FAIR(Factor Analysis of Information Risk) ふぇあ
リスク定量化サイバーリスク情報リスク分析リスクマネジメント損失期待値セキュリティ投資判断
FAIRについて教えて
簡単に言うとこんな感じ!
「このサイバーリスクはヤバい!」って言っても、どのくらいヤバいかが数字で出ないと予算がとれないよね。FAIRは「リスクを円(お金)で測る」ための分析フレームワークで、「年間どのくらい損しそうか」を確率と金額で見える化してくれるんだ!
FAIRとは
FAIR(Factor Analysis of Information Risk)とは、情報リスクを金銭的損失として定量的に分析するためのフレームワークです。2005年頃にリスクアナリストのJack Jonesによって考案され、現在はThe FAIR Instituteが標準化を推進しています。
従来のセキュリティリスク評価は「高・中・低」といった定性的なレベル分けに頼ることが多く、「高リスクと言われても、実際いくら損するの?」という経営層の問いに答えられませんでした。FAIRはこの課題に応えるため、確率論と統計モデルを使って損失をドル・円などの金額で推定します。
FAIRの最大の特徴は、リスクを「損失イベントの頻度 × 損失の大きさ(損失規模)」として分解し、それぞれの要因をさらに細かい構成要素に分解して分析する点です。セキュリティ投資の優先順位付けや、CISOが経営会議でリスクを説明する際に非常に有効です。
FAIRのリスク分解モデル
FAIRでは「リスク = 損失イベントの頻度 × 損失規模」と定義し、それぞれをツリー状に分解します。
リスク分解ツリーの全体像
損失の6カテゴリ(FAIR損失表)
FAIRでは損失を6つに分類して漏れなく見積もります。
| カテゴリ | 英語 | 具体例 |
|---|---|---|
| 生産性損失 | Productivity | 業務停止によるコスト |
| 対応コスト | Response | インシデント対応・調査費 |
| 代替コスト | Replacement | システム再構築・データ復旧 |
| 罰金・判決 | Fines/Judgments | 規制違反の制裁金・訴訟和解金 |
| 競争優位損失 | Competitive Advantage | 特許・営業秘密の漏洩 |
| 評判損失 | Reputation | 顧客離れ・株価下落 |
覚え方:FAIRの3ステップ
FAIR分析は大きく3ステップで進みます。
Step 1: スコープ定義
└─ 「何が」「誰に」「どんな被害を受けるか」を決める
Step 2: 要因の分解・推定
└─ 頻度と損失規模を構成要素に分解し、
各要素の「最小値・最頻値・最大値」を推定(三点見積もり)
Step 3: モンテカルロシミュレーション
└─ 確率分布を使って「年間損失期待値(ALE)」を計算
→ 例: 年間平均損失 ¥350万円、上位10%で ¥1,200万円歴史と背景
- 2005年頃 — Jack Jones(当時:Huntington Bancshares CISO)がFAIRの概念を開発。定性的なリスク評価への不満から生まれる
- 2006年 — RiskInsight誌でFAIRの概念論文を公開、業界に広く紹介される
- 2009年 — Open Group(オープン規格推進団体)がFAIRを採用・標準化へ
- 2014年 — The FAIR Instituteが設立。企業・政府機関への普及活動を本格化
- 2016年 — Open Group標準「O-RA(Open Risk Analysis)」の中にFAIRが組み込まれる
- 2020年代 — CISO向けリスク報告やセキュリティ投資判断の文脈で急速に普及。RiskLens等の専用ツールが登場
- 現在 — NISTサイバーセキュリティフレームワーク(CSF)と組み合わせて活用されるケースが増加
他のリスクフレームワークとの比較
FAIRは「定量化」に特化した点で他フレームワークと大きく異なります。
| フレームワーク | 評価方式 | 強み | 弱み |
|---|---|---|---|
| FAIR | 定量(金額・確率) | 経営層に伝わる数字で説明 | 分析に専門知識・時間が必要 |
| NIST CSF | 定性(成熟度レベル) | 導入しやすい・汎用的 | 「どのくらい損するか」が不明 |
| ISO 27005 | 定性 or 定量(選択可) | 国際標準・監査対応しやすい | 定量化の手法は別途必要 |
| OCTAVE | 定性(リスク一覧) | 組織内で自己診断しやすい | 財務的影響の算出が難しい |
| CVSS | 数値スコア(0〜10) | 脆弱性の深刻度が素早くわかる | ビジネス損失との連動が弱い |
FAIRとNIST CSFの組み合わせイメージ
関連する規格・RFC
| 規格番号 | 内容 |
|---|---|
| Open Group O-RA(C13G) | Open Group標準のリスク分析フレームワーク。FAIRを中核モデルとして採用 |
| NIST SP 800-30 | NISTのリスクアセスメントガイド。FAIRと組み合わせて活用されることが多い |
関連用語
- NIST サイバーセキュリティフレームワーク(CSF) — セキュリティ対策の実施項目を体系化したNISTの標準フレームワーク
- リスクアセスメント — 組織の情報資産に対するリスクを洗い出し・評価するプロセス
- ALE(年間損失期待値) — 年間に発生が期待される損失額。FAIR分析の主要な出力値
- 脆弱性(Vulnerability) — 攻撃者に悪用される可能性のあるシステム上の弱点
- 脅威(Threat) — 情報資産に損害を与える可能性のある事象や行為者
- CVSS(共通脆弱性評価システム) — 脆弱性の深刻度を0〜10のスコアで表す業界標準
- ISO 27005 — 情報セキュリティリスクマネジメントの国際標準規格
- モンテカルロシミュレーション — 確率分布を用いた大量の乱数試行による統計的予測手法