Gordon–Loeb model とは

Gordon-Loeb /gȯr-dənlōb/ Modelは、情報セキュリティの最適投資レベルを分析する数学的経済モデルです。
企業データを保護するための投資には、他の投資と異なり、通常は利益を生み出さないコストが伴います。しかし、それは追加コストを防ぐのに役立ちます。したがって、特定のデータセットを保護することがどれほど費用がかかり、そのデータが盗難、紛失、破損または破損した場合の潜在的損失を比較することが重要です。このモデルを作成するには、会社は3つのパラメータ、すなわちデータがどれだけ価値があるかの知識を持っていなければなりません。データがどれだけ危険にさらされているか。データに対する攻撃が成功する確率。この最後のパラメータ、GordonとLoebは脆弱性として定義されています。前記パラメータの積は、セキュリティ投資なしで中規模のマネーロスを提供する。
モデルから、企業が情報を保護するために費やす金額は、ほとんどの場合、予想される損失のほんの一部(例えば、セキュリティ違反に伴う損失の期待値)であることがわかります。具体的には、予測損失の37%を超える金額の情報セキュリティ(サイバーセキュリティまたはコンピュータセキュリティ関連の活動を含む)に投資することは一般的に不便であることを示しています。 Gordon-Loebモデルはまた、特定のレベルの潜在的な損失に対して、情報セットを保護するために投資するリソースの量が、前記セットの脆弱性の増加に伴って必ずしも増加しないことを示している。したがって、企業は、中程度の脆弱性を持つデータセットのセキュリティを強化するためのサイバー/情報セキュリティ活動に投資することで、大きな経済的利益を得ることができます。つまり、会社のデータを保護するための投資は、漸進的なリターンの減少による脆弱性を軽減します。
例:推定データ値が1.000.000ユーロ、攻撃確率が15%、攻撃が成功する可能性が80%であるとします。この場合、潜在的な損失は、1.000.000ユーロ×0.15×0.8 = 120.000ユーロの積によって与えられる。 GordonとLoebによると、同社の証券投資は120.000ユーロ×0.37 = 44.000ユーロを超えるべきではない。
Gordon-Loebモデルは、Lawrence A. GordonとMartin P. Loebによって、2002年の論文で「情報セキュリティ投資の経済学」と題されたACMの情報セキュリティシステム取引で初めて出版されました。このペーパーは、2004年の「情報セキュリティの経済学」の書籍に転載されました。ゴードンとローブはメリーランド大学のRobert H. Smith School of Businessの両方の教授です。
Gordon-Loebモデルは、「サイバー/情報セキュリティの経済学」文献で最もよく受け入れられている分析モデルの1つです。このモデルは、学術と実務家の文献で広く参照されています。このモデルはまた、いくつかの異なる設定で経験的にテストされています。数学者による研究Marc LelargeとYuliy BaryshnikovはGordon-Loebモデルの結果を一般化しました。
Gordon-Loebモデルは、ウォールストリートジャーナルやファイナンシャルタイムズのような一般的なプレスで紹介されています。