脆弱性の度合いを定量化するのは大変難しい。
脆弱性は、脅威の発生に対して防御できる割合です。努力する割合ではありません。最大限の努力をしたら脆弱性が最小になる訳ではありません。脅威に対して有効な防御策があれば脆弱性は最小に出来ますが、有効な手段が存在しない場合は最小化は出来ません。
通常、脅威に対する防御手段は複数存在します。似たようなアプローチもあれば、全く違ったアプローチを行うものもあります。そのような施策案を仮に20件並べて、その内の何件(何%)を実施しているかどうかで、脆弱性の程度を測ることには何の合理性もありません。
各施策案の有効性を理解していることが必要です。施策案Aの有効性が仮に50%として、その残りの50%に対する有効性を持った施策案が追加されて始めて複数の施策による脆弱性改善が進みます。この作業は想像以上です。
具体的には脅威の構造化を行い、各構成要素に対する施策が当たっているかどうか診ることは必要になります。脆弱性評価を機械化をしようとすると脅威の構造化理解は手順としては欠かせません。
普通は、多くの場合は、感性評価で済ませます。担当者と管理職と2,3名の感性評価を行い、最悪の値を採用しておいても一定の合理性は得られる筈です。
.*.