Day 74 実践における発生確率計算(パート2:ケーススタディと取締役会対応の回答)　CALCULATING LIKELIHOOD IN PRACTICE (PART 2: CASE STUDY & BOARD-READY ANSWERS)

サイバー判断力によるヒューマン・ハードニング

» 2026/01/11

実践における発生確率計算(パート2:ケーススタディと取締役会対応の回答)

前提知識: 脅威モデリングの基礎知識(必要に応じて Day 68 からお読みください)

昨日（Day 73）、私たちは土台を固めました。
NIST の5段階システム、OWASP の8要因モデル、そして、すべての発生確率計算の前提を塗り替えてしまった AIの乗数効果。

サイバー攻撃は39秒に1回起きている。
ロンドンの雨よりも頻繁で、
北米のフライトキャンセルよりも多い。

ここまでは、事実です。数字が、もう十分すぎるほど語ってくれました。

今日は、ここからです。
理論を、現実の判断に落とします。

これらの数字を、私たちは 実際にどう計算するのか。
そして、その数字を携えて、取締役会の前でどう説明し、どう守るのか。

SQLインジェクションケーススタディ

― 同じ脆弱性、まったく違う世界 ―

では、学んだことを使ってみましょう。題材は、あまりにも古典的な脆弱性、SQLインジェクションです。

ポイントはここです。

脆弱性そのものではなく、「文脈」が発生確率を決める。

まずは、ひとつ目のシナリオから。

シナリオ1：公開ECサイトのチェックアウト

脅威エージェント要因

• スキルレベル：3
  スクリプトキディでも SQLmap をダウンロードできます。しかも今は、AIがそのハードルをさらに下げました。
• 動機：9
  クレジットカード情報は、即・現金。組織犯罪が好まない理由はありません。
• 機会：9
  公開サイト。認証不要。誰でも、いつでも試せます。
• 規模／リソース：5
  組織犯罪シンジケートが、実際に積極的に狙ってくる規模感です。

平均：6.5

脆弱性要因

• 発見の容易さ：9
  自動スキャナーが、常時SQLインジェクションを探しています。
• 悪用の容易さ：9
  SQLmapは無料。ほぼワンクリック。
• 認知度：9
  SQLインジェクションは、何十年も OWASP Top 10 に載り続けています。
• 侵入検知：7
  多くのサイトにWAFはあります。でも、常時・高度な監視がされているとは限りません。

平均：8.5

最終発生確率　
NIST アライメント：High（80-95）頻繁に発生すると予想される

現実チェック

覚えていますか。1日に2,200件以上の攻撃 という数字を。

私たちのチェックアウトページは、今この瞬間も 探索されています。

これは「もし起きるか」の話ではありません。「いつ、そしてどれくらいの頻度で起きるか」 の問題です。ここで、計算は驚くほど単純になります。

• 動機：9
• 機会：9
• 先例：9

この3つがそろった時点で、結論は自動的に HIGH です。

迷う余地はありません。

データソース:現在の脅威インテリジェンス(2025-2026)を用いたOWASPリスク評価方法論で計算

シナリオ2：内部 VPN＋MFA ツール

― 同じ SQL インジェクション、まったく違う現実 ―

では、同じ SQL インジェクションを、内部ネットワーク＋VPN＋MFA という文脈に置いてみましょう。

脅威エージェント要因

• スキルレベル：6
  内部システムの構成やアーキテクチャを理解している必要があります。
• 動機：5
  想定されるのは、企業スパイ活動、あるいは内部脅威。攻撃者の母集団は、明確に狭まります。
• 機会：2
  まず VPN と MFA を突破しなければならない。これは、非常に大きな障壁です。
• 規模／リソース：4
  実行できるのは、洗練された攻撃者、もしくは内部者に限られます。

平均：4.25

脆弱性要因

• 発見の容易さ：3
  そもそも内部アクセスがなければ、試すことすらできません。
• 悪用の容易さ：9
  ただし一度見つかってしまえば、使われるのは同じ SQL インジェクション。ツールも同じ SQLmap です。
• 認知度：2
  公に知られておらず、CVE データベースにも載っていません。
• 侵入検知：4
  内部監視は存在する可能性がありますが、常時・高度とは限りません。

平均：4.5

最終発生確率　
NIST アライメント：Moderate（21-79）いつか発生する可能性がある

現実チェック

依然として、脆弱性は存在します。しかし、ここで重要なのは前提条件です。

攻撃者はすでに境界防御（VPN＋MFA）を突破している必要があります。

これは、第2段階の攻撃。頻度は低く、要求されるスキルは高い。

機会：2

この時点で、OWASP の優先ルールは トリガーされません。ここで、違いは決定的になります。

同じ SQL インジェクション。
同じ悪用手法。
同じツール。

それでも発生確率は、文脈によってここまで変わる。

これが、「脆弱性そのもの」ではなく、文脈がリスクを決める という意味です。

次に見えてくる問いは、自然にひとつです。

では、取締役会が本当に知りたいのは、どちらの世界なのか。

データソース:現在の脅威インテリジェンス(2025-2026)を用いたOWASPリスク評価方法論で計算

重要な洞察：文脈がすべて

両方のシステムは、同一の SQL インジェクション脆弱性 を持っています。

それでも、発生確率は、ほぼ2倍違う。

なぜでしょうか。

• 公開システム
  1日 6億件規模 の攻撃に露出し、自動スキャンが常時走り、攻撃に必要なスキル障壁は極めて低い。
• 内部システム
  VPN や MFA を含む 複数層の防御 に守られ、攻撃できるのは 洗練された攻撃者、あるいは内部者のみ。

この違いは、偶然ではありません。これは、Ronald V. Clarke（1995） が示した 犯罪機会論の基本原理を、そのまま検証しています。

「犯罪は、動機のある犯罪者が、有能な守護者のいない状況で、適切な標的に出会ったときに発生する」

整理してみましょう。

• 同じ脆弱性 -- 標的の適合性
• 異なる露出 -- 守護者の有無
• 結果として、根本的に異なる発生確率

だからこそ、「SQLインジェクションにパッチを当てた」だけでは不十分なのです。

それがどこにあるのか は、何であるのか と同じくらい重要です。

私たちを侵害に導く、よくある間違い

Day 70-74 を通じて見えてきたのは、「中程度」を、一気に「壊滅的」に変えてしまう共通のエラーでした。

次は、それをはっきり言語化します。ここから先は、多くの組織が同じところで転ぶ理由です。

間違い	なぜ間違っているか	Day 70-74の教訓
すべてのSQLインジェクションを同じに扱う	文脈が発生確率を決定--公開 vs 内部 = 2倍の差	Clarke (1995); 今日の例
AIの影響を無視する	昨日の「専門家のみ」= 今日の「スクリプトキディ」--2019年の評価は時代遅れ	Charfeddine et al. (2024); Day 73 AI乗数
静的な評価	脅威環境は進化する;2023年の「低」は2026年の「高」	NIST SP 800-30; AI研究
時代遅れの脅威インテリジェンスを使用	脅威環境は四半期ごとに進化;昨日の「中」は今日の「重大」	NIST SP 800-30; IRPフレームワーク(Day 72)
検知=抑止を忘れる	攻撃者は監視された標的を避ける--私たちのSOCが機会要因を変える	Clarke (1995); Day 71守護者
業界侵害を無視する	競合が攻撃されたら、私たちが次--先例がすべてを上書きする	Cohen & Felson (1979); Day 72 IRP
スキル要件を仮定する	AIがスキル障壁を除去--すべての脅威アクターがアップグレードされた	Day 70-74; AI研究

最大の間違いは、ここです。このフレームワークを使わず、勘に頼ること。

侵害が起きた後に、「低リスクだと思っていました」
―これは、弁明になりません。

一方で、こう言えるなら話は変わります。

「当時の脅威環境を考慮し、NIST およびOWASP の方法論に基づいて評価を行っていました」

これは、説明責任として成立します。

違いは、結果ではありません。

判断のプロセスです。

セキュリティは、「当たったか、外れたか」を問われる世界ではありません。
なぜその判断をしたのかを、説明できるかが問われます。

だからこそ、勘ではなく、フレームワークで判断する。

それが、技術的にも、経営的にも、唯一守れる立場なのです。

評価ワークフロー:MOMから数字へ

Day 70-74 で積み上げてきたすべてが、弁護可能な「発生確率スコア」 にどう流れ込むのか。その全体像が、これです。

ステップ1:MOM分析(Day 70-71)→ 脅威エージェント要因

脅威アクター・プロファイルから、次を引き出します。

• 動機:なぜこれを攻撃するのか?　(金銭:6-9、日和見:1-3)
• 機会:どのくらいアクセス可能か?　(公開:9、VPN:3-5、エアギャップ:1)
• 手段:どんな能力が必要か?　(スクリプトキディ:3、プロ:6、APT:9)

ここでは、まだ「感覚」を捨てなくていい。ただし、言語化する。

ステップ2:IRP分析(Day 72)→ 先例とリソース

次に、脅威インテリジェンスで現実を補正します。

• 意図:これを標的とする活発なキャンペーン?　(動機スコアに追加)
• リソース:脅威アクターの規模は?　(個人:2、犯罪:7、国家:9)
• 先例:業界侵害は?(はいの場合:優先ルールをトリガー)

ステップ3:OWASPの8要因にマッピング→ 0-9のスコア

Day 73の表を使用します。正直に。証拠に基づいて。ここで初めて、「考え」が「数字」に変わります。

ステップ4:AI乗数を適用(Day 73現実チェック)

この攻撃用のAIツールが存在する場合:

• 発見の容易さ:+2ポイント
• 悪用の容易さ:+2ポイント
• スキルレベル:-2ポイント(AIが障壁を下げた)

AIは、例外ではありません。前提条件です。

ステップ5:先例優先をチェック(Day 72インテリジェンス)

IF 動機(9) + 機会(9) + 先例(9)　→ 他のスコアに関係なくHIGH (8-9)

ここで迷わないこと。

ステップ6:最終スコアを計算

• 脅威エージェント要因の平均(4スコア)
• 脆弱性要因の平均(4スコア)

発生確率 = (TA平均 + VF平均) / 2

NISTスケールにマッピング:

• 0-3 → NIST Low
• 3-6 → NIST Moderate
• 6-9 → NIST High/Very High

この時点で、NIST とOWASP の共通言語に翻訳されます。

取締役会での討論― 経営陣の問いに、どう答えるか

取締役会で、CEOがこう尋ねたとします。

「なぜ、これは"高確率"だと言えるのですか？」

失敗する答え（勘ベース）

「最近攻撃が増えているので、高リスクだと思います」

なぜ通らないのか

• 主観的
• 再現できない
• 事後に弁護できない

これは「意見」であって、判断ではありません。

通る答え（証拠ベース）

「当社では、NIST SP 800-30 とOWASP リスク評価方法論に基づき、発生確率を定量的に評価しています。」

結論から言います。

発生確率スコア：7.5（HIGH）

NIST分類：High（80-95%） 少なくとも年1回、場合によってはそれ以上

なぜ「高確率」なのか（要点のみ）

脅威エージェント要因

• 動機：9
  クレジットカード情報は即時に現金化可能。決済関連を狙うサイバー犯罪は 1日2,000件以上 報告されています。
• 機会：9
  インターネット公開、認証なし。
• スキル：3
  SQLmap 等の自動化ツールが利用可能。AIによりスキル障壁は大きく低下。
• 規模：5
  eコマースを常時狙う組織犯罪。

平均：6.5

脆弱性要因

• 発見容易性：9（常時自動スキャン）
• 悪用容易性：9（ワンクリック）
• 認知度：9（OWASP Top 10 常連）
• 検知：7（WAFはあるが監視は限定的）

平均：8.5

先例優先（決定打）

• 同業 3社 が 同一ベクトル で侵害（2025年Q4）

これは、過去の侵害が将来の被害を予測するという犯罪学の基本原理に合致します。

→ 先例優先ルール発動
→ 他の要素に関係なく HIGH

現実との整合性

この評価は、1日6億回規模のスキャン活動 を示す最新の攻撃データとも一致しています。

• 動機のある攻撃者
• 適切な標的
• 不十分な守護者

3条件がすべて揃っています。

推奨事項（経営判断）

• 即時修復
• 本件は Critical リスク
• 今四半期内に 役員の判断と予算配分が必要

この説明に、どう反論しますか。

勘ではありません。
恐怖でもありません。

証拠です。
構造です。
そして、弁護可能です。

セキュリティは恐怖を売りつけるのではなく、脅威を基に適切、適当に判断すること。

これが、取締役会で通用するサイバーリスク評価です。

先例優先ルール:計算が重要でなくなる時

IF: 動機(9) + 機会(9) + 先例(9)
THEN: 発生確率 = HIGH (8-9) ― 他の要因に関係なく

なぜか？

攻撃者は最も簡単な道を選ぶからです(Cornish & Clarke, 1986)。これは感覚論ではありません。犯罪学で何十年も検証されてきた原理です。

考えてみてください:

• 3社の競合企業が18ヶ月以内に同じ手法で侵害された場合(先例 = 9)
• そして攻撃者の動機が高い--金銭的利益、スパイ活動(動機 = 9)
• そして私たちのシステムがアクセス可能--インターネット接続、パブリックAPI(機会 = 9)

この3つがそろった時点で、議論は終わりです。

私たちが、次です。

計算は無関係です。これは高確率です。

優先ルールが「適用されない」場合

重要なのは、この優先ルールは、3条件すべてがそろった場合にのみ発動する という点です。ひとつでも 9未満 なら、通常どおりの計算に戻ります。

例:高プロファイル標的だがアクセス制限あり

• 動機 = 3 日和見的スクリプトキディ、特定の標的化なし
• 機会 = 9 インターネット接続システム、公開アクセス可能
• 先例 = 9 業界全体のキャンペーン、競合が侵害された

結果:優先なし 3つのうち2つのみ条件を満たす(動機が低すぎる)
通常通り計算:脅威エージェント平均 = 4.5、脆弱性平均 = 8.0 → 発生確率 = 6.3 (MEDIUM-HIGH)

別の例:動機ある攻撃者だが十分に保護されている

• 動機 = 9 -- 国家スパイ活動キャンペーン
• 機会 = 3 -- VPN + MFA + ネットワークセグメンテーション
• 先例 = 9 -- 業界を標的とする活発なAPTキャンペーン

結果:優先なし -- 機会障壁が自動HIGH評価を防ぐ
通常通り計算:脅威エージェント平均 = 7.0、脆弱性平均 = 4.5 → 発生確率 = 5.8 (MEDIUM)

ここで伝えたいこと

先例優先ルールは、「厳しすぎる判断」ではありません。

判断を誤らないための、最後の安全装置です。

そして、それが発動する状況は、すでに私たちの身近にあります。

だからこそ、計算する前に、現実を見る。それが、このルールの本質です。

「過去の犯罪パターンは将来の被害を予測する」-- Cohen & Felson (1979)

これが業界侵害の追跡(Day 72のIRP先例)が重要な理由です。これは単なる情報収集ではありません。私たちの発生確率スコアを直接決定するのです。

まとめ

典型例。

システムタイプ	典型的発生確率	主要因
PII含む公開Webアプリ	HIGH (7-9)	機会:9、動機:8-9、AIツール利用可能
VPN+MFA保護の内部ツール	MEDIUM (4-6)	機会:2-3、洗練された攻撃者が必要
エアギャップされた重要システム	LOW (1-3)	機会:1、物理アクセスが必要
既知CVE持つクラウドSaaS	HIGH (7-9)	発見:9、悪用:9、先例:9
インターネット接続のレガシーシステム	CRITICAL (8-9)	すべての要因が上昇、さらに検知が貧弱

覚えておいて:文脈が脆弱性タイプに勝る。常に脅威エージェントと脆弱性要因の両方を評価。

取締役会対応の決定へー振り返り

犯罪学的基盤を整えました:

• 脅威アクタープロファイル(MOMフレームワーク)
• 攻撃手法と機会(Cohen & Felson)
• 意図、リソース、先例(IRP分析)

定量化フレームワークを構築しました:

• NISTとOWASP方法論
• 8要因モデル
• AI乗数効果

実践的応用を見てきました:

• SQLインジェクション比較例
• ステップバイステップの計算ワークフロー
• 取締役会対応戦略

公式まとめ:

発生確率 = MOM + IRP + OWASP 8要因 + AI現実 + 文脈

このアプローチは以下に裏付けられています:

• 業界標準:NIST SP 800-30 (2012)、OWASPリスク評価方法論
• サイバーセキュリティ研究:Talabis & Martin (2012)、Beebe & Rao (2005)
• 犯罪学理論:Clarke (1995)、Cornish & Clarke (1986)、Cohen & Felson (1979)
• AIセキュリティ研究:Charfeddine et al. (2024)、ACL 2025、Uddin et al. (2025)
• 実世界検証:英国2万件の侵害、1日2,200件以上の攻撃、1日6億回のスキャン

このフレームワークはリスク評価を芸術的科学に変革し、感情ではなくデータでセキュリティ予算を弁護するツールを与えてくれます。

セキュリティは、恐怖を売りつけることではない。
本来のセキュリティとは、脅威を理解し、状況に応じて適切に判断し、組織を守ること。

明日は、これが起こった時、どれだけ悪いことになるのかを見ていきます。

――――

CALCULATING LIKELIHOOD IN PRACTICE (PART 2: CASE STUDY & BOARD-READY ANSWERS)

Yesterday (Day 73), we established the framework: NIST's five-tier system, OWASP's 8-factor model, and the AI multiplier effect that's reshaping every likelihood calculation. We learned that cyberattacks happen every 39 seconds, more frequently than rain in London, more often than flight cancellations in North America.

Today, we put theory into practice. How do we actually calculate these numbers? And how do we defend them in the boardroom?

Case Study: SQL Injection (Same Vulnerability, Different Worlds)

Let's apply everything we've learned to a classic vulnerability in two different contexts. This example will show why context determines likelihood more than the vulnerability itself.

Scenario 1: Public E-Commerce Checkout

Threat Agent Factors:

• Skill Level: 3 -- Script kiddie can download SQLmap (AI made this trivial)
• Motive: 9 -- Credit card data = direct cash (organized crime loves this)
• Opportunity: 9 -- Publicly accessible, no authentication required
• Size/Resources: 5 -- Organized crime syndicates actively target this
• Average: 6.5

Vulnerability Factors:

• Ease of Discovery: 9 -- Automated scanners find SQL injection constantly
• Ease of Exploit: 9 -- SQLmap is free, one-click exploitation
• Awareness: 9 -- SQL injection has been in OWASP Top 10 for decades
• Intrusion Detection: 7 -- Most sites have basic WAF, but limited monitoring
• Average: 8.5

Final Likelihood: (6.5 + 8.5) / 2 = 7.5 (HIGH)

NIST Alignment: High (80-95) -- Expected to occur frequently

Reality Check: Remember those 2,200+ attacks per day? Our checkout page is being probed right now. This isn't "if," it's "when and how often."

Precedence Check: Motive(9) + Opportunity(9) + Precedence(9) = Automatic HIGH

Data Source: Calculated using OWASP Risk Rating Methodology with current threat intelligence (2025-2026)

Scenario 2: Internal VPN+MFA Tool (Same SQL Injection)

Threat Agent Factors:

• Skill Level: 6 -- Requires understanding internal systems architecture
• Motive: 5 -- Corporate espionage or insider threat (narrower attacker pool)
• Opportunity: 2 -- Must breach VPN + MFA first (significant barrier)
• Size/Resources: 4 -- Only sophisticated attackers or insiders
• Average: 4.25

Vulnerability Factors:

• Ease of Discovery: 3 -- Requires internal access just to test
• Ease of Exploit: 9 -- Once found, same SQL injection, same SQLmap
• Awareness: 2 -- Not publicly known, not in CVE databases
• Intrusion Detection: 4 -- Internal monitoring exists but may be limited
• Average: 4.5

Final Likelihood: (4.25 + 4.5) / 2 = 4.4 (MEDIUM)

NIST Alignment: Moderate (21-79) -- Could occur sometime

Reality Check: Still vulnerable, but attacker must already have compromised perimeter defenses. This is a second-stage attack--lower frequency, higher skill requirement.

Precedence Check: Opportunity(2) -- Does NOT trigger override rule

Data Source: Calculated using OWASP Risk Rating Methodology with current threat intelligence (2025-2026)

The Key Insight: Context Is Everything

Both systems have identical SQL injection vulnerabilities.

But likelihood differs by a factor of almost 2X.

Why?

• Public system: Exposed to 600 million daily attacks, automated scanning, low skill barrier
• Internal system: Protected by multiple layers, requires sophisticated attacker

This validates Clarke's (1995) foundational principle:

"Crime occurs when motivated offenders meet suitable targets in the absence of capable guardians."

Same vulnerability (target suitability).
Different exposure (guardian presence).
Radically different likelihood.

This is why "we patched SQL injection" isn't enough. Where matters as much as what.

Common Mistakes That Will Get Us Breached

From Days 70-74, here are the errors that turn "Medium" into "Catastrophic":

Mistake	Why It's Wrong	Days 70-74 Lesson
Treating all SQL injection the same	Context determines likelihood--public vs. internal = 2X difference	Clarke (1995); Today's examples
Ignoring AI's impact	Yesterday's "expert-only" = today's "script kiddie"--our 2019 assessments are obsolete	Charfeddine et al. (2024); Day 73 AI multiplier
Static assessments	Threat landscape evolves; that "Low" from 2023 is "High" in 2026	NIST SP 800-30; AI research
Using outdated threat intelligence	Threat landscape evolves quarterly; yesterday's "medium" is today's "critical"	NIST SP 800-30; IRP framework (Day 72)
Forgetting detection = deterrence	Attackers avoid monitored targets--our SOC changes opportunity factor	Clarke (1995); Day 71 guardianship
Ignoring industry breaches	If competitors got hit, we're next--precedence overrides everything	Cohen & Felson (1979); Day 72 IRP
Assuming skill requirements	AI eliminated the skill barrier--every threat actor got an upgrade	Days 70-74; AI research

The biggest mistake? Using gut feeling instead of this framework. We can't defend "I thought it was low risk" to the board after a breach. We can defend "Based on NIST/OWASP methodology considering current threat landscape..."

Our Assessment Workflow: From MOM to Numbers

Here's how everything from Days 70-74 flows into a defensible likelihood score:

Step 1: MOM Analysis (Days 70-71) → Threat Agent Factors

Pull from our threat actor profiles:

• Motive: Why attack this? (Financial: 6-9, Opportunistic: 1-3)
• Opportunity: How accessible? (Public: 9, VPN: 3-5, Air-gapped: 1)
• Means: What capability needed? (Script kiddie: 3, Professional: 6, APT: 9)

Step 2: IRP Analysis (Day 72) → Precedence & Resources

• Intent: Active campaigns targeting this? (Adds to Motive score)
• Resources: What threat actor size? (Individual: 2, Crime: 7, Nation: 9)
• Precedence: Industry breaches? (If yes: triggers override rule)

Step 3: Map to OWASP's 8 Factors → Score 0-9

Use the tables from Day 73. Be honest. Be evidence-based.

Step 4: Apply AI Multiplier (Day 73 Reality Check)

If AI tools exist for this attack:

• Ease of Discovery: +2 points
• Ease of Exploit: +2 points
• Skill Level: -2 points (AI lowered the barrier)

Step 5: Check Precedence Override (Day 72 Intelligence)

IF Motive(9) + Opportunity(9) + Precedence(9):
→ Force to HIGH (8-9) regardless of other scores

Step 6: Calculate Final Score

• Average Threat Agent Factors (4 scores)
• Average Vulnerability Factors (4 scores)
• Likelihood = (TA Average + VF Average) / 2

Map to NIST scale:

• 0-3 → NIST Low
• 3-6 → NIST Moderate
• 6-9 → NIST High/Very High

The Boardroom Defense: Answering Executive Questions

When the CEO asks in the board meeting: "How do we know this is high likelihood?"

The Wrong Answer (Gut Feeling):

"Based on my experience, I think it's probably high risk because we're seeing more attacks lately."

Why it fails: Subjective, undefendable, no methodology, no evidence.

The Right Answer (Evidence-Based Framework):

"Based on NIST 800-30 and OWASP risk rating methodology, which are industry-standard frameworks validated across federal agencies and Fortune 500 companies, we've conducted a quantitative likelihood assessment.

Our analysis considered:

Threat Agent Factors:

• Motive scored 9--credit card data provides immediate financial return, confirmed by FBI's 2,000 daily cybercrime reports targeting payment systems
• Opportunity scored 9--system is internet-facing with no authentication barrier
• Skill Level scored 3--automated tools like SQLmap are freely available, and recent AI research (IEEE 2024) shows ChatGPT can write exploitation code, lowering the skill barrier by 60%
• Threat Actor Size scored 5--organized crime syndicates actively targeting e-commerce

Vulnerability Factors:

• Ease of Discovery scored 9--SQL injection is detectable by automated scanners running 24/7
• Ease of Exploit scored 9--one-click tools available
• Awareness scored 9--SQL injection has been in OWASP Top 10 for 20+ years
• Detection scored 7--we have basic WAF but limited real-time monitoring

Precedence Override Applied:
Three competitors in our vertical were breached using identical attack vectors in Q4 2025, triggering our Precedence Override Rule per Cohen & Felson's criminological framework: past crime patterns predict future victimization.

Final Calculation:

• Threat Agent Average: 6.5
• Vulnerability Average: 8.5
• Likelihood Score: 7.5 (HIGH)
• NIST Classification: High (80-95%)--expected to occur at least annually, likely more frequently

Validation:
This aligns with current attack data showing 600 million daily scans globally (Microsoft Digital Defense Report 2024) and our system meeting all three criteria from routine activity theory: motivated offender (organized crime), suitable target (public-facing payment system), absent guardian (limited monitoring).

Recommendation:
Immediate remediation. Current likelihood combined with high financial impact creates a Critical risk rating requiring C-suite attention and budget allocation within this quarter."

Try arguing with that in the boardroom. It's evidence. It's math. It's defensible.

The Precedence Override Rule: When the Math Doesn't Matter

IF: Motive(9) + Opportunity(9) + Precedence(9)
THEN: Likelihood = HIGH (8-9) -- regardless of other factors

Why? Because attackers choose the easiest path (Cornish & Clarke, 1986).

Think about it:

• If three competitors got breached using the same technique in 18 months (Precedence = 9)
• And the attacker is highly motivated--financial gain, espionage (Motive = 9)
• And our system is accessible--internet-facing, public API (Opportunity = 9)

We're next. The math is irrelevant. This is High likelihood. Period.

When the Override Rule Does NOT Apply:

The override must meet ALL THREE conditions. If even one factor scores below 9, calculate normally:

Example: High-Profile Target, But Limited Access

• Motive = 3 -- Opportunistic script kiddie, no specific targeting
• Opportunity = 9 -- Internet-facing system, publicly accessible
• Precedence = 9 -- Industry-wide campaign, competitors breached

Result: NO override -- Only 2 out of 3 conditions met (Motive too low)
Calculate normally: Threat Agent avg = 4.5, Vulnerability avg = 8.0 → Likelihood = 6.3 (MEDIUM-HIGH)

Another Example: Motivated Attacker, But Well-Protected

• Motive = 9 -- Nation-state espionage campaign
• Opportunity = 3 -- VPN + MFA + network segmentation
• Precedence = 9 -- Active APT campaign targeting industry

Result: NO override -- Opportunity barrier prevents automatic HIGH rating
Calculate normally: Threat Agent avg = 7.0, Vulnerability avg = 4.5 → Likelihood = 5.8 (MEDIUM)

The override rule is conservative by design: it only triggers when attackers have MAXIMUM motivation, MAXIMUM access, AND proven success patterns. This prevents false positives while capturing genuinely critical threats.

"Past crime patterns predict future victimization." -- Cohen & Felson (1979)

This is why tracking industry breaches (IRP Precedence from Day 72) is critical. It's not just intelligence gathering--it directly determines our likelihood score.

Wrapup

Some typical examples,

System Type	Typical Likelihood	Key Factors
Public web app with PII	HIGH (7-9)	Opportunity: 9, Motive: 8-9, AI tools available
Internal tool behind VPN+MFA	MEDIUM (4-6)	Opportunity: 2-3, requires sophisticated attacker
Air-gapped critical system	LOW (1-3)	Opportunity: 1, requires physical access
Cloud SaaS with known CVE	HIGH (7-9)	Discovery: 9, Exploit: 9, Precedence: 9
Legacy system, internet-facing	CRITICAL (8-9)	All factors elevated, plus poor detection

Remember: Context trumps vulnerability type. Always assess both threat agent AND vulnerability factors.

The Complete Formula:

Likelihood = MOM + IRP + OWASP 8 Factors + AI Reality + Context

This approach is backed by:

• Industry standards: NIST SP 800-30 (2012), OWASP Risk Rating Methodology
• Cybersecurity research: Talabis & Martin (2012), Beebe & Rao (2005)
• Criminology theory: Clarke (1995), Cornish & Clarke (1986), Cohen & Felson (1979)
• AI security research: Charfeddine et al. (2024), ACL 2025, Uddin et al. (2025)
• Real-world validation: 612,000 UK breaches, 2,200+ daily attacks, 600M scans/day

This framework transforms risk assessment from art to science and gives us the tools to defend our security budget with data, not feelings.

Tomorrow, we will look into when This Happens, How Bad Is It?

------

References 出典・参照文献（今日と昨日）

Industry Standards

NIST. (2012). SP 800-30 Rev. 1: Guide for conducting risk assessments. National Institute of Standards and Technology. https://csrc.nist.gov/pubs/sp/800/30/r1/final

OWASP Foundation. (n.d.). OWASP risk rating methodology. https://owasp.org/www-community/OWASP_Risk_Rating_Methodology

Cybersecurity Research

Beebe, N. L., & Rao, V. S. (2005). Using situational crime prevention theory to explain the effectiveness of information systems security. Proceedings of the 2005 SoftWars Conference.

Talabis, M. R. M., & Martin, J. (2012). Information security risk assessment toolkit: Practical assessments through data collection and data analysis. Syngress/Elsevier.

Criminology Theory

Clarke, R. V. (1995). Situational crime prevention. Crime and Justice, 19, 91-150. https://doi.org/10.1086/449230

Cohen, L. E., & Felson, M. (1979). Social change and crime rate trends: A routine activity approach. American Sociological Review, 44(4), 588-608.

Cornish, D. B., & Clarke, R. V. (1986). The reasoning criminal: Rational choice perspectives on offending. Springer-Verlag.

AI and Cybersecurity Research

ACL. (2025). PwnGPT: Automatic exploit generation based on large language models. Proceedings of the 63rd Annual Meeting of the Association for Computational Linguistics. https://aclanthology.org/2025.acl-long.562/

Charfeddine, M., Kammoun, H. M., Hamdaoui, B., & Guizani, M. (2024). ChatGPT's security risks and benefits: Offensive and defensive use-cases, mitigation measures, and future implications. IEEE Access, 12, 23166-23194. https://doi.org/10.1109/ACCESS.2024.3364719

Radanliev, P. (2024-2025). AI security and cyber risk research. University of Oxford, Department of Computer Science.

Uddin, M., Irshad, M. S., Kandhro, I. A., & Alanazi, F. (2025). Generative AI revolution in cybersecurity: A comprehensive review of threat intelligence and operations. Artificial Intelligence Review, 58(1). https://doi.org/10.1007/s10462-025-11219-5

Cyber Statistics Sources

Astra Security. (2025, data updated 2026). Global cyberattack frequency statistics. https://www.getastra.com/blog/security-audit/cyber-security-statistics/

Aviation Safety Network / ACRO. (2009-2017). Commercial aviation accident statistics. https://aviation-safety.net/

CNN. (2024). US flight cancellations tracker [Data set]. Based on FlightAware data. https://www.cnn.com/us/flight-delays-cancellations-tracker-vis

Federal Bureau of Investigation, Internet Crime Complaint Center (IC3). (2024). 2024 Internet crime report. https://www.ic3.gov/

Met Office UK. (n.d.). Climate data: London rainfall statistics (1991-2020 average). https://www.metoffice.gov.uk/research/climate/maps-and-data/regional-values

Microsoft. (2024). Digital defense report 2024. https://www.microsoft.com/en-us/security/security-insider/threat-landscape/microsoft-digital-defense-report-2024

National Highway Traffic Safety Administration (NHTSA). (2025). Motor vehicle traffic crash statistics. https://crashstats.nhtsa.dot.gov/

UK Government. (2025). Cyber security breaches survey 2025. https://www.gov.uk/government/statistics/cyber-security-breaches-survey-2025

University of Maryland. (2007, widely cited 2025). Cybersecurity attack statistics: Hackers attack every 39 seconds. A. James Clark School of Engineering. https://eng.umd.edu/news/story/study-hackers-attack-every-39-seconds