…出来の悪い都市伝説かミステリーのような話だが、そんな驚愕の学術研究が日本の大学でまとめられ、10 月 4 日 (木) 都内で行われる専門家会議で公表される。
研究を実施したのは明治大学だ。総合数理学部 先端メディアサイエンス学科 菊池 浩明 教授と、研究室の大学院生がまとめた。
研究の概要は以下の通り。セキュリティ機関のまとめたデータや、報道された情報などをもとにセキュリティ事故のリストを作成し、「会社四季報」で知られる東洋経済社が保有している膨大かつ詳細な法人データと事故リストをつきあわせ、セキュリティ体制の整備状況と、情報漏えい等セキュリティインシデント発生の相関関係を統計分析した。
結果から先にいえば、セキュリティ認証を取得したり、セキュリティポリシーを導入し対策を行っている企業や組織ほど、セキュリティインシデントが多く発生しているという分析結果が浮かび上がったという。
取材時に編集部が入手した調査結果の一部、「相対リスクRR」の値が1を超えると事故発生率が平均より高い。ISMS認証が突出しているいったいなぜこんなことが起こったのか、というよりも起こりえるのか?
すぐに頭に浮かぶのは、体制を整えるほど、セキュリティアプライアンス等々のセンサーが数多くネットワークやサーバに設置されるから、侵入や攻撃への検知閾値が下がり、それによって事故件数も多くなるという仮説だ。
本誌の取材に応えた菊池教授は「それはたいていの人が最初に思いつく仮説ですね」と、謎めいた微笑みを浮かべた。
不敵に微笑む JPCERT/CC 代表理事 菊池 浩明 氏「この結果が出た原因については、さらに詳しい調査や分析、議論を行っているところですが、最終的に四つの仮説に絞られそうです(菊池教授)」
他には何が考えられるだろうか?
…認証を取得してはいても、認証の維持のみがゴールとなって、現場での運用管理が形骸化されているのだろうか…
…それとも CISO に、本来必要な権限移譲や予算執行権、人事権等々が渡されていないのか…
考えているうちにふと気づいたのは、わたしたちがふだん見かけるセキュリティに関する調査やデータの多くが、セキュリティの教育研修や、企業のマーケティングを目的として実施された調査や統計であることだ。
そこでは調査設計段階から、ゴールとなるセキュリティのルールが存在したり、特定の製品やサービスの機能や仕様と矛盾しない結果を得ることを想定しており、活発な議論を生むことが目的ではなく、あくまで教育効果向上や、ビジネス推進を目的とするものが多い。
一方で、今回の菊池教授の研究のような、アカデミズムの立場からのデータは、さまざまな議論を生み、そこから新しい認識を得たり、既存の考え方を深めることができる。
菊池教授は今年の夏から 一般社団法人 JPCERTコーディネーションセンター( JPCERT/CC )の代表理事に就任したばかり、この研究の結果は JPCERT/CC 代表理事として、10 月 4 日 (木) に開催されるセキュリティ専門家会議 Security Days Fall 2018 の講演で発表される。
果たして「四つの仮説」とは何なのか。
菊池理事が仕掛けたミステリーの大団円は、10 月 4 日木曜日の朝、東京駅徒歩 1 分の KITTE を会場にして開催される Security Days 2018 Fall に参加した者だけに明かされることになる。
JPCERT/CC の代表理事はこれまで、故 山口 英 氏、歌代 和正 氏が務めてきた。菊池代表理事は、富士通研究所で電子メールの暗号化や初期の公開鍵暗号基盤の研究を行い、東海大学,カーネギーメロン大学( CMU )を経て、2013 年から明治大学で教鞭をとっている。
JPCERT/CC 理事就任は 2014 年で、2018 年 6 月に代表理事を受け継いだ。その背景には、サイバーセキュリティ分野での、アカデミック領域との連携を強化したいとの狙いがあるという。
「私が代表理事になることで、これまでの JPCERT/CC から何ら変わるものではありません。断じて変えてはならないと思っています(菊池代表理事)」
JPCERT/CC がこれまで国内及び世界 130 カ国以上の国と構築してきた、信頼という財産をもとに、アカデミズム側からサイバーセキュリティ分野にどんな風を吹かせるのか、大いに期待される出だしとなる講演である。
果たして「四つの仮説」とは何なのか。
・10月4日(木) 8:40 ー 9:20 AM
JPタワー ホール&カンファレンス(JPタワー・KITTE4F)
「個人情報漏洩インシデントビッグデータ解析:ISMSは個人情報漏洩インシデントを削減するか?」
