第25巻 第2号 2011年9月 |
|
巻頭言 広域災害とセキュリティ・マネジメント 渡辺研司… 1 研究論文
Tatsuo ASAI and Suchinthi FERNANDO… 3 経営に役立つ情報セキュリティ会計の提案 大木榮二郎、田村仁一、清水惠子、佐野智己、芹沢大地… 15
コンテンツベースフィッシング検知手法大規模実例評価と改良
加藤 慧、小宮山 功一朗、瀬古敏智、一瀬友祐、河野耕平、中山心太、吉浦 裕… 42
解説 東日本大震災の危機管理
岡安邦男…57 東日本大震災における金融機関でのBCPの実際
堀越繁明…63
ニュースレター ………………………………………………71 |
Human-Related Problems in Information Security in Indian Cross-Cultural Environments |
|
Department
of Management and Information Systems Science, Nagaoka
University of Technology
Graduate
School of Information Science &
Control Engineering, Nagaoka
University of Technology
|
|
Abstract This paper discusses the potential problems due to cultural differences, which foreign companies may face in India concerning information security. Top 5 investing countries in India, namely, Singapore, US, UK, Netherlands and Japan are examined. Potential problems concerning the management of people are developed by using Hofstede’s framework. To evaluate the magnitude of potential of problems, the recently proposed theory of Level of Potential (LoP) is adopted. A survey was conducted in India to evaluate the severity of the potential problems and the practicability of LoP. It is shown that the theory of LoP can predict problems in the Indian business environment to a certain extent. The results have revealed that Japanese companies may face problems least, while American companies do most. This paper examines the relations between the conditions of occurrence of problems and the profiles of the respondents. The problem of “Unintentional sharing of confidential information” has the highest severity.
Keywords cultural difference, cultural dimension, information security management, human-related problem, India
|
|
1. Introduction Cross-cultural environments are growing in importance in today’s world of business, which strives for competitiveness through diversity. Diversity, which is considered a necessary redundancy to effectively cope with unexpected circumstances in the age of globalization, has encouraged even local domestic companies to nurture cross-cultural environments. Internal Control – Integrated Framework of Committee of Sponsoring Organizations (COSO) refers to Foreign Operations in Circumstances Demanding Special Attention in Managing Change, where it states “The expansion or acquisition of foreign operations carries new and often unique risks that management should address. For instance, the control environment is likely to be driven by the culture and customs of local management [1].” This framework refers to corporate culture, whereas, this paper treats national culture, which may influence the former. Whitfield [2] |
|
studies about the difficulties faced by foreign managers due to cultural barriers between their local workers and themselves. Although the early days of information security focused mainly on technological aspects [3], Asai [4] has pointed out the importance of taking human resource security into account as well, since the role of information security has now become more management-oriented than technology- oriented. This change is defined by Lacey [5] as “The shifting focus of information security”. The COSO framework [1] and ISO/IEC 27001 [6] also emphasize the importance of taking the human factor into consideration when managing information security. Bean [7] states that most identified information security breaches occur because of human errors, resulting from lack of proper knowledge and training, and failure to follow procedures. Schneier [8] explains how people feel secure as long as no threat is visible. Thus, being the |
|
weakest link in the chain of security, people may unintentionally reveal confidential information to others. |
|
|
|
------------------------------------------------------------------------------------- |
||
経営に役立つ情報セキュリティ会計の提案 Proposal of Information Security
Accounting Framework
|
|
工学院大学 情報学部 大 木 栄二郎 Faculty of Informatics, Kogakuin University Eijiroh OHKI 有限責任監査法人トーマツ 田 村 仁 一 Deloitte Touche Tohmatsu LLC Jinichi TAMURA 株式会社コンシスト 清 水 惠 子 Consist Inc. Keiko SHIMIZU 凸版印刷株式会社 佐 野 智 己 Toppan Printing Co. Ltd. Toshiki SANO 伊藤忠テクノソリューションズ株式会社 芹 沢 大 地 ITOCHU Techno-Solutions Corporation Daichi SERIZAWA |
|
要 旨 情報セキュリティガバナンスの重要性から、経営者が情報セキュリティの課題に能動的に取り組むことが求められるようになってきた。しかし、経営者にとって自組織の情報セキュリティの現状を経営指標として的確に把握することはそう容易なことではない。本論文はこの問題に正面から取り組み、経営者が経営の意思決定に利用可能な枠組みとしての情報セキュリティ会計を提案するものである。この枠組みは、企業の情報資産を特定し、その資産にかかわる潜在リスクを貨幣価値で評価するとともに、同時に企業が構築した情報セキュリティ対策のリスク対応力を貨幣価値で評価し、潜在的なリスク総量とリスクへの対応力の総量とのバランスを比較検討することを中核とする経営指標を提供する。同時に、検証可能性、分析可能性、比較可能性の三つの観点からこの枠組みを検討し、具体性のある経営ツールと位置付けることができることを確認した。
キーワード 情報セキュリティ会計、情報セキュリティバランスシート、リスク対策値、 |
|
1. 意義と目的 情報技術が可能とした工業社会から情報社会への大きな社会的変革1]の中で、企業の情報システムは複雑化し、情報の量と質が爆発的に増加かつ多様化している。一方で情報が社会的な価値を持つようになり、情報漏えいなどによる経済的な損失が生じるようになってきている。 |
|
多くの経営者は、このような状況の中で、情報漏えいなどを防ぐための情報セキュリティ対策にいかに取り組むかに頭を悩ませている。2] 現在ISMS適合性評価制度3]、プライバシーマーク制度4]、情報セキュリティ監査制度5] 情報セキュリティベンチマーク6]などがあり、これらは経営者が方針や目標を示し、目標を達成するための道具として大きな効果を |
|
|
||
|
------------------------------------------------------------------------------------- |
||
コンテンツベースフィッシング検知手法の
|
|
電気通信大学 加 藤 慧 The University of Electro-Communications Kei KATO JPCERTコーディネーションセンター 小宮山 功一朗 JPCERT Coordination Center Koichiro KOMIYAMA JPCERTコーディネーションセンター 瀬 古 敏 智 JPCERT Coordination Center Toshinori SEKO JPCERTコーディネーションセンター 一 瀬 友 祐 JPCERT Coordination Center Yusuke ICHINOSE 電気通信大学 河 野 耕 平 The
University of Electro-Communications Kohei
KAWANO NTT情報流通プラットフォーム研究所 中 山 心 太 NTT
Information Sharing Platform Laboratory Shinta
NAKAYAMAA The University of Electro-Communications Hiroshi YOSHIURA |
|
要 旨 金融機関等のウェブサイトに成りすまして個人情報を詐取するフィッシング詐欺が社会問題になっている.コンテンツベースのフィッシング検知方式は,検査対象サイトのテキストからキーワードを抽出し,これを用いたウェブ検索によって正規サイトを求め,検査対象サイトと比較することでフィッシング判定を行う方式である.ブラックリスト方式等で必要となるリストの管理が不要であり,また,検知率が高いとされている.しかし,大量の実例データを用いてコンテンツベース方式を評価した例はなく,その性能について明確な知見は存在しない.また,従来のコンテンツベース方式は,英語サイトにのみ対応していた.そこで,日英両言語のコンテンツベースフィッシング検知システムを実装し,JPCERTコーディネーションセンターの保有する843件のフィッシングサイト(英語サイト475,日本語サイト368件)を用いて評価した.その結果,96%以上のフィッシングサイトについて正しいフィッシング判定が得られた.そのうち705件については模倣元である正規サイトの検索に成功し,コンテンツベース方式の想定通りの動作であった.残りの138件については,正規サイトが検索されない理由を分析し,改善の可能性を示すとともに,コンテンツベース方式の限界を明らかにした.さらに,フィッシングの模倣元となる頻度の高い正規サイト91件を用いて,正規サイト誤検知率を評価し,誤検知数9件(誤検知率9.9%)を明らかにするとともに,誤検知の原因を分析し,改善の可能性を示した.
キーワード フィッシング,なりすまし,情報セキュリティ ------------------------------------------------------------------------------------ |