こんにちは。インフラストラクチャーディビジョンでプレイングマネージャーをしている奥村(@arumuko) です。 私の所属しているチームが取り組んでいるセキュリティ施策の価値の定量化について紹介します。 価値の定量化に取り組んだ背景 価値の定量化について 価値の定量化方法の概要 架空のシステムで計算してみる フォルトツリー解析によってインシデントが発生する要因を解析する フォルトツリー解析によって洗い出された基本事象の発生確率を検討する インシデント(トップ事象)の発生確率を算出する システムでのALEを算出する 補足1:資産価値について 補足2:EFについて ALEの金額を元に各基本事象の価値を決定する 基本事象の発生を防ぐセキュリティ強化施策を検討する セキュリティ強化施策の価値を算出する 価値の定量化による収穫 課題 事象の追加や再計算がしんどい 随時事象の網羅率を上げる必要がある
![セキュリティ施策の価値の定量化を頑張った話 - Adwaysエンジニアブログ](https://cdn-ak-scissors.b.st-hatena.com/image/square/3deb79cd0ff7962a5ba15db54f81b5fbac585440/height=288;version=1;width=512/https%3A%2F%2Fcdn-ak.f.st-hatena.com%2Fimages%2Ffotolife%2FA%2FAdwaysEngineerBlog%2F20220527%2F20220527141816.png)