future-architect · ma91n · Sep 9, 2025 · Sep 9, 2025
diff --git a/source/_posts/2025/20250827a_リスクアセスメントーリスクの可視化から意思決定までー.md b/source/_posts/2025/20250827a_リスクアセスメントーリスクの可視化から意思決定までー.md
@@ -34,7 +34,7 @@ lede: "サイバーセキュリティ界隈の文脈で「リスクの可視化
 では、具体的にどのように進めるのでしょうか。大まかには以下のステップで行われます。
 
 1. **情報資産の特定と評価**
-まず「何を守るべきか」を明確にします。顧客データベース、ウェブサイト、社内システムなどをリストアップし、それぞれが停止したり情報が漏えいしたりした場合のビジネスインパクト（機密性・完全性・可用性の観点）を評価します。情報資産台帳をもとに洗い出すことが多いです。
+まず「何を守るべきか」を明確にします。顧客データベース、ウェブサイト、社内システムなどをリストアップし、それぞれが停止したり情報が漏えいしたりした場合のビジネスインパクト（機密性・完全性・可用性の観点）を評価します。情報資産管理台帳をもとに洗い出すことが多いです。
 2. **脅威の特定と評価**
 資産に対してどのような悪いことが起こりうるかを考えます。"脅威モデリング" という分野がここに該当します。
 3. **脆弱性の特定と評価**
@@ -57,6 +57,7 @@ lede: "サイバーセキュリティ界隈の文脈で「リスクの可視化
 セキュリティの世界では、リスクを式で捉えなるべく定量化するようにフレームワーク等の確立を進めています。こうすることで客観的に表現できるよう努めています。以下に思考モデルについてまとめてみました。
 
 <img src="/images/2025/20250827a/image.png" alt="image.png" width="905" height="591" loading="lazy">
+
 ※ナレッジベースは定量度を考慮して配置するのが難しかったため、最下部にまとめています。該当象限やカテゴリ分けが違う等ご指摘あればコメントいただけると幸いです、ブラッシュアップしたいです！
 
 各ステップで用いられる思考ツールがあるので下記に紹介します。どのステップで何をどのように活用するのかは、別途執筆（or 加筆修正）予定です。
@@ -399,7 +400,7 @@ D3FENDの最も強力な使い方は、特定の攻撃手法（ATT&CK ID）か
 
 ある防御策が、直接の目的以外に「どのような攻撃手法にも間接的に効果があるか」という隠れた関係性が分かりますが、その関係性の数は膨大になるため、関係しないnodeを非表示にすることで把握しやすいUIになっています。
 
-|Detect & Restore| Hardening & Isolation & Restore |
+|Hardening & Isolation & Restore|Detect & Restore|
 |---|---|
 | <img src="/images/2025/20250827a/relationship_01.png" alt="relationship_01" width="493" height="845" loading="lazy"> | <img src="/images/2025/20250827a/Hardening_&_Isolation_&_Restore.avif" alt="Hardening & Isolation & Restore" width="509" height="558" loading="lazy"> |