定量的リスク評価からアクションへと移行するには
概要
- 定量的リスク評価は、サイバーセキュリティのリスクを財務的な視点で表します。
- 定量的リスク評価の結果は、リスクの回避、リスクの受け入れ、リスクの移転、リスクの軽減など、リスクへの対処法を決定するのに使用することができます。
- リスク許容フレームワークを使用すれば、適切なリスク対応が明確でない、微妙なニュアンスを含む場合や曖昧なケースに対処できます。
- これらのプロセスを組み合わせることで、組織はセキュリティ上の必須要件とビジネス目標のバランスをとることができます。
定量的リスク評価は、リスク分析に対する客観的なアプローチとなります。ただし、リスクを理解することは最初のステップにすぎません。 ここでは、評価の結果を解釈し、その洞察を現実の環境で意味のある意思決定にどのように変換するかについて詳しく説明します。
(ここでは定量的リスク分析の実行方法については取り上げません。このプロセスは、Ivanti の「データ駆動型リスク評価ガイド」で詳しく説明されています。)
リスクの定量化について理解する
もとより、定量的リスク評価とは?
リスクの定量化とは?
定量的リスク評価(QRA と略されることもあります)は、サイバーセキュリティリスクの潜在的な影響と発生可能性に基づいて、リスクにドル換算の価値を割り当てるというもので、 次のような疑問を投げかけます。「この脆弱性によってこの資産がリスクに晒された場合に発生する損害は?」 リスクを重大度ごとにカテゴリー分類する定性的手法とは対照的に、定量的なアプローチでは、より客観的な実像を把握します。
なぜこれが重要なのでしょうか? 定性的なサイバーセキュリティリスク評価では、解釈に大きな幅があります。 リスクをビジネスの尺度であるドルとセントに置き換えると、こうした曖昧さの多くが解消されます。セキュリティ責任者以外の人にとって、「高い」リスクが実際にどのような意味を持つのか理解しやすくなるのです。
より広範なサイバーセキュリティ戦略にリスク定量化を適用するには?
リスクの定量化は、リスク管理に不可欠なツールですが、最終目標ではなく、 リスク軽減の意思決定を行うための基盤となるものです。
たとえば、「ベンダーが暗号化されていないクラウド通信を使用することで 150 万ドルの損害が発生する可能性がある」といったリスク露出を提示できれば、そうしたリスクに対応するための選択肢が検討できるようになります。この点については、後半でさらに詳しく説明します。
定量的リスク分析の解釈:重要な要素
定量的リスク分析では、結果を解釈するために理解しておくべき重要な要素がいくつかあります。
- 資産価値 (AV): 保護されている資産が組織にとってどれだけの価値があるか。
- エクスポージャー係数 (EF): リスクが顕在化した場合に失われる、または損なわれる可能性のある資産価値の割合。
- 年間発生率 (ARO): そのリスクが年間を通じて発生すると予想される頻度。 (発生頻度が 1 年に 1 回未満のリスクの場合、この値は 1 未満とすることができます。)
これら 3 つの数値を使って次の計算を行います。
- 単一損失予測 (SLE): リスクが現実化した場合に 1 回の脅威で失われる金銭的価値。 この値は、式 資産価値 (AV) x エクスポージャー係数 (EF) から算出されます。
- 年間予想損失額 (ALE): リスクが現実化した場合に 1 年間で失われる金銭的価値。 この値は、式 単一損失予測 (SLE) x 年間発生率 (ARO) から算出されます。
- 残余年間予想損失額 (ALE):リスク軽減策を適用した後、リスクが現実化した場合に 1 年間で失われる金銭的価値。 緩和策を講じることにより エクスポージャー係数 (EF)、年間発生率 (ARO)、またはその両方が削減されますが、それ以外の計算は同じままです。
年間予想損失額 (ALE) はリスク分析における主要な結果で、リスク対策オプションを評価するために使用される最も重要な数値です。 ただし、年間予想損失額 (ALE) は完璧な数字ではなく、もう 1 つの重要な要素、つまり不確実性が存在します。
資産価値 (AV)、エクスポージャー係数 (EF)、年間発生率 (ARO) はすべて推定値です。 慎重な調査に基づいた非常に近い推定値であることが理想的ですが、それでも推定値であることには変わりありません。 これらの推定値に対する信頼度は、通常、信頼度レベル (例: 80%) とそれに続く未知数のリストで表されます。
実践へ:リスク対応
ここまで、定量的リスク評価の解釈方法について説明しましたが、 リスク分析の最終的な目的は、そのリスクに対して何をすべきかを決定することです。
すべてのリスク対応は、「避ける(回避)」、「受け入れる」、「移転する」、「軽減する」の 4 つのカテゴリーのいずれかに大別されます。
避ける(回避)
リスクの回避とは、リスクへのエクスポージャーを完全に排除することを意味します。 これは、実際にリスクをゼロにまで低減する唯一のリスク対応策となっています。 実際には、リスクを伴うプロセスまたはシステムをシャットダウンすることになります。
回避は、基本的に究極の選択肢であり、これを実現する可能性はほとんどありません。 たとえば、外部との電子メールのやり取りをすべて停止することで、フィッシングのリスクをゼロにすることができます。 国家安全保障の問題に取り組んでいる人には、これは価値のある方法かもしれませんが、 その他の人にとっては、事業の運営が急停止することになるでしょう。
リスク分析では、このような対応が支持される状況が2 つあります。年間予想損失額 (ALE) がきわめて極端であり、緩和戦略ではそれを許容レベルまで下げることができない場合、または、リスクを負うプロセスまたはシステムを 1:1 で代替できる手段があり、エクスポージャー係数 (EF) または 年間発生率 (ARO) をゼロにすることが可能な場合です。
受け入れる
リスクを受け入れるということは、無策を選択することを意味します。 一見すると非合理的に思えるかもしれませんが、真剣に検討する価値のある選択肢です。
リスクを受け入れることが最善の選択肢となる非常に単純なシナリオが 1 つあります。それは、リスク軽減のコストが残余 ALE (つまり、リスク軽減後の年間予想損失額 (ALE)) を上回る場合です。 このような状況では、組織を保護するためのコストが、組織の損失よりも大きくなります。
また、微妙な状況においては、リスク受け入れが合理的である場合もあります。 これらは、リスク軽減のための機会費用を考慮します。セキュリティチームに限定される場合でも、ビジネス全体の機会費用でも同じです
セキュリティチームは、無限のリソースを有するわけではありません。 そのリスクを軽減することを選択すると、より懸念されるリスク対応からリソースを転用することになる場合、リスク受け入れは(たとえ不快であっても)合理的な選択肢となります。 特に、リスク緩和戦略に多くの手作業を要し、実装に多くのスタッフの作業時間が必要な場合、この取り組みに時間を取られて手薄になる作業があるはずです。
より広範な機会費用も考慮する必要があります。これは、リスクを軽減または回避するために、企業が諦めなければならない機会なのです。 つまり、ビジネスチャンスが年間予想損失額 (ALE) よりも大きければ、リスク受け入れが合理的である場合もあるのです。 新しい市場にクラウド サービスを提供するために国外にデータセンターを開設する場合などは、これに該当します。 新たなセキュリティリスクが発生する可能性はありますが、ビジネス上のメリットは明らかです。
移転する
リスクの移転とは、通常はサイバーセキュリティ保険など、別の当事者に負担を負わせることを意味します。 リスクを保険に移転することは、概して、保険料が年間予想損失額 (ALE) よりも低い場合の選択肢となりますが、いくつか注意点があります。
まず、保険でカバーされるのはセキュリティインシデントの金銭的コストのみです。 セキュリティインシデントには、法的損害や風評被害も伴います。 あなたの組織の年間予想損失額 (ALE) がこれらの損害を考慮に入れて(これが理想的な方法です)ドル建てで換算値を割り出している場合、その数字を細分化して、当面の金銭的コストのみを対象とする必要があります。 金銭的リスクは高いが、法的リスクと風評被害のリスクは低い場合、リスクの移転は理にかなっています。
第二に、保険では、何らかのセキュリティ制御を実施することが間違いなく求められます。繰り返し発生するインシデントに対しては保険の適用が停止される可能性もあります。 つまり、保険料に加えて、これらを管理するためのコストが必要となるため、計算が異なる可能性があります。 また、リスクを保険に移転することは、年間発生率 (ARO) が高いリスクに対しては一時的な措置でしかないと言えます。
軽減する
リスク軽減は最も積極的な対応であり、セキュリティ制御の適用、脆弱性の修正、誤った構成の修正などによってリスクを軽減します。
軽減策を講じてもリスクを完全に排除することはできません。リスクを完全に排除するには、リスクをすべて回避するしか方法はありません。 それに対して軽減策では、エクスポージャー係数 (EF)、年間発生率 (ARO)、またはその両方を削減する手順を実行することでリスクを軽減し、 それを踏まえて、残余 ALE と呼ばれる新たな ALE (年間予想損失額) を算出します。
一般的に、元の ALE と残余 ALE の差がリスク軽減策のコストよりも大きい場合、軽減策は強力な選択肢となります。
リスク許容度の組み込み(またはエッジケースの処理方法)
リスク評価を行なっても、必ずしも明確な対応策を選択できるようになるわけではありません。 2 つの選択肢にわずかな差しかなかったり、不確実性のレベルが高かったりするケースは常に存在します。 リスク許容を取り入れると、こうしたエッジケースを理解できるようになります。 リスク許容は、リスク分析に通常は含まれませんが、その分析を解釈するための便利な枠組みとなります。
(組織でまだリスク選好度を文書化していない場合、編集可能なこのリスク許容度ステートメント テンプレートを使用して開始することができます。)
リスク許容度とは、組織がその目的を遂行するために受け入れるリスクのレベルのことです。 リスク許容度が高いということは、より大きな利益を得るために大きなリスクを受け入れる用意があることを意味します。一方、リスク許容度が低いということは、リスクを可能な限り減らすことを好むことです。 リスク許容には複数の側面があります。運用リスクに対する許容度は高くとも、コンプライアンスリスクに対する許容度は低いこともあります。
これらの各側面(セキュリティリスク、コンプライアンスリスク、イノベーションリスクなど)には、考慮すべき重要な要素がいくつかあります。
- リスクキャパシティは、組織が許容できる最大リスク量であり、通常は財務上のリソース、運営能力、規制上の制約によって決まります。
- リスク許容度は、目標に対して許容可能な偏差のことです。
- リスク閾値は、戦略の変更が必要であることを示す「越えてはならない一線」です。
リスク許容度とキャパシティの間のしきい値、または異なる許容度間のしきい値でも、それを使用することで、適切なリスク対応がわかりにくいグレーゾーンを整理するのに役立ちます。
洞察をアクションに変換
定量的リスク評価を理解することは最初のステップに過ぎません。真の価値は、こうした洞察を活用してアクションを起こすことから生まれます。 リスクの回避、受け入れ、移転、軽減のいずれの場合でも、目標は同じです。つまり、セキュリティリスクとビジネスの優先順位のバランスを取り、決定的なアクションを講じられるようにすることです。
FAQ
定量的リスク評価とは?
定量的リスク評価 (QRA と略されることもあります) は、サイバーセキュリティリスクの潜在的な影響と発生可能性に基づいて、リスクに金銭的価値を割り当てる形式的プロセスです。
年間損失予想額とは?
年間損失予想額は、定量的リスク評価から導かれる主要な結果であり、 そのリスクが現実化した場合、1 年間に失われる金銭的価値を表します。 これは、単一損失予測 (SLE) x 年間発生率 (ARO) という式で計算されます。単一損失予測値は、資産価値 (AV) x エクスポージャー係数 (EF) です。
リスク許容度とは?
リスク許容度とは、組織がその目的を遂行するために受け入れるリスクのレベルのことです。 セキュリティリスクとビジネス優先順位の兼ね合いを評価するためのフレームワークとして、リスク対応策の決定に影響を与えます。
