「セキュリティリスク=影響度☓発生確率」をやめよう - Qiita

faviconQiita
https://qiita.com/f_0000/items/5cc486be289a8ea76728
はじめに セキュリティアセスメントをする際、このような発言を聞いたことがある方も多いのではないだろうか。 検出されたセキュリティリスクを「影響度☓発生確率」で優先度づけしました! ・・・ セキュリティリスク=影響度☓発生確率 長く使い古され...
🔒 24
💬 8
先着人気新着➡️
nguyen-oiコンサルが持ってくる『なんちゃってリスク評価』への痛烈なツッコミ。サイバー攻撃を地震と同じノリで計算すんのは無理あるわな
2026/02/11 19:32

nguyen-oi

コンサルが持ってくる『なんちゃってリスク評価』への痛烈なツッコミ。サイバー攻撃を地震と同じノリで計算すんのは無理あるわな
2026/02/11 19:32🔗 リンク
shodai“重要なのは、この翻訳の方向だ。「影響度×発生確率」で評価してから対策を決めるのではなく、三要素モデルで評価・対策を決めてから、報告用に「影響度×発生確率」に変換する。”
2026/02/11 20:40

shodai

“重要なのは、この翻訳の方向だ。「影響度×発生確率」で評価してから対策を決めるのではなく、三要素モデルで評価・対策を決めてから、報告用に「影響度×発生確率」に変換する。”
2026/02/11 20:40🔗 リンク
mkusakaサイバーリスクでの「影響度×発生確率」を批判し、代替として脅威×脆弱性×影響度や攻撃成立可能性(HIGH/MEDIUM/LOW)で優先度付けする実務的な提案を述べる。
2026/02/11 22:16

mkusaka

サイバーリスクでの「影響度×発生確率」を批判し、代替として脅威×脆弱性×影響度や攻撃成立可能性(HIGH/MEDIUM/LOW)で優先度付けする実務的な提案を述べる。
2026/02/11 22:16🔗 リンク
nakag0711元の式は平均的なものを考えているんだと思うけど、細かく分けられるならそれに越したことはないかも
2026/02/11 23:15

nakag0711

元の式は平均的なものを考えているんだと思うけど、細かく分けられるならそれに越したことはないかも
2026/02/11 23:15🔗 リンク
dorapon2000“「特権IDが共有されている」の影響度を「高」と評価するとき、実際に評価しているのは特権IDが悪用された結果、全システムが掌握されるという最終シナリオの影響度だ。”
2026/02/11 23:45

dorapon2000

“「特権IDが共有されている」の影響度を「高」と評価するとき、実際に評価しているのは特権IDが悪用された結果、全システムが掌握されるという最終シナリオの影響度だ。”
2026/02/11 23:45🔗 リンク
hirorinyaそこまで労力をかけるべき、と依頼側が思っていればそこまで掘ってくる
2026/02/12 02:07

hirorinya

そこまで労力をかけるべき、と依頼側が思っていればそこまで掘ってくる
2026/02/12 02:07🔗 リンク
akibare内部リスクに関してCVSSっぽい計算機を作ると良いと思うが、どうだろう。
2026/02/12 05:41

akibare

内部リスクに関してCVSSっぽい計算機を作ると良いと思うが、どうだろう。
2026/02/12 05:41🔗 リンク
ata00000(それよりも、掛け算記号を使いたいなら×(U+00d7 MULTIPLICATION SIGN)を使いましょう。この記事で使われてる☓(U+2613 Saltire)はサルティアルという十字架を表す記号らしい。AIが読み取ったら混乱しそう)
2026/02/12 05:46

ata00000

(それよりも、掛け算記号を使いたいなら×(U+00d7 MULTIPLICATION SIGN)を使いましょう。この記事で使われてる☓(U+2613 Saltire)はサルティアルという十字架を表す記号らしい。AIが読み取ったら混乱しそう)
2026/02/12 05:46🔗 リンク