文献

J-GLOBAL ID：201802240121512600   整理番号：18A0494717

セキュリティ運用のための経営層向けビジネスリスク評価技術の開発

Development of the Business Risk Evaluation Technology for CxO Decision about Cyber Security Operation

著者 (3件)： 杉本暁彦 (日立) ,  磯部義明 (日立) ,  仲小路博史 (日立)
資料名： 情報処理学会論文誌ジャーナル(Web)
巻： 58  号： 12  ページ： 1926-1934 (WEB ONLY)  発行年： 2017年12月15日 
JST資料番号： U0452A  ISSN： 1882-7764  資料種別： 逐次刊行物 (A)
記事区分： 原著論文  発行国： 日本 (JPN)  言語： 日本語 (JA)

抄録/ポイント： 近年,特定の企業を狙った標的型攻撃が増加しており,ビジネスを支えるシステムに内在する脅威を発見した場合,ビジネスへの影響を考慮した組織的な判断が求められる。しかし,専門家ではない経営層にとってセキュリティ脅威がもたらすリスクの理解が容易ではないため,対処期間の業務停止による損害の懸念から対処が遅れ,結果的に重大事故を招く場合も少なくない。そこで,本研究では,システム内の脅威がもたらすリスクからセキュリティ投資対効果を算定する技術を開発した。本技術は,経営層の適切な判断を促して経営層と情報部門の迅速な連携を可能にし,対処に経営判断が必要となるような重要インフラシステムなどの迅速な対処に資する。本研究では,プロトタイプを開発することで,提案方式により自動化が可能で,実用に耐えうることを確認した。(著者抄録)

シソーラス用語： *投資 ,  *費用効果分析 ,  *コンピュータセキュリティ ,  攻撃行動 ,  *リスク評価 ,  コミュニケーション ,  ネットワーク ,  Bayes推定 ,  経営者 ,  プロトタイプ ,  安全管理 ,  評価試験 ,  数学モデル ,  グラフ
準シソーラス用語： セキュリティ投資対効果 ,  標的型攻撃 ,  リスクコミュニケーション ,  Bayesianネットワーク ,  グラフモデル

分類 (2件)： データ保護  (JD01020V) ,  利益管理  (KA05030A)

引用文献 (21件)：

• NIST: National Vulnerability Database (NVD) CVE Statistics, NIST (online), available from https://web.nvd.nist.gov/view/vuln/statistics-results (accessed 2017-01-30).
• 日本 IBM:2015年下半期Tokyo SOC情報分析レポート, 技術報告,日本 IBM (2016).
• LAC Co., Ltd.: Apache Struts2 の脆弱性(S2-016)を悪用した攻撃の急増について,LAC Co., Ltd.(オンライン),入手先 http://www.lac.co.jp/security/alert/2013/07/18 alert 01.html (参照 2015-11-05).
• Swanson, M., Bowen, P., Phillips, A.W., Gallup, D. and Lynes, D.: Contingency Planning Guide for Federal Information System, Technical report (2010).
• 杉本暁彦,磯部義明:動的モデリングに基づいたリスク評価システム,コンピュータセキュリティシンポジウム 2014 論文集,Vol.2014, No.2, pp.100-107 (2014).

タイトルに関連する用語 (6件)： セキュリティ ,  運用 ,  経営層 ,  ビジネス ,  リスク評価 ,  開発