論文の概要: Mitigate or Fail: How Risk Management Shapes Cybersecurity Competency
- arxiv url: http://arxiv.org/abs/2604.21604v1
- Date: Thu, 23 Apr 2026 12:27:03 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-04-24 14:40:06.492333
- Title: Mitigate or Fail: How Risk Management Shapes Cybersecurity Competency
- Title(参考訳): Mitigate or Fail: リスク管理がサイバーセキュリティの能力をいかに形作るか
- Authors: Jeffrey T. Gardiner,
- Abstract要約: すべての TKS 文に "Likelihood" と "probability" がゼロ回現れる。
NICEは脅威管理活動をコーデレートし、主にカテゴリーレベルでリスクを喚起する。
サイバーセキュリティは 危険語彙を借用した 脅威管理の専門分野として 専門的な立場を取っています
- 参考スコア(独自算出の注目度): 0.0
- License: http://creativecommons.org/licenses/by-nc-sa/4.0/
- Abstract: Contemporary cybersecurity governance assumes that professionals apply risk reasoning. Yet major organisational failures persist despite investment in tools, staffing, and credentials. This study investigates the structural source of that paradox. Cybersecurity speaks the language of risk, but its training architecture has shaped the profession to think in terms of threats. A sequential mixed-methods design integrated four analyses; NLP of the NIST NICE Framework v2.0.0 (2,111 TKS statements), SEM (n = 126 cybersecurity professionals), a control-group comparison (n = 133 general professionals), and thematic coding of seven leadership interviews. Four convergent findings emerged. First, "likelihood" and "probability" appear zero times across all TKS statements. Risk management content accounts for 4.5% of high-confidence semantic classifications, ranking 18th of 29 competency domains. NICE codifies threat-management activity while invoking risk mainly at the category level. Second, SEM showed that training exposure significantly predicts risk management competence directly and indirectly through conceptual salience, for a total effect of Beta = .629. However, the theoretically four-dimensional competence construct collapsed into a single factor, indicating epistemic compression. Third, cybersecurity professionals showed no measurable advantage over the general professional population in foundational risk reasoning; only 11.9% showed high differentiation. Fourth, all seven leaders expected Likelihood x Impact reasoning, yet five did not articulate the formula themselves. These findings support a structural conclusion: cybersecurity has taken professional form as a threat-management discipline that has borrowed risk vocabulary. Remediation requires redesign of professional formation, not marginal curriculum reform.
- Abstract(参考訳): 現代のサイバーセキュリティガバナンスは、専門家がリスク推論を適用することを前提としている。
しかし、ツールやスタッフ、資格情報への投資にもかかわらず、大きな組織的失敗は続きます。
本研究では,そのパラドックスの構造源について検討する。
サイバーセキュリティはリスクの言語を語っていますが、そのトレーニングアーキテクチャは脅威の観点から考えるための専門職を形成しています。
NIST NICE Framework v2.0.0 (2,111 TKS文)、SEM (n = 126 サイバーセキュリティ専門家)、制御グループ比較 (n = 133 一般専門家)、および7つのリーダーシップインタビューのテーマコーディングの4つの分析を統合した。
4つの結論が得られた。
まず、"likelihood" と "probability" はすべての TKS 文で 0 回現れる。
リスク管理コンテンツは、高信頼なセマンティック分類の4.5%を占め、29の能力ドメインのうち18位にランクインしている。
NICEは脅威管理活動をコーデレートし、主にカテゴリーレベルでリスクを喚起する。
第2に、SEMはリスク管理能力を直接的かつ間接的に予測し、ベータ = .629の合計効果を示すことを示した。
しかし、理論上は4次元のコンピテンス構造は1つの要素に崩壊し、てんかんの圧縮を示す。
第三に、サイバーセキュリティの専門家は、基本的リスク推論において一般のプロの人口に対して測定可能な優位性を示しておらず、11.9%しか差別化が進んでいない。
第4に、7人の指導者が「いいね!」 x インパクト」の推論を期待したが、5人だけでは公式は定式化されなかった。
サイバーセキュリティは、リスク語彙を借用した脅威管理の分野として、プロフェッショナルな形態を取っている。
修復には専門的な構成の再設計が必要であり、限界的なカリキュラム改革は必要ではない。
関連論文リスト
- SkillProbe: Security Auditing for Emerging Agent Skill Marketplaces via Multi-Agent Collaboration [22.680481305584028]
SkillProbeはマルチエージェントコラボレーションによって駆動されるマルチステージセキュリティ監査フレームワークである。
ClawHubから2500の現実世界スキルを対象とした8つの主流シリーズを用いた大規模評価を行った。
私たちの結果は、ダウンロードボリュームが信頼できるプロキシのセキュリティ品質ではないという、重大な人気セキュリティのパラドックスを明らかにしました。
論文 参考訳(メタデータ) (2026-03-22T02:31:27Z) - The Missing Half: Unveiling Training-time Implicit Safety Risks Beyond Deployment [148.80266237240713]
暗黙のトレーニング時間安全リスクは、モデルの内部インセンティブとコンテキスト背景情報によって引き起こされる。
5つのリスクレベル、10つのきめ細かいリスクカテゴリ、3つのインセンティブを持つ分類を導入した。
我々の結果は、過度に見過ごされているが、訓練における緊急の安全上の課題を特定します。
論文 参考訳(メタデータ) (2026-02-04T04:23:58Z) - Toward Quantitative Modeling of Cybersecurity Risks Due to AI Misuse [50.87630846876635]
我々は9つの詳細なサイバーリスクモデルを開発する。
各モデルはMITRE ATT&CKフレームワークを使用して攻撃をステップに分解する。
個々の見積もりはモンテカルロシミュレーションによって集約される。
論文 参考訳(メタデータ) (2025-12-09T17:54:17Z) - Standardized Threat Taxonomy for AI Security, Governance, and Regulatory Compliance [0.0]
ランゲージ障壁」は、現在、アルゴリズム上の脆弱性に焦点を当てた技術セキュリティチームと、規制義務に対処する法律やコンプライアンスの専門家を分離している。
本研究は、量的リスクアセスメント(QRA)のために明示的に設計された構造的オントロジーであるAIシステム脅威ベクトル分類法を提案する。
このフレームワークは、AI固有のリスクを9つの重要なドメインに分類する: ミスス、ポジショニング、プライバシ、アドリアム、バイアス、信頼できないアウトプット、ドリフト、サプライチェーン、IPThreat。
論文 参考訳(メタデータ) (2025-11-26T20:42:46Z) - Making LLMs Reliable When It Matters Most: A Five-Layer Architecture for High-Stakes Decisions [51.56484100374058]
現在の大規模言語モデル(LLM)は、実行前にアウトプットをチェックできるが、不確実な結果を伴う高い戦略決定には信頼性が低い検証可能な領域で優れている。
このギャップは、人間と人工知能(AI)システムの相互認知バイアスによって引き起こされ、そのセクターにおける評価と投資の持続可能性の保証を脅かす。
本報告では、7つのフロンティアグレードLDMと3つの市場向けベンチャーヴィグネットの時間的圧力下での系統的質的評価から生まれた枠組みについて述べる。
論文 参考訳(メタデータ) (2025-11-10T22:24:21Z) - Internal Vulnerabilities, External Threats: A Grounded Framework for Enterprise Open Source Risk Governance [11.431576667955268]
従来のリスク管理は、技術的なツールに焦点を絞ったものだった。
目的 ->脅威 ->脆弱性 ->緩和 (OTVM)
これは単なる技術的チェックリストを超越する全体論的決定モデルを提供する。
論文 参考訳(メタデータ) (2025-10-29T18:27:42Z) - Intolerable Risk Threshold Recommendations for Artificial Intelligence [0.2383122657918106]
フロンティアAIモデルは、公共の安全、人権、経済の安定、社会的価値に深刻なリスクをもたらす可能性がある。
リスクは、意図的に敵の誤用、システム障害、意図しないカスケード効果、複数のモデルにまたがる同時障害から生じる可能性がある。
16のグローバルAI産業組織がFrontier AI Safety Commitmentsに署名し、27の国とEUは、これらのしきい値を定義する意図を宣言した。
論文 参考訳(メタデータ) (2025-03-04T12:30:37Z) - Criticality and Safety Margins for Reinforcement Learning [53.10194953873209]
我々は,定量化基盤真理とユーザにとっての明確な意義の両面から,批判的枠組みを定めようとしている。
エージェントがn連続的ランダム動作に対するポリシーから逸脱した場合の報酬の減少として真臨界を導入する。
我々はまた、真の臨界と統計的に単調な関係を持つ低オーバーヘッド計量であるプロキシ臨界の概念も導入する。
論文 参考訳(メタデータ) (2024-09-26T21:00:45Z) - From Mean to Extreme: Formal Differential Privacy Bounds on the Success of Real-World Data Reconstruction Attacks [54.25638567385662]
機械学習における微分プライバシーは、しばしばメンバーシップ推論に対する保証として解釈される。
DP予算を定量的な保護に翻訳することで、データ再構築の脅威を悪化させることは、依然として困難な課題である。
本稿では、実証された"ゼロスクラッチ"攻撃のメカニズムに合わせた、最初の公式なプライバシー境界を導出することで、臨界ギャップを埋める。
論文 参考訳(メタデータ) (2024-02-20T09:52:30Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。