サイバーリスクの定量化

Risk assessment

サイバーリスク定量化とは、組織のサイバーセキュリティリスクにリスク定量化手法を適用することです。サイバーリスク定量化とは、特定されたサイバーリスクを評価し、利用可能なサイバーデータを数学的モデリング手法を用いて検証、測定、分析し、組織のサイバーセキュリティ環境を正確に表現するプロセスです。このデータは、情報に基づいたサイバーセキュリティインフラへの投資とリスク移転の意思決定に活用できます。サイバーリスク定量化は、サイバーセキュリティリスク管理を支援する活動です。サイバーセキュリティリスク管理は、企業リスク管理の構成要素であり、事業運営を情報技術（IT）ネットワークやシステムに大きく依存している組織や企業にとって特に重要です。

サイバーリスクを定量化する手法の一つに、 2015年1月の世界経済フォーラムで議論されたバリュー・アット・リスク（VaR）法があります。^[1] この会議では、VaRが調査・研究され、サイバーリスクを定量化する有効な手法であると判断されました。

実践的な実装

サイバーリスクの定量化は、以下を含むさまざまな実用的なアプリケーションで使用されています

サイバー保険^[2]
サイバーセキュリティの投資収益率^[3]^[4]
ソフトウェア軽減コスト^[5]
サイバーセキュリティリスク評価^[6]

数学的定義

サイバーリスクの数学的定義は次のとおりです

サイバーリスク = 1 - サイバーコンフィデンス

「サイバーコンフィデンス」とは、実際に実行され合格したテストのことです。この値は統計的な確率に変換され、関連するサイバーリスクが計算されます。

例1：「一定数」のテストが実行され、合格しました。無欠陥信頼度が97.43%であると仮定します。答え：サイバーリスク = 2.57%
例2：資産上の65,536個のTCPポートと65,536個のUDPポートがすべて無効または非アクティブであることが確認されています。侵入に対する耐性はどの程度ですか？回答：サイバー信頼度 = 99.83%、サイバーリスク = 0.17%

通常、この形式のサイバー信頼度および/またはサイバーリスクの推定は、次の理由からTestimationと呼ばれます。

サイバーコンフィデンスの任意のレベルに必要なテストの数を見積もるのに適用できます。
実際に実行され合格したテストの数に基づいてサイバー信頼度（およびサイバーリスク）を推定するために適用できます。

参照

参考文献

^ 「企業のサイバー攻撃リスク計算を支援する新しいフレームワーク」。2016年9月28日時点のオリジナルよりアーカイブ
^ Orlando, Albina (2021). 「サイバーリスクの定量化：サイバーリスクにおける価値の役割の調査」. Risks . 9 (10): 184. doi : 10.3390/risks9100184 . hdl : 10419/258268 .
^ Alsaleh, Mohammed Noraden; Husari, Ghaith; Al-Shaer, Ehab (2016). 「サイバーリスク軽減のROI最適化」. 2016 第12回国際ネットワーク・サービスマネジメント会議 (CNSM) . pp. 223– 227. doi :10.1109/CNSM.2016.7818421. S2CID 16037703.
^ Alsaleh, Mohammed Noraden; Al-Shaer, Ehab; Husari, Ghaith (2017). 「ホストコンプライアンスとネットワーク構成を用いたROI主導型サイバーリスク軽減」 . Journal of Network and Systems Management . 25 (4): 759– 783. doi :10.1007/s10922-017-9428-x. S2CID 20994581.
^ De Corniere, Alexandre; Taylor, Greg (2021年8月). 「情報セキュリティと競争のモデル」. SSRN 3928754. 2021年10月26日時点のオリジナルよりアーカイブ。
^ 「NISTリスク評価ガイド」www.securityscientist.net . Security Scientist. 2023年3月7日. 2023年3月10日閲覧。

外部リンク

世界経済フォーラム：サイバーレジリエンスのためのパートナーシップ - サイバー脅威の定量化に向けて

[1] 「企業のサイバー攻撃リスク計算を支援する新しいフレームワーク」。2016年9月28日時点のオリジナルよりアーカイブ

[2] Orlando, Albina (2021). 「サイバーリスクの定量化：サイバーリスクにおける価値の役割の調査」. Risks . 9 (10): 184. doi : 10.3390/risks9100184 . hdl : 10419/258268 .

[3] Alsaleh, Mohammed Noraden; Husari, Ghaith; Al-Shaer, Ehab (2016). 「サイバーリスク軽減のROI最適化」. 2016 第12回国際ネットワーク・サービスマネジメント会議 (CNSM) . pp. 223– 227. doi :10.1109/CNSM.2016.7818421. S2CID 16037703.

[4] Alsaleh, Mohammed Noraden; Al-Shaer, Ehab; Husari, Ghaith (2017). 「ホストコンプライアンスとネットワーク構成を用いたROI主導型サイバーリスク軽減」 . Journal of Network and Systems Management . 25 (4): 759– 783. doi :10.1007/s10922-017-9428-x. S2CID 20994581.

[5] De Corniere, Alexandre; Taylor, Greg (2021年8月). 「情報セキュリティと競争のモデル」. SSRN 3928754. 2021年10月26日時点のオリジナルよりアーカイブ。

[6] 「NISTリスク評価ガイド」www.securityscientist.net . Security Scientist. 2023年3月7日. 2023年3月10日閲覧。