Langley のサイバーノーガード日記 情報漏えいの損害賠償額をどう推定するか(3) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.18(月)

Langley のサイバーノーガード日記 情報漏えいの損害賠償額をどう推定するか(3)

特集 特集

 特定非営利活動法人日本ネットワークセキュリティ協会による「2008年情報セキュリティインシデントに関する調査報告書」が発表された。筆者は同報告書の昨年版についても分析記事を寄稿したが、2008年度版も目を通してみた。一回目は平均値の計算方法について、二回目は偏りが大きい場合の統計処理の方法について筆者の拙い考えを書いてきたが、今回はサンプリングの方法について考えてみたい。

2008年情報セキュリティインシデントに関する調査報告書
http://www.jnsa.org/result/2008/surv/incident/
個人情報漏えいの損害賠償は恐い?
https://www.netsecurity.ne.jp/7_12464.html

●そもそもこれは「統計」じゃないだろう、という当たり前の話

 統計を少しでも知っている人間なら、サンプルが結果を大きく左右することを理解しているはずである。どのような母集団を想定し、基準でサンプリングするかによって、結果は大きく異なる。当たり前である。小学校の校庭で平均身長を算出して、それを日本人全体の平均身長などと言うことはできない。

 ここまで極端ではないにしろ、統計調査においてサンプルの取り方は生命線といっても過言ではない。やっかいなのは、仮にサンプリングで致命的な過ちを犯していても気がつかないことである。全く同種の調査が他にあればわかるかもしれないが、そのようなことは稀である。同種の調査がなければ、その結果を否定するものもなく、調査は妥当なものとして一人歩きを始めてしまうのである。

 今回の調査においては、一定基準に則ったサンプリングなどはしていない。新聞やネットで見つけたものを計算しているだけである。すでに、自分のところで計算したら違う数字になったという話も出てきている。

JNSA、2008年の個人情報漏えい調査報告を公表〜流出件数激増の理由は?
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1939

●対象を限定した定点観測

 しかし否定するばかりでは、物事は始まらない。少しは使える数字になるような方法を考えてみよう。筆者の拙いアイデアであるが、下記のようなアプローチが可能だと思う。

・観測対象の企業を決めて定点観測を行う

 定点観測でアンケートをやればいいと思う。例えば数百社、定点観測をする企業を決めて、年に1回アンケートでもとればいい。アンケートならば、一般に公開していないインシデントも教えてくれる可能性が高い。そうすると、公開しているインシデントと公開していないインシデントの比率などもわかるようになる。いいことずくめである。同じサンプルに対して継続して調査を行うことで、経年変化も意味のある形でわかるようになる。問題は…

【執筆:Prisoner Langley】

【関連記事】
Langley のサイバーノーガード日記 情報漏えいの損害賠償額をどう推定するか(1)
https://www.netsecurity.ne.jp/7_13743.html
Langley のサイバーノーガード日記 情報漏えいの損害賠償額をどう推定するか(2)
https://www.netsecurity.ne.jp/7_13791.html

【関連リンク】
セキュリティコラムばかり書いているLANGLEYのブログ
http://netsecurity.blog77.fc2.com/
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

    ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

  2. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  3. [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

    [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

  4. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  5. [セキュリティホットトピック] まるで海外アングラサイト? 中学生がフリマアプリでウイルス売買し書類送検

  6. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  7. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第11回「五十四歳」

  8. [セキュリティホットトピック] 金融機関情報を狙う「DreamBot」「Gozi・Ursnif」、国内でまた活発化

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第12回「社長面談」

  10. [数字でわかるサイバーセキュリティ] FormBook、圧縮ファイル添付攻撃で日本も上位10位内の標的国に

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×