このブラウザは、JavaScript が無効になっています。JavaScriptを有効にして再度、お越しください。
新規登録
ログイン
ログイン
ログインID
パスワード
次回から自動ログイン
パスワード再発行
Principle
Policy & Design
Operation
Counter Measure
About Us
TOP
Terminology
Links
▲
Principle
Principle
>> コンテンツ詳細
Title
リスクの定量化への考察
Category
Principle
Contents
リスクの定量化への考察
リスク対策のプロセスのベースはISMSのリスクの特定・分析・評価・対応・対策のプロセスに沿いつつ、上述した中小企業の一般的な業務に潜む情報セキュリティ上のリスクに対して行います。
ここで問題になるのがリスク分析・評価・対策の定量化です。脆弱性、脅威、情報資産価値とセキュリティ投資の経済的な最適値に関しては、Maryland大学のL. A. GordonとM. P.Loeb2) によるモデルを利用したすぐれた研究があります。
彼らの研究を結論のみ簡単に紹介します。
脆弱性vを持つ情報資産にセキュリティ投資zを行った場合の脅威の成功確率をS(z,v)と定義します。セキュリティ投資を行った場合の正味の利益期待値ENBIS(v)は、
ENBIS(v) =[v-S(z,v)] tλ-z………式①
と記述できます。ここでパラメータv、t、λはそれぞれ、脆弱性による脅威の成功確率、脅威の発生確率、脅威が成功した場合の損失(情報資産の価値)、を意味します。S(z,v)がGordon-Loebモデルに属すると仮定すると、正味の利益期待値を最大化する最適投資額Z*(v)は、
Z*(v)<37%v tλ………式②
の関係を満たします。脆弱性を持つ価値100万円の情報資産が存在するとします。この情報資産に発生確率90%の脅威が存在し、脆弱性による脅威の成功確率を80%とします。
企業は、損失の許容を30万円と考え、この脅威の成功確率を30%に低減するため、28万円のセキュリティ投資を行ったとします。式①はENBIS(v)=[0.8-0.3]×0.9×100-28=17万円、そして式②の右辺は0.37×0.8×0.9×100≒27万円です。
企業の投じた28万円のセキュリティ投資はこの27万円よりも大きいので、式②の関係を満たしていません。
式②は企業に27万円を超えるセキュリティ投資は過大な投資であると言っています。
しかし、残念ながらセキュリティ事象において、v、t、S(z,v)を具体的に求めることは簡単なことではありません。
情報資産の価値が分かっていれば、式②より、情報資産価値の37%を上限とするリスク対策(セキュリティ投資)が可能ですが、対象の中小企業は情報資産を洗い出し、そのリスクを分析・評価できる能力に乏しいことが分かっています。
原理的にはセキュリティ投資をどんどん大きくしていくと、脅威の成功確率を限りなくゼロに近づけることができます。しかし、式①より、このような過剰なセキュリティ対策は、最終項のzを大きくし、正味の利益を著しく低減してしまうことになるのです。
セキュリティ対策を、事業継続の一つとして考えるなら、企業の利益を損なうような極端な対策あるいは禁止事項を避け、マイルドなセキュリティ対策を目指すよう注意する必要があります。従って、中小企業にとって、合理的と考える対策をそれぞれの業務に対して検討していくことになります。
資料
ホームページ
http://www.jasa.jp/information/securityeye.html
担当者
コメント
[出典]
元持哲郎氏
Security Eye Vol.16
発行経済産業省/特定非営利活動法人日本セキュリティ監査協会(JASA)より
記入者:
doableboy
Powered by NetCommons2
The NetCommons Project
