電力中央研究所

報告書「電力中央研究所報告」は当研究所の研究成果を取りまとめた刊行物として、昭和28年より発行されております。 一部の報告書はPDF形式で全文をダウンロードすることができます。

※ PDFのファイルサイズが大きい場合には、ダウンロードに時間がかかる場合がございます。 ダウンロードは1回のクリックで開始しますので、ダウンロードが完了するまで、複数回のクリックはなさらないようご注意願います。

電力中央研究所 報告書(電力中央研究所報告)

報告書データベース 詳細情報


報告書番号

R07024

タイトル(和文)

ITリスク対策の費用対効果評価手法の開発(その1)― 課題の抽出と簡便な評価手法の提案 ―

タイトル(英文)

Development of Evaluation Method of Cost-Effectiveness for IT Risk Countermeasures (Part 1) - Problem Identification and Proposal of an Evaluation Method -

概要 (図表や脚注は「報告書全文」に掲載しております)

業継続性確保の一環として,ITシステムに対するリスク対策が注目されており,費用対効果の高い対策が求められている。しかし,サイバー攻撃等の人間に起因する脅威を予防するITリスク対策は,その性質上効果の評価が難しい。定量的なITリスク評価に基づいた期待被害額による効果算定は,脅威の発生頻度等の適切な推定が非常に困難である。そこで,ITリスク対策の費用対効果評価の課題を明らかにし,それらの解決策として費用対効果を簡便に評価する手法を提案した。提案手法は,リスクによる被害の大きさはリスク評価値に反映されていると仮定し,各対策の脅威・脆弱性レベルの低減能力も基に再算定したリスク評価値の低減幅を効果としてとらえるため,以下の特徴をもつ。(1) リスク評価値の低減幅の総和を効果として捉えるため,効果の金額換算や脅威頻度の想定が不要である。(2) 脅威・脆弱性に対する対策毎の低減能力を基にリスク評価値を再計算するため,効果が発生する理由や妥当性の確認・検討が容易である。
今後は,標準的な資産や脅威,脆弱性の評価に基づく簡便なITリスク評価方法と連携して,より詳細なレベルで費用対効果を行えるよう手法を改善する。

概要 (英文)

IT risk management plays an important role in business continuity management of enterprises. Introduction of risk counter-measures needs an additional IT investment, however, it is very difficult to estimate return of the investment because estimating probabilities of threat occurrences by human activities is hard.
Thus, we propose an evaluation method of cost-effectiveness using matrix-based qualitative evaluation of assets, threats, vulnerabilities and risk values. In this method, an effectiveness of countermeasure is calculated as a total sum of difference between a risk value without the countermeasure and the recalculated value with the countermeasure. For the easy recalculation, we give a matrix of primary decreasing effect of a countermeasure against each threat/vulnerability, and the risk value is recal-culated by those effects. The ratio of the TCO of countermeasure and the effectiveness shows the cost-effectiveness of coun-termeasure. Using this method, a IT manager can compare alternative countermeasures, and decide whether their invest-ment is consistent with the expected risks.

報告書年度

2007

発行年月

2008/06

報告者

担当氏名所属

二方 厚志

システム技術研究所 情報システム領域

嶋田 丈裕

システム技術研究所 情報システム領域

キーワード

和文英文
ITリスク対策 IT Risk Countermeasure
ITシステム IT System
ITリスク管理 IT Risk Management
費用対効果 Cost-Effectiveness
ISMS Information Security Management System
Copyright (C) Central Research Institute of Electric Power Industry