ビジネスインパクト（BI）スコアとは

ビジネスインパクトスコアとは

ビジネスインパクト（BI）スコア は、IT アセットの 事業上の重要度 を数値化した指標です。技術的な脆弱性スコアだけでは判断できない「ビジネスへの影響度」を定量的に評価します。

同じ CVSS 9.0 の脆弱性でも、基幹業務システムとテスト環境ではビジネスへの影響度は大きく異なります。BI スコアは、この「事業文脈」をセキュリティ評価に組み込むための仕組みです。

なぜビジネスインパクトが重要なのか

セキュリティと経営の架け橋

技術的なリスクの報告だけでは、経営層に「具体的に何をすべきか」が伝わりません。BI スコアを使えば「この脆弱性は重要システムへ影響する」といった経営判断に直結する情報が得られます。

リソースの最適配分

組織のすべてのシステムに同等のセキュリティ対策を施すことは、コスト面・時間面ともに非現実的です。BI スコアにより、最も重要なシステムに最も多くのリソース を配分する判断ができます。

コンプライアンス要件

多くのセキュリティフレームワーク（ISO 27001、NIST CSF など）は、ビジネスインパクト分析（BIA）の実施を要求しています。BI スコアはこの要件を満たす客観的な指標として活用できます。

PentaTrail での BI スコア構成

BI スコアは 5 〜 13 の整数値 で、3 つの軸の合算で算出されます。タグ未設定のホストは初期値の 9 となります。

1. purpose（用途）

ホストの利用目的を表します。値の範囲は 1〜5 です。

値	タグ	例
5	public（公開） / remote_access（外部アクセス）	公開 Web、API、VPN
4	restricted（制限） / mail_infra（メール基盤）	限定公開システム、メール
3	development（開発） / unknown（未分類）	開発環境、未分類アセット
2	internal_only（社内専用）	社内専用システム
1	archived（退役済み）	退役・再起動前のシステム

2. data_classification（データ分類）

ホストが扱うデータの機密度を表します。値の範囲は 3〜5 です（最小値が 3 のため、データ分類だけは「事業影響なし」を選べません）。

値	タグ	例
5	personal_data（個人情報） / payment_data（決済情報） / confidential（機密）	顧客情報、決済、社外秘
3	public_only（公開のみ） / unknown（未分類）	公開コンテンツのみ、未分類

3. availability（可用性）

ホストの停止許容度を表します。値の範囲は 1〜3 です。

値	タグ	例
3	mission_critical（事業継続必須） / unknown（未分類）	24 時間稼働システム
2	business_hours（業務時間のみ）	営業時間内のみ稼働
1	non_critical（停止可）	バックオフィス、一時的なシステム

合計値の境界

最小値: 5 = 1 + 3 + 1（退役 × 公開のみ × 停止可）
最大値: 13 = 5 + 5 + 3（公開システム × 機密データ × 24 時間稼働）
デフォルト: 9 = 3 + 3 + 3（タグ未設定ホスト）

BI スコアと TER バンド

BI スコアは単独でも有用ですが、真の価値は TDL（脅威ディスカバリレベル） と組み合わせたときに発揮されます。PentaTrail では BI スコアを 3 段階に分類し、TDL と組み合わせて TER バンド（S/A/B/C/D）を決定します。

BI スコア帯	区分	例
11〜13	高 BI	公開 EC サイト、決済基盤、顧客 DB
6〜10	中 BI	社内業務システム、限定公開アプリ
5	低 BI	退役予定システム、停止可な内部ツール

組み合わせの詳細は脅威エクスポージャーリスクを参照してください。

PentaTrail での BI 設定

PentaTrail では、ホストごとに purpose / data_classification / availability の 3 タグを設定できます。タグはダッシュボードから 1 クリックで付与でき、BI スコアは自動的に再計算されます。

ダッシュボード: BI スコア × TDL のマトリックス表示
アラート: 高 BI × 高 TDL の脆弱性を即座に通知
レポート: 経営層向けに BI スコア軸でのリスクサマリーを生成

PentaTrail で BI スコアベースのリスク管理を試すには 14日間無料で始める。