ランキング基準

OWASP NHI Top-10 2025 プロジェクトでは OWASP の Risk Rating Methodology を使用してリスク基準を定義および評価しました。

このプロジェクトの目的は非人間アイデンティティ (NHI) に関連するリスクを特定し、優先順位を付け、ランク付けすることでした。これを実現するために、私たちは特定の脅威シナリオの発生可能性や NHI を管理する組織固有のニュアンスを考慮することなく、固有のリスク要因のみに焦点を当てました。

この方法論は、最も差し迫ったリスクを強調しながらも、さまざまな環境に適応できる一貫したアプローチを確保します。

基準と用語

以下の表はランキングプロセスで使用される基準と用語をまとめたものです。

脅威エージェント (Threat Agents): 悪用可能性 (Exploitability)	セキュリティ上の弱点 (Security Weakness): 蔓延度 (Prevalence)	セキュリティ上の弱点 (Security Weakness): 検出可能性 (Detectability)	影響度 (Impact): 技術的影響 (Technical)
容易 (Easy): 3	広範 (Widespread): 3	困難 (Hard): 3	重大 (Severe): 3
普通 (Average): 2	普通 (Common): 2	普通 (Average): 2	普通 (Moderate): 2
困難 (Hard): 1	まれ (Uncommon): 1	容易 (Easy): 1	低い (Low): 1

想定の説明

一貫性を保つために、ランキングプロセスでは特定の想定を適用しました。

• 悪用可能性 (Exploitability): スコアは、組織がリスクに対してすでに脆弱であり、脅威アクターが悪用を試みるのに十分な知識を持っていることを想定しています。

• 影響度 (Impact): 影響度スコアは「最悪なシナリオ」を反映し、リスクから生じる可能性のある最も深刻な結果を考慮しています。

• 蔓延度 (Prevalence): 蔓延度の評価は、緩和策を考慮することなく、セキュリティ上の弱点が環境全体にどの程度広がっているかに焦点を当てています。

• 検出可能性 (Detectability): これは、通常の検出メカニズムがあると想定して、組織がセキュリティ上の弱点を特定することがどの程度困難であるかを考慮しています。

これらの想定でランキングプロセスを構築することにより、非人間アイデンティティに関連するリスクを理解して対処するための明確で実用的なフレームワークを提供することを目指しています。