リスクベースが発散しないためにまずベースラインが必要

セキュリティガイドラインの作り方を考えてた

リスクベースが発散しないためにまずベースラインが必要

ゼロベースでリスクベース分析に手をつけると、「さすがにそんなこと起きなくね？」が出る

例：「SSHからの侵入？普通に考えてIPアドレス制限かかってるでしょ」「CSRF？モダンなブラウザ使ってれば古の攻撃手法でしょ」

※↑は単に各々にとっての「普通」があるという例で、正しさは論点ではないし、私の考えでもない

この「普通」の線引きとしてベースラインが必要

本当の最初の最初はリスクベースで、「SSHはIPアドレス制限をかける」みたいなベースラインができる

その後、組織内外の事故事例やシステム要求を対象としたリスク分析を経て、ベースラインが変わっていく（増えたり減ったり）