リスクマネジメントの中で行う「分析」のプロセスは、3種類に大別できます。
定量的手法、定性的手法、そしてハイブリッド的手法です。

どれも一長一短がありますので、特徴を捉えておきましょう。

定量的手法とは?

リスクを「貨幣価値」として評価する方法です。

このリスクの被害想定額はおいくら万円(ドルやユーロかもですが)です!

と評価するわけですから、非常に明快で、客観的にも解りやすいものになります。
きっと会社の上層部の方々にも明快に理解いただけることでしょう。
これは大きなメリットです。

しかし、問題は計算が「複雑」で大量の情報を収集しなくてならない、という事
です。

中には、計算が容易なものもありますが、例えば電話とインターネットで受付を
行っている通信販売事業で、電話が使えなくなったらどうでしょうか?

極めて単純に計算すれば、

「電話で受け付けている注文分の金額の平均でいいんじゃない?」

という感じですが、実際はそれ(電話受付での機会損失)だけではありません。

・電話が通じなかったので、インターネットでの注文に切り替えたかもしれません。
・電話が通じない問い合わせやクレームをインターネット経由で行い、従業員の稼働コスト
が増加したかもしれません
・重大な電話での問い合わせを受けそこなったかもしれませんし、何もなかったかもしれません。

このように考えられる要素は、それこそ山のように存在します。
これらを精緻に計算して、リスクを金銭換算できれば最高ですが、実際の所は計算が
非常に難しいため、達成するのが「難しい」というデメリットがあります。

なお、計算式で表すと以下のようになります。

年次損失予測(ALE) = 単一損失予測(SLE) x 年次発生頻度(ARO)

ALE: Annualized Loss Expectancy
SLE: Single Loss Expectancy
ARO: Annualized Rate of Occurrence

この計算式の穴埋め問題は必ず出題されますので、要暗記です。
CISSPでは数少ない暗記で得点を取れる問題です。

なお、

単一損失予測(SLE) = 資産価値(AV) x 危険度(EF)

とも表すことができますので、最初の式に代入すると、

年次損失予測(ALE) = 資産価値(AV) x 危険度(EF) x 年次発生頻度(ARO)

ともいえます。
どの形で出題されるかは何パターンか傾向があるようですので、言葉の意味を
理解しておいてください。

目次
次回の記事へ
前回の記事へ