2024-03-30T13:59:40Zhttps://ipsj.ixsq.nii.ac.jp/ej/?action=repository_oaipmhoai:ipsj.ixsq.nii.ac.jp:002015302022-10-21T05:24:51Z00581:09633:09645
セキュリティ対策導入にかかる時間とサイバーリスクレベル変動の関係から探る,過剰なセキュリティ対策の問題とその対策Issues and Remedies for Excessive Security Controls Explored by Relationships between the Time taken to Implement Security Controls and the Fluctuation of Cyber Risk Leveljpn[特集:ユーザブルセキュリティ] サイバーセキュリティ,リスク選好,リスクマネジメント,システム・シンキングhttp://id.nii.ac.jp/1001/00201437/Journal Articlehttps://ipsj.ixsq.nii.ac.jp/ej/?action=repository_action_common_download&item_id=201530&item_no=1&attribute_id=1&file_no=1Copyright (c) 2019 by the Information Processing Society of Japan情報セキュリティ大学院大学情報セキュリティ大学院大学菊地, 正人大久保, 隆夫セキュリティ対策の実施には時間がかかるものがあるが,それによりサイバーリスクのレベルが一時的に大きくなることがある.一時的に大きくなるサイバーリスクのレベルを通常のサイバーリスク選好と比較して対応してしまうと,過剰なセキュリティ対策を実施してしまう可能性があり,生産性やセキュリティ対策のユーザビリティにも悪影響を及ぼす.そこで,本論文では,セキュリティ対策の実施に時間がかかるとサイバーリスクのレベルが一時的に大きくなる現象の仕組みを可視化することにより,過剰なセキュリティ対策を実施してしまうという問題点とその対応策を提唱する.まず,サイバーリスクを作り出している要素として,サイバー空間に依存する企業価値,サイバー空間の攻撃者,そしてサイバーリスクを軽減するセキュリティ対策とそれらの関係に注目する.そして,定性分析モデルであるシステム・シンキングの理論を適用したうえ,それらが相互に影響を与えながら,サイバーリスクのレベルの変化を導くことを可視化する.また,実施に時間がかかるセキュリティ対策がサイバーリスクのレベルを一時的に大きくする現象を,定量分析モデルであるシステム・ダイナミックスの理論を適用してシミュレーションすることにより,その問題の性質と対応策を提示することができた.Cyber risk level sometimes rises for a limited time due to delay of the implementation of security controls. If such a cyber risk level is compared with a normal cyber risk appetite, there are some possibilities that excessive security controls may be implemented, and productivities and usability of security controls may be undermined. This paper proposes the issues of the implementation of excessive security controls and their remedies by visualizing how cyber risk level rises for a limited time due to delay of the implementation of security controls. First, the elements that create cyber risk: cyber accessible corporate value, attackers in cyber space, and security controls that reduce cyber risk and their relationships are highlighted. And then, how they interact each other and change cyber risk level is visualized by application of system thinking that is a qualitative analysis model. The simulation on how cyber risk level rises for a limited time due to delay of the implementation of security controls was conducted by application of system dynamics that is a quantitative analysis model. It clarified the characters of issues and their remedies.AN00116647情報処理学会論文誌6012218421952019-12-151882-77642019-12-12