第3話 安全率の計算方法
桶の高さ=安全率 s
ゼロトラストFTAは各情報漏洩6項目について、安全率 s を算出する。セキュリティの桶に例えるならば、この安全率の大きさが桶の高さとなる。
この安全率は、情報漏洩の発生しやすさ(リスク発生確率 r)と、それを防ぐ対策の効果(対策防御率 d)から算出する。
どちらの対策を優先するべきか
まずゼロトラストFTAでは、世の中で発生する事故の発生確率が高いほどリスクが大きいであると考える。
たとえば「この1年間でその情報漏洩事故に遭遇したことがあるか」という調査(*1)を例にとる。
この調査ではマルウエア感染は24%企業が体験したと回答している。
一方不正アクセスは12%の企業が体験したと回答している。
この2つの調査から、マルウェア感染という事故の方が、不正アクセスより発生しやすい(=リスクが高い)と言える。
つまり企業のセキュリティ対策としては、まずリスク発生確率の高い「マルウェア感染」を対象とすることが望ましいと言える。
次に実施するべきセキュリティ対策は?
たとえば企業がマルウエア感染対策を行い、例えば防御率80%対策を行うと、マルウェア感染のリスク発生確率は約5%となる。
これにより不正アクセス12%よりも事故発生率(=リスク)は少なくなる。
すると次には不正アクセスに対する対策を検討するのが望ましいと言える。
対策しても最も脆弱な部分は残ったままのケース
もしマルウェア感染対策を行わず、不正アクセス対策だけを行う企業があったとした場合、残念ながらその対策は充分な費用対効果とは言えない。
なぜなら統計上、その企業で発生する可能性が高いのは、不正アクセスではなくマルウェア感染だからだ。
桶の水は最も低いところから漏れるように、企業のセキュリティ対策も脆弱な箇所(リスク発生確率が高いところ)から行うことが費用対効果が高いと言える。
安全率 s 計算式
ゼロトラストFTAはこのように、各情報漏洩の安全率を確認しながら、よりリスクの高い事故から対策を行うことを提唱している。
まとめ
・セキュリティ脆弱性は「安全率s」で比較することが出来る。
・安全率sは「リスク発生確率r」と、実施するセキュリティ対策の「防御率d」から算出される。
【2021年版】ゼロトラストFTAガイドブック(無料)はこちらからダウンロード出来ます。本ガイドブックが、一社でも多くの企業のセキュリティ対策に役立つことを願います
*1 ⼀般財団法⼈⽇本情報経済社会推進協会(JPDEC)発行「企業IT利活⽤動向調査2020」より