FAIRとは何か？

FAIR Instituteとは何か？

FAIR Instituteは、明快かつ戦略的な情報リスク解析手法を世界に提供することを目的として設立された非営利組織です。これにより、リスクの初期段階での発見、被害の抑制、そして万が一の攻撃時にも影響を最小限にとどめることが可能となります。

サイバーセキュリティや情報セキュリティの専門家は、業務現場で致命的な情報リスクを管理・測定・識別するための最良の方法を学ぶため、FAIR Instituteに注目しています。同会は、FAIRサイバーリスクフレームワークの整備、改良、革新を担っています。

専門家は、情報リスク解析業界の重要な情報を把握するため、会員制度に参加することができます。

会員には2種類のオプションがあります。1つは無料の一般会員で、ブログの要約や地域支部の研修など限定的な特典が提供されます。

より充実した情報リスク資源や支援を求める場合は、有料の貢献会員を選ぶと良いでしょう。この会員制度では、資源ライブラリ、ウェビナー、ワークショップなど、FAIR Instituteが情報リスク管理と解析の向上のために実施するすべての施策に完全にアクセスできます。

FAIRとは何か？

FAIR、すなわちFactor Analysis of Information Riskは、サイバー情報リスクを識別するために、あらゆる組織が参照できる世界的に認められたリスクフレームワークです。その有効性と成果から、業務およびサイバーリスク解析におけるVaR（Value At Risk）フレームワークとしても採用されています. 

この情報リスクフレームワークの主な特徴と詳細を以下に示します。

• 起源については、まずJack Jonesによってモデルが開発されました。現FAIR Institute議長のJack Jonesは、業務、情報、サイバーリスクを正確かつ標準的に評価する方法を構想し、2005年にFAIRフレームワークの第一稿を作成しました。
• FAIRリスクモデルは世界中で受け入れられており、重要な情報を守るすべての企業に適用されます。
• 既存および予想されるリスクの両方に対して、容易かつ正確に対応が可能です。
• 主に、特定のサイバーリスクの影響を定量化するための明快な視点を提供します。
• FAIRはあらゆる組織に適しており、予想される情報リスクの識別とともに、弱点の把握やリスクの優先順位付けにも役立ちます。
• FAIRがなければ、脅威の識別範囲が不明確になったり、不完全なモデルを採用したり、標準以下のリスク管理になり、収益性と可能性のバランスが崩れるなどの大きな問題が生じる可能性があります。
• リスクベースの手法への即時転換が求められる際、このモデルは適切な指針を示します。情報特有のリスクを金銭的価値に換算することで、リスクを無視した場合に企業が受ける影響を明らかにします。

総じて、このフレームワークは即時かつ正確な情報リスク検出に必要なすべての機能を備えており、迅速なリスク軽減への大きな動機となります。

FAIRファクター

FAIRは、エコシステム内のリスクを生み出す複数の要因に注目します。これらの要因を詳細に解析することで、全体のリスク像が把握でき、新たなリスクと既存のリスクとの関連性も明らかになります。

FAIRファクター解析は、各リスクの基盤となる特徴を識別するための明快で最新の手法を提供します。これはシナリオモデリングの仕組みを活用しており、予測されるリスクやシナリオのシミュレーションを容易に行えます。

他のフレームワークと比べ、FAIRはより正確で科学的な手法を採用しています。COSO、ITIL、ISO/IEC 27002:2005、COBOTなどと連携し、解析や計算を行うエンジンとして機能します。

‍

FAIRの仕組み

FAIRは、次のような戦略的アプローチに基づいています:

• リスクのあるシステムの特定とカテゴリー分け
• 各システムの潜在リスクの発見
• 各カテゴリーごとに重症度スコアの付与
• 対象となるコントロール体制の解析
• 最終的なリスク評価の確定
• FAIRリスク評価を参照する組織では、同様のプロセスが踏まれます。

‍

FAIRフレームワークの構成要素

FAIRの基礎となる構成要素を理解することで、全体像がより明確になります。この手法は主に次の4つの要素から成り立っています:

• 脅威

脅威とは、資源や資産に被害を与える可能性のある物体、行動、人、または要素のことです。典型的な脅威は、アプリの抜け穴を利用して、力や策略で資産に損害を与えます。

台風から誤った文法まで、あらゆるものが脅威となり得るため、明確な定義は存在しません。脅威は、資産に直接または間接的な被害をもたらすものです。

FAIRモデルを利用すると、脅威のプロファイルを容易に作成できます。脅威のプロファイリングは、主要な目的、リスク許容度、付随被害、動機など、多くの要因に注目して行います。

• 資産

資産は、有形・無形のいずれかです。組織がデータ処理に用いるパソコン、ノートパソコン、サーバーなどは有形資産であり、データファイルは無形資産の例です。どちらも攻撃対象となり、大きな被害をもたらす可能性があるため、セキュリティ解析の対象となります。

• 組織

FAIR評価の第三の要素は、対象とする組織そのものです。新興企業、大企業、中小企業などが該当します。組織とは、多くの人々が働き、大量のデータを扱う場を意味します。

情報を守らなければ、収益性、ブランド価値、信頼性が大きく損なわれる可能性があります。リスクの深刻さによっては、業務が完全に停止することもあります。

組織の情報は常にリスクに晒されるため、FAIR手法はその保護に役立ち、直接的および間接的な情報リスクを正確に把握することができます。

• 外部環境

最後の要素は、組織の外部環境です。外部要因は、規制、法律上の障壁、業界の競合他社など、組織の管理領域外にある要素を指します。

FAIRリスク評価の準備方法

信頼性ある結果を得るためには、FAIRを用いたリスクチェックを正確に実施する必要があります。まず、サイバーネットワークとその複雑性を正確に把握し、どのサイバー資産が対象となるかを理解してください。

次に、第三者がアクセス可能なアプリやネットワーク資産を整理することが重要です。

効果的なFAIR評価の基礎は、対象を正確に把握することにあります。

このフレームワークを用いて、戦略的、コンプライアンス、業務、評判、取引に関するリスクを解析することができます。

対象となるリスクが明確になったら、FAIRリスク評価を実施し、有効なリスク管理手法を構築してください。

事業を脆弱にする潜在的なリスクが把握できたら、FAIRに基づく評価プロセスを開始し、リスク軽減策や課題解決策を策定することが可能です。

‍

FAIR解析のステージ

このリスク評価モデルは、10のステップからなり、その後4つのステージに分類されます。

ステージ #1 - リスク要因の把握

評価プロセスの第一段階では、攻撃対象となる資産とそのリスクの可能性、そして脅威の資源を把握する2つのアクションが含まれます。

この段階の基礎は、リスクおよびそれに伴う損害の発生確率を算出する確率モデルです。トップマネジメント、CISO、その他のサイバーセキュリティ専門家からのフィードバックも収集してください。

ステージ #2 - 損失イベント発生頻度の評価

第2段階では、損失イベント頻度、脅威イベント頻度、コントロールの強度、脅威能力などの指標に基づくデータの収集が中心となります。これらの指標は、サイバーセキュリティリスクをより深く理解するための手がかりとなります。例えば、脅威イベント頻度は、一定期間内に脅威エージェントが引き起こす可能性のある損害の発生頻度の推定値です。

ステージ #3 - 想定損失規模（PLM）の解析

この段階では、一次および二次の損失イベントから組織が被ると予想される損失（PLM）について検討します。最悪のシナリオなどについても評価します。

この段階は、一次損失と二次損失の双方に対応します。一次損失は、直接的な損失イベントに起因するもので、収益の減少や陳腐化した資産などが含まれます。

二次損失は、主要な関係者に直接結び付かないものの、組織やその重要業務に影響を及ぼす損失を意味し、組織のパフォーマンス低下の要因となり得ます。

ステージ #4 - リスクの策定と表現

FAIRの最終段階では、評価結果を意思決定に活用するため、リスクを明確に伝えます。具体的な方法は以下の通りです:

• リスク要因の明快な分類方法の提示
• 各リスク要因を定量的に測定する方法の採用
• 事前に設定されたリスク要因を関連付ける計算エンジンの提供
• シミュレーションモデルを利用し、計算エンジンが正確にリスクを解析できるようにする

FAIR評価データの活用方法

すべてのFAIRリスク解析のステージを完了すると、豊富なリスク評価データが得られます。これにより、損失規模、損失頻度、FAIR損失規模などの各パラメータの把握が可能となります。FAIR損失規模には、一次および二次の損失データが含まれます。

二次損失データには、顧客損失、罰金、ブランド損害の費用が詳細に記されています。一次損失データは、資産損失や復旧費用などの情報を含みます。

この評価では、信頼度スコアリング手法を用い、多岐にわたるデータを収集します。得られたデータを的確に活用することで、セキュリティ体制の強化、既存のセキュリティフレームワークの即時のギャップ把握、そして迅速な対応が可能となります。このデータは、組織のセキュリティ向上や重要な指標の改善に大いに役立ちます。

重要な点に注目できるため、サイバーセキュリティチームは即時の対応に専念することができます。

‍

FAIRリスク管理の利点

FAIRのリスク管理手法を採用する努力は、以下の理由から必ず効果を発揮します:

• 十分な脅威対策が可能になる。フレームワークを用いることで、リスクモデルの構築やサイバー脅威プロファイルの予測が容易になります。
• 企業の成長段階にかかわらず、同じ効果を発揮します。規模が拡大しても適用に問題がなく、常に結果に基づいた評価が可能です。
• 成長を促すフレームワークとして、組織のサイバー脅威対策の即時進化を支援します。

• サイバーセキュリティ対策をコスト面で最適化でき、各対策の費用を解析し、予算に合わせた対応が可能です。

‍

FAIRの欠点

多くの利点がある一方で、FAIRにはいくつかの欠点も存在します。例えば:

• 個人または組織レベルのリスク評価において、FAIRは必ずしも信頼できる手法とは言えない場合があります。  
• FAIRはリスクを予測・推測する手法であり、その予測結果をそのままリスクとして採用するのは賢明ではありません。最終的なリスクの決定には、十分な調査と分析が求められます。
• 厳密な分類体系に依存しているため、その理解が必要です。
• リスクやその関係性については明確な見通しが得られる一方で、即時の測定や評価は提供されません。
• FAIRリスク手法単独で十分な評価を行うのは難しく、補完的なフレームワークの支援が必要です。

‍

結論

情報リスクに直面する組織にとって、FAIRは現行のリスク管理を正しい方向へ導き、解析に重点を置くための有力なフレームワークです。モデル自体は優れているものの完璧ではないため、参考の一手法として考え、十分な分析をもって最終的な情報リスクを判断してください。