この数字はなぜ信用できるのか。
- ・CISOaaS のリスク金額は、攻撃チェーン上の客観的指標で算出します(主観的な「発生確率」を使いません)。
- ・損失額は単一の予測値ではなく、確率分布として推定します(95% 信頼区間と最悪ケースを併記)。
- ・投資額は情報セキュリティ経済学の最適理論に基づき、過不足が起きない範囲を示します。
- ACRA:攻撃チェーン上で客観的にリスクを定量化
- FAIR:確率分布で 95% 信頼区間と最悪ケースを表現
- Gordon-Loeb:情報セキュリティ経済学の最適投資理論
なぜ、リスクを定量化できるのか。
CISOaaS の評価は、独自手法 ACRA と情報セキュリティ経済学に基づきます。
「なんとなく」ではなく、根拠をもって説明できる数字を出すための仕組みです。
ACRA — 攻撃チェーンリスク分析
Attack Chain Risk Assessment
従来のリスク評価は「影響度 × 発生確率」で算出しますが、
発生確率の推定は極めて主観的で根拠が曖昧という課題がありました。
ACRA は、この課題を解決するために開発された独自の手法です。
攻撃の「侵入から被害発生まで」を 4 フェーズに分解し、
攻撃チェーン上の位置・攻撃容易化度・補完制御の有無からベースリスクを算出。
さらに実装状況に応じて段階的にリスクを軽減します。
各フェーズは MITRE ATT&CK フレームワークの戦術にマッピングされており、
国際的な脅威分類との整合性を確保しています。
さらに損失額は、国際標準 FAIR(Factor Analysis of Information Risk) と モンテカルロ・シミュレーション により、単一の予測値ではなく 確率分布 として算出します。「95%の確率でいくら、最悪ケースでいくら」まで示すことで、経営判断の確度を高めます。
発生確率の推定が主観的。
根拠を説明しにくい。
客観的指標で定量評価。MITRE ATT&CK準拠。
算定ロジックの詳細(攻撃チェーン 4 フェーズ・損失分布・最適投資モデル)を見る
Initial Access, Execution, Persistence
Stealth, Defense Impairment, Discovery
Privilege Escalation, Lateral Movement
Exfiltration, Impact
MITRE ATT&CK Framework にマッピング
FAIR + モンテカルロ — 損失の確率分布化
Factor Analysis of Information Risk
年間予想損失額(ALE)を単一の予測値ではなく確率分布として算出します。国際標準 FAIR に基づき、 1 回あたりの損失規模を PERT 分布、発生頻度をポアソン分布 でモデル化し、モンテカルロ・シミュレーションで 1 万通りのシナリオを試算します。
これにより「20 回に 19 回(95%)はこの範囲」「20 年に 1 度級の悪い年はいくらか」まで示し、次の最適投資額(Gordon-Loeb)の前提となる損失を厳密に見積もります。
Loss = Frequency × Magnitude
- FAIR
- Factor Analysis of Information Risk。情報リスクを「頻度 × 損失規模」に分解し、確率分布として定量化する国際的なフレームワーク。
- 確率分布
- 値を 1 つに決め打ちせず、「どの値がどれくらいの確率で起きるか」を分布で表す方法。最頻値・95% 範囲・最悪ケースをまとめて示せる。
- PERT 分布
- 「最小値・最頻値・最大値」の 3 点から形が決まる確率分布。専門家の経験的見積もりに馴染みやすく、1 回あたりの損失規模の推定に使う。
- ポアソン分布
- 一定期間内に「ある事象が何回起きるか」を表す確率分布。インシデントの年間発生頻度の推定に使う。
- モンテカルロ・シミュレーション
- 上記の確率分布からランダムにサンプリングして 1 万通りのシナリオを試算し、年間損失額の分布を求める手法。
段階的リスク軽減
セキュリティ対策の実装状況に応じてリスクレベルが段階的に低減されます。同一フェーズの他の対策が機能している場合、補完制御としてさらにリスクを軽減します。
同一攻撃フェーズ内の他のセーフガードが十分に実施されている場合、対象セーフガードのリスクがさらに1段階軽減されます。
Gordon-Loeb 最適投資モデル
情報セキュリティ経済学の Gordon-Loeb (2002) 理論に基づき、セキュリティ投資の最適上限額を算出。過剰投資も投資不足も防ぎます。
Optimal Investment Formula