クラウドサービス市場における

情報セキュリティ監査のゲーム理論的考察

 A Game Theoretic Study for Information Security Auditing
in the Cloud Service Market

東京大学  　　　川　中　孝　章

The University of Tokyo   Takaaki KAWANAKA

東京大学   　　六　川　修　一

The University of Tokyo   Shuichi ROKUGAWA

要　旨

  ネットワーク社会におけるITの新しい利用形態として、クラウドコンピューティング（以下単にクラウドともいう）がある。IT設備を自社で所有せず情報処理を外部に委託するこの形態は、可用性、拡張性、経済性の面で優位性があるといわれている反面、情報セキュリティ面が不安視されている。クラウドサービスの利用者が、情報処理をクラウド事業者に委託することにより、情報セキュリティガバナンスの主体が、互いに独立したクラウド利用者とクラウド事業者に分断されてしまう点にこの問題の本質がある。ガバナンスの主体が分かれると、クラウド事業者の情報セキュリティマネジメントがクラウド利用者側から見えにくくなり、両者の間に情報セキュリティに関する情報の非対称性が生まれる。この問題の解決策の一つとして、情報セキュリティ監査がある。

　本研究ではクラウド事業者とクラウド利用者の間の情報の非対称性に着目し、両者の関係をゲーム理論により考察を行い、クラウドサービス市場が健全に発展していくための情報セキュリティ監査が果たすべき役割について論述する。特にここでは保証型情報セキュリティ監査の3つの方式の中でも、クラウド利用者にとって比較的利用価値が高いと思われる利用者合意方式を取り上げ、監査制度が市場において信頼され、制度として有効に働くための条件を導き出す。利用者合意方式を対象としたのは、企業などのクラウド利用者がクラウド事業者に情報処理を委託する場合、委託先に期待する情報セキュリティ水準が明確である場合が多く、方式の目的を鑑みると、この方式がクラウド利用者のニーズに最も合致しやすいと考えたからである。

研究の流れとしては、監査制度として長い歴史を持つ、会計監査との比較において、情報セキュリティ監査がどうあるべきかを論じ、監査報酬、監査品質、情報セキュリティ対策の不確実性などについて、制度設計の観点から提案を行う。なお、本研究では、クラウドサービスとしてはパブリッククラウドを想定し、クラウド利用者としては企業のような大口ユーザーを想定して議論を進めていく。

キーワード

　情報セキュリティマネジメント、情報セキュリティ監査、クラウドコンピューティング、
情報の非対称性、ゲーム理論

------------------------------------------------------------------------------------

 アメリカにおける個人データ漏洩通知法制

Personal Data Breach Notification Legislation in the United States

情報セキュリティ大学院大学   　　　湯　淺　墾　道

Institute of Information Security       Harumichi YUASA

要　旨

わが国の個人情報保護法は、個人情報の漏洩が実際に発生し、個人の権利利益が侵害される恐れがあるときに、個人情報保護法においては個人情報取扱事業者に個人情報の漏洩・流出の発生を公表したり、当該個人に対して通知・情報提供を行ったりすることを明文では義務づけていない。これに対してアメリカでは、包括的な個人情報保護法が存在せず、プライバシー保護に関する連邦法がセクトラル方式により多数存在する。医療など特定の領域においては、個人データの漏洩等のセキュリティ侵害事案が発生した場合に当該個人に対して漏洩事案の発生の通知(breach notification)を義務づけ、個人の権利利益の確保を図っている。またカリフォルニア州をはじめとする多くの州も州法で漏洩事案の発生の通知を義務づけている。これらの内容を検討して、わが国における導入の可能性について考察を加え、自己情報コントロール権の視点に立脚すれば自らの個人情報の漏洩・流出を知り得ないというのはコントロール以前の問題であること、個人情報の漏洩・流出の本人への通知の義務化によって国民の個人情報の取扱に対する不信感・不安感が解消する一助となる可能性があることから、通知義務の法制化を提案する。

キーワード

　個人情報保護法、個人データ、漏洩、アメリカ、州法、通知

------------------------------------------------------------------------------------

 セキュリティ・マネジメントにおける

行動科学アプローチ

 A Behavior Science Approach for Security Management

（独）情報処理推進機構   　　　小　松　文　子

Information-Technology Promotion Agency       Ayako KOMATSU

要　旨

情報セキュリティ対策の推進は，これまで，「技術」と「マネジメント」のふたつの観点から取り組まれてきた．たとえば，不正アクセスに対する技術的対策には，アクセス対象となるシステムを安全にするための脆弱性対策や，漏えいしにくいID・パスワードのあり方や認証手段などがある．一方マネジメントの対策では，アクセス対象となる情報資源について，攻撃によるリスクを算定し，リスクに応じた対策が実現できるよう，リスク算定プロセスなどを組織として決めている．しかし，情報セキュリティ上のリスクを明確に認知することが難しい利用者にとっては対策をとるための動機づけが弱く，また，企業等において経営者が情報セキュリティ対策への最適な投資を判断するための情報は乏しい状況にあり，適切な技術対策やマネジメントを実行することが難しくなっていることが認識されつつある ．このような状況を解決するために，情報セキュリティ対策への３つめのアプローチである行動科学からの調査・分析の重要性が高まってきている．

キーワード

　行動科学，社会心理学，リスク認知，認知バイアス，情報セキュリティ

------------------------------------------------------------------------------------

 スマートフォンのセキュリティ概要

Overview of Smartphone (Android) Security

（社）情報セキュリティ相談センター   　　　萩　原　栄　幸

Consultation center of Information Security     Eiko HAGIWARA

要　旨

近年、スマートフォンの利用が爆発的に増加している。富士キメラ総研によると2012年３月末での携帯電話会社４社の契約件数は１億1330万件に達しスマートフォンは2680万台になるという。平成26年にはスマートフォンは6000万台を超えるとの見方をしている。かたや携帯電話は今では店頭で殆ど見かけなくなっている。こうした中、パソコンとしての機能を持つスマートフォンが標的にされたウイルスも急増しており、ますますスマートフォンに対するセキュリティの重要性は高まりこの対策を施すことは急務である。今回はスマートフォン、特に市場では最も使われている「Android」を中心としたセキュリティの概要を報告する。

キーワード

　スマートフォン，Android，MDM，管理者権限，マルウェア，MDM，ウイルス対策ソフト

------------------------------------------------------------------------------------