とりあえずこんなのが思いつきます。
- サイバーセキュリティのポリシーを適用する対象をしぼる(プライバシーや盗難セキュリティのミッションを除外する)。
- アイテムをしぼって定義する。
- 制約条件をいっぱいつくる。
- 前提条件をいっぱいつくる。
- 資産をしぼる(脅威分析の対象に、暗号鍵やプログラム等の副次資産を含めない)。
- 脅威分析をなるたけ抽象化する(WIFI→無線IP通信、住所→個人情報/プライバシー情報)。
- めいっぱいリスク許容する。
- 多層防衛しない。
とりあえずこんなのが思いつきます。