン（2003）

[総務省 08] 総務省、Telecom-ISAC Japan主催「ボット対策プロジェクトに関するISP 向け説明会」、2008年8月28日（2008）

[総務省 09] 総務省：平成21年年地方公務員給与実態調査結果（2009）

[杉浦 08] 杉浦昌、小松文子、上田昌史、山田安秀：情報セキュリティエコノミクス