ノンテクニカルサマリー

情報セキュリティメトリクスの実証的研究

執筆者 飯高 雄希 (情報処理推進機構)
花村 憲一 (情報処理推進機構)
小松 文子 (コンサルティングフェロー)
齊藤 有希子 (研究員)
塚田 尚稔 (リサーチアソシエイト)
ダウンロード/関連リンク

このノンテクニカルサマリーは、分析結果を踏まえつつ、政策的含意を中心に大胆に記述したもので、DP・PDPの一部分ではありません。分析内容の詳細はDP・PDP本文をお読みください。また、ここに述べられている見解は執筆者個人の責任で発表するものであり、所属する組織および(独)経済産業研究所としての見解を示すものではありません。

その他特別な研究成果(所属プロジェクトなし)

近年、ハッキングによる不正アクセス、ガンブラーによるウイルス感染、標的型攻撃による情報漏洩などのいわゆる情報セキュリティインシデントというものが報道などを通して多くの人に知れ渡るようになってきた。その結果、情報セキュリティの重要性が多くの組織に認識されつつある。2012年にIPAが行った調査によると、回答者のほぼ全てが、情報セキュリティ確保のため、何らかの対策を講じていると回答している。しかし、そのような対策がどの程度セキュリティ確保に寄与するのか、或いはそもそも寄与するのか否かに関して、殆ど知られていないというのが現状である。

本稿では、IPAが2012年に行った「情報セキュリティ事象被害状況調査」の中の以下の9つのコンピュータウイルス感染防止対策に注目し、どの対策の導入が感染確率減少に寄与するのか、企業レベルの調査データを用いたプロビット回帰分析により検証した。

(1)セキュリティソフト(ネットワークサーバー用)
(2)セキュリティソフト(クライアントPC用)(以下SS_cPCsと呼ぶ)
(3)プロバイダによるウイルスチェック
(4)ウェブ閲覧フィルタ(以下WCFと呼ぶ)
(5)検疫ネットワーク
(6)機器や記録媒体の持込み・持出しの制限(以下R_in/outと呼ぶ)
(7)セキュリティパッチ適用
(8)情報セキュリティ教育
(9)セキュリティ監査

分析の結果、WCF、R_in/outの2つの対策の導入は統計学的有意な感染確率減少効果をもたらすことが判明した。同調査では、想定されるウイルス侵入経路として、インターネット接続(ホームページ閲覧)が約65%と一番多く、次いで多かったのがUSBメモリ等の外部媒記憶媒体で約46%であることが確認されており、上記の2つの対策はこれらメインの侵入経路に対する対策であり、感染確率減少効果が期待される。推定結果から、上記の2つの対策のいずれかを導入した場合、感染確率は、1社あたり平均的に約10%減少させる効果があることが分かった。

また、感染確率減少効果は、大企業と中小企業、製造業企業と非製造業企業の間に違いがあり、下図のように、大企業や非製造業の企業ほど、対策の効果が有意になる傾向があることが確認された。さらに、どのような対策の組み合わせで導入するのかにより、個々の対策の感染確率減少効果は異なっており、WCF、R_in/outともに導入していない企業(下図の未導入企業)では、SS_cPScの対策が有意に感染確率減少効果を持つことが確認された。

表
○:導入により統計学的に有意な感染確率減少効果がもたらされる
×:導入しても統計学的に有意な感染確率減少効果がもたらされない

以上の分析結果は、以下のことを示唆している。情報セキュリティ向上のために、ウイルス感染防止に関しては、今後はWCFならびにR_in/out(更に業種によっては情報セキュリティ教育)の導入に力点を置いた対策を提唱すべきである。そして、特に対策効果の高い大企業や非製造業に強く提唱していくべきである。一方、情報セキュリティ対策の予算の不足、或いは情報セキュリティ要員の不在等などの理由からWCF、R_in/outの導入が難しい企業に対しては、最低限、SS_cPCsの導入および定期的なアップデートを行うよう提唱していくべきである。