検索
特集/連載

サイバー攻撃の損失額を定量的に計算するFAIRモデルとは?経営層への説明にも役立つ

サイバー攻撃の脅威は高まる一方、企業では予算や人員の配分が課題となっている。こうした中、注目されるのがサイバーリスクを定量的に評価する手法だ。その仕組みと、分析に必要なデータの収集方法を解説する。

Share
Tweet
LINE
Hatena

 サイバー攻撃の脅威が高まる中、CISO(最高情報セキュリティ責任者)や情報システム部門は「限られた予算や人員をどのリスク対策に優先的に投資すべきか」という課題に直面している。しかし実際には、「重大なリスクはどれなのか」を客観的に比較できていない企業も少なくない。

 こうした状況で注目されているのが、サイバーリスクを金額で評価する「サイバーリスク定量化」(Cyber Risk Quantification:CRQ)だ。中でも広く利用されている手法が「FAIR」(Factor Analysis of Information Risk)モデルである。本稿では、FAIRモデルを活用したリスク定量化の考え方と、分析に必要なデータの収集方法を解説する。

FAIRモデルを用いた分析の基本的な流れを整理

 企業のリスク評価では、「高」「中」「低」や5段階評価などの定性的な分析が広く利用されている。こうした方法は迅速に実施できる一方で、評価者によって判断基準が異なるため、客観性に欠けるという課題がある。

 一方、サイバーリスクの定量化は、発生確率や被害額を数値化し、経営層が投資対効果を判断しやすくする手法だ。例えば、「この脆弱性を放置した場合の年間損失額は5000万円」「対策費用は1000万円」といった形で比較できるようになる。

 ただし、リスクの定量化に当たっては、正確なデータの収集が課題となる。特にFAIRモデルでは、分析結果の品質は入力データの品質に大きく左右される。

 ただし、必ずしも詳細な統計データが必要なわけではない。過去のインシデント記録が不足している場合でも、セキュリティ担当者やシステム運用担当者、財務担当者へのヒアリングを基に発生頻度や被害額を推定できる。重要なのは「完全な数値」を求めることではなく、リスクの大きさを合理的な範囲で把握し、投資判断に活用することだ。

FAIRモデルはどう計算するのか

 FAIRモデルでは、サイバーリスクを主に以下の3つの要素の組み合わせで算出する。

  • 脅威の発生頻度(Threat Event Frequency)
    • 攻撃者がどれほど頻繁に攻撃を試みるか
  • 脆弱性(Vulnerability)
    • 攻撃が成功する確率(対策の強度)
  • 損失規模(Loss Event Magnitude)
    • 攻撃が成功した場合の損害額

 これらを組み合わせて「損失事象発生頻度」(=脅威発生頻度×脆弱性)と「年間損失期待値」を算出する。

 もっとも、FAIRモデルの計算式を理解しただけでは実際のリスク定量化はできない。重要なのは、それぞれの要素をどのようなデータに基づいて推定するかだ。

 そこで次に、FAIRモデルを用いた分析の基本的な流れと、発生頻度や損失規模の算出に必要なデータソースを整理する。

1.対象資産と脅威を明確にして、リスクシナリオを作成する

 以下がその一例だ。

  • 対象資産:顧客データベース
  • 脅威:ランサムウェア攻撃
  • 想定被害:業務停止や情報漏えい

2.損失事象発生頻度を算出する

 1年間にその事象が何回発生する可能性があるかを見積もる。

3.損失規模を算出する

 攻撃が成功した場合の損害額を推定する。

4.財務リスクを計算する

 発生頻度と損失規模の分布から年間損失期待値や損失超過確率を算出する。

損失事象発生頻度の算出に必要なデータは?

 損失事象の発生頻度は、脅威の発生頻度と脆弱性から推定する。

 情報システム部門が活用できる主なデータソースは次の通りだ。

  • 社内データ
    • インシデント対応の記録
    • SOC(セキュリティオペレーションセンター)の運用ログ
    • リスク管理台帳
    • IDS(侵入検知システム)やIPS(侵入防止システム)のログ
    • SIEM(Security Information and Event Management)のアラート
    • 認証ログ
    • ファイアウォールのログ
    • ID管理基盤の記録
    • 脆弱性診断の結果
    • ペネトレーションテストの結果
    • パッチ適用の状況
    • レッドチーム演習の結果
  • 社外データ
    • 企業が所属する業界のセキュリティ団体が提供する脅威の情報
    • 通信会社Verizon Communicationsの法人事業部Verizon Businessが公開している年次レポート「Data Breach Investigations Report」
    • サイバー攻撃の戦術を分析してノウハウ化したナレッジベース「MITRE ATT&CK」
    • MandiantやRecorded Future、CrowdStrikeなどが提供する脅威インテリジェンス
    • セキュリティ成熟度ベンチマーク

 これらを活用することで、「攻撃者がどれほど頻繁に狙っているか」「自社がどれほど攻撃を受けやすいか」を評価できる。

損失規模の算出に必要なデータ

 損失規模の算出に当たっては、攻撃によって発生する直接損失と間接損失の両方を考慮する。

 直接損失の例は以下だ。

  • ランサムウェアの身代金
  • システム復旧費用
  • 業務停止による売上減少
  • 外部専門家への委託費

 一方、間接損失には次のようなものがある。

  • 規制当局からの罰金
  • 訴訟費用
  • 顧客離れ
  • ブランドの毀損
  • 株価の下落

 これらを評価する際は、以下のデータを活用する。

  • 社内データ
    • 過去のセキュリティ事故の費用記録
    • 財務データ
    • 事業継続計画(BCP)の影響分析
    • 顧客対応履歴
    • 法務部門の訴訟記録
    • 保険請求の履歴
    • 広報の対応履歴
    • 顧客離反分析
  • 社外データ
    • IBMの年次レポート「Cost of a Data Breach Report」をはじめとした調査レポート
    • SEC(米国証券取引委員会)の開示情報
    • 公開されている情報漏えい事例
    • 規制当局の罰金事例
    • ブランド毀損に関する市場調査

 法務、財務、広報、コンプライアンス部門へのヒアリングも重要な情報源になる。

まずは「完璧なデータ」よりも継続的な改善を

 FAIRを使ったサイバーリスク定量化は、経営層に対して「どのリスクが事業にどれだけの損失をもたらすのか」を財務的な言葉で説明できる点が大きなメリットだ。

 ただし、最初から完璧なデータを集める必要はない。むしろ重要なのは、既存のログやインシデント記録、外部レポートを活用して合理的な範囲を設定し、分析精度を段階的に高めていくことだ。

 サイバーリスクが経営課題になった今、情報システム部門やCISOには「脅威を説明する」だけでなく、「損失額として説明する」能力が求められている。FAIRは、そのための有力な選択肢の1つといえるだろう。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る