OECD サイバーセキュリティ測定の新たな視点
こんにちは、丸山満彦です。
OECDがサイバーセキュリティ測定のための指標等の作成、分析等についての留意点をまとめたものです。サイバーセキュリティについての適切な指標等があれば、政府にとっては適切な政策策定のために、企業にとっては適切な対策策定のための重要なインプットとなりそうです...
どのような指標がどのような対策立案等のために重要かという話だけでなく、その指標は適切なものか(バイアスがないか等)も含めて考慮すべきことが多いということですよね。。。
ただ、継続的にとっていれば、一定のバイアスがあっても傾向はわかるかもしれません...
日本の場合は、まずは指標等を整理して、それからその内容を分析ということで、これからスタートに立てるのでしょうかね。。。(警察白書、サイバー警察局の統計、サイバー空間をめぐる脅威の情勢等、不審なアクセスの観測状況、総務省の情報通信白書、NICTのNOTICE観測データ、個人情報保護委員会の年次報告等で一定の情報を継続的に収集していますし、JPCERT/CCの活動四半期報告レポートやフィッシング対策協議会の月次報告、民間企業等も一定の調査をして発表はしていますが...)
サイバーセキュリティ白書のようなものを作っていく必要があるのでしょうかね...
● OECD
・2024.06.20 New perspectives on measuring cybersecurity
| New perspectives on measuring cybersecurity | サイバーセキュリティ測定の新たな視点 |
| Measuring the various aspects of cybersecurity across countries is challenging, in part because the actors in the cybersecurity ecosystem often do not have the incentives to share key data. At the same time, people, firms and governments need to feel secure to communicate online and use Internet-based services. This statistical report provides an overview of how cybersecurity is being measured across a variety of data sources and using different methodological approaches. Beginning with a checklist of measurement considerations, the report then discusses existing data from official and non-official sources, identifying when each data source is most useful. The report then provides two proofs of concepts for measuring uncertainty related to cyber risks, or “cybersecurity uncertainty”. Measuring such uncertainty can complement existing statistics and help anticipate emerging cybersecurity trends, develop more targeted cybersecurity awareness programmes, and promote a more secure and resilient digital ecosystem. | サイバーセキュリティのエコシステムの関係者が重要なデータを共有するインセンティブを持たないことが多いこともあり、国を超えてサイバーセキュリティの様々な側面を測定することは困難である。同時に、人々、企業、政府は、オンライン通信やインターネットベースのサービスを安心して利用する必要がある。本統計報告書では、さまざまなデータソースと異なる方法論的アプローチを用いて、サイバーセキュリティがどのように測定されているかを概観する。本レポートは、測定に関する検討事項のチェックリストに始まり、公式および非公式な情報源から得られた既存のデータについて論じ、それぞれのデータ源が最も有用な場合を特定している。そして、サイバーリスクに関連する不確実性、すなわち「サイバーセキュリティの不確実性」を測定するための2つの概念実証を提供している。このような不確実性を測定することで、既存の統計を補完し、新たなサイバーセキュリティの傾向を予測し、より的を絞ったサイバーセキュリティ意識向上プログラムを開発し、より安全で強靭なデジタルエコシステムを促進することができる。 |
・[PDF]
目次...
| Foreword | まえがき |
| 1 Introduction | 1 序文 |
| 2 Checklist of cybersecurity measurement considerations | 2 サイバーセキュリティ測定に関する検討事項のチェックリスト |
| What should be measured? | 何を測定すべきか? |
| Frequency, timeliness and comparability over space and time | 空間的・時間的な頻度、適時性、比較可能性 |
| Interpretability, incentive-compatibility and transparency | 解釈可能性、インセンティブ適合性、透明性 |
| Data sources | データソース |
| 3 Cybersecurity data from official sources | 3 公的情報源からのサイバーセキュリティ・データ |
| Official statistical sources | 公的統計資料 |
| Administrative data | 行政データ |
| 4 Cybersecurity data from non-official sources | 4 公的情報源以外からのサイバーセキュリティ・データ |
| Policy surveys and desk research | 政策調査と机上調査 |
| Data from private sources | 民間からのデータ |
| 5 Two innovative approaches to measuring uncertainty in cyberspace | 5 サイバー空間における不確実性を測定する2つの革新的アプローチ |
| News reports: towards a cybersecurity uncertainty index | ニュース報告書:サイバーセキュリティの不確実性指数に向けて |
| Online searches: another approach to constructing an index of cybersecurity uncertainty | オンライン検索:サイバーセキュリティの不確実性の指標を構築するための別アプローチ |
| 6 Conclusion | 6 結論 |
| References | 参考文献 |
| Annex A. Cybersecurity indicators in the OECD ICT Access and Use Databases | 附属書A.OECD ICT Access and Use Databasesにおけるサイバーセキュリティ指標 |
| Annex B. A case study of top related topics | 附属書B.トップ関連トピックのケーススタディ |
| Endnotes | 巻末資料 |
Comments