2024-03-29T05:44:42Zhttps://ipsj.ixsq.nii.ac.jp/ej/?action=repository_oaipmhoai:ipsj.ixsq.nii.ac.jp:001681852023-04-27T10:00:04Z01164:06389:08485:08760
サイバーセキュリティ脅威対策のためのビジネスリスク評価システムの提案Proposal of Business Risk Assessment System for Cyber Security Threatsjpnhttp://id.nii.ac.jp/1001/00168151/Technical Reporthttps://ipsj.ixsq.nii.ac.jp/ej/?action=repository_action_common_download&item_id=168185&item_no=1&attribute_id=1&file_no=1Copyright (c) 2016 by the Information Processing Society of Japan(株)日立製作所(株)日立製作所(株)日立製作所磯部, 義明杉本, 暁彦仲小路, 博史2015 年 6 月に発覚した日本年金機構の個人情報漏洩事件より,組織内のリスク共有体制の不備や対処判断の遅れが一つの要因となり,被害拡大を招いたと分析されている.また,日本ではサイバーインシデントにあたって,経営者のリーダーシップが十分に発揮されていない組織が多いことも課題となっている.経営者のセキュリティに関するリスク管理が十分でない原因として,ビジネス上のリスクとして判断に資する情報を経営者に提供できていないことが挙げられる.本報告では,既報のセキュリティリスク評価技術の結果を活用し,ビジネス上のリスクを経営者に提供するため,(1) その脅威によるインシデント発生可能性と影響業務,(2) インシデント発生時の想定損失額,(3) 事前対策した場合の投資効果の 3 つの指標を提示するシステムを提案する.これらの指標により,サイバーセキュリティ脅威におけるビジネス上のリスクを把握しやすくし,組織内のリスクコミュニケーションと組織のリスク経営を支援し,適切なセキュリティ対策を促進することができると考える.It is analyzed that lack of risk sharing structure and delay of response decision are the significant causes for the incident of personal data breach found at Japan Pension Service in June, 2016. In addition, it is the problem that many business managers don't show leadership on cyber incidents because of lack of information for evaluating business risks needed for making decision. This paper proposes a system showing three indexes to take risk in the business to the business manager, (1) an incident occurrence probability and suspended business activity by the threat, (2) an amount of assumption loss when occurs the incident, and (3) a return investment for a countermeasures of the threat in advance to utilize the result of the security risk evaluation technology of the previous report. Our proposal make it easy to understand risk in the business in the cyber security threat by these indexes and support the risk communication between stakeholders and the risk management of the business system and it can promote an appropriate security countermeasure.AA12628305研究報告セキュリティ心理学とトラスト(SPT)2016-SPT-1916182016-07-072188-86712016-07-05