FAIR(情報リスクのファクター分析)
FAIR(情報リスクのファクター分析) とは何ですか?
FAIR(情報リスクのファクター分析)情報リスク・サイバーリスクを損失事象頻度と損失量級の要因に分解し、金額で定量化するためのオープンな国際標準。
FAIR は FAIR Institute が維持し、The Open Group が標準化(O-RA、O-RT)している、最も広く採用されているサイバーリスクの定量モデルです。リスクを損失事象頻度(脅威事象頻度 × 脆弱性)と損失量級(主要損失と二次損失)に分解し、それぞれを校正された範囲で見積もる複数のサブファクターで構成します。FAIR-U や商用プラットフォームでは、通常モンテカルロシミュレーションを用いて ALE や損失超過曲線を含む損失分布を生成します。FAIR は、セキュリティ投資の優先順位付け、取締役会や規制当局との対話、リスクアペタイトの設定、サイバー保険の引受などに活用され、ISO 31000、NIST RMF、ERM フレームワークと補完関係にあります。
● 例
- 01
高度メール保護への投資根拠を示すための、ビジネスメール詐欺(BEC)の FAIR 分析。
- 02
監査委員会向けの、FAIR をベースとした四半期トップリスク報告。
● よくある質問
FAIR(情報リスクのファクター分析) とは何ですか?
情報リスク・サイバーリスクを損失事象頻度と損失量級の要因に分解し、金額で定量化するためのオープンな国際標準。 サイバーセキュリティの コンプライアンスとフレームワーク カテゴリに属します。
FAIR(情報リスクのファクター分析) とはどういう意味ですか?
情報リスク・サイバーリスクを損失事象頻度と損失量級の要因に分解し、金額で定量化するためのオープンな国際標準。
FAIR(情報リスクのファクター分析) はどのように機能しますか?
FAIR は FAIR Institute が維持し、The Open Group が標準化(O-RA、O-RT)している、最も広く採用されているサイバーリスクの定量モデルです。リスクを損失事象頻度(脅威事象頻度 × 脆弱性)と損失量級(主要損失と二次損失)に分解し、それぞれを校正された範囲で見積もる複数のサブファクターで構成します。FAIR-U や商用プラットフォームでは、通常モンテカルロシミュレーションを用いて ALE や損失超過曲線を含む損失分布を生成します。FAIR は、セキュリティ投資の優先順位付け、取締役会や規制当局との対話、リスクアペタイトの設定、サイバー保険の引受などに活用され、ISO 31000、NIST RMF、ERM フレームワークと補完関係にあります。
FAIR(情報リスクのファクター分析) からどのように防御しますか?
FAIR(情報リスクのファクター分析) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
FAIR(情報リスクのファクター分析) の別名は何ですか?
一般的な別名: FAIR, FAIR 分析。
● 関連用語
- compliance№ 889
定量的リスク分析
発生可能性と影響を確率と金銭的損失分布などの数値で表現し、データに基づく意思決定を支えるリスク分析手法。
- compliance№ 705
モンテカルロ・リスクシミュレーション
入力となる確率分布から数千通りのシナリオを乱数生成し、結果の分布を求めることでリスクを推定する計算手法。
- compliance№ 935
リスクアセスメント
特定の資産に対する脅威・脆弱性・影響を洗い出し、結果として生じるリスクを評価して対応判断につなげる、リスクマネジメント内の体系的な活動。
- compliance№ 936
リスクマネジメント
リスクを特定・分析・評価・対応・監視・伝達し、組織が定めた許容範囲内に維持するための調整されたプロセス。
- compliance№ 383
全社的リスクマネジメント(ERM)
戦略・財務・業務・コンプライアンス・サイバーといった全社のリスクを、事業目標に沿って統合的に識別・統治・対応するアプローチ。
- compliance№ 733
NIST リスクマネジメントフレームワーク
セキュリティ、プライバシー、サプライチェーンのリスクマネジメントをシステムライフサイクルに組み込むため、NIST SP 800-37 で定義された 7 ステップのプロセス。
● 関連項目
- № 888定性的リスク分析