2021年 ISC2 Blog 和訳

2021年3月

「可能性」と「確率」の間:真に定量的なセキュリティ分析は可能か?

CISSP_Ultimateguide_image

利益と損失の言語

セキュリティの専門家は、自分の専門分野を磨くために多くの時間を費やします。あなたが得意とするのは、パケット解析やプログラミングかもしれませんし、セキュリティエンジニアリングやペンテストの領域を最も得意とするかもしれません。たとえ最高の技術力を持っていても、プロジェクトや新しいセキュリティツールの予算を獲得する際には、「可能性」と「確率」の違いを理解して説明する必要があります。

なぜこれが重要なのでしょうか?ビジネスの言語は利益と損失に基づいており、それはあなたが進歩するために鍵となる要素であるため、重要だと言うことができます。新しいセキュリティ対策の必要性を、ベンチャー企業に資金を提供してくれる人たちに説明するにはどうしたらいいでしょうか。

あなたの目的を達成するための最良の方法は、定量的、あるいは定性的な分析です。具体的には、ある事象が発生する可能性がどの程度あるか、またはどの程度の確率で発生するかということです。CISSP共通知識体系(CBK)では、「”可能性”は定性的分析で使用する言葉で、”確率”は定量的分析で使用する言葉」と表現されています。 辞書によっては、このような細かい区別をせず、”可能性”と”確率”を同義に扱っているものもありますが、セキュリティの仕事をする場合、これは賢明ではありません。

何が違うのでしょうか?

定性的な分析は「質」を、定量的な分析は「量」を扱うというのが、簡単な覚え方です。

質 = 可能性を測定する

量 = 確率を測定する

定性的な分析は定量的な分析に比べて信頼性が低いと言われていますが、それは定性的な試験には具体的な数字が存在しないことが理由です。

リスクマネジメントを行う際には、通常、定性的な分析が必要になります。これは良く目にする、リスクイベントの可能性と影響の表です。例えば、何年も前に発表されたある手法では、地震に対して建物を建てる際の定性的なリスク分析結果が、ニューヨークとサンフランシスコで同じでした。

「脅威×脆弱性=リスク」という古典的な公式を用いることで、これは以下のように考えることができます。

サンフランシスコの場合 - 脅威レベルは7(地震のリスクが非常に高い)、脆弱性レベルは3(建築基準法に厳しい地震基準がある)となっています。

これにより、リスクレベルは21になります。

ニューヨークでの場合 - 脅威レベルは3(この地域では壊滅的な地震が発生したことがない)、脆弱性レベルは7(重大な地震が発生した場合、建築基準法に地震対策が施されていないため、すべての建物が脆弱である)となっています。これにより、このリスクレベルも21となります。

頭の固い経営者が、定性的な分析を定量的な分析よりも信頼度の低いものとして扱おうとすることは、容易に想像することができます。定性的な分析の結果は、変化に乏しいからです。

数字の精度

定量的な分析では、その数値的な要素によってより明確に表現されます。CISSP CBKで見られる、定量的な分析のための簡単な計算方法は以下の通りです。

年間予想損失額(ALE)=単一損失予測(SLE)×年間発生率(ARO)

携帯電話の紛失を思い浮かべるとわかりやすいでしょう。そこに数字を加えれば、その合計が明確になります。600ドルの携帯電話を例にとると、年間100人がその携帯電話を紛失したり壊したりすると、60,000ドル(ALE)=600ドル(SLE)×100(ARO)となります。

むしろこの例は、あらゆるセキュリティアナリストが忠告したにもかかわらず、「Bring Your Own Device」が推進された理由を示すものとも言えるでしょう。多くの企業が、携帯電話の紛失で多額の損失を出していたということです。 定量的な分析では、単一損失予測の算出方法や、対策の価値の算出方法など、さらに深く掘り下げることになります。携帯電話を紛失した場合、どんなに優れた保険であってもALEコストを相殺することはできません。(逆説的ですが、企業の機器に損害保険が付いていることを知っていると、自分の所有物である場合よりも機器を慎重に扱わない傾向があり、AROがさらに高くなる場合があります)。

CISSP CBKでは、定量的分析を十分深く取り扱いますが、損失の観点から明確に理解するだけでなく、提案された対策が組織にとって健全な価値があるかどうかを計算できることがより重要となります。守るべきものよりもコストがかかるソリューションを提案すると、まず間違いなく失敗します。

組み合わせて使うことで説得力を高める

ここまでの説明によると、定量的な分析が非常に説得力のあるツールであることがよくわかります。しかし、だからといって定性的な分析の価値が低いというわけではありません。それは大きな誤解です。むしろ、定量的な分析と併用することで、提案の効果を高めることができます。

例えば、新しいモバイルデバイス管理(MDM)プラットフォームの予算を獲得しようとしている場合を考えてみましょう。再び携帯電話の例に基づけば、定性的な分析によって、デバイスを紛失する可能性が高く、そのデバイスに企業のデータが入っていて、それが適切なMDMで保護されていない場合、風評被害や規制による罰則など、組織にとってのリスクは非常に高いということができます。

ただし、その努力に見合うだけの付加価値があるのでしょうか?やはり、定量的な分析で十分なのではないでしょうか?これらは、非常に厳格なCFOでも喜ぶような、とても詳細で具体的な数値です。しかし、時には、リスクマネジメントの面でも、プラスアルファの要素を加えた方が良い場合もあります。

CISSP資格があなたの成功にどのように役立つか

CISSP CBKでは、リスクマネジメントの観点から各ドメインを検討し、さらに重要なこととして、実際にリスクを低減します。あなたがどのような規模の会社の社員であっても、もしくは、独立したコンサルタントであったとしても、ビジネスのあらゆる場面で定量的な分析と定性的な分析を理解していることが有益な時があるでしょう。CISSP CBKの学習を通じて得られた知識は、企業の階層のどのレベルにおいても、状況を説明する際に役立つでしょう。

CISSPの詳細については、9 Traits You Need to Succeed as a Cybersecurity Leaderのホワイトペーパー(英語)も併せてご覧下さい。

原文記事: https://www.isc2.org/Articles/Is-a-Truly-Quantitative-Security-Analysis-Possible