情報セキュリティ対策の状況の例

情報セキュリティ対策の状況の例

国内の情報セキュリティ投資に対する状況を見てみましょう。警察庁「不正アクセス行為対策等の実態調査 調査報告書」（平成20年2月発行）によると、情報セキュリティ対策を実施する上で挙げられている上位5つの課題は、

• 1位「どこまで行えばよいかわからない」
• 2位「費用対効果がみえない」
• 3位「対策を行うノウハウが不足している」
• 4位「コストがかかりすぎる」
• 5位「人材不足」

となっています。情報セキュリティ対策の投資と効果についての構造を明らかにすることが求められています。

次に、エンドユーザー個人の意思決定が情報セキュリティにとって重要な例として、経済産業省と総務省が共同で推進している「サイバークリーンセンター（CCC）」が手がけるボットネット対策の例を紹介します。

ボットとは、エンドユーザー個人のPCに感染し、指令サーバーからの命令により、ほかの複数の感染PCとともにボットネットを形成して、フィッシング、スパム・メール、サイト攻撃などを行う、悪性プログラムのことです。ボットに感染した場合、エンドユーザー個人は知らぬ間に攻撃者になっているが、エンドユーザー個人自身に直接的な被害が表れないことが多いことで知られています。

CCCでは、ISP（プロバイダ）の協力を得て、CCCが感染を検知したPCのエンドユーザー個人に対して、無償で駆除ツールを提供しています。このような活動は諸外国にはなく、結果として、国際的に日本がボット感染の少ない国であるという効果の一翼をになっています。

一方で、ボットが感染したという事実を通知されたエンドユーザー個人のうち、駆除ツールを実際にダウンロードしたユーザーの割合が30％前後であるという現象も見られます。これは、エンドユーザー個人がセキュリティ対策を実行しようとする意思が低いのではないかと考えられますが、その理由については分かっていません。

情報セキュリティと意思決定についての調査

ここからは、IPAが情報セキュリティと意思決定について調査／分析した内容について紹介します。

前述したCCCのボットネット対策事業を参考として、エンドユーザー個人が情報セキュリティ対策を迫られた場合に、実際に対策を実施するかどうかをWebアンケートで調査しました。

このとき想定したのは、情報セキュリティ対策は社会的ジレンマ状況である、というものです。社会的ジレンマ状況とは、環境問題や交通渋滞などでよく見られる状態ですが、「個人が合理的と感じて選択した方法が、実は社会全体からみると最適ではない」ことを表します。

情報セキュリティ対策についても、社会にとっては「対策をとる」という選択が最適ですが、対策をとる手間などのコスト（K）と、対策した結果得られる利得（G）、対策をしない場合の利得（現状のまま）を考慮すると、エンドユーザー個人は、コストをかける対策を実施するのではなく、「コストをかけずに、対策を実施しない場合の利得だけを享受しようとするのではないか」と考えたわけです。

アンケート調査では、前提として「回答者に対して、感染した事実と、ボットの脅威／対策手法を示した文章がメールで送付されてきた」ことを想定しました。調査では、ボットの脅威の理解度を測る3問のクイズを出題し、正答数別に理解度0（正解0）から理解度3（正解3）に分類しました。このうえで、コスト（K）と利得（G）の値を回答してもらうとともに、対策をとる意思があるかないかを質問しました。

この調査の結果は、次ページで紹介します。