読み方：エーエルイー

ALE【Annual Loss Exposure】年間予想損失額

概要

ALEとは、ある特定のリスクが顕在化することによって組織が1年間に被ると予測される損失の期待値を金額で表した指標。リスクの定量的評価に用いられ、セキュリティ投資の優先順位付けや対策の費用対効果を判断する根拠として利用される。

ALEは、ある脅威が一度発生した場合に生じる損失額である「SLE」（Single Loss Exposure）と、その脅威が1年間に発生する頻度（確率）である「ARO」（Annualized Rate of Occurrence）という二つの要素の積として算出される。例えば、ランサムウェア感染による一回あたりの損失が500万円で、年に0.2回（5年に一度）の頻度で発生すると見積もる場合、ALEは500万円×0.2＝100万円となる。

ALEの主な用途はセキュリティ対策の投資判断における費用対効果の算定だ。ある対策を導入することでALEがどれだけ低減されるかを見積もり、その低減額と対策の導入・運用コストを比較することで、投資が経済的に合理的かどうかを判断できる。導入コストがALEの低減額を上回る場合、その対策は費用対効果の観点から再検討の余地があると判断されることが多い。

なお、ALEの計算には将来の発生頻度（ARO）と損失額（SLE）の見積もりが必要であり、正確な値を求めることは容易ではない。過去のインシデントについての実績データが乏しい場合、頻度や損失額の推定に主観的な判断が入りやすく、算出結果の信頼性が低下することになる。ALEは標準規格のISO/IEC 27000シリーズや専門資格のCISSP（Certified Information Systems Security Professional）などでも、定量的リスク分析の代表的な指標として位置づけられている。