2020-02-19 どうすれば合理的にISO21434準拠できるか? とりあえずこんなのが思いつきます。 サイバーセキュリティのポリシーを適用する対象をしぼる(プライバシーや盗難セキュリティのミッションを除外する)。 アイテムをしぼって定義する。 制約条件をいっぱいつくる。 前提条件をいっぱいつくる。 資産をしぼる(脅威分析の対象に、暗号鍵やプログラム等の副次資産を含めない)。 脅威分析をなるたけ抽象化する(WIFI→無線IP通信、住所→個人情報/プライバシー情報)。 めいっぱいリスク許容する。 多層防衛しない。