問題
「高」は数値ではない
リスクレジスターは脅威が「高」であることを示します。しかし「高」が€50,000を意味するのか€50,000,000を意味するのかは示しません。DORA RTS第8条はICTリスクを金銭的に表現することを求めていますが、ほとんどの組織はそれができません。
機能
FAIRによるサイバーバリューアットリスクの計算
cVaRは完全な資産インベントリにFAIR手法を適用し、損失頻度と大きさをモデル化して、数千回のトライアルにわたるMonte Carloシミュレーションを実行し、損失超過曲線を生成します。95パーセンタイルおよび99パーセンタイルでのバリューアットリスク、条件付きVaR、期待年間損失を読み取れます。
cVaRが読み取るもの
完全資産インベントリ、ライブ
cVaRはCMDB、ディスカバリエージェント出力、またはNetDiagramerグラフから資産インベントリを取り込みます。重要度、コンプライアンス状況、クラウドの場所、トポロジーがリスクモデルに直接入力され、すべてのシナリオがサンプルではなく実際の資産を反映します。
cVaRが読み取るもの
cVaRはCMDB、ディスカバリエージェント出力、またはNetDiagramerグラフから資産インベントリを取り込みます。利用可能な場合は既存の脆弱性データ、脅威インテリジェンスフィード、過去のインシデント記録を読み取ります。頻度と大きさのキャリブレートされた推定値であるメトロロジーは、CCIのセクター固有の参照データまたは自社の損失履歴から引き出せます。
エージェントレス版
現行版はインベントリ入力を必要とします。エージェントレス版を開発中です。ネットワークディスカバリのみから資産スコープとエクスポージャーを推定し、CMDBの入力を必要としません。この版を待つ顧客はコンタクトページで関心を登録できます。
FAIRを選ぶ理由
FAIRはサイバーリスク定量化のための唯一のオープン国際標準です(Open FAIR Body of Knowledge 2.0、The Open Group)。DORA RTS、NIST CSF 2.0、ISO 27005:2022で参照定量化手法として採用されています。独自のスコアリングモデルでは満たせない方法で規制審査を満たす結果を生み出します。
Frameworks addressed
Related products
Every product is field-tested