Langley のサイバーノーガード日記　JNSA作漫才台本「セキュリティベンダの憂鬱」

「2009年上半期情報セキュリティインシデントに関する調査報告書」という漫才の台本をJNSA(特定非営利活動法人日本ネットワークセキュリティ協会)という団体が作ったそうである。

【速報版】2009年上半期情報セキュリティインシデントに関する調査報告書
http://www.jnsa.org/result/incident/2009.html

なるほど、よくできていて筆者は、笑いすぎて胃痙攣を起こしそうになったくらいである。

毎年、同じネタをやっているのに笑いを取れるのは、さすがである。まずもってすごいのは、常識的にはありえない2つの誤謬を何度でもやってのけるところだ。

1）異常値を特別扱いせず、そのまま使っている
昨年も今年も、件数上位1位でほとんどの傾向が決定されている。2009年の漏えい人数231万9,003人だそうであるが、1件当たりの漏えい人数1位が148万6,651人だって、おかしいでしょう。たった1件で全体の64%を占めてるものを平均とるなんて、統計知ってる人間なら絶対やらない。異常値は除外する方法もあるし、異常値に対する耐性の強い統計数値を採用する方法もある。探索的データ解析、EDAと呼ばれる方法である。なんの対策も打たずに、異常値を取り入れるのは、結果数値全体をぶちこわしにする。

2）小学生なみの間違いで平均値を計算している
JNSAが平均値の計算方法を知らないことは昨年も説明した。詳細は、下記にくわしい。

情報漏えいの損害賠償額をどう推定するか(1)
https://www.netsecurity.ne.jp/7_13743.html

簡単に言えば、計算方法が間違っているのである。明らかに数値が肥大化する誤った計算方法を用いて平均値を計算している。

上記の1,2を勘案すると、意図的に世間にインシデント被害額をでかく見せているとしか思えない。しかし、仮にもNPOがそんなことをするはずはないから、反面教師だと思った方がいいのであろう。自らこのような笑止千万な報告書を公表することで、不況にあえぎ、より浅ましくなっているセキュリティベンダの実態を伝えようとしているのであろう。JNSAの本意に思い至った時、その思慮の深さに筆者は涙した。

でも、こんな報告書を作っていると、世間の人に「セキュリティベンダって、平均値も計算できない頭の悪い人ばっかり」と思われないかと少しだけ不安である。たまには知的なところも見せてほしいものだ。

情報漏えいの損害賠償額をどう推定するか(1)
https://www.netsecurity.ne.jp/7_13743.html
情報漏えいの損害賠償額をどう推定するか(2)
https://www.netsecurity.ne.jp/7_13791.html
情報漏えいの損害賠償額をどう推定するか(3)
https://www.netsecurity.ne.jp/7_13808.html
個人情報漏えいの損害賠償は恐い?
https://www.netsecurity.ne.jp/7_12464.html

【執筆：Prisoner Langley】

執筆者略歴：
民間研究者として、さまざまな角度から、セキュリティ事象を調査研究、BUGTRAQへの投稿などを行う。2004年に発生した、コンピュータソフトウェア著作権協会（ACCS）のセキュリティ事件の際、セキュリティ対策のひとつとして「サイバーノーガード戦法」を提唱。

【関連リンク】
セキュリティコラムばかり書いているLANGLEYのブログ
http://netsecurity.blog77.fc2.com/