WEKO3
アイテム
情報セキュリティの失敗事例における原因の類型化とその対策に関する考察
https://ipsj.ixsq.nii.ac.jp/records/95222
https://ipsj.ixsq.nii.ac.jp/records/952224f108310-5ba8-433a-8345-4b023b3b9103
名前 / ファイル | ライセンス | アクション |
---|---|---|
![]() |
Copyright (c) 2013 by the Information Processing Society of Japan
|
|
オープンアクセス |
Item type | Journal(1) | |||||||
---|---|---|---|---|---|---|---|---|
公開日 | 2013-09-15 | |||||||
タイトル | ||||||||
タイトル | 情報セキュリティの失敗事例における原因の類型化とその対策に関する考察 | |||||||
タイトル | ||||||||
言語 | en | |||||||
タイトル | A Study of a Classification for Causes of Information Security Incidents and Countermeasures for their Causes | |||||||
言語 | ||||||||
言語 | jpn | |||||||
キーワード | ||||||||
主題Scheme | Other | |||||||
主題 | [特集:未来を切り開くコンピュータセキュリティ技術] 情報セキュリティ,失敗学,インシデント | |||||||
資源タイプ | ||||||||
資源タイプ識別子 | http://purl.org/coar/resource_type/c_6501 | |||||||
資源タイプ | journal article | |||||||
著者所属 | ||||||||
NTTセキュアプラットフォーム研究所/現在,日本電信電話株式会社技術企画部門 | ||||||||
著者所属 | ||||||||
NTTセキュアプラットフォーム研究所 | ||||||||
著者所属 | ||||||||
NTTセキュアプラットフォーム研究所 | ||||||||
著者所属 | ||||||||
NTTセキュアプラットフォーム研究所/現在,NTT Innovation Institute Inc. | ||||||||
著者所属(英) | ||||||||
en | ||||||||
NTT Secure Platform Laboratories, NTT Corporation / Presently with Technology Planning Department, NTT Corporation | ||||||||
著者所属(英) | ||||||||
en | ||||||||
NTT Secure Platform Laboratories, NTT Corporation | ||||||||
著者所属(英) | ||||||||
en | ||||||||
NTT Secure Platform Laboratories, NTT Corporation | ||||||||
著者所属(英) | ||||||||
en | ||||||||
NTT Secure Platform Laboratories, NTT Corporation / Presently with NTT Innovation Institute Inc. | ||||||||
著者名 |
佐藤, 亮太
× 佐藤, 亮太
|
|||||||
著者名(英) |
Ryota, Sato
× Ryota, Sato
|
|||||||
論文抄録 | ||||||||
内容記述タイプ | Other | |||||||
内容記述 | 企業や大学などの組織における情報セキュリティに関する事故や事故にまでは至らないヒヤリハットの事例が多発している.そのため,事故やヒヤリハットなど情報セキュリティの失敗に対する適切な対応が,その組織の事業継続にとって重要となっている.一方で,機械工学の分野では,各失敗事例から,その失敗知識を抽出することで失敗を次へ活かす失敗学が発展している.そこでは,失敗事例をその原因に基づき類型化し,次の新たな設計への出発点とする研究が存在する.本稿では,一般的には公表されにくい,組織において実際に発生した情報セキュリティの失敗事例を収集し,その原因を,機械工学と情報セキュリティにおける原因の考え方の差分を明らかにしながら,機械工学における類型化の方針に沿って分析する.さらに,その分析結果として得られた類型化が,失敗学の思想を反映して,情報システムの運用者を対象とした既存のISMSとは異なった,情報システムの設計者を対象とした情報セキュリティ対策を実現する手段となることを述べる.そして,失敗事例のうち,同じ類型化をされた事例における対策を相互参照することで,1つの失敗事例では実施されなかった新たな対策案が提示可能となることを示す.さらに,失敗事例の分析において,リスク表現におけるリスク源,事象,結果の関係性に対するリスク対応の考え方を導入することで,情報システムの設計者の立場からの新たな技術的対策の観点を導出し,本稿による事例ベースの原因分析とその対策関連の導出による新たな失敗マネジメントの有効性を示す. | |||||||
論文抄録(英) | ||||||||
内容記述タイプ | Other | |||||||
内容記述 | Recently a lot of information security incidents or accidents have occurred then it has been more important for organizations to manage these failures. On the other hand, the study of failure which focuses on the knowledge of failures to apply it to other failures has been developed in mechanical engineering. In the study of failures, there is an approach which classifies the failures based on their causes to derive the knowledge. In this paper, we collect the cases of the failures in information security and classify their causes based on the way of the study of failures in clarifying the differences of causes between engineering and information security. As a result, we discuss that the classification is the way for the designer of information security system to control for causes, and is different from ISMS, which is the way for the operator of the system. We demonstrate the classification's effectiveness by showing new controls derived from other cases which are classified with same category. In addition, we introduce the way of risk management for the relationship among risk sources and their event and its consequence to derive the controls for the designer of information security. | |||||||
書誌レコードID | ||||||||
収録物識別子タイプ | NCID | |||||||
収録物識別子 | AN00116647 | |||||||
書誌情報 |
情報処理学会論文誌 巻 54, 号 9, p. 2208-2219, 発行日 2013-09-15 |
|||||||
ISSN | ||||||||
収録物識別子タイプ | ISSN | |||||||
収録物識別子 | 1882-7764 |