サイバーセキュリティ対策の実効性に関する一考察

全文

(1)情報処理学会第 80 回全国大会. 3F-03. サイバーセキュリティ対策の実効性に関する一考察神橋. 基博†. 情報セキュリティ大学院大学. 1.はじめにサイバー空間は国民生活や社会経済活動の基盤となる一方，サイバー空間を脅かす，巧妙化・高度化したサイバー攻撃の脅威が大幅に増大している．サイバー攻撃の脅威に対抗するサイバーセキュリティ対策として，総務省が推奨[1]する OODA モデルに基づき，副島(2017)は「現場力」によるインシデント対応[2]を提言している．本稿では，サイバーセキュリティ対策の実効性について実施したアンケート調査結果を踏まえ，「現場力」向上策について考察する．. 原田. 要之助‡. 情報セキュリティ研究科†‡. 3.アンケート結果の分析 (1)対策の実施状況 3 つのケースを想定した連絡先の認知度を図 1，教育・研修の実施状況を図 2，訓練の実施状況を図 3 に示す． 2017 年 5 月における「WannaCry」の世界的な被害発生からランサムウェアへの感染に対する連絡先の認知度，教育・研修の実施状況，訓練の実施状況は他 2 ケースよりも高い傾向を示している．また，いずれのケースにおいても連絡先の認知度は高い．. 2.アンケート調査について (1)アンケートの概要日本国内のプライバシーマーク取得企業， ISMS 認証取得企業，官公庁教育機関（以下「組織」）の 4500 組織の情報セキュリティ関係者に，本分析で用いるサイバーセキュリティ対策の実効性に係る設問を含むアンケートを郵送した．本稿では回答を得られた 429 件（回答総数に対して 9.1%)に対して分析を行う．なお，集計に際して無効回答は除外している．. 図 1 各ケースにおける連絡先の認知度. (2)実効性について実効性を検証するため，表 1 に示す 3 つの具体的なケースに対して連絡先の認知度，教育・研修の実施状況，訓練の実施状況に関する回答を求めた．. 図 2 各ケースを想定した教育・研修の実施状況. 表 1 実効性検証に用いた 3 つのケースケース. 具体例. 自分の PC がコンピュータウィルスに感染し，全てのファイルが暗号化され操作不能となり，画面には「身代金」を要求するメッセージが表示されている．自社 Web サイトの自社 Web サイトが不正に改ざんされていることを発見改ざんしたソーシャル警察を名乗る男から「貴社のメールサーバーがハッカエンジニアリングーに乗っ取られているので，セキュリティ担当者の氏名と連絡先を教えてほしい」と要請された．（電話の相手が本物か確認できない）. 図 3 各ケースを想定した訓練の実施状況. ランサムウェアへの感染. (2)実施状況に影響を与える要因実施状況に影響を与える要因として，業種，規模(従業員数)，教育への難しさ，ガイドラインの理解度について，分析を行った．. An approach on the performance of cyber security measures † MOTOHIRO KAMBASHI, Graduate School of Information Security, Institute of Information Security ‡ YONOSUKE HARADA，Graduate School of Information Security, Institute of Information Security. 4-395. Copyright 2018 Information Processing Society of Japan. All Rights Reserved..

(2) 情報処理学会第 80 回全国大会. ① 業種アンケートの回答数が多い業種「情報通信業」 i ，「公務」 ii ，「大学」における教育・研修の実施状況を図 4 に示す．情報通信業，公務はランサムウェアへの感染に関する実施率が高く，大学は 3 ケースともに低い傾向を示している．. ④ ガイドラインの理解度経済産業省「サイバーセキュリティ経営ガイドライン」の認知度に関する回答別による教育・研修の実施状況を図 7 に示す．ガイドラインの理解度と教育・研修の実施状況には関連性がみられる．. 図 7 「サイバーセキュリティ経営ガイドライン」の認知度による各ケースにおける教育・研修の実施状況. 図 4 業種別，各ケースにおける教育・研修の実施状況. ② 組織の規模(従業員数) 従業員数別による教育・研修の実施状況を図 5 に示す．従業員数が多いほどランサムウェアに関する教育・研修の実施率は高いものの，自社 Web サイトの改ざん，ソーシャルエンジニアリングについては規模による差異が見られない．. 図 5 従業員数別，各ケースにおける教育・研修の実施状況. ③ 従業員向け情報セキュリティ教育の難易度従業員に情報セキュリティ教育を実施することの難しさに対する回答別による教育・研修の実施状況を図 6 に示す．情報セキュリティ教育の難易度と教育・研修の実施状況には関連性がみられる．. 4.考察サイバーセキュリティ対策について，各ケースともに連絡先の認知度が高いことから，組織内の連絡先に対するセキュリティ人材の重点配置や外部の専門家による支援といった施策によって実効性が上がると考えられる．また，教育・研修について、大規模な組織しかランサムウェアのような新しい攻撃手法に対応できていないことから，政策においては中小規模の組織に対する支援が重要となる．更に，教育の難しさ，及びガイドラインの認知度と，教育・研修の実施状況に関連性がみられることから，サイバーセキュリティに関する教材の提供や講師の派遣によって，組織における教育・研修負担の軽減，あるいは，既存のガイドラインの解説書や講習会といった普及策といった取組みも実効性に寄与すると考えられる． 5.まとめ日本において，サイバーセキュリティ対策は不十分であると考えられているものの，「現場力」の要因を分析することで，より実効性の高い対策を検討することが可能となる．本稿は教育・訓練に着目したが，連絡先の認知度，研修の実施状況は，異なる結果となる可能性があり，今後の課題として取り組みたい．参考文献. 図 6 情報セキュリティ教育の難しさによる各ケースの教育・研修の実施状況. i. ii. 通信業，放送業，情報サービス業，ソフトウェア業，インターネット附随サービス業，映像・音声・文字情報制作業. [1] 総務省．総務省における情報セキュリティ政策の推進に関する提言．http://www.soumu.go.jp/main_con tent/000359280.pdf [2018-01-08 参照] [2] 副島恵子．多様化する IT 現場における OODA によるインシデント対応の提案．公益財団法人防衛基盤整備協会平成２９年度「情報セキュリティに関する懸賞論文」受賞作品．p6. 政府，自治体. 4-396. Copyright 2018 Information Processing Society of Japan. All Rights Reserved..

(3)