説明
情報セキュリティ対策の投資収益率（ROI）の算出が困難な場合、ビジネスケースに含めるべき最適なのは、リスクの推定削減量です。リスクの推定削減量は、情報セキュリティ対策の実施によって期待されるメリットであり、組織の情報資産やシステムに影響を与える可能性のある脅威や脆弱性の発生確率と影響を軽減します。リスクの推定削減量を算出することで、情報セキュリティ管理者は、情報セキュリティ対策が組織のパフォーマンス、評判、競争力にもたらす価値とメリットを示すことができます。また、情報セキュリティ管理者は、推定削減量と推定コストを比較することで、費用対効果と実現可能性を判断することもできます。その他の選択肢は、リスク評価プロセスの入力または出力となる可能性はありますが、ビジネスケースに含めるべき最適なものではありません。成熟度の向上は、情報セキュリティ対策の実施によって組織の情報セキュリティリスク管理能力とプロセスが向上するため、潜在的な成果の一つです。しかし、これは必ずしも実際のリスクの推定削減量や情報セキュリティ対策のROIを反映するものではありません。予測される期間コストは、情報セキュリティ対策のROI（投資収益率）を計算する要素の一つであり、対策の総所有コストと維持コストを反映しています。しかし、これは対策によって期待される利益や価値を示すものではありません。効率性の向上は、組織の生産性とパフォーマンスを向上させる可能性があるため、情報セキュリティ対策の導入による潜在的な利益の一つです。しかし、これは必ずしもリスクの軽減や情報セキュリティ対策のROIに直接関連しているとは限りません。

セクション: 情報セキュリティガバナンス

ネットワークセグメンテーションは、各ネットワークセグメントで監視可能なトラフィック量を制限することで、トラフィックスニッフィングの影響を軽減します。ただし、サービス拒否（DoS）攻撃、ウイルス感染、IPアドレススプーフィングといった攻撃はいずれもネットワークセグメントを通過できるため、ネットワークセグメンテーションではこれらの攻撃によるリスクを軽減することはできません。