限られた予算の中で「どのリスク対策に費用をかけるべきか?」を客観的に評価する為にはやはり各リスクを数値化して比較する必要があります。
IPAの「情報セキュリティ10大脅威 」がその土俵に最適と考えられますが、ランキングの根拠となる各リスクの得票数は公開されていません。また仮に公開されていたとしても、その比率がリスクの度合いを表しているとはいいきれません。
ここでは脅威の順位はIPAの「情報セキュリティ10大脅威 」、各々の脅威の度合いは次の二つのモデルで計算し、個々のセキュリティ対策の効果の数値化を行い、その導入効果の客観評価を試みました。
①ベイズ統計の無差別の原理をモデルに使ったケース
②指数法則を使ったケース