Secure SketCHでは自動診断機能においてSecurity Scorecard社が定義する侵害リスク(Breach Risk)と脅威レベル(Threat Level)の2つの指標を確認いただけます。
この2つの指標を正しく理解し活用することで、より効果的に優先度の高いセキュリティ対策を実施できます。
2つの指標の違い
侵害リスク(Breach Risk):データに基づく客観的な指標
侵害リスク(Breach Risk)は、Security Scorecard社が15,000件以上の実際の侵害事例を分析して算出した統計的な指標です。
この指標は「この課題が存在すると実際に侵害が発生する確率はどの程度か?」という観点から、データに基づいたアプローチで客観的なリスクを評価します。
侵害リスクは問題の深刻度を示すメインの指標として活用し、これを軸とした対応計画を立てることが推奨されます。
脅威レベル(Threat Level):セキュリティ専門家の経験値に基づく主観的な指標
脅威レベル(Threat Level)は、Security Scorecardのセキュリティ専門家の経験値に基づく主観的な指標です。
この指標は「この脅威が実現した場合の影響はどの程度深刻か?」という観点から、専門的な知見と経験値に基づいて脅威の重要度を評価します。
脅威レベルは、侵害リスクで決定した基本的な対応方針に対して、補助的に優先度を調整するためにご利用いただける指標です。
実践コラム:課題の対応優先度を決める
侵害リスク(Breach Risk)が「高」の課題が複数報告された場合に、脅威レベル(Threat Level)の情報を参考にして対策優先度を設定することができます。
ここでは、実際の課題を例示しながら対策優先度を決定する方針例をご紹介します。
対策優先度の決定方針例
下記の二つの課題が報告されていた場合を仮定します。
この時、侵害リスク→どちらの課題も「高」ですが、
課題①は脅威レベルが「高」、課題②は脅威レベルが「低」となっているため、
課題①から対応することで効率的にリスクを抑えながら対策を進めることが可能です。
※具体例として提示した課題の内容や侵害リスクや脅威レベルは2025/10/10時点のものです。