diff --git "a/source/_posts/2025/20250827a_\343\203\252\343\202\271\343\202\257\343\202\242\343\202\273\343\202\271\343\203\241\343\203\263\343\203\210\343\203\274\343\203\252\343\202\271\343\202\257\343\201\256\345\217\257\350\246\226\345\214\226\343\201\213\343\202\211\346\204\217\346\200\235\346\261\272\345\256\232\343\201\276\343\201\247\343\203\274.md" "b/source/_posts/2025/20250827a_\343\203\252\343\202\271\343\202\257\343\202\242\343\202\273\343\202\271\343\203\241\343\203\263\343\203\210\343\203\274\343\203\252\343\202\271\343\202\257\343\201\256\345\217\257\350\246\226\345\214\226\343\201\213\343\202\211\346\204\217\346\200\235\346\261\272\345\256\232\343\201\276\343\201\247\343\203\274.md" index c1b4d23be317..32c0d1925de3 100644 --- "a/source/_posts/2025/20250827a_\343\203\252\343\202\271\343\202\257\343\202\242\343\202\273\343\202\271\343\203\241\343\203\263\343\203\210\343\203\274\343\203\252\343\202\271\343\202\257\343\201\256\345\217\257\350\246\226\345\214\226\343\201\213\343\202\211\346\204\217\346\200\235\346\261\272\345\256\232\343\201\276\343\201\247\343\203\274.md" +++ "b/source/_posts/2025/20250827a_\343\203\252\343\202\271\343\202\257\343\202\242\343\202\273\343\202\271\343\203\241\343\203\263\343\203\210\343\203\274\343\203\252\343\202\271\343\202\257\343\201\256\345\217\257\350\246\226\345\214\226\343\201\213\343\202\211\346\204\217\346\200\235\346\261\272\345\256\232\343\201\276\343\201\247\343\203\274.md" @@ -20,9 +20,9 @@ lede: "サイバーセキュリティ界隈の文脈で「リスクの可視化 人生は選択の連続ですが、何を選択するかどうやって決めていますか? -おそらくはメリット/デメリットを鑑みて方向性を決める方が大半だと思います。時には、どう転んでも一緒でメリデメで考えない場面もあるとは思いますが、巨額マネーが動くケースではそうもいきませんよね。 +おそらくはメリット/デメリットを鑑みて方向性を決める方が大半だと思います。時には、どう転んでも結論は一緒の場合やメリデメで考えない場面もあるとは思いますが、巨額マネーが動くケースではそうもいきませんよね。 -今回は、サイバーセキュリティ界隈の文脈で「リスクの可視化~意思決定」がどのように行われるのかをお話します。これはプライベートでも仕事でも、おおよそ生きていく上で役立つ基本の考え方にも応用できると思います。 +今回は、サイバーセキュリティ界隈の文脈で「リスクの可視化~意思決定」がどのように行われるのかをお話します。これはプライベートでも仕事でも、おおよそ生きていく上で役立つ考え方にも応用できると思います。 # リスクアセスメントとは @@ -41,7 +41,7 @@ lede: "サイバーセキュリティ界隈の文脈で「リスクの可視化 3. **脆弱性の特定と評価** 資産にどのような弱点があるかを評価します。 4. **リスクの算定** -「資産価値」「脅威」「脆弱性」を包括的に考慮し、リスクレベルを評価します。リスクアセスメントは、評判、収益、法的・規制上のリスクといった複雑に絡み合った概念への影響も考慮することによって行われます。 +「資産価値」「脅威」「脆弱性」を包括的に考慮し、リスクレベルを評価します。高度なアセスメントでは、評判・収益・法的・規制上のリスクといった複雑に絡み合った概念への影響をも考慮されます。 5. **リスク対応の決定と報告** この結果を、「現在〇〇のリスクが年間XXXXの確率で存在しますが、対策YにZZZ投資することで、リスクを$XXに低減できます」といった形で経営層に報告し、最終的な意思決定を仰ぎます。 @@ -55,12 +55,12 @@ lede: "サイバーセキュリティ界隈の文脈で「リスクの可視化 ## フレームワーク・方法論・ナレッジベース -セキュリティの世界では、リスクを式で捉えなるべく定量化するようにフレームワーク等の確立を進めています。こうすることで客観的に表現できるよう努めています。以下によく用いられる思考モデルについてまとめてみました。 +セキュリティの世界では、リスクを式で捉えなるべく定量化するようにフレームワーク等の確立を進めています。こうすることで客観的に表現できるよう努めています。以下に思考モデルについてまとめてみました。 image.png -※ナレッジベースは定量度を考慮して配置するのが難しかったため、最下部にまとめています。該当象限やカテゴリ分けが違う等ご指摘あればコメントいただきたいです、ブラッシュアップしたいです! +※ナレッジベースは定量度を考慮して配置するのが難しかったため、最下部にまとめています。該当象限やカテゴリ分けが違う等ご指摘あればコメントいただけると幸いです、ブラッシュアップしたいです! -各ステップで用いられる思考ツールがあるので下記に紹介します。どのステップで何を活用するのかをまとめた記事は、別途執筆予定(or 加筆修正)予定です。 +各ステップで用いられる思考ツールがあるので下記に紹介します。どのステップで何をどのように活用するのかは、別途執筆(or 加筆修正)予定です。 ## フレームワーク:テクノロジーサイド @@ -426,7 +426,7 @@ D3FENDの最も強力な使い方は、特定の攻撃手法(ATT&CK ID)か 上記フレームワークは大枠を示すものの、定量評価するにあたっては、各要素(変数)の定義を定めて具体的に算出していきます。各要素の算出方法は時代とともに変化し、どのように表現されるかも変わりますので画一的な式は存在しません。用途とフェーズに応じて各種式を使い分けていきます。 -ここに関しては、リスクをどう因数分解するのか、考慮すべき要素に何を指定するのかなど複雑かつ膨大なので、また別記事でご紹介したいと思います。 +ここに関しては、リスクとして考慮すべき要素に何を指定するのか、各要素について具体的にどういった算出方法(メトリクスや各種統計手法)をとるのかなど複雑かつ膨大なので、また別記事でご紹介したいと思います! # リスクの算定 -構築モデルの評価-