RSS
Human Hardeningとサイバー判断力

攻撃に対して「ハックされにくい人間」に

Day 76 脅威プロファイリング ― 資産価値 Putting It All Together ーFrom Asset Value to Complete Risk Assessment

»

[シリーズ構造] 柱D|脅威の現実
リスク評価は、現実の価値に基づいて初めて意味を持ちます。本稿では、攻撃者の視点で資産価値を測る方法を統合し、脅威プロファイリングと完全なリスク評価につなげます。資産価値の定量化から脅威のマッピング、発生可能性・影響の評価、優先順位付けまで、すべてを一つのプロセスとして組み立てることで、抽象的な脅威モデルを実務レベルの防御判断と予算配分につながる評価へと変えます。

▶ シリーズ概要: シリーズ全体マップ:人間のしなやかさ ― サイバー判断力のために

▶ 柱E|脅威の現実 関連記事:

脅威プロファイリング ―資産価値

前提知識: 脅威モデリングの基礎知識(必要に応じて Day 68 からお読みください)

u5292553157_Create_a_water_colored_illustration_of_one_red_ch_0b46b73e-9506-4627-bc95-a7c4a0de54fa_3.png

昨日の続き。インパクト定量化の、最後のピースです。

今日は、攻撃者の視点から、資産価値をどう測るか を組み立てます。

まずは、資産価値測定から

資産価値測定

最初にやるべきことは、とてもシンプルです。

守るべき資産価値を把握すること。

脅威を語る前に。
防御を語る前に。

何が失われたら終わるのか を、はっきりさせる必要があります。

なぜなら、資産価値は、これから考慮するすべての要因の「上限」を決めるものだから。

どれほど攻撃が巧妙でも、
どれほど起こりやすくても、
その資産に価値がなければ、
リスクはそれ以上にはなりません。

逆に言えば、資産価値が高いものは、脅威、可能性、インパクト、防御コスト―
すべての評価を引き上げる重力になります。

攻撃者視点での資産価値は、2つの軸で決まる

攻撃者は、
「私たちがどれだけ大切にしているか」ではなく、
「奪ったときに、どれだけ価値があるか」 を見ています。

そのため、攻撃者視点での資産価値は次の 2つの尺度 で評価します。

データの機密性・秘密性(Confidentiality Value

これは、その資産が漏えいしたとき、どれほどのダメージを生むかという視点です。

※以下のスケールは一例です。
実際には、各組織の事業内容・規模・規制要件に応じて調整してください。

規模 説明
1 非常に低い 最小限の影響。公開情報、容易に交換可能
2 低い 低影響。内部使用のみ、軽微な混乱
3 中程度 顕著な影響。機密データ、業務の混乱
4 高い 重大な影響。秘密データ、大きな財務的・評判の損失
5 非常に高い 壊滅的影響。重要業務、組織の存亡に関わる


攻撃者にとって、売れるか・脅せるか・交渉材料になるかが、この値を押し上げます。

ビジネスインパクト分析(BIAスコア)

こちらは、その資産を失ったときの「痛み」 を定量化する尺度です。

単なるデータ価値ではなく、業務がどこまで止まるか を測ります。

※以下のマトリックスも一例です。
スケールは必ず その組織に合わせて設計 してください。

スコア 影響レベル なしで耐えられる時間 データ損失許容度 作業負荷への影響 財務的影響(目安)
5 極めて重要 < 4時間 < 4時間 不可能 1.5億円超 または 売上の5%以上
4 クリティカル < 8時間 < 8時間 通常の5倍 7,500万円〜1.5億円
3 重要 < 5日 < 5日 通常の3倍 5,000万円〜7,500万円
2 必要 < 10日 < 10日 通常の2倍 750万円〜5,000万円
1 望ましい > 1ヶ月 > 1ヶ月 なし 750万円未満

ここで測っているのは、 「どれくらい我慢できるか」 です。

我慢できない資産は、攻撃者にとって最も価値が高い。

資産スコアの決め方

この2つを見比べて、高い方を、その資産の最終スコアとします。

資産価値 =機密性スコア と BIAスコア の「高い方」

なぜなら、攻撃者は 最も効く一点 を突いてくるからです。

  • データとしては平凡でも、止まると致命的
  • 業務影響は小さくても、漏えいすると壊滅的

どちらか一方が高ければ、標的になる。

両方高ければ、絶好の標的になる。

忘れないでほしい、攻撃者は、最も効く一点を、必ず見つけてくる。

8ステップ統合手法

-- どうやって「守る理由」を「使う予算」に変えるのか

よくある問いがあります。

「サーバーがある」ことと、「それを守るために800万円を使う必要がある」ことの間は、どうつながっているのか?

この8ステップは、その"空白"を埋めるための実務的な手順です。

Step 1|資産インベントリ

すべてをリストアップする。

持っていることを知らなければ、守ることはできません。

技術資産、データ、業務、外部委託、SaaS。「重要そうなもの」ではなく、全部です。

Step 2|資産スコアリング

先ほどの2つのマトリックスを適用する。

  • 機密性・秘密性
  • BIA(ビジネスインパクト)

問いは一つだけ。この資産が消えたら、何が起こるか?高い方のスコアが、その資産の価値です。

Step 3|脅威マッピング(STRIDE

何が悪化する可能性があるか?
(※ Day 73 で扱った視点)

なりすまし、改ざん、情報漏えい、サービス不能...。
資産ごとに、現実的な脅威だけを洗い出します。

Step 4|発生可能性評価(Likelihood

それは起こるのか?

Day 74 で見た3点を使います。

  • 先例(過去に起きているか)
  • 能力(攻撃者はそれをできるか)
  • 意図(やる理由があるか)

Step 5|影響評価(Impact

もし起こったら、どれほど悪いのか?

Day 75 の 5つの次元 を使います。

  • 財務
  • レピュテーション
  • ビジネス
  • 法的・規制
  • 人的

ここで重要な注意点があります。

財務的影響は、必ず比例的に考えること。

例えば、1億円の損失は、

  • 中小企業にとっては 致命傷(Major / 10
  • 大企業にとっては 端数誤差(Minor / 2

同じ金額でも、意味はまったく違います。

Step 6|リスク計算

リスク = 発生可能性 × 影響

シンプルでいい。複雑にすると、使われなくなります。

Step 7|リスクの優先順位付け

リスクスコアで、脅威を並べ替える。

ここで初めて、「何から手を付けるか」が客観的に決まります。

Step 8|防御予算配分

高スコアに、予算を使う。

声の大きさでも、最新トレンドでもなく。数字に従う。

ここで起きている変化

この瞬間、脅威モデリングは 分析 から 判断 に変わります。

  • なぜ、ここに金を使うのか
  • なぜ、ここは後回しにするのか
  • なぜ、これは受容するのか

すべて説明できる。

これが、「脅威モデリングを実行可能にする」ということです。

ケーススタディ:病院に対するランサムウェア攻撃の評価

フレームワークを用いたケーススタディ

発生可能性(Likelihood

8 / 10(非常に高い)

理由は明確です。

  • 意図(Motive:病院は主要ターゲット。支払う圧力が極めて高い
  • 機会(Opportunity:パッチ未適用のレガシー医療システム
  • 能力(Means:Ransomware-as-a-Service(RaaS)が容易に入手可能

偶然ではありません。狙われるべくして狙われている。

影響評価(Impact)-- 5つの次元

次元 内容 スコア
財務 直接損失・復旧・罰金 約18億円(高:7)
レピュテーション 患者・地域からの信頼喪失 非常に高い(8)
ビジネス 3週間の業務停止 高(7)
法的・規制 医療規制違反・訴訟 高(7)
人的 ケア遅延による4人の死亡 クリティカル(10)

総合影響(Overall Impact

10(クリティカル)

理由は単純です。全体インパクトは平均では決まらない。一番壊れるところで決まる。

このケースでは、人的インパクトがすべてを上書きする。

リスクスコア

リスク = 発生可能性 × 影響

8 × 10 = 80 → 極めて重大(クリティカル)

次元 内容 スコア
財務 直接損失・復旧・罰金 約18億円(高:7)
レピュテーション 患者・地域からの信頼喪失 非常に高い(8)
ビジネス 3週間の業務停止 高(7)
法的・規制 医療規制違反・訴訟 高(7)
人的 ケア遅延による4人の死亡 クリティカル(10)

結論(防御判断)

これは「サイバーリスク」ではありません。存亡の危機です。

したがって、防御は次のように設計されるべきです。

  • イミュータブル(変更不可)バックアップ(最優先)
  • 厳格なネットワークセグメンテーション
  • EDR/XDR への最大限の予算配分

ここでの議論は、「高いか安いか」ではない。「生き残るかどうか」 です。

人的インパクトを、決して忘れてはいけません。

スコア「10」は、単なる数字ではありません。

よくある統合ミス(ゴカイ)

  1. 評判ダメージの過小評価
     「謝れば済む」 → 違う。信頼の再構築には年単位かかる。
  2. 比例性の無視
     「たった1,500万円」 → 年商5億円なら致命傷だ。
  3. 人的影響の忘却
     「誰も死んでない」 → 仕事、年金を失った従業員はどうなるのか。個人情報をさらされた顧客はどうなるのか。人的被害は見えないけど深刻度は高い。
  4. 静的評価
     AIは日々ゲームを変える。 2019年の「中(5)」は、2026年には「クリティカル(10)」だ。
  5. 次元の平均化
     平均化は危険。 どれか1つがクリティカルなら、リスクはクリティカルだ。

まとめ

私たちは、抽象的な脅威から具体的で定量化されたリスクへ移行しました。

  • 誰が攻撃しているのか
  • 成功する可能性はどれくらいか
  • 結果はどれほど壊滅的か

それを、お金で、評判で、人命で 正確に測っています。

このアプローチはISO 27005NIST SP 800-30 に整合し、監査に耐える脅威モデリングを可能にします。しかし、もっと重要なのは

防御戦略が、恐怖ではなく「現実」に基づくようになること。

最後の最後に、もう一度だけ、強調させてください。

人的インパクトを、決して忘れてはいけません。

私たちは、データやシステムだけを守っているのではありません。

人を守っている。その背後にある 家族を守っている。生活を守っている。社会を守っている。

セキュリティプロフェッショナルとして、この初心だけは、どうか忘れないでほしい。

どんなに経験を積み、どんなにベテランになったとしても。セキュリティのプロになると決めた、その日。その日の思い。「守る」と決めたその覚悟。それを、ずっと、忘れないでいてほしい。

これで、Day 70-76 のすべての部品は揃いました。

明日は、セキュリティ保証レベル

「十分な」セキュリティとは、どれくらいか?

その問いに、正面から答えにいきます。

ーーーー

[Series Structure] Pillar D | Threat Reality

Risk is only meaningful when it's grounded in real value. This article completes the risk assessment process by showing how to measure asset value from an attacker's perspective and integrate that into a full risk model. By quantifying asset value, mapping threats, assessing likelihood and impact, and prioritizing based on risk scores, teams can move from abstract threat models to actionable, budget-aligned defense decisions. This transforms threat modeling from theory into structured decisions that inform where to invest, mitigate, or accept risk.

▶ Series overview: Series Map -- Human Flexibility for Cyber Judgment

▶ Other posts in Pillar E (Pillar D | Threat Reality):

Putting It All Together ー From Asset Value to Complete Risk Assessment

We've built every component.
Today, we assemble the machine.

u5292553157_Create_a_water_colored_illustration_of_one_red_ch_0b46b73e-9506-4627-bc95-a7c4a0de54fa_3.png

From asset classification to defense budget allocation--this is where threat modeling stops being theoretical and becomes actionable.

Asset Value Measurement Scale

Every office should maintain an asset inventory supported by Business Impact Analysis (BIA) for Disaster Recovery (DRP) and Business Continuity (BC).

Asset value is defined as the highest value across all relevant impact factors.

(Note: This is an illustrative example. Each organization should tailor the criteria to its own business context.)

Value Magnitude Description
1 Very Low Minimal impact, public information, easily replaceable
2 Low Low impact, internal use only, minor disruption
3 Medium Noticeable impact, confidential data, operational disruption
4 High Critical impact, secret data, major financial or reputational loss
5 Very High Catastrophic impact, mission-critical operations, existential threat

Business Impact Analysis (BIA) Score Matrix

This matrix quantifies the pain of losing an asset.
(Note: This is an illustrative example. Each organization should tailor the criteria to its own business context.)

Score Impact Level Sustain Without Data Loss Tolerance Workload Impact Financial Impact
5 Crucial < 4 hours < 4 hours Impossible > $1M OR >5% revenue
4 Critical < 8 hours < 8 hours 5× normal $500K - $1M
3 Important < 5 days < 5 days 3× normal $350K - $500K
2 Necessary < 10 days < 10 days 2× normal $50K - $350K
1 Desired > 1 month > 1 month None < $50K

Eight-Step Integration Methodology

How do we go from
"I have a server" to "I need to spend $50K protecting it"?

  1. Asset Inventory
    List everything. If you don't know you have it, you can't protect it.
  2. BIA Scoring
    Apply the matrix above. What happens if this asset disappears?
  3. Threat Mapping (STRIDE)
    What can go wrong? (Day 73)
  4. Likelihood Assessment
    Will it happen?
    (Day 74 -- Precedence, Capability, Intent)
  5. Impact Assessment
    If it happens, how bad is it?
    (Day 75 -- Five Impact Dimensions)

Remember: impact must be proportional.
A $2M loss is Major (10) for an SMB--but Minor (2) for Amazon.

  1. Risk Calculation
    Risk = Likelihood × Impact
  2. Risk Prioritization
    Rank threats by Risk Score.
  3. Defense Budget Allocation
    Spend money where the scores are highest.

Case Study: Threat Comparison

Using our formula:
Risk = Likelihood (1-10) × Impact (1-10)

Threat Scenario Likelihood Impact Risk Score Action Required
SQL Injection on Payment API 7.5 (High -- automated tools, high capability) 10 (Critical -- $98M loss, brand destruction) 75 (CRITICAL) FIX IMMEDIATELY -- stop deployment
VPN Brute Force 5 (Medium -- common, MFA in place) 5 (Moderate -- access but segmented) 25 (Moderate) MITIGATE -- next sprint
Internal Wiki CSRF 2 (Low -- requires internal access) 1 (Insignificant) 2 (Low) ACCEPT / DEFER

Case Study: Hospital Ransomware Assessment

Applying the full framework:

Likelihood: 8 / 10 (Very High)

  • High intent
  • Legacy systems (opportunity)
  • Ransomware-as-a-Service availability (capability)

Impact Assessment

  • Financial: $12M → High (7)
  • Reputational: Loss of trust → Very High (8)
  • Business: Operations halted for 3 weeks → High (7)
  • Legal: HIPAA fines & lawsuits → High (7)
  • Human: 4 deaths → CRITICAL (10)

Overall Impact: 10
(highest dimension wins)

Risk Score: 8 × 10 = 80 → EXTREME / CRITICAL

Conclusion:
An existential threat requiring maximum budget allocation (immutable backups, segmentation, EDR).

Human Impact Reinforcement

Never forget what a score of 10 means.

Common Integration Mistakes

  1. Underestimating Reputational Damage
    "We'll just apologize."
    Trust takes years to rebuild.
  2. Ignoring Proportionality
    "It's only $100K."
    If your revenue is $1M, you're dead.
  3. Forgetting Human Impact
    "No one died."
    Tell that to the employee who lost their pension.
  4. Static Assessments
    AI changes the game daily.
    Moderate (5) in 2019 is Critical (10) in 2026.
  5. Averaging Dimensions
    Don't average.
    If any dimension is Critical, the risk is Critical.

The Bottom Line

We've moved from abstract threats to quantified reality.

We know:

  • Who is attacking
  • How likely they are to succeed
  • Exactly how devastating the outcome will be

Measured in money, trust, operations, law--and human lives.

This approach aligns with ISO 27005 and NIST SP 800-30, making your threat modeling audit-ready.

But more importantly, it grounds your defense strategy in reality, not fear.

Tomorrow (Day 77), we link this to Security Assurance Levels and explore a critical question: How much security is enough?

----

References 出典・参照文献 (Only this part)

Bada, M., & Nurse, J. R. C. (2020). The social and psychological impact of cyberattacks. In Emerging cyber threats and cognitive vulnerabilities (pp. 73-92). Academic Press. https://doi.org/10.1016/B978-0-12-816203-3.00004-6

BitSight Technologies. (2025). The state of cybersecurity burnout in 2025. https://www.bitsight.com/blog/state-of-cyber-security-burnout-today

Cross, C., & Holt, T. J. (2025). Beyond fraud and identity theft: Assessing the impact of data breaches on individual victims. Journal of Crime and Justice. Advance online publication. https://doi.org/10.1080/0735648X.2025.2535007

Federal Trade Commission. (2003). Identity theft survey report. https://www.ftc.gov/sites/default/files/documents/reports/federal-trade-commission-identity-theft-program/synovatereport.pdf

Fernandez De Arroyabe, I., Arranz, C. F., Fernandez De Arroyabe, J. C., & Schumann, M. (2023). The severity and effects of cyber-breaches in SMEs: A machine learning approach. Enterprise Information Systems, 17(2), Article 1942997. https://doi.org/10.1080/17517575.2021.1942997

IBM Security & Ponemon Institute. (2025). Cost of a data breach report 2025. IBM Corporation. https://www.ibm.com/security/data-breach

Identity Theft Resource Center. (2025). 2025 consumer impact report: Financial & emotional impacts rise across the board. https://www.idtheftcenter.org/post/2025-consumer-impact-report-financial-emotional-impacts-rise/

International Organization for Standardization. (2022). ISO/IEC 27005:2022: Information security, cybersecurity and privacy protection--Guidance on managing information security risks. ISO.

Khadka, K., & Ullah, A. B. (2025). Human factors in cybersecurity: An interdisciplinary review and framework proposal. International Journal of Information Security. Advance online publication. https://doi.org/10.1007/s10207-025-01032-0

Li, Y., Yazdanmehr, A., Wang, J., & Rao, H. R. (2019). Responding to identity theft: A victimization perspective. Decision Support Systems, 121, 13-24. https://doi.org/10.1016/j.dss.2019.04.002

Makridis, C. (2021). Do data breaches damage reputation? Evidence from 45 companies from 2002-2018. Journal of Cybersecurity, 7(1), tyab021. https://doi.org/10.1093/cybsec/tyab021

Morgan, P. L., Asquith, P. M., Bishop, L. M., Hockey, G. R. J., & Raywood-Burke, G. (2020). A new hope: Human-centric cybersecurity research embedded within organizations. In International conference on human-computer interaction (pp. 204-215). Springer. https://doi.org/10.1007/978-3-030-50309-3_14

National Institute of Standards and Technology. (2012). Guide for conducting risk assessments (NIST Special Publication 800-30 Rev. 1). U.S. Department of Commerce. https://doi.org/10.6028/NIST.SP.800-30r1

Proofpoint. (2025). 2025 voice of the CISO report. https://www.proofpoint.com/us/resources/threat-reports/voice-of-ciso

Rosati, P., Deeney, P., Cummins, M., Van der Werff, L., & Lynn, T. (2019). Social media and stock price reaction to data breach announcements: Evidence from US listed companies. Research in International Business and Finance, 47, 458-469. https://doi.org/10.1016/j.ribaf.2018.09.007

Sophos. (2025). The human cost of vigilance: Addressing cybersecurity burnout in 2025. https://www.sophos.com/en-us/blog/report-addressing-cybersecurity-burnout-in-2025

TechAisle. (2025). 2025 SMB cybersecurity report. TechAisle Research.

U.S. Bureau of Labor Statistics. (2024). Household dependency and employment statistics. U.S. Department of Labor. https://www.bls.gov/

蓮見祥子 2026/01/13 06:08:32 Comment(0)

コメント

コメントを投稿する