OCTAVE メソッド
OCTAVE メソッド とは何ですか?
OCTAVE メソッドカーネギーメロン大学 SEI が開発した情報セキュリティリスク評価手法。重要資産に対する組織的・運用的リスクに焦点を当てる。
OCTAVE(Operationally Critical Threat, Asset, and Vulnerability Evaluation)は、カーネギーメロン大学ソフトウェア工学研究所(CERT)が開発したリスク評価手法のファミリーです。大企業向けのオリジナル OCTAVE、小規模組織向けの OCTAVE-S、情報資産にフォーカスした近代版 OCTAVE Allegro が含まれます。OCTAVE は資産中心であり、組織は自律的なワークショップを通じて重要情報資産、脅威シナリオ、懸念領域、保護戦略を洗い出します。定量寄りの枠組みとは異なり、OCTAVE は定性的で、ビジネスコンテキスト・オーナーシップ・リスク許容度を重視します。規制業界では NIST SP 800-30 や ISO 27005 と組み合わせて利用されることが多くあります。
● 例
- 01
病院が電子カルテシステムに対し OCTAVE Allegro ワークショップを開き、リスク対応計画を策定する。
- 02
セキュリティ人員が限られた中小製造業のリスク評価に OCTAVE-S を用いる。
● よくある質問
OCTAVE メソッド とは何ですか?
カーネギーメロン大学 SEI が開発した情報セキュリティリスク評価手法。重要資産に対する組織的・運用的リスクに焦点を当てる。 サイバーセキュリティの コンプライアンスとフレームワーク カテゴリに属します。
OCTAVE メソッド とはどういう意味ですか?
カーネギーメロン大学 SEI が開発した情報セキュリティリスク評価手法。重要資産に対する組織的・運用的リスクに焦点を当てる。
OCTAVE メソッド はどのように機能しますか?
OCTAVE(Operationally Critical Threat, Asset, and Vulnerability Evaluation)は、カーネギーメロン大学ソフトウェア工学研究所(CERT)が開発したリスク評価手法のファミリーです。大企業向けのオリジナル OCTAVE、小規模組織向けの OCTAVE-S、情報資産にフォーカスした近代版 OCTAVE Allegro が含まれます。OCTAVE は資産中心であり、組織は自律的なワークショップを通じて重要情報資産、脅威シナリオ、懸念領域、保護戦略を洗い出します。定量寄りの枠組みとは異なり、OCTAVE は定性的で、ビジネスコンテキスト・オーナーシップ・リスク許容度を重視します。規制業界では NIST SP 800-30 や ISO 27005 と組み合わせて利用されることが多くあります。
OCTAVE メソッド からどのように防御しますか?
OCTAVE メソッド に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
OCTAVE メソッド の別名は何ですか?
一般的な別名: OCTAVE, OCTAVE Allegro。
● 関連用語
- compliance№ 936
リスクマネジメント
リスクを特定・分析・評価・対応・監視・伝達し、組織が定めた許容範囲内に維持するための調整されたプロセス。
- appsec№ 1150
脅威モデリング
資産・脅威・脆弱性・対策を体系的に分析し、セキュリティを後付けではなく設計段階から組み込むための構造化された手法。
- compliance№ 801
PASTA 脅威モデル
Process for Attack Simulation and Threat Analysis。技術的脅威とビジネスインパクトを結び付ける、リスク中心・7 段階の脅威モデリング手法。
- defense-ops№ 136
BIA(ビジネスインパクト分析)
重要な業務プロセスとその依存関係、ならびに中断時の運用・財務・レピュテーション上の影響を体系的に分析する手法。