この3月にエフセキュアの法人向け部門が分社化する形で生まれたウィズセキュア。同社はこのほど、数十年にわたって組織のセキュリティ運用を支えてきたノウハウをもとにしたeBook「混乱、秩序、そしてリスク:企業がランサムウェアに取り組むために」を公開した。
かつてのセキュリティリスク評価は、多くの変数が互いに独立して無関係な状態にあることから、定量化が非常に困難な分野だった。これがいまでは、脅威情報を活用する「脅威インテリジェンス」の登場により、信頼性の高い統計データが利用できるようになってきている。ただ、それでもすべてを定量化することは不可能なため、リスク評価にあたっては、どうしても定性的な判断や意思決定が必要となる。
eBookでは、適切な "定性的な判断/意思決定" を行ううえで定量的な情報をどう扱うべきか、思考の在り方とテクニック、組織づくりの3つに分けて解説している。詳細は以下のリンクからご覧いただけるが、ここではそのなかから、在るべき思考とテクニックについて簡単に説明したい。
ウィズセキュア 提供資料
~ウィズセキュアからのインサイト~
混乱、秩序、そしてリスク:企業がランサムウェアに取り組むために
> > 資料ダウンロードはこちら
定性的な判断で生じるバイアスを最小化するための思考法とテクニック
ウィズセキュアはeBookのなかで、定性的な判断にあたっては、思考の偏りや思い込みを起因としたバイアスが必ず生じると言及。そのうえで、バイアスを受け入れ、定量的な情報をもとにこれを最小化するアプローチが、適切なリスク評価を行ううえでは欠かせないと述べている。
バイアスを最小化するフレームワークさえ確立できれば、異なる思考を持つ複数人のチームであっても一貫性をもったリスク評価を行うことができる。多様性という利点を使えば、チームの集合知を最大化することも可能だろう。
同社はこのフレームワークの確立に役立つテクニックとして、以下に挙げる3カテゴリ、5つの手法を解説している。
診断テクニック:
前提条件、分析的論拠の透明化と厳密化に役立つテクニック
・主要な前提条件のチェック
・情報の質のチェック逆張りのテクニック:
現在の考えの前提条件と推定された知見を疑うテクニック
・高影響/低影響分析想像力を使う思考のテクニック:
新しいインサイトや視点を生み出し他の選択肢を分析するためのテクニック
・アウトサイドイン思考
・ブレーンストーミング
eBookではこのそれぞれについて詳細に説明しているほか、実際にリスクを評価するチームをどう作り上げていくべきか、その方法論についても解説している。
脅威インテリジェンスを活用する動きが各所で加速しているが、最終的な判断を行うのは、あくまで「人間」だ。そこで生じる定性的なリスク評価を適正なものにする示唆を、eBookから得てほしい。
ダウンロード資料のご案内
ウィズセキュア 提供資料
~ウィズセキュアからのインサイト~
混乱、秩序、そしてリスク:企業がランサムウェアに取り組むために
> > 資料ダウンロードはこちら
[PR]提供:ウィズセキュア