情報セキュリティ・マネジメントの有効性に関する研究 : ゲーム理論によるモデル化と分析 A study on Effectiveness of the Information Security Management : Modeling and Analysis using Game Theory

博士論文

2011

本研究は，企業などの組織でセキュリティ対策が適切に実行されない状況について，ゲーム理論によるモデル化を行い，その解決の方向性を見出すことを目的としたものである．従来，一般に行われているセキュリティ対策としては，データファイルや通信路の暗号化，ハードウェア・ソフトウェアの脆弱性の修正，電子署名による利用者及びデータの適正性の保証と確認などが主なものであった．しかし，実際のセキュリティ事件・事故では，実行するよう定められたセキュリティ対策を利用者が守らなかったために発生した例が非常に多い．例えば，利用を禁止されているWinny やShare，CABOS などのファイル共有ソフトを使用している中でのいわゆる「暴露ウイルス」への感染による情報漏えい事故や，同じく持ち出しが禁止されているデータをUSB メモリなどの外部記録媒体に入れて持ち帰り，その帰宅途中で紛失したり盗難にあったりする事故，業務用パソコンの動作が遅くなることを嫌ってウイルス対策ソフトの機能を停止したことによるウイルス感染事故などの例がある．これらの事件・事故は，従来行われてきた技術的な方策を中心とするセキュリティ対策では解決出来ない．このため，組織におけるセキュリティ対策の実施に関する人のふるまいを明らかにした上で有効なセキュリティ対策を実施するマネジメントが必要である．そこで本研究では，ゲーム理論を用いて組織におけるセキュリティ対策の推進と実施をモデル化し定式化した．ゲームのプレーヤはセキュリティ施策の推進者と施策の実施者である従業員とからなり，それぞれのペイオフによってゲームが構成される．これにより，従業員が，組織がどのような状態のときセキュリティ対策を実施しどのような状態のとき実施しないかを明らかにし，その境界条件を求めた．さらに，組織としてセキュリティ対策上望ましい状態，望ましくない状態となる条件を明確にし，従来は注目されていなかった極めて望ましくないジレンマ状態が従業員に発生する場合があることも示した．次に，実際に発生したセキュリティ事件・事故の事例を用いて，構築したモデルの検証を試みた．セキュリティ事件・事故の場合，セキュリティという特殊性ゆえに，その内容はほとんど公開されておらず，定量的に分析した例や詳細な内容を追跡調査した例も極めて少ない．とりあげた事例についても，公開された情報は限られていた．そこで本研究では，公開されているさまざまな統計データや調査データを用いることによって，事例の各パラメータを定量的に算出した．この結果，構築したモデルがこの事例を適切に表現していることを示し，本モデルが組織のセキュリティ対策の実施を適切に表現できる可能性を示した．さらに，構築したモデルを用いて，この事件・事故事例におけるセキュリティ対策の改善策を検討した．いくつかの改善策について，それを実施した場合にどの程度セキュリティ対策の推進の改善に寄与するかを定量的に検討するとともに，それらの結果をセキュリティ対策推進における実際の経験と対比した．これにより，本事例における効果の高いセキュリティ対策と効果の低いセキュリティ対策を明らかにし，さらに，セキュリティ対策の推進上望ましい状態に変化させる方策を見出した．以上のように，本研究では，組織のセキュリティ対策の改善と推進に寄与する有用な結果が得られた．