セキュリティ対策 - CISSP勉強メモ

セキュリティ対策の選択肢

• リスクの軽減
  • 環境を変える
  • 障壁を設ける
  • 手順を改善する
  • リスクを早期に発見する
  • 緊急時対応
• リスクの移転
  • アウトソーシング
  • 保険
• リスクの受容
  • リスクを受け入れ、問題が起こった場合の経費を負担する
• リスクの回避
  • 活動を中止し、リスクを引き起こす状況をサポートをやめる

リスクの受容

保護対策とリスク受容のトレードオフを考慮する

• コストの決定
  • リスクを下げるために必要な支出額
• 痛みの決定
  • 進行中のセキュリティインシデントに対処する能力
• 注目度の許容範囲を決定すること
  • 会社の評判に対する潜在的影響
• 常に予測された決定でなくてはならない
  • それと知らずにリスクを受容することがあってはならない

費用対効果

• 選択
• 購入（資材及びメカニズム）
• 構築と配置
• 慣行の変更
• 負担の大きいオペレーション
• 保守、テスト

コスト

• コストは潜在的損害を正当化できなくてはならず、コストは利益を絶対に超過してはならない
• (防衛策前のALE) － (防衛策後のALE) － (防衛策の年間経費) ＝ (防衛策の価値)

例：
(防衛策前のALE,$10,000) － (防衛策後のALE,$1,000) － (防衛策の年間経費,$500) ＝ (防衛策の価値,$8,500)

---

▼戻る