#067. 影を潜めた定量的リスク分析
一般財団法人 全日本情報学習振興協会が実施する、個人情報保護士試験など情報セキュリティ関連試験では、必ず、
- 定量的リスク分析
- 定性的リスク分析
が出題されました(約10年前)。当時、持て囃されていたものがISMS認証でありました。当該ISMS認証の予備審査前に、リスク分析のためにマトリックスを作成してリスク値を算出したのですが、それが定量的リスク分析手法でした。
しかし…最近、めっきり聞かなくなりました。何故でしょうか。
わたくしも知らなかったのですが、SASTとは静的アプリケーション・セキュリティ・テストであり、ホワイトボックステストであるそうです。なお、DASTとは動的アプリケーション・セキュリティ・テスト、SCAとはソフトウェアコンポジション分析だそうです。
応用情報技術者の免状を持ってはいますが、初めて学ぶものばかりです。
さて、投稿者は「アプリケーションの脆弱性のリスク スコア」(Google翻訳)について問うています。フォロワーの皆さんは、どのように回答しますか。