コンサルが持ってくる『なんちゃってリスク評価』への痛烈なツッコミ。サイバー攻撃を地震と同じノリで計算すんのは無理あるわな
“重要なのは、この翻訳の方向だ。「影響度×発生確率」で評価してから対策を決めるのではなく、三要素モデルで評価・対策を決めてから、報告用に「影響度×発生確率」に変換する。”
サイバーリスクでの「影響度×発生確率」を批判し、代替として脅威×脆弱性×影響度や攻撃成立可能性(HIGH/MEDIUM/LOW)で優先度付けする実務的な提案を述べる。
元の式は平均的なものを考えているんだと思うけど、細かく分けられるならそれに越したことはないかも
“「特権IDが共有されている」の影響度を「高」と評価するとき、実際に評価しているのは特権IDが悪用された結果、全システムが掌握されるという最終シナリオの影響度だ。”
そこまで労力をかけるべき、と依頼側が思っていればそこまで掘ってくる
内部リスクに関してCVSSっぽい計算機を作ると良いと思うが、どうだろう。
(掛け算記号を使いたいなら×(U+00d7 MULTIPLICATION SIGN)を使いましょう。☓(U+2613 Saltire)はサルティアルという十字架を表す記号らしい)
「セキュリティリスク=影響度☓発生確率」をやめよう - Qiita
コンサルが持ってくる『なんちゃってリスク評価』への痛烈なツッコミ。サイバー攻撃を地震と同じノリで計算すんのは無理あるわな
“重要なのは、この翻訳の方向だ。「影響度×発生確率」で評価してから対策を決めるのではなく、三要素モデルで評価・対策を決めてから、報告用に「影響度×発生確率」に変換する。”
サイバーリスクでの「影響度×発生確率」を批判し、代替として脅威×脆弱性×影響度や攻撃成立可能性(HIGH/MEDIUM/LOW)で優先度付けする実務的な提案を述べる。
元の式は平均的なものを考えているんだと思うけど、細かく分けられるならそれに越したことはないかも
“「特権IDが共有されている」の影響度を「高」と評価するとき、実際に評価しているのは特権IDが悪用された結果、全システムが掌握されるという最終シナリオの影響度だ。”
そこまで労力をかけるべき、と依頼側が思っていればそこまで掘ってくる
内部リスクに関してCVSSっぽい計算機を作ると良いと思うが、どうだろう。
(掛け算記号を使いたいなら×(U+00d7 MULTIPLICATION SIGN)を使いましょう。☓(U+2613 Saltire)はサルティアルという十字架を表す記号らしい)