Lazy Diary @ Hatena Blog

PowerShell / Java / miscellaneous things about software development, Tips & Gochas. CC BY-SA 4.0/Apache License 2.0

情報セキュリティインシデント発生時にアプリケーション開発ベンダ側に発生する損失を見積りたい

情報セキュリティ事故が発生した場合の損失を推定する方法として、過去には個別予想被害額 (SLE)×年間発生率 (ARO)=年間予想被害額 (ALE)という方法が提示されてきた*1*2*3。ただしこの方法は、物理的セキュリティ*4には上手く当てはまる一方、ITセキュリティにはあまり適していないとされている。背景としては、昨今のセキュリティ事故の金銭影響が非常に大きい*5*6こと、再発防止策や規制当局への対応などの費用を考慮する必要があることなどが考えられる。

情報セキュリティリスクの定量化に関しては、検討は進められているが確立した手段は今のところない*7。たとえば、個人情報の漏洩事故に注目した例としては、データコントローラまたはデータホルダーからデータ主体へ支払う損害賠償額を見積る方法としてJNSAが提案している方法*8がある。しかし、ここではアプリケーション開発ベンダーが発注元へ支払う損害賠償額については検討されていない。

情報セキュリティインシデント発生時にアプリケーション開発ベンダーに発生する損失のパターンは、以下のように様々なバリエーションが考えられる。

  • アプリケーション開発ベンダーがシステム運用まで請け負っていた(データカストディアンだった)場合
    • システム運用上の重過失が認められなかった場合
    • システム運用上の重過失が認められた場合
  • システム運用はデータコントローラと同じ法人の中で行っており、アプリケーション開発ベンダーは運用に絡んでいない場合
    • アプリケーションの設計等において重過失が認められなかった場合
    • アプリケーションの設計等において重過失が認められた場合
    • アプリケーションの設計等において重過失が認められたが、過失相殺が認められた場合
  • 上記以外に、アプリケーション改修など契約不適合責任の履行にかかる費用

そのため少なくとも、上記の場合ごとに損失の総額のうち何割がアプリケーション開発ベンダーの責任となるか?を考慮する必要があると思われ、包括的な算出方法の確立は困難と思われる。

*1:Microsoft, "セキュリティ リスク管理ガイド : 第 2 章 : セキュリティ リスク管理方法の概観", https://docs.microsoft.com/ja-jp/security-updates/planningandimplementationguide/19869691, 2005/01/13, 2021/07/26参照

*2:IP, "定量的セキュリティ測定手法および支援ツールの開発 調査報告書 別冊 定量的セキュリティ尺度測定ガイドライン", https://www.ipa.go.jp/security/fy15/development/metrics/index.html, 2004/04/16, 2021/07/26参照

*3:https://japan.isc2.org/blog2021/Is-a-Truly-Quantitative-Security-Analysis-Possible.html

*4:たとえば、洪水でデータセンタが使えなくなる損失額の推定など。

*5:https://www.j-cic.com/pdf/report/QuantifyingCyberRiskSurvey-20180919(JP).pdf

*6:https://www.pwc.com/jp/ja/knowledge/prmagazine/value-navi201902/cyber-risk.html

*7:経済産業省, "企業における情報セキュリティガバナンスのあり方に関する研究会 報告書 参考資料 リスク定量化に関する検討資料", https://cio.go.jp/node/2176, 2005/05/31, 2021/07/26参照

*8:NPO 日本ネットワークセキュリティ協会 セキュリティ被害調査ワーキンググループ, "情報セキュリティインシデントに関する調査報告書 別紙 第1.0版", https://www.jnsa.org/result/incident/data/2017incident_survey_sokuhou_attachment_ver1.0.pdf, 2019/06/10, 2021/07/23参照