情報セキュリティ イニシアチブの投資収益率 (ROI) を計算するのが難しい場合、ビジネス ケースに含めるのに最も適しているのは、リスクの推定削減です。リスクの低減は、組織の情報資産とシステムに影響を及ぼす可能性のある脅威と脆弱性の可能性と影響を軽減するため、情報セキュリティ イニシアチブの実装によって期待されるメリットです。リスクの低減を見積もることで、情報セキュリティ マネージャーは、情報セキュリティ イニシアチブが組織のパフォーマンス、評判、競争力にもたらす価値とメリットを実証できます。また、情報セキュリティ マネージャーは、推定リスク低減と情報セキュリティ イニシアチブの推定コストを比較して、その費用対効果と実現可能性を判断することもできます。その他のオプションは、リスク評価プロセスの入力または出力になる場合がありますが、ビジネス ケースに含めるのに最も適したものではありません。成熟度レベルの予測向上は、情報セキュリティ イニシアチブの実装によって組織の情報セキュリティ リスク管理能力とプロセスが向上するため、潜在的な成果です。ただし、これは必ずしも実際のリスク低減や情報セキュリティ イニシアチブの ROI を反映するものではありません。長期にわたる予測コストは、情報セキュリティ イニシアチブの ROI を計算する要素の 1 つであり、イニシアチブの総所有コストと保守コストを反映します。ただし、これはイニシアチブの期待される利点や価値を示すものではありません。効率性の向上は、組織の生産性とパフォーマンスを向上させる可能性があるため、情報セキュリティ イニシアチブの実装によって得られる可能性のある利点です。ただし、これはリスクの軽減や情報セキュリティ イニシアチブの ROI に直接関係しない可能性があります。

説明
ロールベースのアクセス制御は、ユーザー グループに定義されたロールによってシステム アクセスを制御するため、大規模なユーザー コミュニティで効果的かつ効率的です。ユーザーはさまざまなロールに割り当てられ、システムはそれらのロールに基づいてアクセスを制御します。ルールベースのアクセス制御では、アクセス ルールを定義する必要がありますが、これは大規模な組織では面倒でエラーが発生しやすくなります。強制アクセス制御では、情報リソースへの個人のアクセスを定義する必要がありますが、これは大規模な組織では面倒です。任意アクセス制御では、ユーザーは事前に定義された一連の原則に基づいてリソースにアクセスしますが、これは本質的に安全ではないアプローチです。

説明
承認されたアクセスの阻止は、公開 Web サーバーに対する分散型サービス拒否 (DDoS) 攻撃によってもたらされる最大の脅威です。正当なユーザーや顧客が Web サービスやリソースにアクセスできなくなり、混乱、不満、収益や評判の潜在的な損失が発生するからです。承認されていないコマンドの実行は、DDoS 攻撃によってもたらされる脅威ではなく、リモート コード実行 (RCE) 攻撃によってもたらされる脅威です。Web サイトのコンテンツの改ざんは、DDoS 攻撃によってもたらされる脅威ではなく、Web アプリケーション攻撃によってもたらされる脅威です。リソースへの承認されていないアクセスは、DDoS 攻撃によってもたらされる脅威ではなく、ブルート フォース攻撃または認証バイパス攻撃によってもたらされる脅威です。参考資料:
https://www.isaca.org/resources/isaca-journal/issues/2017/volume-6/the-value-of-penetration-testing
https://www.isaca.org/resources/isaca-journal/issues/2016/volume-5/security-scanning-versus-penetration-testing