■ 議論の整理・・・
事業体において情報セキュリティ対策の採否を経営判断するにあたり,費用対効果など客観的な有効性評価が求められるものの,セキュリティインシデントの予想発生数に確率(発生率)を導入せざるを得ないなど,根拠となる数字が実務からかい離しているのが実情である。一方で,有効性評価に関する方法論は未だ確立されておらず,過去の自社経験もしくはエージェントを介した伝聞情報に基づいた主観的な意思決定がなされることも多い。これは,セキュリティ対策の客観的有効性評価法を欲する事業者に対し,アカデミズムがその期待に応えていないこと,すなわちギャップの存在を意味している。このギャップを埋めようという学際的な試みとして,セキュリティ対策採否の意思決定時に利用可能な,情報セキュリティ対策の経済合理性評価におけるフレームワークを提案する研究(*1)もある。
■ 問題発見・・・
しかし,武田が上述の研究(*1)で示した経済合理性には,重要な視点が欠けているといわざるを得ない。武田らによるリスクの算出法は,情報セキュリティ投資を意思決定する立場にある経営者に対する説得力が極めて低いことに問題がある。リスク算出にあたっては,万一セキュリティ投資を見送った後にインシデントが発生した際の,自社が負うべき経営リスクの可視化が求められる。インシデントが発生してからその原因を特定し,再発防止策を講じていたのでは,遅いのである。
■ 論証・・・
事業体においてマルウェア感染や不正ソフトによる情報漏えいが発生すると,経営トップの謝罪だけでは事態が収まらず,最悪の場合事業の存続に影響を及ぼすこともある。たとえば,顧客から預かった機密情報や製品仕様が漏洩した場合,莫大な損害賠償が発生することもある。すなわち,インシデント発生後に必要となる経済的処置についても,リスク因子として経済合理性評価に含まれているべきであろう。
■ 結論・・・
そこで,貴学環境情報学部にて情報セキュリティを専門に研究している武田圭史教授に師事し,情報セキュリティ対策の経済合理性評価法について研究を深めたいと考える。また,DAYゼロのマルウェアや不正ソフトであっても検出可能な検出アルゴリズムについてもあわせて研究したい。
■ 結論の吟味・・・
武田圭史教授は,不正ソフトやマルウェアの検出法について数々の研究実績(*2)があり,武田圭史研究会には上述の研究に最適な環境があると考える。したがって,私は貴学SFCに入学し,武田圭史研究会に入会することを強く志望する。
(*1) 武田圭史.“情報セキュリティ対策の経済合理性評価”,コンピュータセキュリティシンポジウム2016論文集, pp.249-254, 2016
(*2) 武田圭史.“情報セキュリティに関する取り組みについての最新動向”,知能と情報(日本知能情報ファジイ学会誌), Vol.19, No.3, pp.200-208, 2007
コメントを残す