1
はじめに総務省『平成20年通信利用動向調査(世帯編)』に よれば,日本におけるインターネット利用者数は 9,091万人,人口に対する普及率(人口普及率)は 75.3%に達している(注1).そして,個人はインターネッ トを,電子メールの受発信,ホームページの閲覧や SNS への参加など,多くの人と広くコミュニケーショ ンをとるために利用している(図1参照).これらの 関係を定量的にとらえようとしている研究として坂 村・橋元(2009)などがあり,インターネットが個 人の生活に大きく寄与していることについて述べられ
ている.これらのことから,インターネットは個人の 生活の質を高める一つのツール・手段となっているこ とは容易に想像できる.これは日本だけでなく,世界 においても同様のことが言える.このような状況にお いて,情報通信技術(Information and Communication Technology; ICT),特にインターネットはバラ色の未 来を約束してくれるように思われてきた.しかしなが ら,このことは必ずしも正しいと言えない状況になっ ている.それは,インターネットの急速な普及を背景 に,情報セキュリティに関するさまざまな問題が浮上 しており,それに応じて利用者の不安も顕著になって きているためである.例えば,総務省『平成20年通 信利用動向調査(世帯編)』は,インターネットを利 用していて不安に感じている世帯の割合が47.5%に及 んでいることを指摘している.また,総務省情報通信 政策研究所(2009)においても,インターネット未 利用者の未利用理由として,情報セキュリティに対す る不安等に根ざす「トラブルに巻き込まれる懸念」が 大きな要素を占めていることを指摘している.
インターネットユーザは,常にウィルスやワームと いったマルウェアや不正アクセスといった情報セキュ リティインシデントに直面しており,その手口の巧妙 化・複雑化に対して適切な措置を講じることが求めら れ て い る. 図 2 に は, 情 報 処 理 推 進 機 構(IPA,
http://www.ipa.go.jp/security/txt/list.html)に提出さ
インターネットユーザの
情報セキュリティ意識に関する分散分析
Variance of Analysis on Internet Users Awareness to Information Security 竹 村 敏 彦†,海 野 敦 史
††,筬 島 専
†††
Toshihiko TAKEMURA, Atsushi UMINO and Makoto OSAJIMA
† 関西大学ソシオネットワーク戦略研究機構 助教/早稲 田大学国際情報通信研究センター 客員次席研究員
†† 長崎大学経済学部 准教授
††† 早稲田大学大学院国際情報通信研究科 准教授
(注1) http://www.soumu.go.jp/main̲content/000016027.pdf 出展:平成20年通信利用動向調査(世帯編)
図1 パソコンからのインターネット利用機能・サービス(個人)
企業・政府等のホームページ(ウェブ)・ ブログ(ウェブログ)の閲覧
0 10 20 30 40 50 60(%)
電子メールの受発信
(メールマガジンは除く)
個人のホームページ(ウェブ)・ ブログ(ウェブログ)の閲覧 商品・サービスの購入・取引
(金融取引を除く)
地図情報提供サービス
(有料・無料を問わない)
メールマガジンの受信
(有料・無料を問わない)
デジタルコンテンツ(音楽・音声、
映像、ゲームソフト等)の入手・聴取 インターネットオークション 電子掲示板(BBS)・チャットの閲覧 金融取引(ネットバンキング、
ネットトレード等)
アンケート回答 クイズ・懸賞応募 電子ファイルの交換・ダウンロード
(P2P、FTPなど)
オンラインゲーム(ネットゲーム)
への参加 就職・転職関係
(求人情報入手、採用応募等)
電子掲示板(BBS)への書き込み・
チャットへの参加 ソーシャルネットワーキングサービス
(SNS)への参加 ブログの開設・更新 ホームページ(ブログは除く)
の開設・更新 電子政府・電子自治体の利用
(電子申請、電子申告、電子届出)
通信教育の受講(e-ラーニング)
在宅勤務(テレワーク、SOHO)
3D仮想空間(「SecondLife」、
「splume」など)の利用 メールマガジンの発行 その他 無回答
54.6 56.8 47.249.1 45.947.4 45.545.5
0.0 36.8
21.122.1 16.319.4 16.2
18.1 3.0 14.3
10.212.6 10.911.3 9.6
10.1 8.39.0 7.78.2 7.57.6 7.08.5 3.85.1 4.05.0 5.1 4.7 3.64.4 2.53.0 0.80.8 0.6 0.7 0.50.7
5.05.2 7.610.0
平成19年末
(n=7,986)
平成20年末
(n=9,468)
出展:2009年第1四半期の発見届出状況 図2 ウィルス届出件数の年推移
60,000 件数
1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 年 50,000
40,000
30,000
20,000
10,000
0
2,391 2,035 3,645 11,109
24,261 20,352
17,425 54,174
44,840
34,334
21,591
5,551
(3ヵ月分)5,551
(3ヵ月分)
4,997 3ヵ月分 52,151
れたウィルス届出件数の年別推移が表されている.
2005年をピークとして低下傾向にあるが,実際には,
近年ウィルスの種類(亜種など)が増えて,感染して いてもそれに気づかずにいるインターネットユーザも 増えていることが指摘されている(注2).また,サイバー クリーンセンター(CCC)が2008年6月に行った国 内ボット感染者数に関する調査によれば,ブロードバ ンドユーザ約3000万人のうち約30万人(感染率は約 1%)がボットウィルスに感染していると報告されて いる.このボットウィルスに感染したコンピュータ は,攻撃者からの命令を待ち受け,攻撃者が下す命令 によって,攻撃者の意のままに,フィッシング目的な どのスパムメールの大量送信や特定サイトへの DDoS 攻撃などに利用され,知らぬ間に犯罪の踏み台にされ てしまう.そのために,これらのインターネットの脅 威に対して,個々人が十分な対策を講じていなけれ ば,被害者になる可能性を十分にもっているだけでな く,逆に,知らない間に加害者になってしまう可能性 もある.つまり,ICT 普及のもう一つの側面として,
今まで以上にインターネットユーザにとって様々なリ スクが身近なものになってしまっている.近年,これ らの被害が急増している背景には,ネット犯罪が金銭 目的になったこととともに,人間の欲望,実態の無視 や未熟さなどが一つとして挙げられている(竹村・筬 島(2008)など参照).また,これらの情報セキュリ ティインシデント被害は,一次被害だけでなく,二次 や三次被害といった広がりも見せているのも特徴であ る.
これらの情報セキュリティインシデントに対する技 術的対策の研究(例えば,セキュアネットワーク構築 など)は自然科学の分野で頻繁に行われており,その 蓄積も進んでいる.一方で,社会科学の分野における これらの研究は始まったばかりで,まだ萌芽状態にあ る.そして,情報セキュリティ対策などに関する定性 的研究は行われているが,定量的な研究(実証研究)
は 国 内 外 と も に ほ と ん ど 行 わ れ て い な いという状況にある(注3).定性的研究は啓発活動を行 うための材料となり,大きな意義はある.しかしなが ら,個人が対策を行うためのインセンティブを与えて いるかということになると,疑問の余地がある.実証 研究がこれまで行われてこなかった理由の一つとして は,利用可能な公開されたこれらに関するデータがほ とんどなかったことが挙げられる.
国内外ともに,近年行われている情報セキュリティ に関する実証研究では,その対象を企業としており,
これまで個人を対象としたものはほとんどなかった.
本稿では,インターネットユーザを対象にした実証 研究を行う.具体的には,個人属性によるインター ネットユーザの情報セキュリティ及び情報セキュリ ティ対策への意識の差異に関するいくつかの仮説検証 を行う.これを調べることによって,効率的な対策に ついて議論することが可能となる.なお,その検証に は,関西大学ソシオネットワーク戦略研究センターで 2009年3月に Web アンケート調査形式で実施された
「インターネットおよび情報セキュリティ意識に関す る調査」によって収集されたデータを用いる.
本稿の構成は以下の通りである.第2節では本稿で 用いる Web アンケート調査(インターネットおよび 情報セキュリティ意識に関する調査)の概要について 簡単に説明する.第3節においては,仮説,分析手法 を提示するとともに,分析及びその考察を行う.第4 節では政府などの役割について考察する.そして,最 後の節にて,本稿の結論と今後の課題・展望について 述べる.
2
アンケート調査概要前節で簡単に触れた通り,情報セキュリティ対策な どに関して公表されたデータや,また容易に利用でき るデータがほとんどないのが現状である.また,研究 内容の特性から,集計されたデータではなく,個票 データが必要となる.本稿では,関西大学ソシオネッ トワーク戦略研究センターで2009年3月に Web アン ケート調査形式で実施した「インターネットおよび情 報セキュリティ意識に関する調査」によって収集され たデータを用いて分析を行っていく(注4).なお,これ らは,インターネットユーザを対象としたものであ り,インターネット未利用者は一切含まれていない.
サンプルの割付は,年齢,居住地域及び性別の3軸で 行っている(注5).サンプルサイズは1483件である.本 稿ではこの調査結果の一部を用いる(表1及び表2参 照).
表1は,インターネットユーザの情報セキュリティ 意識に関する指標の基本統計量を示したものである.
大別して5種類(個人情報への意識,違法コピーに関 する認識,対策に関する認識,モラルに関する意識,
インターネットへの意識)の指標により情報セキュリ
(注2) これらの数字は届出件数であって,あくまで氷山の一 角でしかない.
(注3) 日本における情報セキュリティに関する実証研究とし ては,Tanaka, Matsuura and Sudoh(2005),Lie, Tanaka and Matsuura(2007), 竹 村・ 峰 滝(2009) や Takemura, Osajima and Kawano(2009)などがある.
(注4) 近年,Web アンケート調査結果を用いた研究が盛んに 行われている.しかしながら,この調査法にはいくつかの 克服すべき統計に関する問題などがある.本稿ではこれら について綿密に議論することを避けているが,これらを全
く無視して分析を行っていないことをことわっておく.な お,Web アンケート調査と他の社会調査の比較を行ってい るものに,大隅(2002)などがある.
(注5) このアンケート調査の割付は,「住民基本台帳に基づ く人口・人口動態及び世帯数(平成20年3月31日現在)」
の参考資料3(都道府県別の年齢階級別人口)を用いて,
年齢(20歳以上),居住地域及び性別で行っている(http://
www.soumu.go.jp/menu̲news/s-news/2008/080731̲6.
html).
ティへの意識を考える.いずれも5段階(1〜5)の 質的データ(順序尺度)である.なお,意識が低いと 小さい値,逆に意識が高いと大きな値をとるようにし ている(注6).
表2には,分析で用いるカテゴリー(個人属性)に 関する情報を示している.その内容は,職業,性別,
リスクへの態度,年齢層,インターネット歴,居住地 域,情報セキュリティ教育を受けているか否か,情報 セキュリティインシデント被害に遭遇したことがある か否か,といったものである.なお,リスクへの態度 には,Cramer, Hatog, Jonker, and Van Praag(2002)
が用いた指標と同様の絶対的危険回避度を用いて,3
(注6) 表1のデータはもともとの質問票から若干加工してい る.一部の質問項目において意識の順番が逆になっていた
ものがあっために,それを全て統一している.
表1 情報セキュリティ意識に関する指標
変数 質問内容 平均 標準偏差
個人情報
への意識 X1
他人の個人データ
(住所,氏名,性 別,年齢,電子 メールアドレスな ど)を自由にみる ことができるとし たら,あなたはみ たいと思いますか
3.68 0.960
違法コピー に関する
認識
X21
友人が作ってくれ た市販のソフト ウェアのコピーを あなたは利用した いと思いますか
3.54 0.874
X22
友人にあげるため に市販のソフト ウェアのコピーを することについ て,あなたは問題 があると思います か
3.72 0.893
対策に関 する認識
X31
コンピュータウィ ルス対策ソフトを 入れていないコン ピュータを使うこ とについて,あな たは問題があると 思いますか
4.00 0.905
X32
チェーンメールを 受け取ったとき,
それを友人や知人 などに送ること に,あなたは問題 があると思います か
4.15 0.894
X33
セキュリティ対策 をして安心感は高 まりましたか
2.57 0.754
X34
セキュリティ対策 は ISP の問題で あり,個別に対策 すべき事項ではな い
3.48 0.832
X35
現在と1年前と比 べて,あなたご自 身の情報セキュリ ティへの態度(情 報管理などの考え 方)は変化しまし たか
3.51 0.648
X36
個人のセキュリ ティ対策は必要と 思いますか
4.04 0.828
モラルに関 する意識 X41
問題が起こらなけ れば,ルール違反 をしてもよいと思 いますか
3.88 1.007
表2 カテゴリー(個人属性)に関する情報
内 容 説 明
職業 1 自営業主 2 会社役員 3
家族従業者 4 正社員 5 パー ト・アルバイト労働者 6 派遣社 員・契約社員・業務請負 7 仕事 をしていないが休職活動中である 8 仕事をしていないし,かつ求職 活動もしていない 9 専業主婦 10 学生 11 その他
性別 1 男性 2 女性
リスクへの態度 くじ1(確率:1/2,2000円利益)
くじ2(確率:1/100,10万円損害)
(1 リスク愛好 2 リスク中立 3 リスク回避)
年齢層 1 20代 2 30代 3 40代 4 50代 5 60代 6 70歳 以 上
インターネット歴 1 1年未満 2 1〜2年未満 3 2〜3年 4 4〜5年 5 6 〜 7 年 6 8 〜 9 年 7 10 年以上
居住地域 1 東京 2 北海道・東北 3
関東(東京除く)4 北陸・甲信越 5 東海 6 近畿 7 中国 8 四国 9 九州・沖縄
情報セキュリティ 教育
0 誰からも教わっていない 1 研修や大学教育で教わった
インシデント被害 0 遭遇したことがない 1 遭遇 したことがある
インター ネットへの
意識
X51
インターネットは 安全だと思います か
2.32 0.853
X52
あなたはネットで 加害者にならない と思いますか
2.80 0.915
X53
あなたはネットで 被害者にならない と思いますか
3.44 0.803
種類(リスク愛好,リスク中立,リスク回避)に分類 している(注7).
3
分析3.1 仮説と分析手法
これまで実施されている多くのインターネット利用 などに関する意識調査では,主として,インターネッ トのメリットについて分析が試みられてきている.イ ンターネットの普及が急速に進んでいる一方で,イン ターネットユーザの意識・モラル,またそもそもの情 報モラルがそれにキャッチアップできているかについ て近年議論及び研究が進められている.
本稿では,表2にあるカテゴリーをもとに,それぞ れの個人属性によって,情報セキュリティ及び情報セ キュリティ対策への意識が異なるか否かを検証する.
そのために,以下のような仮説を立てた.
〈仮説〉
1)職業の違いによってユーザ自身の情報セキュリ ティ及びその対策への意識に違いがない.
2)性別の違いによってユーザ自身の情報セキュリ ティ及びその対策への意識に違いがない.
3)リスクへの態度の違いによってユーザ自身の情報 セキュリティ及びその対策への意識に違いがない.
4)年齢の違いによってユーザ自身の情報セキュリ ティ及びその対策への意識に違いがない.
5)インターネット歴の違いによってユーザ自身の情 報セキュリティ及びその対策への意識に違いがない 6)居住地域の違いによってユーザ自身の情報セキュ リティ及びその対策への意識に違いがない.
7)情報セキュリティ教育を受けているか否かの違い によってユーザ自身の情報セキュリティ及びその対策 への意識に違いがない.
8)情報セキュリティインシデント被害に遭遇したこ とがあるか否かの違いによってユーザ自身の情報セ キュリティ及びその対策への意識に違いがない.
情報セキュリティの性質より,高い意識をもってい るユーザがたくさん存在していたとしても,低い意識 をもっているユーザが少数存在すれば,社会全体とし ての情報セキュリティ水準は後者の水準になってしま う(注8).したがって,情報セキュリティ確保のために は,高水準での情報セキュリティ水準の平準化(フ
ラット化)が必要であると考えられる.そこで,まず,
情報セキュリティ水準のフラット化されているかを上 記の仮説をもとに検証を試みる(注9).
これらの仮説を検証するために分散分析を行う.分 散分析を行うことで,カテゴリーごとに平均値や中央 値が異なるか否かを知ることができる.
3.2 分析結果
分散分析を行う前に,データが正規分布に従ってい るかについて検定する必要がある.正規性の検定はさ まざまな種類があるが,その中でも,信頼の高いもの と し て,Kolmogorov-Smirnov の 正 規 性 の 検 定 や Shapiro-Wilk 検定がある.これらの検定では,帰無 仮説が「データは正規分布に従わない」となる.その ため,もし有意確率が5%未満であれば,帰無仮説を 棄却できず,「データは正規分布に従わない」と判断 し,逆に,有意でないときは帰無仮説を棄却でき,
「データは正規分布に従わないとはいえない(正規分 布 に 従 う )」 と 判 断 す る. な お, 表 3 に は,
Kolmogorov-Smirnov の 正 規 性 の 検 定 及 び Spapiro- Wilk 検定の結果を示している.
表3から明らかな通り,帰無仮説を棄却することが
表3 正規性の検定結果 Kolmogorov-Smirnov の
正規性の検定(探索的)a Shapiro-Wilk
統計量 有意確率. 統計量 有意確率.
X1 0.260 0.000 0.877 0.000 X21 0.217 0.000 0.882 0.000 X22 0.268 0.000 0.867 0.000 X31 0.230 0.000 0.844 0.000 X32 0.244 0.000 0.803 0.000 X33 0.249 0.000 0.846 0.000 X34 0.228 0.000 0.866 0.000 X35 0.322 0.000 0.765 0.000 X36 0.289 0.000 0.809 0.000 X41 0.267 0.000 0.840 0.000 X51 0.230 0.000 0.871 0.000 X52 0.242 0.000 0.892 0.000 X53 0.261 0.000 0.857 0.000 a. Lilliefors 有意確率の修正
(注7) 絶対的危険回避度(RA)は,次式によって計算して いる.
RA =(aZ−p)/(1/2(aZ2-2aZ+p2))
ただし,くじの賞金を Z,当選確率を a,クジにつけた価 格を p である.
危険回避的な人であれば,絶対的危険回避度はプラスの 値になり,危険愛好的な人であれば,絶対的危険回避度は マイナスの値になる.
一般的に,実験経済学の分野では,危険回避度実験を Becker, Degroot and Marschak(1964)に基づいて行われ ている.
本稿では,RA で計算された値から,リスク愛好,リス
ク中立及びリスク回避といった3つのカテゴリーを作った.
(注8) このことを Varian (2002) は Weakest link と呼んでい る.
(注9) 注意すべきこととして,情報セキュリティ水準が平準 化されていたとしても,それが低い水準に留まっている可 能性も指摘できる.これらについては,分析結果から出て くる平均値や中央値を考察することで,明らかにすること ができる.実際,分析結果からそれぞれの表1にある指標 の中央値は,その多くが5段階で見た場合,3前後であり,
そのレベルは中水準にあるといえる.これらの水準を高め ることについては,また別論文で議論していきたい.
できず,本稿で用いるデータは正規分布に従っていな いと判断できる.そのために,パラメトリックな手法 で検定を行うことができない.そこで,本稿ではノン パラメトリックな手法によって,カテゴリーごとの中 央値の差の有無について見ていく.ノンパラメトリッ クな手法は,データが正規分布に従っていることを必 ずしも仮定せず,本稿で用いるような順序尺度のデー タに利用することができるといった特徴がある.以 下,表2のカテゴリーに応じて,4種類の検定を行う.
簡単にそれぞれの検定の手順を説明する(注10). Mann-Whitney の 順 位 和 検 定(Mann-Whitney の U 検定)と Wilcoxon の順位和検定は2群間の中央値の 差異を調べる検定であり,得られたデータそのもので はなく,小さい順に並べたデータの順位和を検定統計 量(W及びU)とする.ただし,データに同一順位が ある場合には,平均順位を用いて計算する.これらの 統計量から,標準偏差と平均値を用いてZ値を計算す る.WやUの分布は近似的に正規分布にしたがうとさ れるため,標準正規分布表から漸近有意確率を求め る.なお,両者の検定における帰無仮説は,「2つの カテゴリーの中央値に差異はない」である.
3群以上の中央値の差異を調べる検定として,
Kruskal-Wallis 検定と Jonckheere-Terpstra 検定があ る.これらの検定は,Wilcoxon の順位和検定等と同 様に,データの順位を利用して検定統計量を計算す る.前者の検定では,計算された H 統計量の分布は 近似的に自由度 K-1のカイ2乗分布に従うとされる ため,カイ2乗統計量を用いて漸近有意確率を求め る.後者の検定では,J-T 統計量から,標準偏差と平 均値を用いて標準化された J-T 統計量を計算する.
そして,その統計量の分布は近似的に正規分布に従う とされるため,標準正規分布表から漸近有意確率を求 める.なお,両者の検定における帰無仮説は,「それ ぞれ(3つ以上)のカテゴリーの中央値に差異はない」
である.また,Kruskal-Wallis 検定と Jonckheere 検 定の違いは,後者が順序のある対立仮説(本稿では,
順位が上がるにつれて中央値も高くなるといったも の)を立てている点にある.
本稿の分析には SPSS version 17.0J for Windows
(SPSS, Inc.)を用いた.
表4から表12までが表2のカテゴリーに基づく分 析 結 果 で あ る. 表 4, 表 6, 表 7 と 表10に は Kruskal-Wallis 検定の結果,表5,表11と表12には Mann-Whitney の U 検定と Wilcoxon の順位和検定の 結果,また表8と表9には Jonckheere-Terpstra 検定 の結果をそれぞれ示している.なお,各表において,
* は10%水準,** は5%水準,*** は1%水準で統計的 に有意であることをそれぞれ表している.
これらの結果から明らかな通り,個人属性によって インターネットユーザの情報セキュリティ意識に差異
がみられる.まず,職業の違いよって,多くの項目で 中央値に差異が認められた(表4参照).一方,性別
(表5)と居住地域(表10)について見てみると,い くつかの項目で中央値に差異が認められるものの,そ の数は少ない.反面,リスクへの態度からは,多くの 項目で中央値に差異が認められる(表6と表7参照).
なお,表6と表7を比較してわかるように,リスクへ の態度でもその測り方によって若干の違いがあること が確認できる.また,年齢層に関しては,いくつかの 項目で中央値に差異が認められる(表8参照).イン ターネット歴に関しても,いくつかの項目で中央値に 差異が認められる(表9参照).情報セキュリティ教 育に関しては,表11から明らかな通り,モラルやイ ンターネットの意識に差異は認められないものの,そ れ以外の多くの項目で中央値に差異が認められてい
表4 職業(Kruskal Wallis 検定)
カイ2乗 自由度 漸近有意確率
X1 47.156 10 0.000***
X21 38.569 10 0.000***
X22 25.036 10 0.005***
X31 17.175 10 0.071*
X32 11.427 10 0.325
X33 10.081 10 0.433
X34 16.636 10 0.083*
X35 19.159 10 0.038**
X36 16.989 10 0.075*
X41 25.840 10 0.004***
X51 8.107 10 0.618
X52 12.986 10 0.224
X53 12.141 10 0.276
表5 性別
(Mann-Whitney の U 検定・Wilcoxon の順位和検定)
Mann- Whitney の U
Wilcoxon
の W Z 漸近有意
確率 X1 237206.5 498209.5 −4.821 0.000***
X21 262694.5 523697.5 −1.549 0.121 X22 252926.5 542867.5 −2.832 0.005***
X31 269065.0 559006.0 −0.727 0.467 X32 271556.5 532559.5 −0.412 0.681 X33 259372.5 520375.5 −2.030 0.042**
X34 257806.5 547747.5 −2.210 0.027**
X35 252905.5 542846.5 −2.975 0.003***
X36 269633.5 559574.5 −0.677 0.499 X41 255092.0 516095.0 −2.527 0.011***
X51 273127.0 563068.0 −0.206 0.837 X52 267199.0 528202.0 −0.975 0.330 X53 266439.5 527442.5 −1.091 0.275
(注10) ノンパラメトリックな手法による検定については岩崎 (2006)や Wasserman (2007)などを参照されたい.
る.最後に,情報セキュリティ被害に遭遇したかどう かでは,モラルに差異は認められないものの,それ以 外の項目で中央値に差異が認められている.
Mann-Whitney の U 検定と Wilcoxon を行った性別
(表5),情報セキュリティ教育(表11),情報セキュ リティ被害(表12)の結果及びそれぞれの統計量か ら,いくつかのことが示唆される.まず,情報セキュ リティ教育を受けたインターネットユーザは受けてい ないユーザ(独学も含む)よりも情報セキュリティ意 識が高くなっている.この意味においても,情報セ キュリティ教育を充実させていく必要があるといえ る.次に,情報セキュリティ被害に遭遇したインター ネットユーザはそうでないユーザと比較すると,各項 目で中央値の大小が異なっており,これらについて は,一概に,両者いずれの情報セキュリティ意識が高 い か に つ い て 断 じ る こ と は で き な い. さ ら に,
表10 居住地域(Kruskal Wallis 検定)
カイ2乗 自由度 漸近有意確率
X1 10.901 8 0.207
X21 15.032 8 0.059*
X22 18.081 8 0.021**
X31 15.353 8 0.053**
X32 19.403 8 0.013*
X33 10.280 8 0.246
X34 11.427 8 0.179
X35 6.916 8 0.546
X36 20.224 8 0.010***
X41 12.584 8 0.127
X51 11.609 8 0.170
X52 5.431 8 0.711
X53 2.905 8 0.940
表7 リスクへの態度2(Kruskal Wallis 検定)
カイ2乗 自由度 漸近有意確率
X1 6.081 2 0.048**
X21 1.191 2 0.551
X22 10.736 2 0.005***
X31 23.081 2 0.000***
X32 16.829 2 0.000***
X33 15.315 2 0.000***
X34 14.005 2 0.001***
X35 21.705 2 0.000***
X36 26.892 2 0.000***
X41 3.767 2 0.152
X51 2.715 2 0.257
X52 11.413 2 0.003***
X53 4.644 2 0.098*
表8 年齢層(Jonckheere-Terpstra 検定)
観測され た J-T 統 計量
J-T 統計 量の標準 偏差
標準化さ れた J-T 統計量
漸近有意 確率 X1 491056.0 8860.636 3.790 0.000***
X21 516096.5 8842.223 6.630 0.000***
X22 473924.5 8763.397 1.877 0.060*
X31 452564.5 8854.507 −0.554 0.579 X32 424521.0 8751.454 −3.765 0.000***
X33 453068.0 8607.355 −0.512 0.609 X34 426447.0 8714.653 −3.560 0.000***
X35 462095.5 8348.201 0.554 0.580 X36 441682.0 8562.301 −1.844 0.065*
X41 490004.5 8843.566 3.679 0.000***
X51 455663.0 8806.574 −0.206 0.837 X52 430782.0 8785.432 −3.038 0.002***
X53 434558.0 8639.966 −2.652 0.008***
水準数:6
J-T 統計量の平均値:457473.0
表9 インターネット歴(Jonckheere-Terpstra 検定)
観測され た J-T 統
計量
J-T 統計 量の標準 偏差
標準化さ れた J-T 統計量
漸近有意 確率 X1 399541.5 8519.404 0.691 0.490 X21 403377.0 8501.709 1.143 0.253 X22 435735.0 8425.919 4.994 0.000***
X31 435992.5 8513.524 4.973 0.000***
X32 455819.0 8414.449 7.388 0.000***
X33 382560.0 8275.909 −1.341 0.180 X34 444931.0 8379.063 6.119 0.000***
X35 419198.5 8026.757 3.182 0.001***
X36 442415.0 8232.584 5.923 0.000***
X41 415322.5 8502.996 2.548 0.011***
X51 417515.5 8467.438 2.818 0.005***
X52 402334.0 8447.100 1.027 0.304 X53 420501.5 8307.257 3.232 0.001***
水準数:6
J-T 統計量の平均値:393656.5 表6 リスクへの態度1(Kruskal Wallis 検定)
カイ2乗 自由度 漸近有意確率
X1 4.823 2 0.090*
X21 6.298 2 0.043**
X22 2.785 2 0.248
X31 7.509 2 0.023**
X32 13.766 2 0.001***
X33 4.196 2 0.123
X34 4.839 2 0.089*
X35 9.719 2 0.008***
X36 5.896 2 0.052**
X41 10.709 2 0.005***
X51 3.876 2 0.144
X52 0.901 2 0.637
X53 6.142 2 0.046**
Kruskal-Wallis 検定を行った表4,表6,表7と表10 から,職業やリスクへの態度,居住地域によって情報 セキュリティ意識に違いがあることも明らかになって いる.さらに,Jonckheere-Terpstra 検定を行った表 8と表9の結果及びそれぞれの統計量から,全体的 に,年齢層があがったり,インターネット歴が長く なったりするにつれて情報セキュリティやその対策へ の意識が高くになる傾向があることがわかる.
4
政府と ISP の役割前節の分析結果を踏まえて,政府及びインターネッ ト・ サ ー ビ ス・ プ ロ バ イ ダ(Internet Service Provider; ISP)が果たすべき役割について本節で考 察する.なお,表13は,日本の情報セキュリティ政策・
対策に関する主な主体についてまとめたものである.
日本の情報セキュリティ政策については,2005年 4 月 に 内 閣 官 房 に 情 報 セ キ ュ リ テ ィ セ ン タ ー
(Natioanl Information Security Center; NISC) が,
同年5月に高度情報通信ネットワーク社会推進戦略本 部(以下「IT 戦略本部」)に情報セキュリティ政策会 議が設置され,情報セキュリティ問題に関する政府中 核機能及びコーディネーターとしての役割が整備され たことを契機として,近年その取組みが強化されてい る.具体的には,2006年度から2008年度までの中期 戦略である「第1次情報セキュリティ基本計画」
(2006年2月2日情報セキュリティ政策会議決定),
2009年度から2011年度までの中期戦略である「第2 次情報セキュリティ基本計画」(2009年2月3日情報 セキュリティ政策会議決定)及びこれらの計画に基づ く年次計画「セキュア・ジャパン」において,政策の グランドデザインが示され,官民の各主体(対策実施 側のみならず情報提供側も含む)が連携して所要の取 組みを推進することとされている(注11).
第2次情報セキュリティ基本計画においては,情報 セキュリティ対策を重点的に実施すべき「4領域」と して,政府機関・地方公共団体,重要インフラ,企業 及び個人が挙げられるとともに,横断的な重点政策と して「情報セキュリティ技術戦略の推進」,「国際連 携・協調の推進」,「情報セキュリティ人材の育成確保」
及び「犯罪の取締り,権利利益の保護救済」が特定さ れている.このうち,本稿の分析結果に照らし合わせ て,最も注目すべきものは,情報セキュリティ人材の 育成確保という「ヒト」の観点であるといえる.そこ で,以下において,この観点から見た近年の政府及び ISP の主な取組みについて検討する.
情報セキュリティ政策のみならず,ICT に関する 議論全般において,教育の必要性及び重要性はしばし ば指摘されている.例えば,ICT 分野の総合的な国 家戦略である「IT 新改革戦略」(2006年1月19日 IT 戦略本部決定)において,情報教育の見直しの必要性 表11 情報セキュリティ教育
(Mann-Whitney の U 検定・Wilcoxon の順位和検定)
Mann- Whitney の U
Wilcoxon
の W Z 漸近有意
確率 X1 137942.5 166383.5 −1.787 0.074**
X21 145815.0 174256.0 −0.410 0.682 X22 138257.5 913892.5 −1.751 0.080*
X31 136712.5 912347.5 −2.004 0.045**
X32 135339.0 910974.0 −2.271 0.023**
X33 140069.0 168510.0 −1.457 0.145 X34 127571.0 903206.0 −3.662 0.000***
X35 114585.0 890220.0 −6.235 0.000***
X36 133736.0 909371.0 −2.611 0.009***
X41 146888.0 922523.0 −0.222 0.824 X51 144900.5 920535.5 −0.573 0.567 X52 142642.0 918277.0 −0.973 0.331 X53 140968.0 916603.0 −1.290 0.197
表12 情報セキュリティインシデント被害
(Mann-Whitney の U 検定・Wilcoxon の順位和検定)
Mann- Whitney の U
Wilcoxon
の W Z 漸近有意
確率 X1 232385.0 363713.0 −2.187 0.029**
X21 229628.5 360956.5 −2.565 0.010***
X22 230998.5 702904.5 −2.401 0.016**
X31 210571.0 682477.0 −5.138 0.000***
X32 231006.5 702912.5 −2.403 0.016**
X33 231829.0 363157.0 −2.329 0.020**
X34 223322.0 695228.0 −3.469 0.001***
X35 219390.0 691296.0 −4.185 0.000***
X36 212685.0 684591.0 −5.017 0.000***
X41 245336.5 376664.5 −0.438 0.661 X51 226512.0 698418.0 −2.999 0.003***
X52 231929.5 703835.5 −2.268 0.023**
X53 215024.5 686930.5 −4.648 0.000***
(注11) セキュア・ジャパンに関して以下の URL を参照され たい.http://www.nisc.go.jp/
表13 日本の情報セキュリティ政策・対策に 関する主な主体
URL 備 考
NISC http://www.nisc.go.jp/ セキュリティ政策 MIC http://www.soumu.go.jp/ セキュリティ政策 METI http://www.meti.go.jp/ セキュリティ政策
CCC https://www.ccc.go.jp/ ボット対策 JADAC http://www.dekyo.or.jp/ 迷惑メール対策
IPA http://www.ipa.go.jp/ ウィルス等 JVN http://jvn.jp/ 脆弱性情報 JNSA http://www.jnsa.org/ ネ ッ ト ワ ー ク セ
キュリティ対策 NPA http://www.npa.go.jp/ サイバー犯罪
について言及されている.そして,情報セキュリティ 分野においても,実際に,政府において個人に対する セキュリティ教育を強化する動きが見られる.例え ば,第1次情報セキュリティ基本計画においては,「IT 利用に不安を感じる」とする個人を限りなくゼロにす ることが目標とされ,情報を管理する側に係る対策に 取組の重点がおかれていた.しかし,第2次情報セ キュリティ基本計画においては,これに加えて,「情 報を預ける側の主体の意識や情報を預けるに際しての 行動」を啓発することの重要性が指摘され,学校や地 域における情報モラル等に関する情報セキュリティ教 育の推進や一般利用者のセキュリティレベルを効果的 に上げるための取組みの実現が目指されている.
情報セキュリティ教育に関する具体的な取組みの一 例として,総務省,文部科学省及び関係公益法人等の 協力の下,主に児童の保護者・教職員向けにインター ネットの安心・安全に向けた講座を全国規模で行う
「e- ネットキャラバン」が2006年4月から実施されて いることが挙げられる.また,国民一般に対して,イ ンターネットと情報セキュリティに関する知識の習得 に役立ち,また利用方法に応じた情報セキュリティ対 策を講じるための基本的な情報を提供することを目的 とした総務省のウェブサイト「国民のための情報セ キュリティサイト」が2003年3月以来開設されてい
る(注12).更に,総務省と経済産業省の連携によるボッ
ト対策プロジェクトとして,前述の「サイバークリー ンセンター」が2006年12月に開設され,ボット感染 者の減少・撲滅を目指したボット対策情報の発信等が 行われている(注13).このような取組みの積み重ねを通 じて,情報セキュリティに関する国民の意識が高揚 し,第2次情報セキュリティ基本計画が基本理念とし て掲げる「成熟した情報セキュリティ先進国の実現」
に向けた基盤が形成されることが期待される.
このほかにも,IPA が定期的に日本各地で行って いる「情報セキュリティセミナー」や情報セキュリ ティに関する講習会等は,インターネットユーザが情 報セキュリティ及びその対策への意識を高めるうえ で,一定の効果が期待できるものと考えられる(注14). 以上のような施策は,本稿の分析結果(情報セキュ リティ教育を受けたインターネットユーザの方がそう でないユーザよりも,情報セキュリティ及びその対策 への意識が高いこと)から,意義のある望ましいもの であるといえ,今後の更なる充実が期待される.
ISP においても,さまざまな情報セキュリティ教 育に関する取組が行われている.例えば,先に述べた サイバークリーンセンターにおけるボット対策情報の 発信等の運用に関して,70社以上の ISP が参画して
いる.また,ISP はインターネットユーザに対して 情報セキュリティやその意識を高めるためのさまざま な啓発活動を行っている.竹村(2009)や Takemura, Osajima and Kawano(2009)によれば,多くの ISP はウィルスや脆弱性をはじめとする情報セキュリティ に関する情報を ISP 自らのウェブサイト,ブログや e-mail を通じて提供している.それは,主として,自 らのユーザに対して,常に注意喚起を行うためのもの である.これに加えて,ISP の中には,激化した競 争を勝ち抜くための経営戦略及び企業の社会的責任
(corporate social responsibility; CSR)を意識した活 動として,独自に講習会やセミナー等を開催している ところもある.これらの活動も,政府の政策とともに,
インターネットユーザの情報セキュリティ及びその対 策への意識を高めることに資すると期待される施策で ある(注15).
5
総括及び今後の課題本稿では,いくつかの個人属性などの違いによっ て,インターネットユーザ自身の情報セキュリティ及 び情報セキュリティ対策への意識が異なるか否かを調 べることを目的とし,ノンパラメトリックな手法に基 づく分散分析を行った.その結果,概して,多くの個 人属性において,情報セキュリティへの意識に差異が 確認され,情報セキュリティ対策をインターネット ユーザに行わせるためには,情報セキュリティ教育が 有効であり,その充実が必要であることが示唆され た.この意味において,前述の「e- ネットキャラバン」
や,IPA の「情報セキュリティセミナー」等はイン ターネットユーザの情報セキュリティ意識を高める効 果があり,また有効な施策である.また,今後これら を更に充実させていくことも期待される.このこと は,労働者の情報セキュリティ意識について分析を 行っている竹村・峰滝・今川(2009)でも主張され ている.
最後に,今後の課題及び展望について述べる.情報 セキュリティの経済学における実証分析は,第1節で も触れたように,必ずしも蓄積が進んでいるとはいえ ない.そのため,本稿のような情報セキュリティ対 策・投資に関する定量的な社会科学からの分析及びそ の蓄積が必要とされる.その意味において,本稿で用 いた Web アンケート調査及びその他の社会調査法(郵 送法等)によって収集したデータを,個人情報等が特 定できない形で公開していく必要性,また,それらを 用いたさまざまな角度からの実証分析を試みていく必 要性がある.
本稿では,ノンパラメトリックな手法に基づく一次
(注12) http://www.soumu.go.jp/main̲sosiki/joho̲tsusin/
security/index.htm
(注13) 具体的な実績に関しては,CCC の HP を参照されたい.
(注14) 情報セキュリティセミナーに関しては,IPA の HP を 参照されたい.
(注15) このほかにも,IPS がある程度セキュアなインター ネット環境をユーザに対して提供することも一つの施策と して考えられる.しかしながら,これは情報セキュリティ 意識を高めるという本質的な問題解決にならない.
元配置の分散分析を行ったが,ここから得られる情報
(施策のための材料)は,多重比較等のより高度な手 法を用いたものに比べるとまだ不十分である.そこ で,今後,より多くの情報を得るために,多重比較や 共分散構造分析などの手法を用いて,これらの結果が 精緻なものであるかの更なる検証を行っていきたい.
追記
本稿は,文部科学省の科学研究費補助金交付課題
「情報セキュリティに対する脅威の経済分析と有効な 情報セキュリティ政策の提案」(課題番号20730196・
若手研究(B)・研究代表者 竹村敏彦)及び財団法人 電気通信普及財団の研究助成金課題「情報通信インフ ラにおける情報セキュリティ対策に関する研究」(研 究代表者 竹村敏彦)の助成を受けて行った研究成果 である.
草稿に対して,峰滝和典氏(関西大学・統計分析主 幹)から貴重なコメントを頂いた.ここに記して謝意 を表したい.もちろん残る誤りは,全て筆者らの責に 帰すものである.
参考文献
[1] B e c k e r , D e g r o o t , a n d M a r s c h a k ( 1964 ) Measur-ing Utility by a Single Response Sequential Method,
Behavioral Science,
Vol.9, pp.226-32[2] Cramer, J.S., Hatog, J., Jonker, N. and Van P r a a g , C . M . ( 2002 ) L o w R i s k A v e r s i o n Encourages the Choice for Entrepreneurship: An Empirical Test of a Truism, Journal of Economic
Behavior & Organization,
Vol.48, 29-36[3] Liu, W., Tanaka, H., and Matsuura, K. (2007) E m p i r i c a l - A n a l y s i s M e t h o d o l o g y f o r I n f o r m a t i o n - S e c u r i t y I n v e s t m e n t a n d I t s Application to Reliable Survey of Japanese Firms,
Information Processing Society of Japan Digital Courier,
Vol.3, pp.585-599, 2007[4] Takemura, T., Osajima, M., and Kawano, M.
(2009) Economic Analysis on Information Security Countermeasures: The Case of Japanese I n t e r n e t S e r v i c e P r o v i d e r s I n
A d v a n c e d Technologies (A. Lazinica Ed.), intechweb. org,
forthcoming[5] Tanaka, H., Matsuura, K., and Sudoh, O. (2005) V u l n e r a b i l i t y a n d I n f o r m a t i o n S e c u r i t y Investment: An Empirical Analysis of e-local Government in Japan,
Journal of Accounting and Public Policy,
vol.24, no.1, pp.37-59[6] Varian, H. R. (2002) System Reliability and Free Riding, in ACM Transactions on Information
and System Security,
vol.5, pp.355-366[7] Wasserman, L. (2007)
All of Nonparametric
Statistics,
Springer[8] 岩崎学(2006)『ノンパラメトリック法』東京 図書
[9] 大隅昇(2002)「インターネット調査の適用可 能性と限界:データ科学の視点からの考察」『日 本行動計量学会』,Vol.29, No.1, pp.20-44
[10] 坂 村 健・ 橋 元 良 明(2009)「2008年 イ ン タ ー ネット利用に関する実態調査─東京23区住民の 現況─」(http://www.soc.toyo.ac.jp/˜mikami/wip/
year2008.html)
[11] 総務省情報通信政策研究所(2009)「インター ネット利用の決定要因と利用実態に関する調査研 究」(http://www.soumu.go.jp/iicp/chousakenkyu/
data/research/survey/telecom/2009/2009-01.
pdf)
[12] 竹村敏彦(2009)「第3回インターネット・サー ビス・プロバイダの情報セキュリティに関する実 態調査報告書」関西大学
[13] 竹村敏彦・峰滝和典(2009)「企業価値向上を もたらす戦略的情報セキュリティ対策のための政 策」『第66回日本経済政策学会予稿集』
[14] 竹村敏彦・峰滝和典・今川拓郎(2009)「労働 者 の 情 報 セ キ ュ リ テ ィ 意 識 に 関 す る 研 究 」
『RCSS ディスカッションペーパー』(関西大学),
No.85
[15] 竹村敏彦・筬島専(2008)「日本の情報セキュ リティ対策・政策に関する現状と課題について」
『 早 稲 田 大 学 大 学 院 国 際 情 報 通 信 研 究 科 紀 要 2007-2008』,163-168
