2019年11月2日更新(2019年8月13日作成)
リスクアセスメントは、以下の2つに大別されます。「定量的リスクアセスメント(Quantitative Risk Assessment)」
「定性的リスクアセスメント(Qualitative Risk Assessment)」
定量的リスクアセスメント は被害金額などを算定しやすい財務的なリスクの評価に向いていて、一方、定性的リスクアセスメントは風評被害など無形なリスクの評価に向いていると言えます。
・ 有形資産 → 定量的リスクアセスメント
・ 無形資産 → 定性的リスクアセスメント
アセスメント対象に応じて、両者をうまく使い分けたり、組み合わせたりします。
定量的リスクアセスメント
SLE = AV × EFALE = SLE × ARO
↑のように、公式が(アルファベットで)頭にバババっと浮かぶようになりたいですね。。
SLE は”Single Loss Expectancy”で「単一損失予測」。
AV は ”Asset Value"で「資産価値」。
EF は”Exposure Factor”で「暴露係数」。リスクが顕在化した際の、資産価値に対する損失の割合を表します。
単一損失予測は、資産価値と暴露係数の積で表されます。
SLE(単一損失予測) = AV(資産価値) × EF(暴露係数)
SLEは名前のとおり、1回の損失予測額です。
これに ARO(Annualized Rate of Occurrence: 年間発生頻度)を掛ければ、年間損失予測(Annualized Loss Expectancy: ALE)を算出できます。
ALE(年間損失予測) = SLE(単一損失予測) × ARO(年間発生頻度)
しかし、暴露係数ってどうやって決定するんですかね・・・。
「暴露係数」で検索すると「暴露係数ハンドブック」なるものがヒットしましたが、情報セキュリティとは関係なかったです(苦笑)。
0 件のコメント:
コメントを投稿