コンサルが持ってくる『なんちゃってリスク評価』への痛烈なツッコミ。サイバー攻撃を地震と同じノリで計算すんのは無理あるわな
“重要なのは、この翻訳の方向だ。「影響度×発生確率」で評価してから対策を決めるのではなく、三要素モデルで評価・対策を決めてから、報告用に「影響度×発生確率」に変換する。”
サイバーリスクでの「影響度×発生確率」を批判し、代替として脅威×脆弱性×影響度や攻撃成立可能性(HIGH/MEDIUM/LOW)で優先度付けする実務的な提案を述べる。
元の式は平均的なものを考えているんだと思うけど、細かく分けられるならそれに越したことはないかも
“「特権IDが共有されている」の影響度を「高」と評価するとき、実際に評価しているのは特権IDが悪用された結果、全システムが掌握されるという最終シナリオの影響度だ。”
そこまで労力をかけるべき、と依頼側が思っていればそこまで掘ってくる
内部リスクに関してCVSSっぽい計算機を作ると良いと思うが、どうだろう。
(それよりも、掛け算記号を使いたいなら×(U+00d7 MULTIPLICATION SIGN)を使いましょう。この記事で使われてる☓(U+2613 Saltire)はサルティアルという十字架を表す記号らしい。AIが読み取ったら混乱しそう)
誰向けの記事かわからんけど少なくともここに書かれていることは診断結果を受け取った側が当たり前のようにやってることだよね。診断の時点でビジネスプロセスとかまで全開示してるならともかく
包括的な評価指標を細分化してしまうと分かりにくくなるから単純化してるわけで、ここで書かれているような分析を行ったうえで影響度と確率に落とし込んでるのでは?
勉強になった
“サイバー攻撃はMITRE ATT&CKやCyber Kill Chainが示す通り、Initial AccessからExfiltrationまでの複数ステップの連鎖として成立する。”構造で見ないと、全部「重い案件」になって止まる。
セキュリティコンサル仕草?
英米哲学に寄り過ぎなんよリスク対策業界
「本来評価すべきは、その課題が攻撃チェーンのどの段階に位置し、どの程度そのチェーンの成立を容易にするかだ」すべてのチェーンの想定ができなかった場合、潜在的にリスクを過小に見積もることにならない?
「セキュリティリスク=影響度☓発生確率」をやめよう - Qiita
コンサルが持ってくる『なんちゃってリスク評価』への痛烈なツッコミ。サイバー攻撃を地震と同じノリで計算すんのは無理あるわな
“重要なのは、この翻訳の方向だ。「影響度×発生確率」で評価してから対策を決めるのではなく、三要素モデルで評価・対策を決めてから、報告用に「影響度×発生確率」に変換する。”
サイバーリスクでの「影響度×発生確率」を批判し、代替として脅威×脆弱性×影響度や攻撃成立可能性(HIGH/MEDIUM/LOW)で優先度付けする実務的な提案を述べる。
元の式は平均的なものを考えているんだと思うけど、細かく分けられるならそれに越したことはないかも
“「特権IDが共有されている」の影響度を「高」と評価するとき、実際に評価しているのは特権IDが悪用された結果、全システムが掌握されるという最終シナリオの影響度だ。”
そこまで労力をかけるべき、と依頼側が思っていればそこまで掘ってくる
内部リスクに関してCVSSっぽい計算機を作ると良いと思うが、どうだろう。
(それよりも、掛け算記号を使いたいなら×(U+00d7 MULTIPLICATION SIGN)を使いましょう。この記事で使われてる☓(U+2613 Saltire)はサルティアルという十字架を表す記号らしい。AIが読み取ったら混乱しそう)
誰向けの記事かわからんけど少なくともここに書かれていることは診断結果を受け取った側が当たり前のようにやってることだよね。診断の時点でビジネスプロセスとかまで全開示してるならともかく
包括的な評価指標を細分化してしまうと分かりにくくなるから単純化してるわけで、ここで書かれているような分析を行ったうえで影響度と確率に落とし込んでるのでは?
勉強になった
“サイバー攻撃はMITRE ATT&CKやCyber Kill Chainが示す通り、Initial AccessからExfiltrationまでの複数ステップの連鎖として成立する。”構造で見ないと、全部「重い案件」になって止まる。
セキュリティコンサル仕草?
英米哲学に寄り過ぎなんよリスク対策業界
「本来評価すべきは、その課題が攻撃チェーンのどの段階に位置し、どの程度そのチェーンの成立を容易にするかだ」すべてのチェーンの想定ができなかった場合、潜在的にリスクを過小に見積もることにならない?