2.4.1 現状現状の現状現状ののセキュリティマネジメントのセキュリティマネジメントセキュリティマネジメントのセキュリティマネジメントのの問題点の問題点問題点と問題点ととと解決解決解決解決すべきすべきすべきすべき課題課題課題課題
多くの組織でセキュリティマネジメントの重要性が認識され実施されているにもか かわらず、セキュリティ事件・事故は減っていない。特に、1 章で述べたように、従業 員が自らの判断で組織のセキュリティ管理者の指示を守らずに事件・事故に至った事故 が数多く発生している。従来よくいわれている従業員教育や普及啓発の徹底、罰則の強 化などのマネジメント策だけではこれらのセキュリティ事故を防げない可能性が考えら れる。
このような事態となっている理由の一つとして、現在行われているセキュリティマネ ジメントの推進では、従業員が決定されたセキュリティ対策に従わないような事態を想 定していない、あるいはほとんど考慮に入れていないことがあると思われる。
「2.1.1.(4)」で述べたように、ISO/IEC27001、27002 は組織内で計画-実行-点検
-処置のPDCAサイクルを回すことを規定している。しかし、図2.3において、破線の 丸で囲まれた組織に対してそれ以外の利害関係者が存在するという形が示すように、組 織はあくまでも一体構造とされている。27001、27002の本文中には、図2.5に示した27002 の内容の抜粋のように、従業員に対する経営者の責任の宣言や、従業員に対する教育の 実施などの内容があり、組織内の構造を意識したものとはなっている。しかし、それら は施策を行う際には各人が指示に従うことを前提としている。施策が指示された後もな お従業員が指示に反して指定されたセキュリティ策を行わないような、従業員が独立し て判断し行動するような事態はほとんど想定していない。これは、「2.1.2.(2)」で説明 したセキュリティポリシーについても同様である。
組織内のセキュリティ体制の構築(ISMS の確立)においても同様である。従業員が 指示に従わずセキュリティ対策を実行しないケースを検討するのは図2.8に示したISMS 確立の流れにおけるSTEP4からSETEP8のフェーズにおいてであるが、既存の解説文書 や資料などで、そのような事態を考慮したりその原因やメカニズムの究明に言及したり しているものはない。
つまり、組織内が非協調の状況となってセキュリティ推進部門が指示するセキュリテ ィ対策を従業員が実行しない現象がどのように発生するのかのメカニズムがあきらかに なっていないのが課題である。
次に、セキュリティ対策の効果の判断が難しいという課題がある。
現在、セキュリティマネジメントの分野では、セキュリティ対策は実施すればその項 目に関しては効果があり、実施されなければ効果がないと考えている。そこで、多数の 管理策ごとの実施の有無を合計してその組織のセキュリティレベルとする評価が、実際 に多くおこなわれている。27002の管理策や、2.1.1.(1)で述べた地方公共団体向けの セキュリティポリシーガイドラインをふまえて作成された「地方公共団体における情報 セキュリティ監査に関するガイドライン」[総務省 03b]、2.1.1.(4)で述べた情報セ キュリティ監査制度の基準文書の一つである「情報セキュリティ管理基準」[経済産業省 08]などの管理策の項目のうち、どれだけの項目を実施したかを合計し、その組織のセキ ュリティレベルの指標とする手法が使われている。
より細かく、組織の中でその管理策がどの程度徹底されているかの網羅率を、その組 織のセキュリティレベルとする方法もある。たとえば、USBメモリの持ち出しを禁止す るというセキュリティ策をとった場合、50%の従業員にその教育を行ったらセキュリテ ィレベルは50%、100%の従業員に行ったら100%とする考え方である。能力成熟度モデ
ル(CMM:Capability Maturity Model)の考え方に従って、セキュリティ推進者が考える
成熟度の程度や推進者の判断する達成状況のレベルを網羅率に代えて係数として用い、
その組織のセキュリティレベルとする考え方もある。一部で用いられている情報セキュ リティ対策の自己診断テストはその一例である[情報処理推進機構 05]。図2.11に、こ の自己判断テストの項目と出力の例を示す。
これらは組織のセキュリティレベルを判断する一つの方法ではあるが、どのような状 況で従業員がその指示に従わない場合があるのかがわからないため、その結果の正確さ には限界がある。さらに、どのような場合に従業員がその指示に従わないのかもわから ないので、セキュリティマネジメントの推進上問題があり、セキュリティ施策の選択に おいてもそれが不確定な要素となる。
そこで本研究では、組織のセキュリティ対策の推進をモデル化し、その中で、セキュ リティ推進部門が指示するセキュリティ対策を従業員が実行しない現象が、どのように 発生するか、そのメカニズムをあきらかにする。そして、それにより、組織のセキュリ
ティ対策が適切に行われる方策を見出し、セキュリティ対策の優劣を検討することを可 能とする知見を得ることを目的とする。
2.4.2 ゲームゲーム理論ゲームゲーム理論理論の理論ののの適用適用適用適用
特定の条件下でお互いに影響を与えあう複数の主体の間で生じる相互関係を研究す る手法として、ゲーム理論がある [武藤 01][鈴木 94][鈴木 99] [Taylor 95]。ゲーム 理論では、複数の主体である「プレーヤ」が、自分が得られるペイオフ(利得)が最大 となる行動となる「戦略」を選択する。このとき、別のプレーヤの選択する戦略によっ て自分のペイオフの大きさが変わる場合には、その相互作用によって各プレーヤの選択 する戦略が変わってくる。各プレーヤのペイオフの大小関係により、パレート最適やナ ッシュ均衡などの特徴的な状態が発生し、それを分析することにより、各プレーヤ間の 状態が安定的なものか不安定なものかがわかる。
ゲーム理論は、本研究が目的とする、組織内でセキュリティ部門が指示するセキュリ ティ対策を従業員が実行しないことがある現象を適切に表現出来る可能性がある。そこ で本研究では、組織のセキュリティ対策の推進を、ゲーム理論を用いて分析する。
セキュリティの分野ではないが、行政と住民の行動をゲーム理論を用いて分析した研
究がある[Umehara 09 ]。この研究では、迷惑施設や原子力施設などのリスク情報を行
政が住民に開示するかどうかを、住民と行政とをプレーヤとするリスク開示ゲームで表 現し、行政がプロスペクト理論に従った場合にはリスク追求行動をとって開示しない場 合があることを示している。本研究では、このゲーム化の手法をセキュリティ対策の推 進部門と従業員との間の指示と実施の関係に適用し、分析を行う。
図2.11 情報セキュリティ対策自己判断テストの項目と出力の例
((独)情報処理推進機構(IPA)の公開資料より抜粋)