東京都産業労働局 令和4年度中小企業サイバー
セキュリティ対策継続支援事業

文字サイズ
中小企業向けサイバーセキュリティ対策の極意

リスクを算出する

リスクを分析して評価するためには、計算式などを用いて数値化していきます。最終的には受容できるリスクの数値を定め、リスク低減策などの実行の結果、リスクが受容できるかを検討します。ここでは、詳細リスク分析をもとに算出していきます。

【手順1】資産を洗い出し、脅威と脆弱性を各資産ごとに検討する

※資産の洗いだしや脅威と脆弱性の整理には、独立行政法人情報処理推進機構(IPA)が公開しているリスク分析シートが便利です。

リスク分析シート情報資産管理台帳

リスク分析シート情報資産管理台帳

出典:情報処理推進機構(IPA)
中小企業の情報セキュリティ対策ガイドライン リスク分析シート
https://www.ipa.go.jp/security/keihatsu/sme/guideline/

【手順2】洗い出した情報資産ごとにリスク値を算出する

リスクを算出する計算式

リスク = 資産価値 × 脅威 × 脆弱性 × 発生可能性

リスク算出の例

リスク=評価値(2) × 脅威有(2) × 脆弱性有(2) × 発生可能性は高い(3) = 24

※受容できる数値は各企業ごとに判断をして決めていきます。

リスク算出の例

リスク分析の手法は一つではありません。米国標準技術院(NIST)が推奨する定量的リスクアセスメントの手法として、ALE法というものがあります。ALE法の最大の特徴は金額でリスクを算出することです。年間の予想損失額 ALE(Annualized Loss Expectancy)を求めることにより、年間のセキュリティ予算を決定するための指標やセキュリティ対策の費用対効果を測定する指標となります。

Point① 年間予想被害額を求める計算式

年間予想被害額を ALE (Annualized Loss Expectancy) とします。

ALE (年次損失予測) = SLE(単一損失予測) × ARO(年次発生率)

  1. EF (Exposure Factor) = 特定の脅威によって起こる資産損失のパーセンテージ
  2. AV(Asset Value) = 資産価値
  3. SLE ( Single Loss Expectancy) 単一損失予測 = AV(資産価値) × EF(資産損失確率)
  4. ARO (Annualized Rate of Occurrence) 年次発生率 =1 年間に脅威が起こる頻度の推定値

出典:JNSA
「情報セキュリティ会計に関する検討報告書~ガイドライン策定に向けて~」をもとに作成
https://www.jnsa.org/houkoku2004/kaikei_report.pdf