年間予想損失額とは
年間予想損失額(Annual Loss Exposure)とは、1年で損失する資産額を算出したものです。
セキュリティ対策は大事といわれるものの、どのくらい得するのかと聞かれると困ります。
セキュリティ対策に対して定量化するには、セキュリティ対策しないと将来的に失われる資産額を年間に均します。
年間予想損失額の算出方法
STEP1 資産の特定と資産価値の算出
守るもの(資産)を決め、その価値を算出します。組織にとっての重要性や実際にかかったコスト、時間や研究開発などの非貨幣性費用などの多くの要因に基づいて、資産に割り当てられる価値になります。
資産価値(AV, Asset Value)の算出方法は、いくつかあります。
- マーケットアプローチ 市場で似た資産を参考にする。
- 収益アプローチ 将来的に稼ぐであろう利益で計る。
- コストアプローチ 資産に使ったコストで計る。
コストアプローチでAVを計算する場合、このPCは100,000円で買ったのだから資産価値は100,000円だとなります。
AV = 100,000[円]
STEP2 損失資産の計算
もし起こってしまったら、どのくらい価値が無くなってしまうのかを計算します。
暴露係数(EF, Exposure Factor)は、1つの資産の内で損失する割合です。
単一損失予想(SLE, Single Loss Expectancy)は、1つの資産の内に損失する額です。
SLE = AV × EF
もし地震が起き、PC(100,000円)のディスプレイ(PCの10分の1の価格)が壊れるとなれば、
SLE = 10,000[円] = 100,000[円] × 1/10
STEP3 脅威分析から年間の発生回数を算出
脅威分析とは、自然災害など資産を傷つけるものに対する分析です。
年間発生率(ARO, Annualized Rate of Occurrence)は、1年間で発生する回数です。
地震は、10年に1度起こりそうだとなれば、
ARO = 1/10[回/年]
STEP4 年間予想損失額を計算
年間予想損失額(ALE, Annualized Loss Expectancy)は、1年間で発生する損失する額です。
ALE = SLE × ARO
10年に1度来る地震で、ディスプレイが壊れてしまうPCが10台あるものを1年換算すると、
ALE = 10,000[円] × 1/10[回/年] = 1,000[円/年]
STEP5 コスト/利益分析を実行
STEP1~STEP4の計算は一つの資産に対して計算していました。
TCO(Total Cost of Ownership)は、すべての資産のALEを足し合わせた値です。
ここで、あなたが提案しようとしている対策案のTCOも出します。
今の資産に対するTCOよりも、あなたが提案する対策案のTCOのほうが低ければ、失われる資産を減らせることが示せるということです。
おすすめ書籍
新版 CISSP CBK 公式ガイド
セキュリティ専門家の国際的認証基準として需要が高まっているCISSP(Certified Information Systems Security Professional)。2005年既刊の邦訳版から12年が経ち、CISSPのドメインが変更され内容・訳語が古くなったため、最新の第4版の邦訳版を日本語公式ガイドブックとして出版。技術知識はもちろん、経営・法律知識まで完全に網羅し、セキュリティの設計・運用・実装を理解するための最高のテキスト。
