TechNet セキュリティ > ポリシーと手順

セキュリティ リスク管理ガイド

第 3 章 : セキュリティ リスク管理の概要

公開日: 2005年1月13日

この章は、このガイドで、マイクロソフトのセキュリティ リスク管理プロセスの全体的な概要を最初に紹介する章です。 概要を紹介した後、プロセスを展開する過程で参照できるいくつかの項目について検討します。 これらの項目を参照すると、優れたセキュリティ リスク管理プログラムのための強固な基盤を用意することができます。これには次のような項目があります。

リスク管理をリスク評価と区別する。

リスクを効率的に伝える。

現在のリスク管理方法の成熟度を評価する。

役割と責任を定義する。

また、リスク管理は、企業の上層部がビジネスを監視し情報を得た上での決断を行うためのより大きな統治プログラムの一部にすぎないことも、忘れないようにしてください。 統治プログラムは非常に多様ですが、すべてのプログラムで、セキュリティ リスクの優先順位を付けて軽減対策を行う構造化されたセキュリティ リスク管理コンポーネントが必要です。 マイクロソフトのセキュリティ リスク管理プロセスの概念を統治プログラムに適用することで、リスクを定義して許容可能なレベルまで管理することができるようになります。

トピック
マイクロソフト セキュリティ リスク管理プロセスの 4 つのフェーズマイクロソフト セキュリティ リスク管理プロセスの 4 つのフェーズ
要約要約

マイクロソフト セキュリティ リスク管理プロセスの 4 つのフェーズ

「第 2 章 セキュリティ リスク管理方法の概観」では、マイクロソフトのセキュリティ リスク管理プロセスについて紹介し、リスク管理を 4 つの主要なフェーズによる進行プロセスと定義しました。

1.

リスクの評価 — ビジネスに対するリスクを特定して、優先順位を付けます。

2.

意思決定支援の実行 — 定義された費用対利益分析に基づいて、制御ソリューションを特定して評価します。

3.

制御の実装 — 制御ソリューションを展開および運用して、ビジネスに対するリスクを軽減します。

4.

プログラムの効果の測定 — リスク管理プロセスの効果を分析して、制御によって必要な保護が行われていることを確認します。

要約すると、上記 4 段階のリスク管理のサイクルが、マイクロソフトのセキュリティ リスク管理のプロセスであり、このガイドの内容もすべて、このサイクルに従って説明されています。

ただし、マイクロソフト セキュリティ リスク管理プロセス内の具体的な方法を定義する前に、より大きなリスク管理プロセスとそのコンポーネントを理解することが重要です。 サイクルの各フェーズには、複数の詳細な手順が含まれています。 次の一覧は各手順の概略を示したもので、これを参照すると、このガイドの各フェーズの重要性を全体的に理解することができます。

「リスクの評価」フェーズ

データ収集計画の策定 — 成功への鍵を検討して準備のためのガイダンスを提供します。

リスク データの収集 — データ収集のプロセスおよび分析の概略を示します。

リスクの優先順位付け — リスクの定性化および定量化を行う規範的な手順の概略を示します。

「意思決定支援の実行」フェーズ

機能要件の定義 — リスクを軽減する機能要件を定義します。

可能な制御ソリューションの選択 — 対策ソリューションを特定する方法の概略を示します。

ソリューションの確認 — 提案された制御を機能要件と比較して評価します。

リスク削減の評価 — リスクの危険度または確率が軽減される割合の把握に努めます。

ソリューション コストの見積もり — 対策ソリューションに関連する直接コストおよび間接コストを評価します。

軽減戦略の選択 — 費用対利益分析を実行して、費用対効果に最も優れた対策ソリューションを特定します。

「制御の実装」フェーズ

総合的な手法の探求 — 人材、プロセス、およびテクノロジを対策ソリューションに組み込みます。

多層防御による編成 — ビジネス全体に適用されるように対策ソリューションを編成します。

「プログラムの効果の測定」フェーズ

リスク スコアカードの作成 — リスクの状況および進捗を把握します。

プログラムの効果の測定 — リスク管理プログラムを評価して、適宜改善を行います。

次の図は、各フェーズと関連する手順を示したものです。

図 3.1 マイクロソフト セキュリティ リスク管理プロセス

図 3.1 マイクロソフト セキュリティ リスク管理プロセス
拡大表示する

このガイドの以降の章では、マイクロソフト セキュリティ リスク管理プロセスの各フェーズについて順番に説明します。 ただし、このプロセスを実行する前に、いくつかの項目を事前に検討する必要があります。

労力レベル

組織がリスク管理に比較的慣れていない場合は、マイクロソフト セキュリティ リスク管理プロセスの中で通常セキュリティ リスク管理チームに最も大きな労力が要求される手順を検討しておくと便利です。 次の図は、プロセス全体にわたる相対的な労力の度合いを示したもので、マイクロソフトの IT 部門内で実行されたリスク管理活動に基づいています。 この全体図は、リスク管理に慣れていない組織に全体的なプロセスと期限を説明する際に利用できます。 相対的に示された労力レベルを参照して、全体的なプロセスのあるポイントで時間がかかりすぎる事態を防ぐこともできます。 プロセス全体の労力レベルを要約すると、データ収集には中程度の労力、概要分析には低い労力、詳細なリスク一覧の作成および意思決定支援プロセスの実行には高い労力が必要なことが、この図からわかります。 タスクとそれに関連する労力を示した他の資料については、Tools フォルダにあるサンプル プロジェクト スケジュール、SRMGTool4-Sample Project Schedule.xls を参照してください。 このガイドの残りの章では、下の図の各手順について、さらに詳細に説明します。

図 3.2 マイクロソフト セキュリティ リスク管理プロセス中の相対的な労力レベル

図 3.2 マイクロソフト セキュリティ リスク管理プロセス中の相対的な労力レベル
拡大表示する

マイクロソフト セキュリティ リスク管理プロセスの基盤を固める

セキュリティ リスク管理への取り組みを開始する前に、マイクロソフト セキュリティ リスク管理プロセスの基本となる前提知識およびタスクをしっかりと理解することが重要です。それには次のものがあります。

リスク管理とリスク評価の違いを知る。

リスクを明確に通知する。

組織のリスク管理の成熟度を判定する。

プロセスの役割と責任を定義する。

リスク管理と リスク評価

第 2 章で説明したように、"リスク管理" という用語と "リスク評価" という用語は代わりに使用できるものではありません。 マイクロソフトのセキュリティ リスク管理プロセスでは、"リスク管理" は、ビジネス全体で許容可能なレベルにリスクを管理する全体的なプロセスと定義されています。 "リスク評価" は、ビジネスに対するリスクを特定して優先順位を付けるプロセスと定義されています。 上の図で概要を説明したように、リスク管理は、リスクの評価、意思決定支援の実行、制御の実装、およびプログラムの効果の測定の 4 つのフェーズで構成されています。 リスクの評価は、マイクロソフトのセキュリティ リスク管理プロセスでは、より大きなリスク管理サイクル内の「リスクの評価」フェーズのみを指します。

リスク管理とリスク評価のもう 1 つの違いは、各プロセスの開始頻度です。 リスク管理は、進行中のサイクルとして定義されますが、通常は定期的な間隔で再起動され、管理プロセスの各段階でデータが更新されます。 リスク管理プロセスは、通常のビジネス プロセスを制御するためのさまざまな予算要求の時期を合わせるために、通常は組織の財務会計サイクルに足並みを揃えます。 新しい制御ソリューションを年間予算サイクルに合わせるために、リスク管理プロセスの間隔は 1 年に設定されるのが最も一般的です。

リスク評価は、リスク管理プロセスの必要とされる個別のフェーズですが、情報セキュリティ グループは、現状のリスク管理フェーズまたは予算サイクルとは関係なく複数のリスク評価を実行する場合があります。 情報セキュリティ グループは、新しいビジネス慣習の導入や脆弱性の発見、インフラストラクチャの変更など、ビジネス内でセキュリティ関連の変更が発生する可能性がある場合はいつでも、リスク評価を開始します。 このように頻繁に行われるリスク評価は、多くの場合 ad-hoc リスク評価、または範囲限定リスク評価と呼ばれ、公式なリスク管理プロセスの補足と考えられています。 ad-hoc 評価では、通常、ビジネス内のリスクの 1 つの領域に重点が置かれ、リスク管理プロセス全体と同量のリソースは必要とされません。 「付録 A: ad-hoc 評価」では、ad-hoc リスク評価の概要が説明されており、テンプレートの例を参照することができます。

表 3.1: リスク管理と リスク評価

 リスク管理リスク評価

目標

ビジネス全体のリスクを許容可能なレベルに管理する

リスクを特定して優先順位を付ける

サイクル

全部で 4 つのフェーズにまたがる全体的なプログラム

リスク管理プログラムの 1 フェーズ

スケジュール

進行中

必要時

調整

予算サイクルに合わせる

なし

リスクを通知する

リスク管理プロセスのさまざまな関係者が、"リスク"という用語を異なる意味合いで定義していることがよくあります。 リスク管理サイクルのすべての段階で一貫性を確保するために、マイクロソフト セキュリティ リスク管理プロセスでは、関係者はリスクという用語を 1 つの定義で理解してこれに同意することが必要です。 「第 1 章 セキュリティ リスク管理ガイドの紹介」で定義したように、リスクとは、ビジネスに発生する影響の確率です。 この定義には、影響ステートメント、および影響発生時期の予測つまり影響の確率が含まれる必要があります。 リスク ステートメントにこの両方の要素 (確率と影響) が含まれる場合、プロセスでは、これを "正しいフォームのリスク ステートメント" と呼びます。 リスクの複雑な性質の一貫した理解を確保するために、この用語を役立ててください。 次の図は、最も基本的なレベルでリスクを説明したものです。

図 3.3 正しいフォームのリスク ステートメント

図 3.3 正しいフォームのリスク ステートメント
拡大表示する

リスク管理プロセスに関与するすべての人間が、リスクの定義の各要素に内在する複雑さを理解する必要があります。 リスクを完全に理解することによってのみ、企業はリスクを管理するときに具体的なアクションを取ることができます。 たとえば、ビジネスへの影響を定義するには、影響を受ける資産、発生する可能性のある損害の種類、および資産に対する損害の範囲に関する情報が必要です。 次に、影響が発生する確率を判定するには、それぞれの影響が発生する経緯、現在の制御環境のリスクの確率の削減への効果を理解する必要があります。

次のリスク ステートメントでは、「第 1 章 セキュリティ リスク管理ガイドの紹介」で定義した用語を使用して、影響および影響の確率という両方の要素を示すガイダンスが示されています。

リスクとは、現在の環境で脆弱性が悪用され、資産の機密性、完全性、または可用性の一定程度の損失につながる確率のことです。

マイクロソフト セキュリティ リスク管理プロセスでは、各リスクの損失の確率と程度を絶えず通知および計測するツールが用意されています。 このガイドの各章では、正しいフォームのリスク ステートメントの各コンポーネントを作成して、ビジネス全体にわたるリスクを特定して優先順位を付けるプロセスを順を追って説明します。 次の図は、前述した基本のリスク ステートメントに基づいて、リスクの各要素の関係を示したものです。

図 3.4 正しいフォームのリスク ステートメントのコンポーネント

図 3.4 正しいフォームのリスク ステートメントのコンポーネント
拡大表示する

リスク ステートメントで影響の範囲と確率の程度を通知するため、マイクロソフト セキュリティ リスク管理プロセスでは、高、中、低などの相対的な用語を使用して優先順位付けを開始します。 この基本用語を使用するとリスク レベルを容易に選択できますが、費用対利益分析を実行して最も効率的な対策オプションを選択する場合に必要な詳細な内容のものは、これでは用意できません。 基本的な定性的手法のこの弱点を解決するため、プロセスでは、リスクの詳細レベルの比較を作成するツールを提供しています。 プロセスにはまた、制御の選択のための費用対利益分析に役立つ定量属性も組み込まれています。

リスク管理の統制では一般的に、高、中、低など、ビジネスに対するリスクの定性的な定義を考慮に入れないことが多いという欠点があります。 多くのリスクは、セキュリティ リスク管理プログラムで特定されます。 マイクロソフト セキュリティ リスク管理プロセスでは、リスクの定性的および定量的な評価を一貫して適用するガイダンスが提供されますが、特定のビジネス用語で示されるそれぞれの値の意味を定義する責任は、セキュリティ リスク管理チームにあります。 たとえば、ビジネスに対する高いリスクは、1 年以内に脆弱性が発生して、組織のほとんどの重要な知的財産の完全性の損失につながることを意味する場合があります。 セキュリティ リスク管理チームは、正しいフォームのリスク ステートメントの各要素の定義を入力する必要があります。 次の章では、リスク レベルの定義に関する規範的なガイダンスを紹介します。 これを参照して、固有のビジネスのリスク レベルを定義することができます。 このプロセスにより実行が容易になり、プロセス全体にわたる一貫性と可視性の達成に役立てることができます。  

組織のリスク管理の成熟レベルを判定する

組織は、マイクロソフトのセキュリティ リスク管理プロセスを実装する前に、セキュリティ リスク管理に関する成熟度を調査する必要があります。 セキュリティ リスク管理に関連する公式なポリシーまたはプロセスが存在しない場合、プロセスのすべてを一度に実行することはきわめて困難です。 ほとんどの従業員が適正に従う公式なポリシーおよびガイドラインが存在する組織でさえ、このプロセスには対処しきれないと判明する可能性があります。 このような理由から、自分の組織の成熟度を見積もることが重要です。 組織の成熟度がまだ比較的高くないと判明した場合は、1 つのビジネス ユニットに試験的に導入してサイクルを数回実行するという手段で、プロセスを数か月にわたって段階的に導入することを希望する場合があります。 セキュリティ リスク管理チームは、このパイロット プログラムによってマイクロソフトのセキュリティ リスク管理プロセスの効果を実証した後、組織全体で使用されるようになるまで、プロセスを他のビジネス ユニットに徐々に導入していくことができます。

組織の成熟レベルを判定する方法を紹介します。 IT Governance Institute (ITGI) には、CobiT (Control Objectives for Information and related Technology) の一部として IT ガバナンスの成熟度モデルがあります。 自分の組織の成熟レベルを判定する詳細な方法として、CobiT を入手して参照してください。 マイクロソフト セキュリティ リスク管理プロセスでは、CobiT で使用されている要素がまとめられており、マイクロソフト サービスが開発したモデルにも基づく簡易アプローチが紹介されています。 ここで説明されている成熟レベルの定義は、ISO (International Standards Organization) の「Information technologyCode of practice for information security management」(別名 ISO 17799) に基づくものです。

次の表に記載されている定義と比較すると、組織の成熟レベルを見積もることができます。

表 3.2: セキュリティ リスク管理の成熟レベル

レベル状態定義

0

なし

ポリシー (またはプロセス) が文書化されておらず、過去において組織は、このリスク管理に関連するビジネス リスクを認識していません。 したがって、問題に関しては何も通知されていません。

1

ad-Hoc

組織の一部のメンバが、リスク管理に価値があると結論したことは明らかです。 しかし、リスク管理の労力は、ad-hoc 方式で実行されます。 文書化されたプロセスまたはポリシーはなく、プロセスを完全に反復することはできません。 全体的に見て、リスク管理プロジェクトは混乱し整理されておらず、結果に対して測定も監査も行われていません。

2

反復可能

組織全体にリスク管理についての認識があります。 リスク管理プロセスは反復可能ですが、成熟度はそれほど高くありません。 プロセスは完全に文書化されていませんが、活動は定期的に発生し、組織は経営陣も関与する包括的なリスク管理プロセスの確立に向けて動いています。 リスク管理に関して、公式なトレーニングまたは通知はありません。実装の責任は個々の従業員にあります。

3

定義済みのプロセス

組織は、情報セキュリティ プログラムを推進するために、リスク管理を誠心誠意をもって採用することを公式に決定しています。 ベースラインとなるプロセスが作成され、そこでは、成功を達成し評価するための文書化されたプロセスにより目標が明確に定義されています。 また、スタッフ全員が基本的なリスク管理トレーニングを利用できます。 最後に、組織は積極的に文書化されたリスク管理プロセスを実装しています。

4

管理対象

組織の全レベルでリスク管理が完全に理解されています。 リスク管理手順が存在し、プロセスが正しく定義され、認識が広く浸透し、厳しいトレーニングを利用でき、複数の初期測定フォームが用意されていて効果を判定します。 十分なリソースがリスク管理プログラムに割り当てられ、組織の多くの部分がその利点を享受しています。そして、セキュリティ リスク管理チームは継続的にプロセスとツールを改善することができます。 リスク管理を支援する技術的なツールは一部使用されていますが、ほとんどではないとしても多くのリスク評価、制御の特定、および費用対利益分析の手順が、手動で行なわれています。

5

最適化

組織は、かなりのリソースをセキュリティ リスク管理に割り当て、スタッフ メンバは将来を見据えて、何か月または何年も先の問題とソリューションを明確にします。 リスク管理プロセスは正しく理解され、ツール (社内開発ツールまたは独立系ソフトウェア ベンダから入手したツール) の使用により大幅に自動化されています。 すべてのセキュリティの問題の根本原因が特定され、リスクの再発を最小化する適切な措置が取られます。 広範囲なレベルの専門知識のトレーニングがスタッフに提供されます。

組織のリスク管理成熟レベルの自己評価

次の質問の一覧を利用すると、組織の成熟レベルをさらに厳密に測定することができます。 質問から導き出される回答は主観的なものですが、それぞれの回答を誠実に検討することで、マイクロソフト セキュリティ リスク管理プロセスを実装する準備が組織にどの程度できているかを判定できます。 0 点〜 5 点の評価で組織の点数を付けます。上述の成熟レベルの定義をガイドとして使用してください。

1.

情報セキュリティのポリシーと手順は、明確、簡潔で、正しく文書化され、完成している。

2.

情報セキュリティに関わる作業責任を持つすべてのスタッフに、明確でわかりやすい役割と責任がある。

3.

ビジネス データへのサード パーティのアクセスをセキュリティ保護するポリシーと手順が正しく文書化されている。 たとえば、内部ビジネス ツールのアプリケーション開発を行っているリモート ベンダは、効率的に共同作業を行い仕事を完了できるようにネットワーク リソースへのアクセス権を持っているが、必要最小限のアクセス権しか持っていない。

4.

ハードウェア、ソフトウェア、データ レポジトリなどの情報技術 (IT) 資産のインベントリは、正確かつ最新である。

5.

部外者および内部関係者の両方による不正アクセスからビジネス データを保護するために、適切な制御が設定されている。

6.

情報セキュリティのポリシーと実践に関するトレーニングやニュースレターなど、ユーザーの意識を向上する有効なプログラムが設定されている。

7.

コンピュータ ネットワークおよびその他の IT 資産への物理的なアクセスは、効果的な制御を使用することで制限されている。

8.

新しいコンピュータ システムは、組織のセキュリティ標準に従い、ディスク イメージングやビルド スクリプトなどの自動化ツールを使用して標準的な方法でプロビジョニングされている。

9.

効果的なパッチ管理システムにより、ほとんどのベンダからのソフトウェア更新を組織内の大半のコンピュータ システムに自動的に配布できる。

10.

インシデント対応チームが創設され、セキュリティ インシデントの取り扱いおよび追跡に関する効果的なプロセスが開発されて文書化されている。 すべてのインシデントは、根本原因が特定され問題が解決されるまで、調査される。

11.

多層防御、ユーザー意識向上トレーニング、ウイルス感染の拡大に対応する効果的なプロセスなど、包括的なウイルス対策プログラムが組織にある。

12.

ユーザー プロビジョニング プロセスが正しく文書化され、少なくとも一部は自動化されているため、新しい従業員、ベンダ、およびパートナーに組織の情報システムへの適切なレベルのアクセス権をタイムリーに提供することができる。 このプロセスではまた、不要になったユーザー アカウントの無効化と削除にもタイムリーに対応できる。

13.

コンピュータおよびネットワークへのアクセスは、ユーザー認証および承認、データの制限付きアクセス制御リスト、およびポリシー違反の予防的監視によって制御されている。

14.

アプリケーション開発者は、ソフトウェア作成およびコードの品質保証テストのセキュリティ標準に関する教育を受け、その内容を明確に認識している。

15.

ビジネスの継続性およびビジネス継続性プログラムは、明確に定義され、正しく文書化され、シミュレーションおよびドリルにより定期的にテストされている。

16.

すべてのスタッフが法的要件に準拠した形で作業タスクを実行することを保証するプログラムが開始され、かつ有効に働いている。

17.

サード パーティの評価および監査により、セキュリティ ビジネス資産の標準慣行に準拠していることの確認が定期的に行われている。

上記の項目すべての点数を合計して、組織の点数を算出してください。 理論上は、合計点数は 0 点から 85 点の範囲となりますが、この最低点または最高点になる組織はあまりありません。

51 点以上なら、組織はマイクロソフト セキュリティ リスク管理プロセスをすべて導入して活用する準備ができています。 34 点から 50 点の場合、組織はセキュリティ リスクを制御する有効な手段を多数実行しており、段階的にプロセスを導入する準備ができています。 この点数の組織は、組織全体にプロセスを適用する前に、数か月間少数のビジネス ユニットにプロセスをロールアウトすることを検討してください。 34 点未満の組織は、マイクロソフト セキュリティ リスク管理プロセスの開始をきわめて慎重に検討する必要があります。そのためには、中心となるセキュリティ リスク管理チームを創設し、最初の数か月間はプロセスを 1 つのビジネス ユニットに適用します。 プロセスを使用することでそのビジネス ユニットのリスクが無事低減され、その価値が実証されたら、別の 2 つか 3 つのビジネス ユニットに可能な限りプロセスを拡張します。 プロセスによって導入される変化は大きなものになる可能性があるため、移行はそのまま慎重に続けてください。 組織が混乱して、任務を効率的に遂行する機能に支障が発生するような事態は避ける必要があります。 この点に関しては、最善の判断をしてください。保護しないままになっているシステムはすべて、セキュリティおよび賠償リスクになる可能性があります。自分のシステムについては、自分の知識がベストです。 急を要するため、慎重な移行という推奨を無視して迅速な移行を行う場合は、そうしてもかまいません。

パイロット プログラムの使用対象とするビジネス ユニットについては、慎重に検討する必要があります。 検討すべき問題として、そのビジネス ユニットにとってのセキュリティの重要性があります。この場合、セキュリティは、情報とサービスの可用性、完全性、および機密性という意味で定義されます。 たとえば、次のような疑問が挙がります。

そのビジネス ユニットのセキュリティ リスク管理成熟レベルは、組織に比べて平均以上か?

ビジネス ユニットの責任者は、積極的にプログラムをサポートしているか?

そのビジネス ユニットでは、組織内でも高いレベルの可視性を実現しているか?

マイクロソフト セキュリティ リスク管理プロセスのパイロット プログラムが正しく働いた場合、その価値が組織の他部署に効果的に通知されるか?

プログラム拡張対象のビジネス ユニットを選択する際にも、同じ問題を検討してください。

注 : 米国立標準技術研究所 (NIST) では、成熟レベルの判断に役立つ IT 自己評価の別のサンプルを提供しています。http://csrc.nist.gov/ (英語) の「特別公報 (special publication) 800-26」を参照してください。

役割と責任を定義する

リスク管理プログラムを成功させるためには、グループ間の協業および責任の分割化が必要です。役割と責任の明確化は、リスク管理プログラムの重要な成功要因です。 次の表は、マイクロソフト セキュリティ リスク管理プロセスの全体を通して使用される主な役割と責任を示したものです。

表 3.3: マイクロソフト セキュリティ リスク管理プロセスの主な役割と責任

名称主な責任

エグゼクティブ スポンサー

開発、資金供与、承認、セキュリティ リスク管理チームのサポートなど、ビジネスに対するリスクの管理に関連するすべての活動を後援します。 この役割は、通常、セキュリティ管理者または最高情報責任者などの経営幹部が引き受けます。 この役割は、ビジネスに対して許容可能なリスクを定義する最終エスカレーション先としても機能します。

事業主

事業の有形および無形資産に責任を持ちます。 事業主は、ビジネス資産の優先度の設定および資産への影響レベルの定義に対しても責任があります。 事業主は、通常、許容可能なリスク レベルの定義に対して責任がありますが、情報セキュリティ グループからのフィードバックを視野に入れた最終決断を行う権限はエグゼクティブ スポンサーにあります。

情報セキュリティ グループ

「リスクの評価」フェーズおよび「プログラムの効果の測定」フェーズなど、より大きなリスク管理プロセスを担当します。 また、機能セキュリティ要件を定義し、IT 制御およびセキュリティ リスク管理プログラムの全体的な効果を測定します。

情報技術 (IT) グループ

IT アーキテクチャ、エンジニアリング、および運用を含みます。

セキュリティ リスク管理チーム

全体的なリスク管理プログラムの推進に責任を負います。 また、「リスクの評価」フェーズおよびビジネスに対するリスクの優先順位付けにも責任を持ちます。 最低でも、チームは進行担当者と記録担当者で構成されます。

リスク評価進行担当者

セキュリティ リスク管理チームの主導的役割として、データ収集計画を検討する会議を行います。 この役割は、リスク管理プロセス全体もリードする場合があります。

リスク評価記録担当者

データ収集計画の検討会議中、詳細なリスク情報を記録します。

対策責任者

リスクを許容可能なレベルまで管理する制御ソリューションを実装、維持する責任を持ちます。 IT グループ、場合によっては事業主が含まれます。

セキュリティ運営委員会

セキュリティ リスク管理チーム、IT グループの代表者、および特定の事業主から構成されています。 エグゼクティブ スポンサーも、通常、この委員会に属します。 軽減戦略を選択し、ビジネスに対して許容可能なリスクを定義する責任があります。

関係者

特定のプロセスまたはプログラムの直接的および間接的な参加者を示す一般用語です。この用語は、マイクロソフト セキュリティ リスク管理プロセス全体で使用されます。 関係者には、財務、公報、人事など、IT 以外のグループも含まれる場合があります。

セキュリティ リスク管理チームは、リスク管理プロセスで、自分の役割を完全に理解していない可能性がある初めての参加者に出会うことになります。 必ず、プロセスの概要を説明し参加者を紹介する機会を作ってください。 合意を形成して、すべての参加者がリスクの管理に責任があるという事実を明確にすることが目的です。 次の図は、主な参加者をまとめて大まかな関係を示したものです。この図を利用すると、上で定義した役割と責任を通知する場合に役立ちます。また、リスク管理プログラムの概要の説明にもなります。

要約すると、エグゼクティブ スポンサーは、許容可能なリスクを定義する最終的な責任を持ち、ビジネスに対するリスクのランク付けに関して、セキュリティ リスク管理チームにガイダンスを提供します。 セキュリティ リスク管理チームは、リスクの評価に責任を持ち、リスクを許容可能なレベルまで軽減する機能要件を定義します。 次に、セキュリティ リスク管理チームは IT グループと共同作業を行います。IT グループは、対策ソリューションの選択、実装、運用を担当します。 下の図で定義された関係は最終的に、セキュリティ リスク管理チームによる制御の効果の測定の監視で終わります。 これは通常、監査報告書の形で行なわれ、エグゼクティブ スポンサーにも提供されます。

図 3.5 マイクロソフト セキュリティ リスク管理プロセスの全体で使用される役割と責任の概要

図 3.5 マイクロソフト セキュリティ リスク管理プロセスの全体で使用される役割と責任の概要
拡大表示する

セキュリティ リスク管理チームを構築する

リスク評価プロセスを開始する前に、セキュリティ リスク管理チーム内の役割を明確に定義する必要があることを忘れないでください。 リスク管理の範囲にはビジネス全体が含まれるため、情報セキュリティ グループ以外のメンバが、チームの一員となることを求める場合があります。 この場合、各メンバの明確な役割の概要を示し、前述のリスク管理プログラム全体の定義された役割と責任に合わせるようにします。 役割の定義を早期に行っておくと、混乱が少なくなり、プロセス全体での意思決定支援に役立ちます。 チームのすべてのメンバは、情報セキュリティ グループがプロセス全体を担当していることを理解している必要があります。 情報セキュリティ グループは、幹部への報告など、プロセスのあらゆる段階で主要な関係者の役割を努める唯一のグループであるため、担当内容の定義は重要です。

セキュリティ リスク管理チームの役割と責任

セキュリティ リスク管理チームを構成した後、具体的な役割を作成して、プロセス全体でその役割を維持することが重要です。 リスク評価進行担当者およびリスク評価記録担当者の主要な役割について、次に説明します。

リスク評価進行担当者は、リスク管理プロセス全体についての広範な知識を持ち、ビジネスを完全に理解し、ビジネス機能の陰に隠れた技術的なセキュリティ リスクを理解している必要があります。 リスク評価進行担当者は、ビジネス シナリオを技術的なリスクに変換しながら、リスクの検討を実行できる必要があります。 一例として、リスク評価進行担当者は、モバイル ワーカーおよびこのようなワーカーのビジネス価値の、技術的脅威および脆弱性の両方を理解している必要があります。 たとえば、モバイル ワーカーが会社のネットワークにアクセスできない場合、顧客の支払いが処理されなくなります。 リスク評価進行担当者は、こうしたケースを理解して、モバイル機器の構成や認証要件などの技術的なリスクと潜在する制御要件を特定できる必要があります。 可能であれば、過去にリスク評価を実行したことがあるか、またはビジネスの全体的な優先度を理解しているリスク評価進行担当者を選択してください。

リスク評価の経験がある進行担当者がいない場合は、資格のあるパートナーまたはコンサルタントの協力を得てください。 ただし、ビジネスを理解している情報セキュリティ グループのメンバと利害関係者は必ず含めてください。

注 : リスク評価の進行を担当する役割をアウトソーシングする方法は魅力的に見えますが、担当したコンサルタントがいなくなると、関係者同士の関係、ビジネス、およびセキュリティの知識が失われます。 リスク管理プロセスにより関係者および情報セキュリティ グループにもたらされる価値を過小評価しないでください。

リスク評価記録担当者は、メモを取り、計画策定およびデータ収集活動について文書化する責任を持ちます。 この責任は、この段階で役割を定義するには非公式すぎる役割に思えるかもしれませんが、確実に記録を取るスキルがあると、プロセス後半の優先順位付けおよび意思決定支援プロセスを実施する際に役立ちます。 リスク管理の最も重要な点の 1 つは、各関係者が理解し自分の業務に適用できるという意味で、リスクを通知することです。 優れた記録担当者は、必要に応じて文書を提供し、このプロセスをより簡単にします。

要約

第 1 章から第 3 章では、リスク管理の概要を説明し、目標と手法を定義して、マイクロソフトのセキュリティ リスク管理プロセスを正しく実装するための基盤の構築を開始できるようにしました。 次の章では、最初のフェーズである「リスクの評価」について詳細に説明します。 それ以降の章では引き続き、リスク管理プロセスのそれぞれのフェーズ、「意思決定支援の実行」、「制御の実装」、「プログラムの効果の測定」について説明します。


**
**