防御力の欠落度合いが脆弱性。
一部に勘違いの向きがある。出来ることに対していくつ出来ていないかの度合いを脆弱性と考えるのは間違い。やるべきことをサボってやらなかった度合いではありません。例えば、方法論として成立している管理策が10個あって、その内7個を実施している場合に、脆弱性評価を10分の3とするのは定量化手法としては理解できても、脆弱性が0.3であるかどうか依然不明な訳です。
努力賞の視点では不足。方法論の有無に関わらず、防御できなければ脆弱であるとするのです。そんなことは誰でも承知しているが、脆弱性の度合いを客観的に把握する方法論がありません。
脆弱性の議論には渋滞対策の議論に通じるものがあります。もしくは転移する癌細胞を追い掛け回すようなところです。問題(脅威)は一つの現象であって、本質的な問題に突き当たっていない場合です。
問題(脅威・リスクの現象)に対して対策を整理してみる。既知の対策、未知の対策、また採用した対策、採用していない対策に分類し、次にそれぞれの対策の有効性を評価してみる。
と、既に自己矛盾を来たしていることに気づく。
「脆弱性とは管理策の有効性の欠落の度合いを言う」のかな?。言葉としては間違っていないかもしれませんが方法論的には単に裏返しの表現をしたに過ぎません。「Aを知るにはBを知ることが必要だけど、Bを知るにはAを知る必要がある」と言っているようなもの。自己矛盾でしょう。
.*.
実績から方法論の有効性あるいは脆弱性を評価する発想もあります。このやり方で今までインシデントは発生していない。だから方法論として有効。脆弱性もない。如何?サンプルの規模とインシデントの把握の程度に問題が残ります。
.*.
方法論の故障率も検討する必要があります。既知の管理策の有効性の一部を構成する概念ですが、管理策の中に人が介在する場合はヒューマンエラーを評価する必要があるし、機械化した場合は機械の故障率を評価する必要があります。エラーも故障も無く機能しても100%食い止めることができるわけではないことは明らかです。その部分が方法論の有効性に相当します。
.*.
脆弱性は防御率の逆数でアナログ的に捉える前提がありますが、一つ一つの事象では脆弱性に付け込まれるか否か、1か0かです。ハッカー集団が狙いを付けたら現時点では防ぎようがありません。未知の管理策が求められます。
.*.
構造的には、1つの資産に複数の脅威、1つの脅威に対して、複数の管理策(既知・未知、実施済み・見実施)があり、管理策はそれぞれの有効性(方法論として確立しているか=業界に定着した方法論か、及び方法論の故障率を考慮)がある。
未知の方法論に基づく管理策とは? 業界としての共通の課題認識を持つものを未知の方法論として予約しておく。
.*.
発想を変えて脆弱性を見てみる。
インシデント発生時に説明責任が付くであろう業界の常識レベルを中央値として評価を開始する。
- 中央値:1-4段階なら2.5となる。
- 業界レベル以上なら2とする。
- 業界レベル以下なら3とする。
- 対策未着手または説明責任が付かないレベルなら脆弱性最大のレベル4とする。
- 体制・経費とも業界最高でリーダー的レベルなら脆弱性最小のレベル1とする。
このアプローチは簡便で良いが、世間知らずが評価すると何でもレベル1になってしまう欠陥がある。複数の外部コンサルタントや助言サービスを受けることで一人合点を回避できる。
.*.
