巻頭言
データ活用とプライバシー保護のハーモナイゼーション
北野 晴人…1
研究論文
Research papers
クチコミの拡散検知方式の開発
Development of a Method for Detecting the Rapid
Increase of Reviews on Viral Media
福田 浩至、大曽根 匡…3
Koji FUKUDA and Tadashi OSONE
経営者のための「企業価値に基づく
サイバーセキュリティ・リスクモデル」の提案
A proposal of “Cyber Security Risk Modeling based on
Corporate Values” for Business Executives
大木 榮二郎、田村 仁一、清水 惠子、杉浦 昌、
菊地 正人、那須 浩修、常川 直樹、冨士 浩一
…16
Eijiroh OHKI,Jinichi TAMURA,Keiko SHIMIZU,Masashi SUGIURA,Masato KIKUCHI,Hironobu NASU,Naoki TSUNEKAWA and Kouichi FUJI
解説
Commentaries
ランサムウェアWannaCryの感染被害から学ぶこと
Lessons Learned from Cyber Attack “WannaCry”
村山 厚…33
Atsushi MURAYAMA
能動的観測と受動的観測によるIoT機器のセキュリティ状況把握
Investigating Security of IoT Devices by Active and Passive Observations
藤田 彬、吉岡 克成…39
Akira FUJITA and Katsunari YOSHIOKA
ニュースレター Newsletter
………………………………………………51
======================================================================================
研究論文
Research papers
クチコミの拡散検知方式の開発
Development of a Method for Detecting the Rapid
Increase of Reviews on Viral Media
専修大学大学院経営学研究科 福 田 浩 至
Graduate School of Business Administration, Senshu University Koji FUKUDA
専修大学大学院経営学研究科 大曽根 匡
Graduate School of Business Administration, Senshu University Tadashi OSONE
要 旨
オンライン上で人と人が対話する手段,いわゆるソーシャルメディアは世の中に急速な勢いで広まった。ソーシャルメディアは,誰もが簡単に情報を書き込める。そしてその情報は,知人や友人だけでなく,世界中の見知らぬ人の目にも触れ,彼らと交流をすることも可能になった。
この変化は,企業経営にも重大なインパクトを与えるようになってきた。企業が提供するサービスに感激したら,その人は直ちにその喜びをソーシャルメディアに書き込むだろう。その書き込みを見た友人も共感すれば,企業やサービスについて好感を抱くであろう。反対に,提供されたサービスに不満を感じたり,商品を手にして落胆した場合には,その人は不満を書き込むだろう。同様に,その書き込みを見た友人も含めて,企業やサービスに反感を持つであろう。このように,ソーシャルメディア上に書き込まれた顧客体験の記録,すなわち,クチコミ情報は,企業や商品・サービスの評判に影響を与え始めている。
しかしながら,クチコミが増大している状況は感覚的にとらえられ,評価される傾向がある。例えば,ネガティブな話題が急速に拡散する様子を「炎上」と称することは,ネットの世界だけでなく,大手新聞社やテレビなどのマスメディアでも一般的になっているが,明確な定義は存在しない。
筆者らは,クチコミ数の急増タイミングや規模,そのクチコミ内容を分析することで,企業やサービスのネット上の評判状況を定量化する手法「トレンド方式」を考案した。本稿ではその手法の特徴を,時系列データの急増を検知する手法として知られている「バースト方式」と比較し,考察する。
キーワード
ネット炎上,クチコミ,ソーシャルメディア,拡散検知アルゴリズム,定量化,ビッグデータ
————————————————————————————
経営者のための「企業価値に基づく
サイバーセキュリティ・リスクモデル」の提案
A proposal of “Cyber Security Risk Modeling based on Corporate Values” for Business Executives
工学院大学 大 木 榮二郎
Kogakuin University Eijiroh OHKI
有限責任監査法人トーマツ 田 村 仁 一
Deloitte Touche Tohmatsu LLC Jinichi TAMURA
公認会計士 清 水 惠 子
Certified Public Accountant Keiko SHIMIZU
京都橘大学 杉 浦 昌
Kyoto Tachibana University Masashi SUGIURA
情報セキュリティ大学院大学 菊 地 正 人
Institute of Information Security Masato KIKUCHI
NEC 那 須 浩 修
NEC Corporation Hironobu NASU
パナソニック システムソリューションズ ジャパン 常 川 直 樹
Panasonic System Solutions Japan Naoki TSUNEKAWA
NEC 冨 士 浩 一
NEC Corporation Kouichi FUJI
要 旨
企業活動のサイバー空間への依存度が増しつつあり、サイバー攻撃が企業経営に影響を与えるほどに深刻化 しているが、企業の対策の取り組みはそれほど進んではいない。その要因の一つに経営者が意思決定に用いる のに適したリスクモデルが存在しないことがある。最初に、セキュリティのマネジメントに用いられるボトム アップ型のリスク評価枠組みの研究は様々に行われてきたが、経営陣がガバナンス視点で用いることのできる トップダウン型のリスクフレームワークの研究は手付かずであることを示す。つぎに、サイバー攻撃が深刻な 環境で、経営者が的確な経営判断をする際に使える道具としてのサイバーリスクモデルが満たすべき要件を整 理したうえで、企業価値に基づくサイバーセキュリティ・リスクモデルの構成要素とリスク推定手法を提示す る。さらに、そのリスクモデルの表現形式や活用方法を推定して、要件を満たすリスクモデルであることを検 証し、今後の発展の方向性を示す。このリスクモデルの具体化には、実企業への適用など実践面での検討を進 めなければならず、今後の研究を待たなければならない部分があるが、経営者に理解しやすいこれまでにない トップダウン型のリスクモデルを提示することができた。
キーワード
サイバーセキュリティ、リスクモデル、セキュリティガバナンス、企業価値、リスクマネジメント
————————————————————————————
解説
Commentaries
ランサムウェアWannaCryの感染被害から学ぶこと
Lessons Learned from Cyber Attack “WannaCry”
株式会社 日立製作所 情報セキュリティリスク統括本部 サイバーセキュリティ技術本部 村 山 厚
Cyber Security Technology Office, Information Security Risk Management Division, Hitachi, Ltd. Atsushi MURAYAMA
要 旨
2017 年 5 月 12 日(金) 深夜、日立グループ社内ネットワークに接続されているサーバや OT(注 1)機器等が、 自己増殖の機能を持ったランサムウェアウイルスである「WannaCry」に感染し、一部のシステムで障害等 が発生した。本事案から得られた教訓は、IoT(注 2)時代をむかえるにあたり、増加するサイバーセキュリティ の脅威に対処するための推進力となり、各種対策の方向性を定めるものとなった。具体的には、サイバーセ キュリティ対策を経営課題としてとらえ、2017 年 10 月から CISO(注 3)を中心としたセキュリティ統括専門組 織を設置し、マネジメント/テクニカル両面で社内の堅牢化を推進している。堅牢化の中では、OA 系 IT 環境 だけではなく、IoT/OT 系が中心となる製造・生産環境や開発環境、そして、製品・サービスを含めて網羅的 な対策に取り組んでいる。
キーワード
サイバーセキュリティ、WannaCry、ワーム、CISO、CSIRT、バックアップ、IoT、OT、BCP
————————————————————————————
能動的観測と受動的観測によるIoT機器の
セキュリティ状況把握
Investigating Security of IoT Devices by
Active and Passive Observations
横浜国立大学先端科学高等研究院 藤 田 彬
Yokohama National University Akira FUJITA
横浜国立大学大学院環境情報研究院 吉 岡 克 成
Yokohama National University Katsunari YOSHIOKA
要 旨
本稿では、広域的に IoT 機器のセキュリティ状況の実態を把握するための受動的観測と能動的観測を組み 合わせたネットワーク調査手法を事例と共に紹介する。
キーワード
ネットワークスキャン, ハニーポット, ルータ, Web カメラ, 産業制御機器
————————————————————————————