読み方 : エーアールオー
ARO【Annualized Rate of Occurrence】年間発生率
AROは事象の発生確率を1年あたりの発生回数の期待値で表した数値である。必ずしも整数である必要はなく、1年に1回発生すると予測される場合のAROは1.0、2年に1回であれば0.5、5年に1回であれば0.2という形で表現される。逆に、月1回程度の頻度で発生するなら12となる。
AROの主な用途は、その事象の年平均の被害額の見積もりである「ALE」(Annual Loss Exposure:年間損失期待値)の算出である。ALEは、事象一回あたりの損失額を表す「SLE」(Single Loss Expectancy:単一損失期待値)にAROを掛け合わせることで求められる。例えば、SLEが200万円である脅威のAROが0.25(4年に1回)と見積もられる場合、ALEは200万円×0.25=50万円となる。このALEを対策の導入コストと比較することで、投資の費用対効果を定量的に評価できる。
AROの値を見積もる際には複数の情報源が参照される。過去の自社インシデント記録・業界団体が公表するセキュリティレポート、政府機関や研究機関が提供する脅威統計などがその代表的な根拠となる。日本では情報処理推進機構(IPA)が公表する「情報セキュリティ10大脅威」などのレポートも参考データとして活用される場合がある。
一方、AROの見積もりには本質的な不確実性が伴う。過去のデータが乏しい新種の脅威や、組織固有の環境に起因するリスクについては客観的な頻度データが存在しないため、専門家の経験的判断に依存せざるを得ない場面も多い。AROを含む定量的リスク評価の結果は、あくまで意思決定を支援するための参考値として扱われる。
共有ボタンをタップ