●トピック
●深く知る
ここでは定量分析についてお話します。定量分析では、各リスクの影響度をコストとして計上します。つまり、定量分析では、損なう資産の総和を金額で計上します。これには、年間予想損失額を利用しますので、ステップバイステップで解説します。
STEP1は、資産の特定と資産価値の算出です。建物やパソコンやライセンスなど組織の中にはたくさんの資産があります。まずは組織がどの程度の資産を持っているのかを把握しましょう。
資産が特定出来たら、それぞれの資産の価値を算出します。資産価値を算出する方法はいくつかありますので、ここでは考え方を3つ紹介します。マーケットアプローチとは、市場で似た資産を参考にする方法です。もしも、自身のパソコンの資産価値をマーケットアプローチで算出する場合、持っているパソコンと同じような型番のパソコンが現在どの位の価格で買取されているのかを把握し、資産価値とします。収益アプローチとは、将来的に稼ぐであろう利益で計る方法です。工場の機器に関して耐久年数と照らし合わせて、将来生産できるであろうロット数から利益を算出し、資産の価値とすることが収益アプローチに当たります。コストアプローチとは、その資産に使ったコストで計る方法です。本来であれば、会計学に基づいて真価を算出するところですが、今回はセキュリティの対策案の効果を知りたいだけなので、そこまで厳密になる必要はありません。どのようなアプローチを使っても良いですが、統一されている方が望ましいでしょう。
STEP2は、損失資産の計算です。もしリスクが発生した場合に無くなる価値の割合である暴露係数を算出します。資産価値と暴露係数をかけ合わせれば、1つの資産での損失額である単一損失予想が算出できます。
STEP3は、脅威分析から年間の発生回数を算出します。つまり、リスクの1年間の発生回数、年間発生率(ARO)を算出します。数年に一回しか発生しないものであれば、1よりも小さい値になります。STEP4は、年間予想損失額の計算です。単一損失予想と年間発生率を掛け合わせて、1年間で発生する損失額となる年間予想損失額(ALE)を算出します。STEP5は、コスト/利益分析の実行です。STEP1〜STEP4の計算は一つの資産に対しての計算になります。ここでは、すべての資産のALEを足し合わせた、いわゆる総コストTCO(Total Cost of Ownership)を算出します。あなたが提案しようとしている対策案のTCOと比較して小さければ、投資対効果(ROI)が高いということになります。