※ 本記事は、David B. Cross, Nancy Kramerによる”Security risk management essentials“を翻訳したものです。

2024年9月19日

このブログは、Oracle Global Information Security組織のシニア・ディレクタであるNancy Kramer氏が、SaaS Cloud Securityチームの主要パートナとして寄稿しています。

組織は、リスク管理をあらゆるレベルで戦略的計画と意思決定に組み込むことでメリットを得られます。クラウド・コンピューティング戦略をビジネス目標と連携させることで、組織は、効率的な投資および目標の達成が可能になります。効果的なリスク管理は、将来の状況を予見的に予測して対処し、必要に応じて組織の目標をサポートするのに役立ちます。

リスク管理とは?

国際標準化機構(ISO)は、リスクを「目標に対する不確実性の影響」と定義し、将来の出来事の可能性が組織の目標を達成する能力に与える影響を指します。イベントは、変更または変更の欠如である可能性があります。これは、単に計画外の状況を意味します。イベントは、さまざまな目標に有益または有害な影響を与える可能性があります。潜在的なイベントとして「セキュリティ・スタッフを5%増やす」ことを検討してください。このイベントは、セキュリティ目標の達成に有益ですが、必ずしもコスト管理の予算目標をサポートしているとは限りません。

リスク管理は、業務環境を監視し、組織が組織の目標に関連するリスクを特定、評価、対応する方法を指示する活動の継続的なサイクルです。効果的なリスク管理に取り組むための予備的なステップは、リスク管理方法を定義または選択することです。フレームワークはアクティビティによって異なりますが、最も基本的なレベルでは、リスク管理には次のアクティビティが含まれます:

  • 社内外の環境を監視して、将来の潜在的なイベントを特定します。
  • 将来起こりうるこれらのイベントの可能性と影響を評価し、リスク・スコアにつながります。
  • これらのリスクに対処し、スコアを使用してリスク治療アクションの優先順位付けと選択を支援します。

 

Workflow of risk management tasks: Identify risks, assess risks, and treat risks.

リスクの特定方法

短期および長期の目標を達成する組織の能力に影響を与える可能性のある潜在的なイベントのリストをコンパイルします。外部イベントには、安定または変化した顧客の需要、競争の激しい状況、サプライヤの製品とサービスのコストと可用性、地政学的環境、自然災害、市場勢力、技術革新、標準、経済、規制などがあります。外部イベントを予測するには、業界、重要なサプライヤおよび主要顧客の法的および業界のニュースを監視します。内部イベントを予想するため、人材、テクノロジー、ポリシー、ビジネスクリティカルなプロセス、買収、Go-to-Market戦略、エグゼクティブの方向性、組織の役割と責任に常に気を配ります。エンタープライズ・リソース・プランニング(ERP)アプリケーションの一般的なリスクは、ロールのプロビジョニング、権限、権限、およびロール変更時の変更管理の管理と監視がないことです。

リスクの評価

識別されたリスクを評価して、相対的な重要性を判断します。多くの場合、リスクは、潜在的イベントが発生した場合の影響を乗算した可能性または確率として計算されます。そのため、潜在的イベントに関連付けられたリスクを、発生の可能性または影響(あるいはその両方)を変更するアクティビティ別に処理できます。

Risk equals likelihood multiplied by impact.

リスクのスコアリングに一貫した方法を使用することで、効果的なリスク比較と治療計画をサポートします。可能性と影響の判断はいくらか主観的なものかもしれませんが、しきい値を含み、さまざまな可能性と影響レベルの例を提供する定義済みの方法論またはフレームワークは、リスク評価の決定の調整に役立ちます。関連する組織目標の優先順位によるスコアの調整など、必要に応じてこの基本方程式を変更します。リスク・スコアリングのオプションには、次の例があります:

  • 財務: 可能性および影響への金額値の割当
  • 定量的: 1-10または1-100のスケールなどの数値を発生の可能性と影響に割り当てます
  • Qualitative (定性): 低、中、高、クリティカルなどの値を発生の可能性と影響に割り当てます

リスクの処理

将来のイベントの影響を考慮して、目的を達成する可能性を向上させるためのアクションの選択と完了に重点を置きます。次のいずれかの方法を使用して、情報セキュリティ・リスクを処理するための適切な処置または対応オプションを使用して、リスクに対応します:

  • 転送: 高リスク機能のアウトソーシングや保険の購入など、サプライヤに関与します。
  • 軽減: アクセス制御の強化など、有害事象の可能性や影響を低減するコントロールを実装します。
  • 承諾: リスク・スコアがエグゼクティブ・リスク許容範囲ガイダンスの範囲内である場合、アクションを実行しません。
  • 回避: 特定の製品タイプを提供しないこと、特定の市場で運用しないこと、代替技術を使用することなど、リスクの発生源を除外することで、有害事象を防止します。

将来起こりうる出来事の中には、目標達成に役立つものもあります。組織は、既知のリスクおよび使用可能なデータに基づいて、プラスの影響およびイベントの可能性を高めるアクションを実装することをお薦めします。

リスク・トリートメントが完了したら、新しい可能性および影響の値を使用してリスク・スコアを再計算します。リスク治療を実施した後のリスク・レベルは残存リスクです。リスクが受け入れられた場合、再計算は不要です。

リスク管理のまとめ

組織の目標を明確化します。社内外の環境を監視して、将来の潜在的なイベントを特定します。可能性のあるイベントの発生の可能性と影響を評価し、組織統制のコンテキストでこれらのスコアを調整して、残存リスク・レベルを計算することで、リスク・スコアを評価します。残存リスクをエグゼクティブ・ガイダンスに沿ったものにするためのリスク・トリートメントを選択し、実施します。

エンタープライズ・リスク管理プログラムでは、継続的なフィードバック・ループを使用することをお薦めします。たとえば、考慮が必要な新しい潜在的イベントや、リスク・トリートメントの適用後にイベントの発生の可能性または影響スコアを変更する必要があることを検出します。また、組織コントロールが予想よりも強力または弱いこともわかります。

The risk management workflow with examples of implementation methods.

Oracle Risk Management and Complianceクラウド

Oracle Risk Management and Complianceは、Oracle Fusion Cloud Enterprise Resource Planning (ERP)内のモジュールで、リスクを管理し、コンプライアンス、プライバシ目標および規制要件の達成を支援するように設計されています。Oracle Risk Managementは、Oracle ERP Cloudのセキュリティ、構成およびトランザクションの分析、監視および制御を自動化できます。Oracle Risk Managementは、データ・サイエンスとAI技術を使用して、制限された役割の設計、機密構成の監視、疑わしいトランザクションの検出を支援し、支払いの不正やエラーなどのリスクから保護します。Fusionアプリケーション内でセキュリティ・リスク管理を拡張する方法についてさらに学習するには、Oracle Goウェビナーで、Fusion Risk Managementサービスが機械学習対応ソリューションを提供する方法を確認してください。

リスク管理リソース

Oracle Trust Centerにアクセスすることで、Oracleのセキュリティ管理、プライバシ・ポリシー、コンプライアンス・アテステーションが組織のセキュリティ・リスク管理およびコンプライアンスのニーズをどのようにサポートできるかをご覧ください。次の業界および標準ボディ・リソースも、プランニングおよび評価に役立ちます: