リスクが認識できたら、そのリスクの影響を分析しましょう。リスク分析は定性分析と定量分析に分かれます。まずは定性分析から紹介しましょう。定性分析とは、コストといった数値として評価できない事象に対して行う分析方法です。アンケート結果やコメントといったデータそのものの質を分析に生かす場合に利用されます。定性分析にも様々な方法が提案されていますが、ここではリスク分析マトリックスの利用について説明していきます。
リスク分析マトリックスでは、各リスクに対して、影響度と発生確度を大、中、小という大きな3つの括りで分類します。もちろん、大中小よりもより細かくパーセンテージ(%)を示して分類することもありますが、ここではわかりやすく大中小で説明していきます。
例えば、他社競合のサービスは、公開されるまでどのようなサービスかは不明確であることから影響コストとしての計上ができません。しかし、自社のサービス機能を織り込んでくることが考えられるため、既存顧客の乗り換えや今後取り得たであろう見込み顧客を鑑みると、影響は大きいと判断がつきます。自社の新サービスの展開は、顧客からどのような問題が指摘されるかわかりませんが、すでに海外で利用されていたり成熟した分野のシステム製品を利用することで、問い合わせの中で解消可能と考えられるのであれば、ある程度のコストを見込んでおけば問題は起きないと考えられます。そのため、影響度合いは中と判断がつきます。地震は、地震の規模によって影響度合いが異なりますが、施設の破壊などにつながるため影響が大きいと判断がつきます。その一方で、その規模の災害はサービス展開からすると発生頻度は低いと考えられます。
他社競合や問い合わせ、地震は定量的な数値計算に持っていくことも可能ではあるため、定性的な良さが出にくい部分ではありますが、これがより抽象的なSNS上でのコメントであったり口コミである場合には、解決策を分析をするにあたってデータそのものの質に着目する必要が出てくるため、定性分析は非常に有用になってきます。
次に定量分析についてお話します。定量分析では、各リスクの影響度をコストとして計上します。つまり、定量分析では、損なう資産の総和を金額で計上します。これには、年間予想損失額を利用しますので、ステップバイステップで解説していきましょう。
STEP1は、資産の特定と資産価値の算出です。建物やパソコンやライセンスなど組織の中にはたくさんの資産があります。まずは組織がどの程度の資産を持っているのかを把握しましょう。資産が特定出来たら、それぞれの資産の価値を算出します。資産価値を算出する方法はいくつかありますので、ここでは考え方を3つ紹介します。マーケットアプローチとは、市場で似た資産を参考にする方法です。もしも、自身のパソコンの資産価値をマーケットアプローチで算出する場合、持っているパソコンと同じような型番のパソコンが現在どの位の価格で買取されているのかを把握し、資産価値とします。収益アプローチとは、将来的に稼ぐであろう利益で計る方法です。工場の機器に関して耐久年数と照らし合わせて、将来生産できるであろうロット数から利益を算出し、資産の価値とすることが収益アプローチに当たります。コストアプローチとは、その資産に使ったコストで計る方法です。本来であれば、会計学に基づいて真価の近似値を算出するところですが、リスク分析ではセキュリティの対策案の効果を知りたいだけなので、そこまで厳密になる必要はありません。どのようなアプローチを使っても良いですが、統一されている方が望ましいでしょう。
ちなみに、マーケットアプローチ、収益アプローチ、コストアプローチはCISSP特有のモノではありません。資産価値を算出する他の分野でも似たような概念は出てきます。日本でも土地などの不動産に対して、公正な取引価格を算出するために不動産鑑定士が扱う手法として、取引事例比例法、収益還元法、原価法があります。それぞれ、過去の似たような取引事例を参考にする方法、対象の不動産が将来生み出すであろう純収益と最終的な売却価格から現在価値を求める方法、今いくらで買えるかを求めて減価修正を加える方法です。ほぼ一緒ですね。当然これらの用語はCISSP試験では出ませんが、考え方としては同じです。
STEP2は、損失資産の計算です。もしリスクが発生した場合に無くなる価値の割合である暴露係数を算出します。資産価値と暴露係数をかけ合わせれば、1つの資産での損失額である単一損失予想が算出できます。
STEP3は、脅威分析から年間の発生回数を算出します。つまり、リスクの1年間の発生回数、年間発生率(ARO)を算出します。数年に一回しか発生しないものであれば、1よりも小さい値になります。STEP4は、年間予想損失額の計算です。単一損失予想と年間発生率を掛け合わせて、1年間で発生する損失額となる年間予想損失額(ALE)を算出します。ファイナンス論のような正味現在価値を算出することはしません。リスク分析では、概ね比較できればいいと割り切っています。STEP5は、コスト/利益分析の実行です。STEP1〜STEP4の計算は一つの資産に対しての計算になります。ここでは、すべての資産のALEを足し合わせた、いわゆる総コストTCO(Total Cost of Ownership)を算出します。あなたが提案しようとしている対策案のTCOと比較して小さければ、「投資対効果(ROI)が高い」ということになります。