<p><!-- { "title": "情報セキュリティにおけるリスクの定量化に関する問題", "primary_category": "情報セキュリティ", "secondary_categories": [ "リスクマネジメント", "情報処理技術者試験" ], "tags": [ "リスク", "定量化", "期待損失額", "SLE", "ARO", "情報セキュリティ" ], "summary": "情報セキュリティリスクの定量化手法、特に期待損失額（ALE）の計算方法と、その構成要素である単一事象損失額（SLE）および年間発生確率（ARO）について解説する。", "mermaid": "graph TD\n A[資産価値] --> B{脅威と脆弱性};\n B –> C[露出係数 (EF)];\n A & C –> D[単一事象損失額 (SLE)];\n E[年間発生確率 (ARO)] –> F[期待損失額 (ALE)];\n D –> F;\n F –> G[リスク評価と対策検討];”, “verify_level”: “draft”, “tweet_hint”: “IPA午前Ⅱのリスク定量化、期待損失額(ALE)の計算をマスターしよう！SLEとAROが鍵だぞ。 #IPA #情報セキュリティ #リスクマネジメント”, “link_hints”: [ { “text”: “情報セキュリティマネジメントシステム (ISMS)”, “url”: “https://www.jipdec.or.jp/activities/protection/isms.html” }, { “text”: “リスクアセスメントの基本的な考え方”, “url”: “https://www.meti.go.jp/policy/netsecurity/risk_assessment.html” } ] } –></p> <h1 class="wp-block-heading">情報セキュリティにおけるリスクの定量化に関する問題</h1> <p>情報セキュリティリスクの金銭的評価手法、特に期待損失額（ALE）の計算式と、その構成要素である単一事象損失額（SLE）および年間発生確率（ARO）の理解が問われる。</p> <p>本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h3 class="wp-block-heading">背景</h3> <p>情報セキュリティ対策にはコストがかかるため、組織は限られた資源を効率的に配分し、ビジネスへの影響を最小限に抑える必要がある。このため、リスクを定性的に評価するだけでなく、具体的な金銭的価値として定量化することが求められる。定量化されたリスクは、経営層がセキュリティ投資のROI（投資収益率）を判断し、優先順位を決定するための重要な根拠となる。</p> <h3 class="wp-block-heading">問題点</h3> <p>リスクを定量的に評価する際、単に漠然とした「大きなリスク」といった認識では具体的な対策の費用対効果を説明できない。どのような要素がリスクの金銭的価値に影響を与えるのか、そしてその計算方法を理解していなければ、適切なリスクマネジメントを行うことが困難になる。特に、発生頻度と一回あたりの損失額を組み合わせて年間損失額を算出する考え方は、多くの情報処理技術者試験で問われる。</p> <h3 class="wp-block-heading">計算と手順</h3> <p>情報セキュリティリスクを定量化する最も一般的な指標の一つに、期待損失額（ALE: Annualized Loss Expectancy）がある。ALEは、特定の脅威が年間に組織に与えるであろう金銭的損失の期待値を示す。</p> <p>ALEは以下の計算式で求められる。</p> <p><strong>ALE = SLE × ARO</strong></p> <p>ここで、</p> <ul class="wp-block-list"> <li><p><strong>ALE (Annualized Loss Expectancy)</strong>: 期待損失額（年間）</p> <ul> <li>特定の脅威による年間の予想される金銭的損失。</li> </ul></li> <li><p><strong>SLE (Single Loss Expectancy)</strong>: 単一事象損失額</p> <ul> <li><p>脅威が一度発生した際に予測される金銭的損失。これは、資産の価値と、その脅威によって資産が受ける影響の割合（露出係数）によって決定される。</p></li> <li><p><strong>SLE = 資産価値 × 露出係数 (EF: Exposure Factor)</strong></p> <ul> <li><p><strong>資産価値</strong>: 脅威にさらされる情報資産（データ、システム、評判など）の金銭的価値。</p></li> <li><p><strong>露出係数 (EF)</strong>: 脅威が実際に発生した場合に、資産価値のどれくらいの割合が失われるかを示す値（0～1.0）。例えば、データが完全に破壊されればEFは1.0、一部が改ざんされれば0.5など。</p></li> </ul></li> </ul></li> <li><p><strong>ARO (Annualized Rate of Occurrence)</strong>: 年間発生確率</p> <ul> <li>特定の脅威が1年間に発生する予想回数。これは過去のデータ、業界のベンチマーク、専門家の意見などに基づいて推定される。例えば、10年に1回発生するならAROは0.1、2年に1回なら0.5となる。</li> </ul></li> </ul> <h4 class="wp-block-heading">例題のシナリオ</h4> <p>ある企業の情報システムが、マルウェア感染により稼働停止するリスクを考える。</p> <ol class="wp-block-list"> <li><p><strong>資産価値</strong>: 停止する情報システムが企業活動に与える損害（逸失利益、復旧費用、信用低下など）を年間1,000万円と評価。</p></li> <li><p><strong>露出係数 (EF)</strong>: マルウェア感染により、このシステムが完全に停止し、その価値の70%が失われると推定。EF = 0.7。</p></li> <li><p><strong>年間発生確率 (ARO)</strong>: 過去の事例や業界の傾向から、この種のマルウェア感染が年間平均0.2回（5年に1回）発生すると推定。</p></li> </ol> <h4 class="wp-block-heading">計算</h4> <ol class="wp-block-list"> <li><p><strong>SLEの計算</strong>: SLE = 資産価値 × EF SLE = 1,000万円 × 0.7 = 700万円</p></li> <li><p><strong>ALEの計算</strong>: ALE = SLE × ARO ALE = 700万円 × 0.2 = 140万円</p></li> </ol> <p>この結果、この企業はマルウェア感染によって年間平均140万円の損失が発生する可能性があると定量的に評価できる。この金額を基に、セキュリティ対策への投資（例えば、アンチウイルスソフトの導入や従業員への教育）が、140万円の損失削減に見合うかを判断する。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD A["資産価値 (1,000万円)"] --> B{"脅威: マルウェア感染"}; C["露出係数 (EF: 0.7)"] --> D["単一事象損失額 (SLE: 700万円)"]; A & C -- 算出 --> D; E["年間発生確率 (ARO: 0.2)"] --> F["期待損失額 (ALE: 140万円)"]; D -- 算出 --> F; F --> G["リスク評価と対策の費用対効果判断"]; </pre></div> <h3 class="wp-block-heading">要点</h3> <ul class="wp-block-list"> <li><p>ALEはリスクの金銭的年間評価額。</p></li> <li><p>SLEは1回あたりの予測損失額。</p></li> <li><p>AROは年間予測発生回数。</p></li> <li><p>これらの要素でリスクを定量化し、対策の費用対効果を判断する。</p></li> </ul>

graph TD
    A["資産価値 (1,000万円)"] --> B{"脅威: マルウェア感染"};
    C["露出係数 (EF: 0.7)"] --> D["単一事象損失額 (SLE: 700万円)"];
    A & C -- 算出 --> D;
    E["年間発生確率 (ARO: 0.2)"] --> F["期待損失額 (ALE: 140万円)"];
    D -- 算出 --> F;
    F --> G["リスク評価と対策の費用対効果判断"];