Langley のサイバーノーガード日記情報漏えいの損害賠償額をどう推定するか（3）

　特定非営利活動法人日本ネットワークセキュリティ協会による「2008年情報セキュリティインシデントに関する調査報告書」が発表された。筆者は同報告書の昨年版についても分析記事を寄稿したが、2008年度版も目を通してみた。一回目は平均値の計算方法について、二回目は偏りが大きい場合の統計処理の方法について筆者の拙い考えを書いてきたが、今回はサンプリングの方法について考えてみたい。

2008年情報セキュリティインシデントに関する調査報告書
http://www.jnsa.org/result/2008/surv/incident/
個人情報漏えいの損害賠償は恐い？
https://www.netsecurity.ne.jp/7_12464.html

●そもそもこれは「統計」じゃないだろう、という当たり前の話

　統計を少しでも知っている人間なら、サンプルが結果を大きく左右することを理解しているはずである。どのような母集団を想定し、基準でサンプリングするかによって、結果は大きく異なる。当たり前である。小学校の校庭で平均身長を算出して、それを日本人全体の平均身長などと言うことはできない。

　ここまで極端ではないにしろ、統計調査においてサンプルの取り方は生命線といっても過言ではない。やっかいなのは、仮にサンプリングで致命的な過ちを犯していても気がつかないことである。全く同種の調査が他にあればわかるかもしれないが、そのようなことは稀である。同種の調査がなければ、その結果を否定するものもなく、調査は妥当なものとして一人歩きを始めてしまうのである。

　今回の調査においては、一定基準に則ったサンプリングなどはしていない。新聞やネットで見つけたものを計算しているだけである。すでに、自分のところで計算したら違う数字になったという話も出てきている。

JNSA、2008年の個人情報漏えい調査報告を公表〜流出件数激増の理由は？
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1939

●対象を限定した定点観測

　しかし否定するばかりでは、物事は始まらない。少しは使える数字になるような方法を考えてみよう。筆者の拙いアイデアであるが、下記のようなアプローチが可能だと思う。

・観測対象の企業を決めて定点観測を行う

　定点観測でアンケートをやればいいと思う。例えば数百社、定点観測をする企業を決めて、年に1回アンケートでもとればいい。アンケートならば、一般に公開していないインシデントも教えてくれる可能性が高い。そうすると、公開しているインシデントと公開していないインシデントの比率などもわかるようになる。いいことずくめである。同じサンプルに対して継続して調査を行うことで、経年変化も意味のある形でわかるようになる。問題は…

【執筆：Prisoner Langley】

【関連記事】
Langley のサイバーノーガード日記情報漏えいの損害賠償額をどう推定するか（1）
https://www.netsecurity.ne.jp/7_13743.html
Langley のサイバーノーガード日記情報漏えいの損害賠償額をどう推定するか（2）
https://www.netsecurity.ne.jp/7_13791.html

【関連リンク】
セキュリティコラムばかり書いているLANGLEYのブログ
http://netsecurity.blog77.fc2.com/
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec