現状分析

情報資産整理

（詳細は割愛）

• データやシステムなどを組織の資産（毀損すると困るもの）として整理する
• データベースやSaaS上のデータを中心に、脆弱性や影響度を評価する
  • ISMSなどに基づくセキュリティマネジメントの一貫でやるものと同じ
  • とても泥臭いが重要なプロセス
• 自分たちの組織のデータとしての “本丸” の所在やデータの性質を整理する

社内システムの把握

• 社内で業務に利用しているシステムを網羅する（本来なら情報資産・脅威モデリングと併せて実施）
  • 内部で稼働させている既製ソフトウェア
  • 内製された管理システムなど
  • 外部利用しているSaaS
• 外部公開しているWebサービスなど

脅威モデリング

（こちらも詳細は割愛）

• 組織全体のシステムを俯瞰し、脆弱性や攻撃経路となりうる箇所の特定をする作業
• 新たに脅威を発見するというよりは、情報の整理や関係各位との認識合わせの側面が強い
• 情報資産そのものだけでなく、攻略の経路になりそうなポイントも把握する

検知・調査ユースケースの整理

実際に検知・調査ができるかは、取得できるログや設計、予算によって大きく左右されるため、まずは関係者と洗い出しだけする

検知したい事象の整理

情報資産そのものへの攻撃や、攻略の過程で発生しそうな事象を整理する

• 情報資産一覧や脅威モデリングで整理された内容を活用する
• MITRE ATT&CK などを利用する
  • 例）フィッシングによるパスワードの窃取
  • 例）クラウドプラットフォーム上での誤設定を利用した侵入
  • 例）脆弱性を利用したOS上での権限昇格