- 業務や事業が拡大した時
- アラートの分析をしていて情報が足りないな、と感じた時
- 一度監視し始めたアラートを監視対象から除外するのは結構勇気がいる
- 「何かあったらどうするんだ」理論
- たしかに全く関係ない誤検知アラートの分析の過程で本当にまずいアラートが見つかるケースも極稀にある
- しかしそれは莫大なコストが裏につみあがっているのを忘れてはいけない
- 基本的にリスクではない、と判定したものは継続的に見ないようにする
- 判断に迷う要素があるとしたら、その情報もちゃんと取得して組み合わせるようにする
- 偶発的に発見されることに期待するのではなく、ちゃんとそれを見つけるためのスキーマを整える