日本橋濱町Weblog(日々酔亭)

Quality Economic Analyses Produces Winning Markets

トップ > デジタル社会の経済分析 > 加筆:ある飲み会の席で話題になったセキュリティの経済学についてググってみた(メモ)
最終更新日

加筆:ある飲み会の席で話題になったセキュリティの経済学についてググってみた(メモ)

デジタル社会の経済分析

※本ブログおよび掲載記事は、GoogleAmazon楽天市場アフィリエイト広告を利用しています。

12月のとある夜、まだ忘年会にはちょっと早い頃だったと思う。渋谷道玄坂のとある焼鳥屋に数名の研究者とともにいた。皆は、社会科学系、法学系の中堅研究者だ。そこで最近の情報通信界隈のアカデミアの話題を聞いた*1。その時出てきたのが、セキュリティの経済学(サイバーセキュリティだったかもしれない)ってあるんですか?という一言だった。

その後、X(Twitter)でこんなことも呟いている。

考えてみれば、セキュリティ、特にサイバーセキュリティは、これまでも技術的、社会的に問題になってきたし、これからもその両面で課題が頻発してくるだろう。そういう技術の社会的受容過程の分析に社会科学、中でも経済学からのアプローチがないってのも不思議だということで少々ググってみた。

例えば最近ではこんな本も出ている。目次をみると経済学という言葉が出てきている。この辺りから読むのがいいのかもしれない。

情報セキュリティの敗北史

情報セキュリティの敗北史

Amazon

情報セキュリティの敗北史 脆弱性はどこから来たのか [ アンドリュー・スチュワート ]

情報セキュリティの敗北史 脆弱性はどこから来たのか [ アンドリュー・スチュワート ]

この敗北史にセキュリティ経済学について書かれているらしい。

検索してみると意外とアプローチされているようだ。調査研究レポートがいくつか出てくる。

Security is important!

セキュリティは大切だ!

まずは情報処理推進機構のこのページ。ここでは情報セキュリティの調査・分析項目の中にセキュリティエコノミクスというページが作られている。

www.ipa.go.jp

こちらがセキュリティエコノミクスのページだ。

www.ipa.go.jp

ここでのセキュリティエコノミクスの定義としては以下のように書かれている。

情報セキュリティに関連する事象に対して、社会科学的な観点からの取り組み全般を「セキュリティエコノミクス」と呼んでいます。
例えば、投資回収の観点、個人の利得や効用、社会制度や個人のふるまい、個人の意思決定や認知の観点など、経済学、社会学社会心理学など広く学際的な分野に知見を援用するアプローチをします。

「(ご参考)セキュリティエコノミクスの挑戦のスライド資料」が公開されているので、この辺りをまず確認してみるといいかもしれない。ざざっと目を遠すると、エコノミクスという言葉を借りてざっくりまとめてみたって感じだ。

調査・研究報告書のページもある。

www.ipa.go.jp

他にはこういう資料も公開されている。

https://www.f5.com/content/dam/f5/corp/global/pdf/jp/211022_03.pdf

資料から引用すると以下のような考え方だ。内容は、あることを実行するか否かは、損得で考え、得すればやるし、損ならやらないという考えで、サイバー攻撃を考え、対策を考えるという内容。

日常生活で大きな買い物のコストとその価値を比較検討するのと同じように、攻撃者は自分の時間とリソースを費やす最適な場所を決定する必要があります。安価で機会を手に入れ、天文学的な価値を得られればROIは高くなります。その決定は簡単です。

アカデミアの世界では情報処理学会の会誌「情報処理」(Vol.59(2018), No.12)の特集「ディジタルエコノミー時代のサイバーセキュリティ -ディジタルトランスフォーメーション促進の基盤確立に向けて-」が組まれており、その中に「7.サイバーセキュリティ経済学 -インセンティブの適正化を通じたサイバーセキュリティの確保-」という論文が見られる。

この「情報処理」という会誌の目次をみると他にも関連のありそうな論文名が散見されるので一度じっくり調べてみたい。

新しい学問として「セキュリティ経済学」という動画がYouTubeにあった。


www.youtube.com

このYouTube動画を見ると、セキュリティ経済学の始まりは、2000年ごろとのこと。技術では解決できないセキュリティの問題があることが認識され、それを解決するためには行動経済学のアプローチが必要との議論があり、それからだということだ。それ以降、徐々に研究対象になり始めているというところだろうか。

今回は日本語だけに絞ってしかもGoogle検索の最初の方だけしかみていないのでもう少しじっくり調べると色々出てくるかもしれない。また英語の論文もググってみると、THE ECONOMICS OF CYBERSECURITY-A PRACTICAL FRAMEWORK FOR CYBERSECURITY INVESTMENT-The Economics of Information Security Investmentという論文がある。Google Scholarで検索するとかなりヒットする。海外ではいろいろなアプローチで研究がだいぶ進んでいるのだろう。

後で改めて気づいたのだが、経営学、マネジメント分野では、セキュリティ・マネジメントって感じで結構あるみたいだ。

今回は取り急ぎここまで。

サイバーセキュリティの経済学を考えるには、サイバーセキュリティを知らないとだめだろう。その辺りを勉強するのにこういう教科書はどうだろうか。

サイバーセキュリティの教科書

サイバーセキュリティの教科書

Amazon

サイバーセキュリティの教科書 [ Thomas Kranz ]

サイバーセキュリティの教科書 [ Thomas Kranz ]

ブログランキング・にほんブログ村へ

PVアクセスランキング にほんブログ村

*1:あの時、NTT法の話も出たのだが、法学分野において特殊会社の法律の問題は重箱の隅の隅の話題なので、関心をほとんどよばないというようなことだったと思う。情報技術の社会的受容で法体系がどう変わるのかというような議論もしていたと思うが、今の基本六法に情報法が加わるのかどうかというような内容だったかな。その議論を聞いていて思ったのは、基本六法のような法体系そのものは変わらないが、情報技術の浸透(デジタル化)で変化する社会に徐々に合わせてくんだろうな、アフターデジタルの問題でこれからだなということだった。