（デジタル・フォレンジック・コミュニティ2004） Security とForensicの費用便益分析 2004年 2004年12月 12月20日 20日林紘一郎 Pｈ.D., .D., LL.D. 情報セキュリティ情報セキュリティ大学院大学セキュリティ大学院大学副学長・副学長・教授慶應義塾大学客員教授 Institute of Information Security 14-1, 2 chome, Tsuruya-cho, Kanagawa-ku, Yokohama, JAPAN e-mail [email protected] URL http://lab/iisec.ac.jp 本講義の目的組織の運営とは（民間企業のように営利を目的とするか、公的機関のようにそれを目的としないかの差はあっても）、投下する資源と得られる効果を比較して、前者の制約を前提に（できれば最小化）しながら、後者を最大化する継続的活動だと考えることができる。 • • • しかし、いったん資源の投下が決定されると、このような原理はしばしば忘れられて、無駄な投下が継続されることが多い（公的機関に著しい）。他方、新たな資源配分の場合には、前例の無い中で効果の厳密な説明が求められる結果、過少配分に終わる場合が多い。加えて、外部効果（外部経済、不経済）がある場合には、便益（あるいは不便益）は一組織体内のものにとどまらず、社会全体のものを算入しなければならず、費用便益分析そのものの困難性が高まる。セキュリティやフォレンシックスのケースは、効果が目に見えないばかりか、このような費用便益分析が存在することすら、寡聞にして承知していない。本レクチャーでは、このような未開の分野に踏み込むために、何らかのきっかけになる知見を、提供できればと念じている。 2 1 辞書によると • Fo・ren・sic 形 [限定]（正式） 1. 犯罪科学の。２．法廷の、法廷における。３．弁論[討論]に適した • Fo・ren・sics 名 [単数・複数扱い] 弁論術；犯罪科学出典：『ジーニアス英和辞典（改訂版）』大修館書店 3 英語では • Main Entry: 1fo·ren·sic Pronunciation: f&-'ren(t)-sik, -'ren-zik Function: adjective Etymology: Latin forensis public, forensic, from forum forum • １ : belonging to, used in, or suitable to courts of judicature or to public discussion and debate ２ : ARGUMENTATIVE, RHETORICAL ３ : relating to or dealing with the application of scientific knowledge to legal problems <forensic medicine> <forensic science> <forensic pathologist> <forensic experts> - fo·ren·si·cal·ly /-si-k(&-)lE, -zi-/ adverb Source：Merriam-Webster Online Dictionary 4 2 一般的な評価法＝ROI 5 Source ：http://www.blwisdom.com/bizword/roi/ 社会的投資の評価法＝費用便益分析種類費用便益の範囲評価尺度必要な理論・データ (1) 財務分析事業主体の私的費用と便益市場価格収支判断手法の確立 (2) 費用便益分析社会的費用と社会的便益潜在価格潜在価格の確定 (3) 個人効用に基づく費用便益分析すべての個人の費用と便益個人効用各個人の効用関数個人効用の金銭化出典：菱沼光「費用便益分析の現状と課題」『郵政研究所月報』1997年12月 6 3 Security(やForensic)の費用 • 組織や個人が負担する費用 • 主として公的機関が行なう諸活動費（それに伴って、間接的にセキュリティの度合いが高まる場合） • 社会システムとしての安定度を維持する費用計算がきわめて難しい 7 Security(やForensic)の便益 • 組織や個人が受ける便益 • 社会全体が受ける便益計算がきわめて難しい加えて • セキュリティ・ホールがあれば、すべての便益が失われる危険も 8 4 何事につけ費用と便益の比較が大切お金があったら旅行するか買い物するか（同一費用でも便益が異なる）家を買ったほうが良いか、借りたほうが良いか（同一便益でも費用が異なる） ITに投資するか生産設備に投資するか（費用も便益も異なる） 9 誰でも「目に見えるもの」を優先しがち • 将来の人材育成よりも即戦力を • 安全のための投資よりも生産性に直結する投資を • セキュリティにコストをかけるよりも、業務遂行のための直接投資を • 知的財産の管理よりも、固定資産の管理をしかし時代は情報社会 10 5 リスクの数量化 • 生命保険には長い歴史がある（しかし大量の統計処理が必要） • 損保保険にもそれなりの歴史がある • しかし後者については予測が狂うことも例）人工衛星の打ち上げ保険 11 CIAは自家撞着？ Confidentiality Integrity Availability セキュリティの度合いを高めることが必要セキュリティの度合いを高めると使い勝手が悪くなるコストについても同じ C, A I・・・・・コストをかければセキュリティの度合いは高まる・・・・・逆の場合がある 12 6 The Laffer Curve 13 Source : Arthur B. Laffer • The Laffer Curve: Past, Present, and Future • by Arthur B. Laffer • • The story of how the Laffer Curve got its name begins with a 1978 article by Jude Wanniski in The Public Interest entitled, "Taxes, Revenues, and the `Laffer Curve.'" As recounted by Wanniski (associate editor of The Wall Street Journal at the time), in December 1974, he had dinner with me (then professor at the University of Chicago), Donald Rumsfeld (Chief of Staff to President Gerald Ford), and Dick Cheney (Rumsfeld's deputy and my former classmate at Yale) at the Two Continents Restaurant at the Washington Hotel in Washington, D.C. While discussing President Ford's "WIN" (Whip Inflation Now) proposal for tax increases, I supposedly grabbed my napkin and a pen and sketched a curve on the napkin illustrating the trade-off between tax rates and tax revenues. Wanniski named the trade-off "The Laffer Curve." I personally do not remember the details of that evening, but Wanniski's version could well be true. I used the so-called Laffer Curve all the time in my classes and with anyone else who would listen to me to illustrate the trade-off between tax rates and tax revenues. My only question about Wanniski's version of the story is that the restaurant used cloth napkins and my mother had raised me not to desecrate nice things. Source:http://www.heritage.org/Research/Taxes/bg1765.cfm 14 7 類似度分布と閾値判定出典：http://www.ipa.go.jp/security/fy15/reports/biometrics/documents/biometrics2003.pdf 15 認証エラーの分類認証エラー種別説明本人拒否本人同士のバイオメトリクスデータの（本人棄却、誤拒否）マッチングで不一致と判定されること。前スライドののRs。他人受入本人と他人とのバイオメトリクスデータ（他人受理、誤受入）のマッチングで一致と判定されること。前スライドのAd。未対応入力されるバイオメトリクスデータの品質等の問題により、特徴データが生成できず、登録や認証ができないこと。出典：http://www.ipa.go.jp/security/fy15/reports/biometrics/documents/biometrics2003.pdf 16 8 宮川先生の経験：IAP • 免疫抑制酸性蛋白（immuno-suppressive acidic protein, IAP) 癌患者の腹水や血清中に高濃度に存在する糖蛋白の一種で、主に肝細胞、マクロファージ（大食細胞）、顆粒球にて産生される。IAPは液性抗体産生の抑制、移植癌の生着など免疫抑制作用を持ち、悪性腫瘍においては細胞性免疫機能の低下の原因となり、癌細胞の増殖を許容する因子ともなっているものである。IAPは免疫機能の低下する病態、各種の癌や慢性炎症などで上昇するため、継時的な測定で、治療経過・再発・予後の判定のための指標となる。 17 IAPによる診断の誤り出典：宮川公男[2003]『統計学でリスクと向き合う』東洋経済新報社 18 9 IAPの推移出典：宮川公男[2003] µg / ml 19 IAPの推移出典：宮川公男[2003] 20 10 社会問題解決の困難性 21 出典：安心・安全インターネット推進協議会シンポジウム（2004.11.10.)における堀井秀之氏の講演資料分野横断的課題 22 出典：安心・安全インターネット推進協議会シンポジウム（2004.11.10.)における堀井秀之氏の講演資料 11 安全に対する考え方の違い日本の考え方欧米の考え方災害は努力すれば 2度と起らない災害は努力しても技術レベルに応じて必ず起る技術対策よりも人の対策人の対策よりも技術対策安全コストを認めにくい安全にはコストをかける起きた災害にのみに注目災害発生後の被害最小化発生件数を重視重大災害を重視 23 出典：安心・安全インターネット推進協議会シンポジウム（2004.11.10.)における依田幹雄氏の講演資料 Forensicについて Securityについての費用便益分析もできないようでは、前に進めない。しかし（楽観的に考えれば）、二つの課題を同時に解くことができるかも知れない。 24 12