« NIST SP 1800-24 画像のアーカイブ及び通信システムの保護:医療セクターのサイバーセキュリティ | Main | 組織に対するランサムウェア攻撃の実証研究:脆弱性に影響を与える重大性と顕著な要因の評価 Oxford Academic - Journal of Cybersecurity »

2020.12.24

カーネギーメロン大学 潜在的なサイバー損失の規模を推定する手法についてのテクニカルレポート at 2020.12.14

こんにちは、丸山満彦です。

カーネギーメロン大学 潜在的なサイバー損失の規模を推定する手法についてのテクニカルレポートを2020.12.14に公開していますね。

そんなに目新しいわけでは無いように感じましたが、一定の整理がされているので紹介しておきます。

Carnegie Mellon University - Software Engineering Institute

・2020.12.14 Loss Magnitude Estimation in Support of Business Impact Analysis

 

CISA  Office of the Chief Economist の事業影響分析(BIA) の手法を改良しましたとなっていますね。。。

 


Abstract

This report describes the initial results of a research project to develop a transparent estimation method. This method leads to greater confidence in and improved ranges for estimates of potential cyber loss magnitude. The project team refined the Cybersecurity & Infrastructure Security Agency, Office of the Chief Economist (CISA OCE) Business Impact Analysis (BIA) method to support this estimation approach, including identifying factors and forming questions to ask stakeholders to elicit input for the loss magnitude estimation process. The project team also characterized the context for using factor tree analysis to produce an executable model in support of the refined BIA method since it can be applied to future cybersecurity assessments.


 

原文 仮訳
Acknowledgments 謝辞
Abstract 概要
1 Introduction 1 はじめに
2 Method Design and Application Overview 2 設計方法と適用の概要
3 Method Design Approach 3 設計方法の考え方
3.1 Factor Tree Method 3.1 因子ツリー法
3.2 Mapping Factors to Loss Magnitude Estimates 3.2 損失規模推定についてのマッピング要因
4 Top-Level Loss Magnitude Estimation Factors 4 損失規模推定係数の概要
4.1 Cost of Consultation 4.1 相談費用
4.2 Cost of Regulatory Fees, Fines, and Penalties 4.2 規制費用、罰金、違約金の費用
Time-Based Factors for Loss of Integrity/Availability 5 完全性・可用性の喪失の時間的要因
5.1 Time to Detect Loss of Integrity/Availability 5.1 完全性・可用性の喪失を検出するまでの時間
5.2 Time to Restore Integrity/Availability Once Loss Detected 5.2 損失検出後に完全性・可用性を回復するまでの時間
6 Cost Rate Factors for Loss of Integrity/Availability 6 完全性・可用性の喪失の費用率要因
6.1 Internal Cost Rate Due to a Loss of Integrity/Availability 6.1 完全性・可用性の喪失による内部費用率
6.2 External Cost Rate Due to a Loss of Integrity/Availability 6.2 完全性・可用性の喪失による外部費用率
6.3 Cost Due to Loss of Confidentiality 6.3 守秘義務の喪失に伴う費用
7 Conclusion 7 結論
Appendix: Potential Loss Magnitude Factor Tree 付録 潜在的な損失の大きさの要因ツリー
References/Bibliography 参考文献/文献目録

 


なお、リスクアセスメント手法についてはISO、IECやJISにもありますよね。。。

ISO.IEC 31010:2009 – Risk management – Risk assessment techniques (因みに最新版は、IEC 21010-2019)、JIS Q 31010:2012
リスクマネジメント−リスクアセスメ ント技法によれば下記のようになります。リンクは [wikipedia] です。

# ISO.IEC 31010:2009
– Risk management – Risk assessment techniques
JIS Q 31010:2012
リスクマネジメント−リスクアセスメ ント技法
1 Brainstorming ブレーンストーミング 
2 Structured or semi-structured interviews 構造化又は半構造化インタビュー 
3 Delphi method デルファイ法 
4 Checklist チェックリスト 
5 Preliminary hazard analysis (PHA) 予備的ハザード分析(PHA) 
6 Hazard and operability study (HAZOP) HAZOP スタディーズ 
7 Hazard analysis and critical control points (HACCP) ハザード分析及び必須管理点(HACCP) 
8 Toxicity assessment 環境リスクアセスメント 
9 Structured What If Technique (SWIFT) 構造化What-if 技法(SWIFT) 
10 Scenario analysis シナリオ分析 
11 Business impact analysis 事業影響度分析(BIA) 
12 Root cause analysis 根本原因分析(RCA) 
13 Failure mode and effects analysis (FMEA) 故障モード・影響解析(FMEA) 
14 Fault tree analysis 故障の木解析(FTA) 
15 Event tree analysis 事象の木解析(ETA) 
16 Cause and consequence analysis 原因・結果分析
17 Cause-and-effect analysis 原因影響分析
18 Layer protection analysis (LOPA) 防護層解析(LOPA)
19 Decision tree 決定木解析
20 Human reliability analysis (HRA) 人間信頼性分析(HRA)
21 Bow tie analysis 蝶ネクタイ分析
22 Reliability centered maintenance 信頼性重視保全(RCM)
23 Sneak circuit analysis スニーク回路解析(SCA)
24 Markov analysis マルコフ解析
25 Monte Carlo simulation モンテカルロシミュレーション 
26 Bayesian statistics and Bayes nets ベイズ統計及ひベイズネット 
27 FN curve FN 曲線
28 Risk index リスク指標
29 Consequence/probability matrix リスクマトリックス
30 Cost/benefit analysis 費用/便益分析(CBA)
31 Multi-criteria decision analysis (MCDA) 多基準意思決定分析(MCDA) 

 

 

|

« NIST SP 1800-24 画像のアーカイブ及び通信システムの保護:医療セクターのサイバーセキュリティ | Main | 組織に対するランサムウェア攻撃の実証研究:脆弱性に影響を与える重大性と顕著な要因の評価 Oxford Academic - Journal of Cybersecurity »

Comments

Post a comment



(Not displayed with comment.)




« NIST SP 1800-24 画像のアーカイブ及び通信システムの保護:医療セクターのサイバーセキュリティ | Main | 組織に対するランサムウェア攻撃の実証研究:脆弱性に影響を与える重大性と顕著な要因の評価 Oxford Academic - Journal of Cybersecurity »