リスク管理(リスクマネジメント)とは、組織が脅威に対して脆弱な領域を事前に評価し、それらの脅威を調査して緩和するプラクティスを指します。
リスク管理では、財務不安、法的責任、戦略的経営のミス、事故、自然災害、サイバー攻撃など、組織にとってリスクになり得るさまざまな要因を特定、評価、管理するための各種のポリシーとプロセスを構築します。リスク管理を徹底すれば、リスクが発生してから対処するのではなく、事前に対処して防止するアプローチを実現できます。
ステルス性の高い高度なマルウェアの急増や、一般データ保護規則(GDPR)のような厳格で罰則の重いコンプライアンス規制への対応を迫られている今日の組織にとって、リスク管理のツールと戦略の整備は最優先事項です。そのため多くの組織が、機密情報、知的財産、顧客の個人情報を含むすべてのデジタル資産に対する脅威を特定および管理するためのプロセスの土台となる包括的なリスク管理計画の策定に取り組んでいます。
この記事では、さまざまなタイプのリスク、ビジネスリスクを理解することの重要性、リスク対応と全体的なリスク軽減の方法について説明します。
ビジネスリスクを理解することは、深刻かつ長期的で大きな損害をもたらす可能性のあるさまざまな因子や変動要因を可視化して、より適切に管理できるようにするために非常に重要です。具体的なリスク要因を理解できれば、潜在的な脅威、損失、混乱を事前に特定するだけでなく、脅威に適切に対処し、最適なリソースやインフラを割り当てて、深刻な損失を最小限またはゼロに抑えることができます。
組織が直面するビジネスリスクのタイプはさまざまですが、一般的なのは、業務、財務、コンプライアンス、レピュテーション、戦略、セキュリティに関するリスクです。また、それらのリスクに対するマネジメントも応じて変化します。
総リスクコスト(TCoR)は、リスク管理と損失発生に関するあらゆる面での運用コストの総額を表す、定量化および管理可能な指標です。TCoRの計算には、保険料、控除額、無保険損失とそれに関連する損失調整費、規制違反による罰金、内部/外部リスク管理費、管理費、税金と手数料などが含まれます。組織にとって、リスクを理解するうえでTCoRの計算能力は重要な要素です。
セキュリティリスクの要因の1つは「人」です。従業員や外部プロバイダーなどの不満、不注意、情報不足などが要因になります。また、デバイスやアプリケーションの欠陥や脆弱性もセキュリティリスクの大きな要因です。たとえば、モバイルデバイスからの社内データの漏えい、パッチの未適用、機器やシステムの陳腐化、パブリッククラウドアプリケーションの脆弱性、セキュリティポリシーの不備があります。
データ漏えいは、組織に深刻で、多くの場合は長期的な影響をもたらし、リスクをさらに増加させます。
サイバー攻撃を防げずにデータが流出すると、ほぼ確実に組織の財務リスクが増大します。特に明白なコストには、被害者への金銭的補償や、漏えいによって盗まれた金銭の補填があります。また、法規制違反として政府や規制当局から厳しい罰金を科せられることもあります。たとえばGDPRでは、最大で2,000万ユーロ(約2,200万ドル)または世界の年間売上高の4%のいずれか高い方が罰金として科せられます。さらに、データ漏えいを起こした組織は株価の急落を避けられない一方で、漏えいの再発に備えて支払う保険料は必然的に上がります。
データ漏えいは、多くの直接的なコストに加えて、長期的な影響ももたらします。データ漏えいを起こした組織は、消費者からの信頼の低下、顧客の減少、市場シェアの喪失など、長期的な評判の低下に直面します。また、個人情報や財務情報が漏えいした場合、その情報の所有者はなりすましの被害に遭う危険があるため、漏えいを起こした組織はその後数カ月ときには数年にわたって訴訟や和解への対応を求められるリスクがあります。
リスク管理は通常、リスク評価、リスク分析、リスク緩和の3つのステップで行います。
セキュリティリスクを緩和するための重要なステップの1つは、攻撃に対する脆弱性を特定し、侵害を検知するための体制を整備することです。サイバー脅威の評価を定期的に実施すれば、アプリケーションの脆弱性、マルウェア、ボットネット、古いデバイス、リスクのあるデバイスを検出して、セキュリティリスクの早期発見と緩和につなげることができます。また、リスク評価は、ユーザーの生産性を分析し、システムで実行されているアプリケーションを確認すると同時に、帯域幅の使用状況など、ネットワークの使用率とパフォーマンスを把握して、問題が発生する前に不審なトラフィック急増を発見するためにも役立ちます。
リスクに包括的に対処する方法の1つが自動化です。自動化を取り入れれば、脅威の検出とインシデントの解決をより効率化および体系化できます。IT運用、脅威と脆弱性の管理、構成、コンプライアンス監査、アイデンティティガバナンスなどの重要システムはすべて、リスク管理プロセスの一部として自動化できます。これらのシステム内で発生するオペレーションやセキュリティインシデントはITリスクリポジトリにマッピングできるため、インシデント対応チームは、組織に対するそれぞれのリスクレベルを評価できます。
たとえば、新しく登録された脆弱性に関する詳細をリスク管理ソリューションに自動的にダウンロードし、それをトリガーにインシデント調査を実行して、事前に定義された基準に基づいてインシデントのリスクと重大度を分類できます。そして、脅威の分類後、自動化システムによって必要なアクションプランを実行します。さらに、脆弱性が脅威になった場合はリスク評価プロセスを実行し、脅威のCVE番号に基づいてパッチ管理プロセスを開始することでプロアクティブにリスクに対応することもできます。
ヘルスケア、金融サービス、行政機関など、業界によって顧客層、コンプライアンス規制、目標、資産は異なるため、リスクの回避、緩和プラン、関連する投資判断に対するアプローチも大きく異なります。以下に例を挙げます。
リスク管理フレームワーク((Risk Management Flamework)は、米国政府のITシステムの構築、監視、保護方法を定めた一連のガイドラインです。政府機関は、RMFを使用することで、ITインフラとセキュリティについて一貫性、再現性、信頼性の高い基準を作成できます。
これらのリスク管理基準は、運営に悪影響を及ぼす可能性のあるリスクを特定できるよう設計され、米国国防総省や米国国立標準技術研究所など、機関ごとにガイドラインが定められています。
今日、厳しさを増すコンプライアンス規制から、次々に登場する破壊的なサイバーセキュリティ脅威まで、組織がデータ、資産、評判に関するリスクの増大に直面していることは明らかです。そのため、ビジネスの運営には今や効果的なリスク管理が不可欠です。
包括的なリスク管理プログラムを構築すれば、セキュリティリーダー、管理者、ポリシー作成者は以下の点を強化でき、組織全体で幅広いメリットが得られます。
包括的なリスク管理計画は、セキュリティリーダーやセキュリティチームがこれらの取り組みを実現するために役立ちます。セキュリティと運用の両方の観点から、CIO、セキュリティアナリスト、管理者はビジネスを継続的に改善して、組織に損害をもたらし最終的には収益に悪影響を及ぼす可能性のある重大なセキュリティリスクやコンプライアンスリスクの適切な管理と軽減につなげることができます。
ガートナー社のSIEM部門のマジッククアドラント
ガートナー社の最新のマジッククアドラントでSIEM市場の動向を掴みましょう。
Splunkプラットフォームは、データを行動へとつなげる際に立ちはだかる障壁を取り除いて、オブザーバビリティチーム、IT運用チーム、セキュリティチームの能力を引き出し、組織のセキュリティ、レジリエンス(回復力)、イノベーションを強化します。
Splunkは、2003年に設立され、世界の21の地域で事業を展開し、7,500人以上の従業員が働くグローバル企業です。取得した特許数は850を超え、あらゆる環境間でデータを共有できるオープンで拡張性の高いプラットフォームを提供しています。Splunkプラットフォームを使用すれば、組織内のすべてのサービス間通信やビジネスプロセスをエンドツーエンドで可視化し、コンテキスト(把握したい要素) に基づいて状況を把握できます。Splunkなら、強力なデータ基盤の構築が可能です。
日本支社を2012年2月に開設し、東京の丸の内・大手町、大阪および名古屋にオフィスを構えており、すでに多くの日本企業にもご利用いただいています。
© 2005 - 2023 Splunk Inc. 無断複写・転載を禁じます。