web-dev-qa-db-ja.com

確率が低く影響が大きいリスクにどのように対処しますか?

IT部門で頭を悩ませているという戦略的な質問がありますが、これは本質的には次のようになります。

  • 私たちのシステムに対する攻撃には、見逃したり適切に対処しないと大量の損害を引き起こす可能性がある種類の攻撃があります。より正確には、これは会社の運営に大きな打撃を与え、ビジネス全体を台無しにする可能性があります。

  • このような攻撃の可能性は非常に低いです。それにもかかわらず、フィールドの他の会社では定期的に(まれに)発生します。それは私たちのシステムにはまだ起こっていません。

  • 攻撃を緩和するには、別の従業員を雇う必要がありますand毎年、予算の8%(少なくとも)を追加で費やします。どちらも重要な投資です。

  • 通常、発生の確率に予想される損傷を掛けてそのような問題を評価しますが、この場合、ゼロになりがちな数値に無限大になりがちな数値を掛けようとすると、まとまりのない答えが得られます。

  • 同じように、私たちのチームは2つの陣営に分かれています。攻撃は起こらず、時間とお金の投資が無駄になると考えています。他のキャンプは攻撃が明日来ると考えています。しかし、誰もが同意するのは、中途半端な対策はリソースの浪費であり、攻撃から保護されないということです。私たちはオールインするか、まったく気にしないかのどちらかです。

チームリーダーとして、私は両方の意見にメリットがあると思います。このような攻撃に遭遇することなく、今後20年間運用できる可能性があり、今日(通常のように突然)発生する可能性があります。しかし、私はまだどちらの方法に進むかを決定する必要があります。

その点で、そのようなパズルに遭遇したかどうか、およびそれらに対処するための業界のアプローチは何ですか?.

risk-managementrisk-analysis
88
David Bryant

現在は通常、発生の確率に予想される損傷を掛けてそのような問題を測定しましたが、この場合、ゼロになりがちな数値に無限大になりがちな数値を掛けて、まとまりのある答えを導き出そうとして失われます。

残念ながら、これはこの場合に行う必要があることです。しかし、私はこの計算が実際にそうであるほど難しいとは思いません。

リスクは、最初に同じセキュリティ脅威に直面し、必要な予防策を講じない企業の数を推定することによって推定できます。次に、ニュースレポートをざっと調べて、毎年影響を受ける企業の数を確認します(さらに、混乱が公になるのを防ぐのに成功した企業の数を推測します)。 2番目の数値を最初の数値で割ると、リスクの割合がわかります。

あなたのダメージは無限に向かう傾向はありません。 「無限の損傷」に最も近いイベントは、宇宙の時間/空間の連続体全体が崩壊することです(それがイベントでもあります ドルで損傷を定量化するためにフェルミ推定を行うことができます =、退屈で天体物理学に興味がある場合)。あなたが現実的に引き起こすことができるかもしれない最も高い損害はあなたの会社を破産させることです。他の人への損害も考慮すると、さらに被害が大きくなる可能性があります。しかし、あなたの会社が破産した場合、それらの負債を支払うことはできません。そのため、会社の純資産を予想される損害の上限として使用できます。

74
Philipp

この応答は理論ではなく、経験からのものであるという警告。

  1. 悪い出来事が他人に与える影響に関して倫理的な結果はありますか?ユーザーに害を与えますか?また、攻撃によって台無しにされた場合に怪我をする可能性のある会社の従業員も考慮してください。その場合、緩和する倫理的義務があると感じるかもしれません。

  2. 攻撃を軽減する場合、会社はこれをセールスポイントまたは競争上の優位性として使用できますか?

  3. 損害が会社の評判に影響を与える場合、保険は機能しない可能性があります。保険は本当にあなたがこれから回復するのを助けることはできません。損傷の形態によって異なりますが、おそらく保険が適切な選択肢です。

  4. 予想される金銭的結果を最大化することは、利害関係の少ない問題を除いて、必ずしも意思決定を行うための良い方法ではありません。 99%の確率で会社が破産する可能性がありますが、1%の確率で正味資産に200を掛けるとします。「予想どおり」に会社の価値は2倍になりますが、ほぼ間違いなく失業します。

  5. 期待値の代わりに、おそらく企業の長期的な存続などの目標を検討してください。たとえば、2つのオプション(緩和するかしないか)の下で、会社がどのくらいの期間存在することを期待しますか? (a)会社が苦労しており、8%の予算増で倒産する可能性が高い場合は、問題を無視して幸運を祈る以外に選択肢はありません。それがこの期間を生き延びて繁栄したら、その時点で投資できます。 (b)会社がうまくいっていれば、安全にプレイできる余裕があるようです。 (c)途中の場合、この観点からの判断が難しくなる。

  6. 上層部がそのような意思決定を彼らの入力や制御なしで行うことを望んでいる可能性は低いようです...

56
usul

チームがこの攻撃ベクトルについて知っているという事実を考慮する必要があります。

脆弱性について単に知っているで攻撃の実行が容易になる場合は、思ったよりも大きな問題が発生している可能性があります。 (たとえば、チームにとって既知の見つけにくいバックドア。)

その場合、自分のチームメンバーが心配する対戦相手のリストの上位にあり、攻撃されている可能性は、チームが知らない場合よりもはるかに高くなる可能性があります。

従業員は不満を感じることができます。それを考慮してください。

25
nerdfever.com

あなたはそのリスクをカバーする保険を取得します。確率が非常に低いため、評価するのが難しいため、個別の保険を作成する代わりに、より一般的なリスクをカバーする保険にそれを組み込んでみてください。基本的には、すでに持っている、またはおそらく必要とする保険がカバーする可能性が最も高いものを確認し、カバーしていない場合は、カバーされる範囲で追加の取引について交渉してみます。

保険とは、低い要約リスク(イベントの確率とイベントを軽減する金銭的コストの確率)を高い要約リスク(保険の金銭コストの1倍の確率)に変換する一方で、高いオペレーショナルリスク(イベントの確率とすべての最終的な損害の確率)を変換することですビジネスの発生の結果)より低いもの(保険金)になります。

これは、緩和なしの損害が軽減のコストよりも高い場合、つまり、軽減なしの損害が継続的なビジネスを決定的に危険にさらす場合に、保険の販売者と購入者の両方にのみ意味があります。

16
user182846

あなたは正しいアプローチを選択しました:

今では通常、発生の確率に予想される損傷を掛けて、そのような問題を測定しました...

そしてその限界に直面しました:

ゼロになりがちな数に無限大になりがちな数を掛けようとしても失われる

非常に低い発生率で、許容できないリスク(会社の運営に大きな打撃を与え、ビジネス全体を台無しにする可能性があります)に直面していると思います。

私の意見では、あなたは戦略的決定の前にいます。チームリーダーとしてのあなたの役割は、その要素と一緒に問題を上司に伝えることです。組織がその攻撃を受けた場合に何が起こるか、近年攻撃がいくつ見られたか、その攻撃の可能な軽減策は何か、彼らの費用は何ですか。重要なリスクと重要なコストに関しては、通常、決定は主任の上司に属します。

13
Serge Ballesta

最初のステップは、適切な定量的リスク分析を行うことです。他の答えはすでにここで指針を提供しています。私は特に、素晴らしい本である "サイバーセキュリティリスクのあらゆるものを測定する方法" の言及をサポートしたいと思います。また、定量的な方法として [〜#〜] fair [〜#〜] に注目することもできます。

ただし、リスク管理は、リスク分析で開始または終了するものではありません。特に「ブラックスワン」リスクについては、他の要因が影響します。これらは、定義されたリスク選好度およびリスク基準でカバーします。

あなたの会社はそのリスク選好度を定義する必要があります。これは、それがリスクとどのように関連するかを示します(保守的であり、リスクを回避することが望ましく、より積極的であることが望ましい)リスクを受け入れるなど)。これにより、特定の影響を超えるリスクは、好意または頻度が低い場合でも許容できないと定義できます。通常、会社を確実に破壊するリスクはこのカテゴリに分類されます。

これらは、可能であれば、保険を通じて緩和するのに適した候補です。 「まれにしか発生しないが壊滅的な影響」は保険の本拠地です。

必要な2番目の定義は、リスク基準です。これは、倫理上の理由、法的責任の理由などにより、受け入れたくないリスクの種類を定義します。たとえば、定量化が許容範囲内にある場合でも、人命に対するリスクは許容できないと定義できます。または、定量化されたリスク値に関係なく、Cレベルの幹部が刑務所に入る可能性があることは容認できません。

リスク分析、リスク選好度、リスク基準の3つが完了すると、実用的な結果が得られます。あなたのブラックスワンは、食欲や基準の定義では受け入れられないか、そうでなければ、他のリスクと同じように扱われるべき別のリスクです。分析は低頻度で適切に見積もることができないため、特に不安定になる可能性があります。この場合、a)値の範囲とb)見積りの信頼性を考慮に入れることができる適切な定量的方法が機能し、役立つでしょう。 。 (* 下記参照)

たとえば、私が通常行うリスク分析では、モンテカルロ法を採用しており、私の出力の1つはすべてのシナリオ結果の散布図です。黒い白鳥は、個別の(そしてまれな)外れ値として表示され、私はそれらを特定して、コンテキストでそれらを見ることができます。

最後に、特に影響が大きいリスクの場合、あなたが決定を準備します。適切な権限を持つ誰かがあなたの情報に基づいて決定を行うので、あなたの義務は、意思決定に重要ではない情報でそれらを過負荷にすることなく、全体像を彼らに与えることです。

リスクの扱いについてもう1つ説明します。あなたは分析を超えて見て、可能な治療オプションをチェックするかもしれません。わずかな労力で入力値を劇的に変化させる処理を特定できる場合、キャンプを互いに近づける目的でそれを実行する価値は十分にあります。たとえば、壊滅的な会社の破壊から深刻であるが存続可能なものへの影響を軽減する措置がある場合、ブラックスワンを通常の高影響リスクに変えることができます。

(*)

多くの人が適切な定量的リスク分析を見たことがないので、探しているのは、1つの値ではなく範囲と形状パラメーターを入力とするものです。 PERTは1つの方法です。合理的に最も低い可能性のある値、合理的に最も可能性の高い値、最も可能性の高い値を特定します。楽観的、現実的、悲観的とも呼ばれます。別のアプローチは、曲線を形成する信頼値を明示的に指定することです。ベータ分布では、これはラムダ値になります。

例として Fair- を見てください。私はFAIRメソッドがかなり好きですが、他にもあります。これらのよりトリッキーなリスクシナリオを解決するために、適切な定量的(統計と呼ばれることもある)アプローチを受け入れないでください。

11
Tom

tl; dr:セキュリティの脆弱性に関しては、十分に高い影響は、確率がどれほど低くても軽減する必要があることを意味します。さらに、その確率は静的ではなく、常に、おそらく根本的に、増加しています。

The Black Swan:The Impact of the Highly Improbableby Nassim Talebがその例のほとんどを金融から引き出していますが、あなたが直面する問題についての本です

  • イベントはまれであり、決して発生しない可能性があります
  • イベントが発生した場合、影響は深刻です

この本は、「影響による確率の乗算」などの単純で一般的なリスク評価ツールが、このような極端なケースによってもたらされるリスクの評価に不適切であり、リスクの過小評価につながる理由について、広範な哲学的議論を提示します。

タレブは、負の影響が大きいイベントへの曝露を最小限に抑えることを奨励しています。たとえイベントの確率が非常に小さいとしても、正しい動きは潜在的な大災害を軽減しています。

私はタレブのアイデアが好きです。彼がサイバーセキュリティについても言及し、企業がこの本の補遺でサイバーリスクをどのように過小評価していたかについても触れたと​​思いますが、ここでは、少なくともセキュリティに少しでも関心を持っている人としての私の見解を示します。

企業が実際に積極的に悪用されている脅威に対して脆弱である場合、その攻撃が組織に投入される可能性は時間とともに幾何学的に増大します。攻撃はなくなるわけではなく、より洗練され、より簡単に検出および自動化できるようになります。今日、スマートクラッカーが実際に考えて操作する必要があるのは、ボットによって自動的に検出されて悪用されることからわずか数年です。その技術的飛躍は一夜にして起こり、翌日には発生します。

これはすべて、アプリケーションでのいくつかのユニークなゼロデイとは異なり、状況での攻撃の確率は一定の数ではなく、増加しているということです。さらに、その確率は一定の速度で成長するものではなく、急速に飛躍する可能性があります。

7
Will Barnwell

ここに取引があります:

保護する独自のデータしかない場合は、好きなように操作しますが、システムに他人のデータが侵害されている可能性がある場合は、次のいずれかを実行します。

  1. 業界標準または推奨事項でデータを保護します。
  2. 攻撃者がシステムを攻撃しないことを確信することにより、クライアント/顧客/製品が信頼するデータを保護していることをクライアント/顧客/製品に通知します。

これにより、単純な結論に到達します。クライアント/顧客/製品がクライアント/顧客/製品であるのをやめさせることなく、データを保護する方法をクライアント/顧客/製品に伝えることができるような方法でシステムを保護します。

それより少なく、あなたはあなたの利害関係者にだまされています(これは驚きかもしれませんが、そうです、あなたが保存しているクライアント/顧客/製品はあなたのビジネスの利害関係者です-通常の人々でさえ-特にそれが来るときそれらの利害関係者が発生することを望まない可能性のある部外者がそのデータを利用できるようにし、データが適切に保護されていることを確認する責任がある場合は、提出時にデータを保護するために半分の手段を使用していることを伝えないでください)。

他のすべてに加えて:攻撃のターゲットになる可能性を計算する簡単な式に目がくらむことはありません。攻撃の標的は、攻撃を試みるために利用可能なすべての企業からランダムに選択されるわけではありません(単純な統計分析では、このリストを使用して、攻撃を受ける可能性の統計を作成します)。攻撃に対して脆弱な企業のリストから。

これは、ターゲットになる可能性が非常に低いため、自分を保護する必要がないという幻想を生み出す可能性がありますが、実際には、脆弱なターゲットのリスクグループに身を置いているだけで、実際のチャンスを知ることはできません。企業は防御のレベルを正確に宣伝していないため(明確な理由により)、ターゲットであるということです。この概念を理解するのが難しい場合は、次のシナリオを検討してください。100社のうち、毎年1社が攻撃に成功しています。あなたには知られていないが、これらの企業の90社は攻撃に対する強力な保護を使用しており、攻撃者は攻撃を試みた後、彼らを放置している。成功した攻撃のほとんどすべてが、半分の対策を使用している残りの10社に対するものです。このシーンの初心者であるあなたは統計を見て、システムを保護する必要がないと判断します。なぜなら、会社が攻撃の標的になる可能性は1/100しかないからです。強力な保護を使用しており、半分のメジャーを使用している場合は11分の1です。リスクの内部計算は完全にゴミになります。

TLDR;十分な情報がないため、システムを保護する必要があるかどうかについて統計分析を適用することはできません。関係者にデータを保護するために何をしているのかを関係者に知らせて(つまり、情報を非表示にせずに関係者に)、他のサービスプロバイダーに切り替えないようにしてください。

3
pie
  • 起こり得る損害については、だれがどのようにして責任を問われる可能性があるかについて、資格のある弁護士に相談してください。営利団体としての会社へのリスクは会社の純資産で制限される可能性がありますが、CEOまたは従業員でさえ、民事上の個人的責任を負う可能性があるシナリオがいくつかありますまたは刑事問題を知っています。 (もちろん、あなたの法域によって異なります。たとえば、利益を増やすためにプライバシールールに違反することを考えています。)
  • ITスタッフの数とその役割に応じて、別の従業員を雇用すると、部門の バス係数 が大幅に増加する可能性があります。あなたは賢明に公開フォーラムで何をしているのか説明しませんでしたが、別の管理者がいると、より多くの手順に2人ルールを導入したり、計画的または計画外の欠席に対処したりできる場合があります。したがって、このリスクに対処するために8%プラス1人の従業員のコストがかかると言うのは正しくない場合があります。8%プラス1人の従業員の場合はのようになります。これおよび他の多くのリスクから保護することができます。
3
o.m.

安全関連の作業にかなりの時間を費やしたエンジニアは、おそらく [〜#〜] fmea [〜#〜] を調べたいと思うでしょう。 FMEAは、あなたが説明する「乗算」法を適用しますが、乗算を行う前に、効果/確率/検出率の範囲をグループ化します。これらの範囲は明確に定義されているため、これらの確率についてある程度の知識があると仮定すると、システムから信頼性の高いRPNスコアを取得できます。

もちろん、あなたはまだお金を使うことを正当化する必要があります!しかし、少なくともあなたは自分のリスクを正式に特定しました。

2
Graham

まったく違う答えをお教えします。

私はあなたがこれを完全に間違って評価していると思います。かなり具体的な(そして非常に大きな)金銭的コストとFTEを管理する必要がある1つのリスク/脆弱性をどのように思いついたかはわかりませんが、これは問題を「解決する」ための特定のツールで販売されているようです。

8%のコストがツールのライセンスのコストを知っていることによるものである場合、またはFTEがツールを管理するために必要な場合(例:「私たちのEDR担当者」)...つまり、noツールアウトそこでは、それ自体ですべてのリスクを解決します。

高額な費用が足を引っ張っている場合は、リスクを正当化するために時間を費やして費用を要求するのではなく、根本的な原因とより少ない費用でそれを解決する方法を調べてみませんか。 EDR、DLP ...oneソリューションoneコスト。

1
Angelo Schilling

業界は、「リスク分析投資」の決定のほとんどに「定量分析」を用いてアプローチします。以下は、この分析に取り組むための標準的な方法です。次の表は、この意思決定プロセスで使用されるマトリックスを示しています。

enter image description here

以下は、これらの数式を適用する方法を示すための単なる例です:

あなたの会社が携帯電話をオンラインで販売していて、多くのサービス拒否(DoS)攻撃を受けているとします。あなたの会社は週に平均30,000ドルの利益を上げており、典型的なDoS攻撃は売上を50%低下させます。年間平均7回のDoS攻撃を受けています。 DoS緩和サービスは、月額15,000ドルのサブスクリプション料金で利用できます。あなたはこのサービスをテストし、攻撃を軽減すると信じています。問題は、このサービスを利用してリスクを軽減する価値があるのか​​、それともリスクを受け入れて何もしないのかということです。

分析してみましょう。

AV = 40,000ドル

EF = 50%

SLE = AV * EF = $ 20,000

ARO = 7

ALE = SLE * ARO = 140,000ドル

TCO(1年)= DDoSサブスクリプション* 12か月= $ 180,000

ROI(1年)= ALE – TCO =-40,000ドル(マイナス)

ROIがマイナス(年間40,000ドル)であるため、リスク軽減(この場合はAnti DDoSサブスクリプション)に投資せず、リスクを受け入れるという決定についての事実を推奨できます。

注:実際のシナリオでは、他の値の影響も含めてこれを評価する必要がある場合があります(たとえば、ブランドの評判の低下など)。

参照:https://resources.infosecinstitute.com/quantitative-risk-分析/#gref

したがって、あなたの場合、AV、EF、AROなどを特定できれば、事実を使って(少なくともおよそ)決定をサポートすることができます。

非常に低い確率(フロアリスクのAROが0.001であるとしましょう)であっても、影響は非常に高く($ 10,000,000)、ALEはかなり高くなります。軽減制御のコストがこれより少ない場合は、ファクトを使用して軽減制御の展開を続行できます。

1
Sayan