NCSC Risk management Guidance

リスクの基本

なぜリスク管理が重要なのか

リスクはゼロにできない

見えないリスクはある

不確実性のため、全てのリスクを知ることは不可能

コンプライアンス≠リスク管理

法的制限や顧客要求などに応えるためのコンプライアンス活動への準拠は、リスク管理にunintendedなネガティブ結果をもたらす

Defensive risk managementであり、ハプニングがあった際に活動をしていたことを示す組織のレピュテーションフォーカス管理でしかない。

そうしなければいけない時は、以下を理解すること

スタッフは、サイバーリスクマネジメントの目標が、特定のセキュリティ目標を達成することではなく、外部からの要求を満たすことであることを理解している。

コンプライアンスのために適用しているリスク管理手法の限界を認識している。

コンプライアンスの限界を認識した上で、さらなる手法を採用する

リスク管理の手法

コンポーネント駆動とシステム駆動のメソッドがある

手法例: STAMP, TOGAF, SABSA

コンポーネント駆動は、既存の脆弱性にたいして脆弱なリスクを持っているコンポーネントから組織全体のリスクを分析する

コンポーネントとは: HW, SW, データ, サービス, pii, スタッフ

リスクの要素: CIAにおけるインパクト、脆弱性、脅威

手法例: ISO/IEC 27005:2011, ISF IRAM2, SP800-30, HMG Informtion Assurance Standard, Octave Allegro, ISACA COBIT 5 for risk

https://scrapbox.io/files/613dda332cbf11001d443f25.png

Security Governanceとは

ガバナンスは組織がリスクに対して活動的なコントロールを実施し、ビジネスにおけるセキュリティを方向づけすることを意味する。

セキュリティガバナンスとは、組織のセキュリティへの取り組みを管理・指導するための手段。

セキュリティ情報・決定の流れを作り、活動を調整することにある。

そのための正しいヒト、カタチ、プロセスを用意することが必要である

良いガバナンスとは

組織のゴールと優先度に明確にリンクされたセキュリティ活動

組織が重用と考える資産が特定されていること

あらゆるレベルで、セキュリティに関する意思決定を行う責任者を特定し、その権限を付与する

意思決定に対する説明責任を果たす

意思決定者に対して、その選択の影響に関するフィードバックを確実に提供する

理解可能で十分な情報に基づいた選択を行うために必要な情報の入手と提供

セキュリティガバナンスに対するどのようなアプローチも、組織のガバナンスに対するより広範なアプローチに適合しなければならない。セキュリティは、安全衛生や財務ガバナンスなど、他のビジネスの専門家と一緒に検討する必要がある。