脆弱性レベル1に対する追加の管理策とは?
時々、聞く話:
リスクの軽減は脆弱性に対して手を打つことだが、脆弱性1の場合は、既に十分手を尽くしており、管理策の追加は出来ないと言う側面があるから、脆弱性レベル1を要素とするリスク値は受容するケースが多い。受容だから追加の管理策は不要。
しかし、これは机上論。静的にものを捉えた結果でもある。
脆弱性レベル1とは、次から次に管理策を取り込み、貪欲に改善を進めている状態で、コストも掛かる。十分な脅威と受容できないリスク値が残っている限り手を休めてはいけない状態のこと。
受容=現状維持と間違えないように、継続的改善を求める姿勢を明確にすることがここでは肝心です。
「重要資産の脆弱性レベル1の内容が前年と同じなら疑いを持つべきです。」
.*.
CMMに明るい人は理解は容易なのかもしれない。
.*.