Entry № 449
FAIR(情報リスクのファクター分析)
FAIR(情報リスクのファクター分析) とは何ですか?
FAIR(情報リスクのファクター分析)情報リスク・サイバーリスクを損失事象頻度と損失量級の要因に分解し、金額で定量化するためのオープンな国際標準。
FAIR は FAIR Institute が維持し、The Open Group が標準化(O-RA、O-RT)している、最も広く採用されているサイバーリスクの定量モデルです。リスクを損失事象頻度(脅威事象頻度 × 脆弱性)と損失量級(主要損失と二次損失)に分解し、それぞれを校正された範囲で見積もる複数のサブファクターで構成します。FAIR-U や商用プラットフォームでは、通常モンテカルロシミュレーションを用いて ALE や損失超過曲線を含む損失分布を生成します。FAIR は、セキュリティ投資の優先順位付け、取締役会や規制当局との対話、リスクアペタイトの設定、サイバー保険の引受などに活用され、ISO 31000、NIST RMF、ERM フレームワークと補完関係にあります。
● 例
- 01
高度メール保護への投資根拠を示すための、ビジネスメール詐欺(BEC)の FAIR 分析。
- 02
監査委員会向けの、FAIR をベースとした四半期トップリスク報告。
● よくある質問
FAIR(情報リスクのファクター分析) とは何ですか?
情報リスク・サイバーリスクを損失事象頻度と損失量級の要因に分解し、金額で定量化するためのオープンな国際標準。 サイバーセキュリティの コンプライアンスとフレームワーク カテゴリに属します。
FAIR(情報リスクのファクター分析) とはどういう意味ですか?
情報リスク・サイバーリスクを損失事象頻度と損失量級の要因に分解し、金額で定量化するためのオープンな国際標準。
FAIR(情報リスクのファクター分析) からどのように防御しますか?
FAIR(情報リスクのファクター分析) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
FAIR(情報リスクのファクター分析) の別名は何ですか?
一般的な別名: FAIR, FAIR 分析。