Langley のサイバーノーガード日記 JNSA作 漫才台本「セキュリティベンダの憂鬱」 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.14(木)

Langley のサイバーノーガード日記 JNSA作 漫才台本「セキュリティベンダの憂鬱」

特集 特集

「2009年上半期 情報セキュリティインシデントに関する調査報告書」という漫才の台本をJNSA(特定非営利活動法人日本ネットワークセキュリティ協会)という団体が作ったそうである。

【速報版】2009年上半期 情報セキュリティインシデントに関する調査報告書
http://www.jnsa.org/result/incident/2009.html

なるほど、よくできていて筆者は、笑いすぎて胃痙攣を起こしそうになったくらいである。

毎年、同じネタをやっているのに笑いを取れるのは、さすがである。まずもってすごいのは、常識的にはありえない2つの誤謬を何度でもやってのけるところだ。

1)異常値を特別扱いせず、そのまま使っている
昨年も今年も、件数上位1位でほとんどの傾向が決定されている。2009年の漏えい人数231万9,003人だそうであるが、1件当たりの漏えい人数1位が148万6,651人だって、おかしいでしょう。たった1件で全体の64%を占めてるものを平均とるなんて、統計知ってる人間なら絶対やらない。異常値は除外する方法もあるし、異常値に対する耐性の強い統計数値を採用する方法もある。探索的データ解析、EDAと呼ばれる方法である。なんの対策も打たずに、異常値を取り入れるのは、結果数値全体をぶちこわしにする。

2)小学生なみの間違いで平均値を計算している
JNSAが平均値の計算方法を知らないことは昨年も説明した。詳細は、下記にくわしい。

情報漏えいの損害賠償額をどう推定するか(1)
https://www.netsecurity.ne.jp/7_13743.html

簡単に言えば、計算方法が間違っているのである。明らかに数値が肥大化する誤った計算方法を用いて平均値を計算している。

上記の1,2を勘案すると、意図的に世間にインシデント被害額をでかく見せているとしか思えない。しかし、仮にもNPOがそんなことをするはずはないから、反面教師だと思った方がいいのであろう。自らこのような笑止千万な報告書を公表することで、不況にあえぎ、より浅ましくなっているセキュリティベンダの実態を伝えようとしているのであろう。JNSAの本意に思い至った時、その思慮の深さに筆者は涙した。

でも、こんな報告書を作っていると、世間の人に「セキュリティベンダって、平均値も計算できない頭の悪い人ばっかり」と思われないかと少しだけ不安である。たまには知的なところも見せてほしいものだ。

情報漏えいの損害賠償額をどう推定するか(1)
https://www.netsecurity.ne.jp/7_13743.html
情報漏えいの損害賠償額をどう推定するか(2)
https://www.netsecurity.ne.jp/7_13791.html
情報漏えいの損害賠償額をどう推定するか(3)
https://www.netsecurity.ne.jp/7_13808.html
個人情報漏えいの損害賠償は恐い?
https://www.netsecurity.ne.jp/7_12464.html

【執筆:Prisoner Langley】

執筆者略歴:
民間研究者として、さまざまな角度から、セキュリティ事象を調査研究、BUGTRAQへの投稿などを行う。2004年に発生した、コンピュータソフトウェア著作権協会(ACCS)のセキュリティ事件の際、セキュリティ対策のひとつとして「サイバーノーガード戦法」を提唱。

【関連リンク】
セキュリティコラムばかり書いているLANGLEYのブログ
http://netsecurity.blog77.fc2.com/
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

    ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

  5. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  6. [セキュリティホットトピック] まるで海外アングラサイト? 中学生がフリマアプリでウイルス売買し書類送検

  7. [セキュリティホットトピック] 金融機関情報を狙う「DreamBot」「Gozi・Ursnif」、国内でまた活発化

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第11回「五十四歳」

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第10回「面会依頼」

  10. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×