企業のセキュリティレベルの定量化と公開は、セキュリティ向上につながるか――カナダの大学チームが研究：「スパムの送信」「フィッシングサイトのホスティング」の対策状況を採点

カナダのブリティッシュコロンビア大学ソウダービジネススクールは、サイバーセキュリティに関する研究チームの調査によって、1200社以上のアジア企業のセキュリティレベルを定量化できたと発表した。この調査の目的は企業のセキュリティレベルを公開することが、サイバー犯罪に対する防御につながるかどうかというもの。

[＠IT]

　カナダのブリティッシュコロンビア大学ソウダービジネススクールは2018年9月27日（米国時間）、サイバーセキュリティに関する研究成果を発表した。それによれば、対象とした6つの国と地域にあるアジア企業1262社以上のセキュリティレベルを定量化できたという。

　調査対象は香港（309社）や中国（309社）、シンガポール（264社）、マカオ（4社）、マレーシア（171社）、台湾（138社）などの企業。これらの国や地域は、経済が著しく発展し、技術の普及も急速に進んでいることから調査対象となった。

ブリティッシュコロンビア大学ソウダービジネススクールの助教を務めるGene Moo Lee氏　他3大学の5人の研究者と共同で論文を発表した（出典：ブリティッシュコロンビア大学ソウダービジネススクール）

　研究チームが調べたのは、「スパムの送信」と「フィッシングサイトのホスティング」という2つのセキュリティ上の課題に対する各企業の対策状況だ。さらに、独自開発した情報セキュリティスコアによって、各企業のスコアを採点した。

　その結果、相反する傾向が明らかになった。第一に「企業は、自社の侵害されたコンピュータがスパムメールを送信していることが分かった場合、関連する問題を修正しようとする傾向がある」。

　第二に「自社のサーバがフィッシングサイトをホストしていることが分かっても、対応しようとしない」ことが判明した。実のところ、フィッシングサイトの大半は、ホスティングサービスプロバイダーのサーバでホストされている。

　研究チームの説明によればこのような状況が生じる理由はこうだ。

　「フィッシングサイトをホストしているプロバイダーにとって、それらのサイトを厳しく監督するインセンティブがない。サイトを運営しているのは、料金を支払ってもらっている顧客であり、自社はそれらのサイトから直接的な被害を受けないからだ」

情報セキュリティスコアは企業の対応を促すか

　研究チームが開発した情報セキュリティスコアは、金融分野の格付け機関が使用している信用評価に似たものだ。このスコアは、各企業のセキュリティ脆弱（ぜいじゃく）度の指標として使用できるという。

　さらに研究チームは、企業のセキュリティレベルの公開は、透明性の向上につながるだけでなく、長期的に見ると、企業のセキュリティの強化にも役立つ可能性があると考えている。セキュリティレベルが低い企業は、顧客から改善を求められたり、評判を落としたりする恐れがあるという。

　研究チームは次のように述べている。「サイバー攻撃が増加の一途をたどっていることから、われわれは、企業と一般の人々のセキュリティ意識を高める効果的な方法を探ろうと考えた。オンライン詐欺に対する企業の対策を定量評価し、ランキング化する方法を確立することで、企業の間で、セキュリティ問題に対処しようとする意識が向上することを期待している」

　研究チームは今後、2つの方向で研究を拡大する計画だ。一つは、まず、TwitterやFacebookなどのSNSを利用してセキュリティレポートを対象企業と共有する計画だ。今回の研究では電子メールを用いていたが、SNSを利用することで、顧客やパートナー企業など利害関係者のダイレクトな反応に応じて、対象企業のセキュリティ対応がより進むことが考えられるという。

　もう一つは、次に、アジア以外の企業に今回の手法を適用することで、地域ごとの違いを洗い出し、対象企業を拡大することで、より詳細な条件を設定して研究を深めるという。