報告書番号

R07024

タイトル（和文）

ITリスク対策の費用対効果評価手法の開発（その1）― 課題の抽出と簡便な評価手法の提案 ―

タイトル（英文）

Development of Evaluation Method of Cost-Effectiveness for IT Risk Countermeasures (Part 1) - Problem Identification and Proposal of an Evaluation Method -

概要 （図表や脚注は「報告書全文」に掲載しております）

業継続性確保の一環として，ITシステムに対するリスク対策が注目されており，費用対効果の高い対策が求められている。しかし，サイバー攻撃等の人間に起因する脅威を予防するITリスク対策は，その性質上効果の評価が難しい。定量的なITリスク評価に基づいた期待被害額による効果算定は，脅威の発生頻度等の適切な推定が非常に困難である。そこで，ITリスク対策の費用対効果評価の課題を明らかにし，それらの解決策として費用対効果を簡便に評価する手法を提案した。提案手法は，リスクによる被害の大きさはリスク評価値に反映されていると仮定し，各対策の脅威・脆弱性レベルの低減能力も基に再算定したリスク評価値の低減幅を効果としてとらえるため，以下の特徴をもつ。(1) リスク評価値の低減幅の総和を効果として捉えるため，効果の金額換算や脅威頻度の想定が不要である。(2) 脅威・脆弱性に対する対策毎の低減能力を基にリスク評価値を再計算するため，効果が発生する理由や妥当性の確認・検討が容易である。
今後は，標準的な資産や脅威，脆弱性の評価に基づく簡便なITリスク評価方法と連携して，より詳細なレベルで費用対効果を行えるよう手法を改善する。

概要 （英文）

IT risk management plays an important role in business continuity management of enterprises. Introduction of risk counter-measures needs an additional IT investment, however, it is very difficult to estimate return of the investment because estimating probabilities of threat occurrences by human activities is hard.
Thus, we propose an evaluation method of cost-effectiveness using matrix-based qualitative evaluation of assets, threats, vulnerabilities and risk values. In this method, an effectiveness of countermeasure is calculated as a total sum of difference between a risk value without the countermeasure and the recalculated value with the countermeasure. For the easy recalculation, we give a matrix of primary decreasing effect of a countermeasure against each threat/vulnerability, and the risk value is recal-culated by those effects. The ratio of the TCO of countermeasure and the effectiveness shows the cost-effectiveness of coun-termeasure. Using this method, a IT manager can compare alternative countermeasures, and decide whether their invest-ment is consistent with the expected risks.

報告者

キーワード