2018/11/02 第19回セキュリティ共有勉強会の発表。 決済権者に交渉するためには、金に換算しないと重要さが伝わらない。 では、リスクを金に換算するためにはどうしたらいいのか？

1. インシデント被害額推定
ってどうやるの？
奥山歩 @a_okusan

2. 奥山 歩
セキュリティエバンジェリスト。
セキュリティ製品のサポートがお仕事。
猫好き。細胞生物学好き。教育好き。
セキュリティ好き。暗号通貨好き。
あと、お酒大好き。
@a_okusan

3. 決済権者との闘い

4. なぜ争いが起きるのか？
なぜ理解に齟齬があるのか？
理解に齟齬があるから
自分の専門以外はわからない

5. 共通言語は「金」

6. 専門家として
• リスクアセスメントが必要。
• リスク特定、リスク分析、リスク評価を網羅するプロセス全体
• 被害を検算し、対策費用と天 にかけ、
対策を進言する

7. それで計算ってどうやるの？

8. テーマ
被害額の想定ってどうやるの？
結論
地道に情報を蓄積する

9. まずはリスクの洗い出し

10. 確率論的リスク評価(PRA)
•問題が生じる可能性があるか
•どの程度の可能性があるか
•結果どうなるか
第15版CISMレビューマニュアルより

11. 頻度 × 影響
サービスの利用不可
市場シェア/利益の損失または増加
規制の増加
競合性の増減
罰則、など

12. 年間損失予想額
• EF (Exposure Factor) = 特定の脅威によって起こる資産損失の割合
• AV (Asset Value) = 資産価値
• SLE ( Single Loss Expectancy) = 単一損失予測 = AV × EF
• ARO (Annualized Rate of Occurrence) = 1年間に脅威が起こる頻度
• ALE ( Annualized Loss Expectancy) = 年次損失予測 = SLE × ARO
第15版CISMレビューマニュアルより

13. 資産価値
• 会社にとっての重要性
• 変動するものも多い
• 知的財産など

14. それで計算ってどうやるの？

15. •金での換算を諦める
•意地でも換算する

16. 換算を諦める（準定量的分析）
リスク = 影響度 x 発生率
1 軽微 軽微な影響
2 非重要 事業のごく一部のみ影響
3 重要 組織ブランドに関わる影響
4 深刻 外部報告が必要な事態
5 壊滅的 組織の破綻・事業縮小

17. 意地でも換算する
• 購入価格・レンタル価格
• 裁判事例（著作権など）
• 想定損害賠償額算定式
https://www.jnsa.org/result/incident/data/
2017incident_survey_sokuhou_attachment_ver1.0.pdf

18. 意地でも換算する
• 自社の所有する資産の種類は偏る
• 計算を蓄積していけば、楽になる

19. テーマ
被害額の想定ってどうやるの？
結論
地道に情報を蓄積する

20. 銀の銃弾はないので
用途に応じて銃弾を使い分けよう

21. ご静聴
ありがとうございました