カーネギーメロン大学 潜在的なサイバー損失の規模を推定する手法についてのテクニカルレポート at 2020.12.14

こんにちは、丸山満彦です。

カーネギーメロン大学 潜在的なサイバー損失の規模を推定する手法についてのテクニカルレポートを2020.12.14に公開していますね。

そんなに目新しいわけでは無いように感じましたが、一定の整理がされているので紹介しておきます。

● Carnegie Mellon University - Software Engineering Institute

・2020.12.14 Loss Magnitude Estimation in Support of Business Impact Analysis

 

CISA  Office of the Chief Economist の事業影響分析(BIA) の手法を改良しましたとなっていますね。。。

 

---

Abstract

This report describes the initial results of a research project to develop a transparent estimation method. This method leads to greater confidence in and improved ranges for estimates of potential cyber loss magnitude. The project team refined the Cybersecurity & Infrastructure Security Agency, Office of the Chief Economist (CISA OCE) Business Impact Analysis (BIA) method to support this estimation approach, including identifying factors and forming questions to ask stakeholders to elicit input for the loss magnitude estimation process. The project team also characterized the context for using factor tree analysis to produce an executable model in support of the refined BIA method since it can be applied to future cybersecurity assessments.

---

 

原文	仮訳
Acknowledgments	謝辞
Abstract	概要
1 Introduction	1 はじめに
2 Method Design and Application Overview	2 設計方法と適用の概要
3 Method Design Approach	3 設計方法の考え方
3.1 Factor Tree Method	3.1 因子ツリー法
3.2 Mapping Factors to Loss Magnitude Estimates	3.2 損失規模推定についてのマッピング要因
4 Top-Level Loss Magnitude Estimation Factors	4 損失規模推定係数の概要
4.1 Cost of Consultation	4.1 相談費用
4.2 Cost of Regulatory Fees, Fines, and Penalties	4.2 規制費用、罰金、違約金の費用
Time-Based Factors for Loss of Integrity/Availability	5 完全性・可用性の喪失の時間的要因
5.1 Time to Detect Loss of Integrity/Availability	5.1 完全性・可用性の喪失を検出するまでの時間
5.2 Time to Restore Integrity/Availability Once Loss Detected	5.2 損失検出後に完全性・可用性を回復するまでの時間
6 Cost Rate Factors for Loss of Integrity/Availability	6 完全性・可用性の喪失の費用率要因
6.1 Internal Cost Rate Due to a Loss of Integrity/Availability	6.1 完全性・可用性の喪失による内部費用率
6.2 External Cost Rate Due to a Loss of Integrity/Availability	6.2 完全性・可用性の喪失による外部費用率
6.3 Cost Due to Loss of Confidentiality	6.3 守秘義務の喪失に伴う費用
7 Conclusion	7 結論
Appendix: Potential Loss Magnitude Factor Tree	付録 潜在的な損失の大きさの要因ツリー
References/Bibliography	参考文献/文献目録

 

---

なお、リスクアセスメント手法についてはISO、IECやJISにもありますよね。。。

ISO.IEC 31010:2009 – Risk management – Risk assessment techniques （因みに最新版は、IEC 21010-2019）、JIS Q 31010:2012
リスクマネジメント−リスクアセスメ ント技法によれば下記のようになります。リンクは [wikipedia] です。

#	ISO.IEC 31010:2009 – Risk management – Risk assessment techniques	JIS Q 31010:2012 リスクマネジメント−リスクアセスメ ント技法
1	Brainstorming	ブレーンストーミング
2	Structured or semi-structured interviews	構造化又は半構造化インタビュー
3	Delphi method	デルファイ法
4	Checklist	チェックリスト
5	Preliminary hazard analysis (PHA)	予備的ハザード分析(PHA)
6	Hazard and operability study (HAZOP)	HAZOP スタディーズ
7	Hazard analysis and critical control points (HACCP)	ハザード分析及び必須管理点(HACCP)
8	Toxicity assessment	環境リスクアセスメント
9	Structured What If Technique (SWIFT)	構造化What-if 技法(SWIFT)
10	Scenario analysis	シナリオ分析
11	Business impact analysis	事業影響度分析(BIA)
12	Root cause analysis	根本原因分析(RCA)
13	Failure mode and effects analysis (FMEA)	故障モード・影響解析(FMEA)
14	Fault tree analysis	故障の木解析(FTA)
15	Event tree analysis	事象の木解析(ETA)
16	Cause and consequence analysis	原因・結果分析
17	Cause-and-effect analysis	原因影響分析
18	Layer protection analysis (LOPA)	防護層解析(LOPA)
19	Decision tree	決定木解析
20	Human reliability analysis (HRA)	人間信頼性分析(HRA)
21	Bow tie analysis	蝶ネクタイ分析
22	Reliability centered maintenance	信頼性重視保全(RCM)
23	Sneak circuit analysis	スニーク回路解析(SCA)
24	Markov analysis	マルコフ解析
25	Monte Carlo simulation	モンテカルロシミュレーション
26	Bayesian statistics and Bayes nets	ベイズ統計及ひベイズネット
27	FN curve	FN 曲線
28	Risk index	リスク指標
29	Consequence/probability matrix	リスクマトリックス
30	Cost/benefit analysis	費用/便益分析(CBA)
31	Multi-criteria decision analysis (MCDA)	多基準意思決定分析(MCDA)