サイバーリスクの定量化ツール「FAIR」の概要

現在のリスク評価方法の課題

定性的 vs. 定量的

リスクの定性的評価はベストプラクティスとのギャップを確認できるため便利ではありますが、定量的な優先順位付けという点では限界があります。一方、定量的なリスク評価では、確率や経済的な観点で表現できるため、組織は最も重要なリスクに確実に焦点を絞ることができます。

以下は、従来の定性的なリスク評価と、それによって生じる課題の例です（図表1）。

図表1：リスクの定性的評価における課題

サイバーリスク定量化手法の利用状況

PwCの「Global Digital Trust Insights 2025」によると、グローバル組織の73%がサイバーリスク定量化手法を使用しています。また、グローバル組織の24%がFAIRなどのシナリオベースの定量化手法を使用しています。

このシナリオベースの定量化手法を使用する主な目的は、以下の通りです。

• サイバー投資の優先順位付けを支援すること
• 最もリスクの高い領域にリソースを割り当てること
• サイバーリスク管理プログラムの価値を実証すること

FAIRとは

FAIRとは、サイバーセキュリティと運用リスクの標準分類法および定量的リスク分析モデルであり、経営層やサイバーセキュリティ部門、リスク管理部門がビジネスの観点から財務的にリスクを測定し、管理し、伝達することに役立ちます。

FAIRの手法は、効果的な比較と十分な情報に基づいて意思決定を行いたいという経営層の要望を満たすために、価値のある測定結果を提供する方法として開発されました。

FAIRモデルは、世界中に16,000人のメンバーが加入する非営利団体であるFAIR Instituteの業界標準です。FAIRは、同組織のFAIRサイバーリスク管理フレームワークの一部であり、これにはFAIRの標準の拡張も含まれています^※1。

公平な標準化団体であるThe Open Groupは、厳密なレビューと他の方法論との比較の後、標準的な情報リスク管理モデル（Open FAIR™と呼ばれる）としてFAIRを選択しました。The Open Groupは、IT標準を通じてビジネス目標の達成を可能にするグローバルコンソーシアムであり、900を超えるメンバー組織が参加しています。

FAIRは製造、ハイテク、医療、エネルギー、教育、コンサルタント、政府など、さまざまな分野の組織で広く使用されています。これらの組織の規模は、中小企業からトップ企業まで多岐にわたります。

^{参照：https://www.fairinstitute.org/blog/who-uses-fair-six-organizations-leading-the-way-on-cyber-risk-quantification}

^{※1 この拡張には、FAIRコントロール分析モデル（FAIR-CAM）およびFAIR重要性評価モデル（FAIR-MAM）が含まれます。前者は、コントロールがリスクにどのように影響するかの「生理学」を定義しています。後者は、損失の大きさを評価するためのより詳細なモデルを提供して、重要性の決定を通知します。}

FAIRモデル

FAIRモデルは、統計分析と確率を使用してサイバーリスクを個々の要素に分解し、リスクを定量化します。インシデントの起こりうる頻度（損失イベント頻度）とそれらの損失の潜在的な影響（損失マグニチュード）を評価し、範囲を絞ったシナリオを通じてリスクを評価します。これらのコンポーネント（構成要素）を組み合わせることで、組織は財務面におけるリスクを包括的かつ定量的に理解し、データ主導によるセキュリティ投資に関する意思決定が可能となります。

FAIRモデルのコンポーネントは、情報および運用リスクの標準的な分類法とオントロジー（概念の体系化）を使用してリスク定量化をサポートするように設計されています。

以下の図は、FAIRモデルとそれらの関係について詳しく説明しています（図表2）。

図表2：FAIRモデルにおけるサイバーリスクの分解手法

FAIRの手法に関する仕組み

FAIRは、2つの主要コンポーネントの統計分析を通じてサイバーリスクを定量化します。

1. 損失イベントの頻度：サイバーリスクイベントが発生する頻度
2. 損失マグニチュード：イベントによる経済的影響

これらのコンポーネントは次のような要因によって決まります。

• 脅威イベントの頻度：脅威が始動する可能性
• 脆弱性：脅威アクターの能力と既存の管理体制に基づいて、脅威アクターに悪用される可能性のある弱点
• 一次損失：直接的な金銭的損失
• 二次損失：間接的な金銭的損失（例：評判の失墜、罰金や制裁金）

FAIRは、損失を生産性、対応コスト、リプレースコスト、レピュテーション、競争上の優位性、法的影響などの領域に分類します。また、脅威アクター（サイバー攻撃者、自然災害など）を評価して、その潜在的な影響を理解する必要があります。

FAIRのリスク評価アプローチ

FAIRのリスク評価は、図表3に示したフローで進められます。

図表3：FAIRのリスク評価フロー

1. リスクシナリオを特定する

• 重要な資産を特定し、潜在的な脅威アクター（サイバー犯罪者、内部関係者など）との関連付け実施
• リスクシナリオの定義

2. 損失イベントの頻度を評価する

以下の分析により、インシデントの可能性を定量化

• 脅威イベントの頻度
• 脆弱性：被害可能性
• 脅威能力：脅威の技術的水準／必要リソース
• 抵抗力：資産管理体制

3. 損失の規模の評価

• 潜在的なイベントから一次損失（直接的なコスト）と二次損失（間接的な結果）を推定
• 内部および外部の利害関係者への財務的影響を評価

4. リスクの定量化

• モンテカルロシミュレーションなどのツールを使用して、データを詳細なリスク分析に統合
• 予想される損失を定量化し、インシデント軽減戦略に優先順位付けを実施
• 調査結果を財務的な観点から提示し、リソースの割り当てとリスク管理に関する意思決定のガイドとして使用

まとめ

本稿では、グローバルで関心を集めているサイバーリスク定量化の手法FAIRモデルの概要を解説しました。FAIRは、経営層とのコミュニケーションにおいて、難解なサイバーリスクを直感的にわかりやすく説明するために非常に有益な手法です。

FAIRモデルの長所は、以下のとおりです。

• 各リスク要因に対する明確な定義があるため、共通の用語を用いることができます
• リスクを測定する担当者に対して、明確なリスク分析の範囲設定と測定方法を提供します
• 分析を通じて批判的に考えるためのフレームワークとして機能し、重要な要素が見逃されたり二重計上されたりする可能性を減らし、分析で行われている主要な仮定を検証することに役立ちます
• 要素間の関係を説明し、モンテカルロシミュレーションのような確立された方法を使用した定量分析を可能にします
• 定量的な優先順位付けができ、柔軟性があるため深く掘り下げた分析にも適用できます

PwCの「Global Digital Trust Insights 2025」によると、グローバル企業はサイバーリスクの定量化に向けて動き出しています。日本企業においても、サイバーセキュリティへ投資判断や戦略の優先順位付けを検討する上で、FAIRの手法を参考にすることをお勧めします。