脅威分析は、おおよそ次のような順番ですすめます。
- 資産とそのサイバーセキュリティ特性
- ダメージシナリオとその影響度
- 脅威シナリオ
- 攻撃経路とその攻撃可能性
- リスクをもとに対応要否判断
- サイバーセキュリティゴール
- サイバーセキュリティ要求/サイバーセキュリティクレーム
- サイバーセキュリティ管理策
ここで5.のリスクは、影響度と攻撃可能性の2軸で求めます。
このようにおおよそ順番は決まっているのですが、各工程で用いる指標は、脅威分析をする各組織に委ねられており、実施前に決めておかねばならない要素が複数あります。
実施組織は各工程ごとにレビューを実施し、結果をエビデンスとして記録していく必要があります。