トピック概要
情報セキュリティリスク管理、略称ISRMとは、情報テクノロジーの使用に伴うリスクを管理するプロセスです。組織の資産の機密性、整合性と可用性に対するリスクの特定、評価と対応に関連します。このプロセスの最終的な目標は、組織の全体的なリスク耐性に応じてリスクに対応することです。企業は、すべてのリスク排除を期待するべきではありません。その代わり、組織にとって受け入れ可能なレベルのリスクを特定してそれを実現しようとする必要があります。
特定
アセスメント
これは、資産、脆弱性とコントロールについて収集した情報を組み合わせ、リスクを定義するプロセスです。このためのフレームワークとアプローチは数多くありますが、いずれにしても次の方程式に類たものを利用することになります。
リスク =(脅威 x 脆弱性(悪用の可能性 x 悪用の影響)x 資産価値)- セキュリティコントロール
注:これは、非常に簡素化された式の例です。残念ながら、確率論的リスクの計算はこれほど簡単なものではありません。
対応
リスクの評価と分析が完了したら、組織は対応オプションを選択する必要があります。
コミュニケーション:
リスクに対してどのような対応をするにしても、その意思決定について組織内でのコミュニケーションを取る必要があります。ステークホルダーは、リスクに対応した場合と対応しなかった場合のコストと意思決定の背後にある合理性を理解する必要があります。義務と責任を明確に定義して、組織内の個人やチームに割り当てる必要があります。プロセス内の適切な時期に適切な人員が対応に取り組む必要があるためです。
同じ手順の繰り返し
:これは継続的なプロセスです。コントロールの実装が必要な対応計画を選択した場合、そのコントロールを継続的に監視する必要があります。このコントロールを導入するのは、経時的に変化し続けるシステムになります。ポートの開放、コードの変更やその他多数の要素によって、最初の実装後、数か月または数年の間にコントロールが壊れる可能性があります。
ISRMプロセス内には数多くのステークホルダーが存在し、それぞれが異なる責任を持っています。このプロセスにおけるさまざまな役割と、各役割に関連した責任を定義することは、このプロセスの円滑な運用にとって最も重要なステップです。
プロセス責任者:ハイレベルで見ると、組織には企業リスク管理(ERM)プログラムの責任者である財務チームまたは監査チームがあるかもしれません。一方で、情報セキュリティまたは情報保証チームが、ERMにフィードを送るISRMプログラムの責任者となっているかもしれません。このISRMチームは現場で常にプロセスを実践する必要があります。
リスク責任者:個々のリスクについては、問題修正のための費用を予算から支払うことになる組織のメンバーが責任者となるべきです。つまり、リスク責任者は、リスクに対する適切な対応が確実に行われるようにする責任があります。予算を承認したら、リスクに対する責任を負うことになります。
リスク責任者に加えて、選ばれた対応計画に影響を受けたり、対応計画の実装に関与することになるシステム管理者、エンジニア、システムユーザーなど他のタイプのステークホルダーもいます。
例えば、情報セキュリティチーム(プロセス責任者)はISRMプロセスを実践します。企業の顧客関係管理(CRM)システムの可用性へのリスクが見つかった場合、プロセス責任者は、IT責任者(CRMシステム責任者)とこのシステムを日常的に管理するIT担当者(CRMシステム管理者)と連携してリスクの評価に必要な情報を収集します。
CRMソフトウェアが導入されたのは、企業の販売部門が有効利用できるようにするためで、CRMソフトウェア内のデータが利用できなくなると最終的には販売に影響を及ぼすと仮定した場合、販売部門責任者(最高販売責任者など)がリスク責任者となります。リスク責任者は、情報セキュリティチーム、システム管理者、システム責任者などが提供する異なる対応計画の実装について意思決定を行い、残るリスクを受け入れる責任があります。しかし、対応計画を実装することになった場合、システム責任者とシステム管理者は再び関与することになると考えられます。日常的にCRMソフトウェアを利用する販売担当者などのシステムユーザーも、あらゆる対応計画によって影響を受ける可能性があるため、このプロセスのステークホルダーとなります。
リスクの管理は継続的な作業であり、その成功は、リスクの評価、計画のコミュニケーション、そして役割の遂行がどれほど適切に行われるかに依存します。最重要な人員、プロセスとテクノロジーを特定して前述の手順に対応することで、組織におけるリスク管理戦略とプログラムのための堅牢な土台を構築することが可能で、その後、時間をかけてさらに発展させることもできます。