統合リスク管理のための指標駆動型アプローチComputer Weekly製品ガイド

リスクとガバナンスに対する統合アプローチを効率的に管理する方法について、専門家が解説する。

2020年03月06日 08時00分 公開
[Alex ScroxtonComputer Weekly]

 ガバナンス、リスク、コンプライアンス(GRC)をもっとビジネスに合わせる必要があるという認識が、ITプロフェッショナルの間で高まっている。

 運用面からのアプローチ、つまりボトムアップ方式のアプローチは、全ての事業部門にリスク管理の責任を負わせることを重視する傾向がある。Turnkey Consultingのディレクター、サイモン・パーシン氏によると、運用面からのアプローチは最下層レベルで全てのリスクが把握されてフィルターにかけられれば、必然的にあるいは体系的に、最も影響の大きいリスクが上層部で可視化されるという前提に基づく。

 「これは技術よりもリスク管理プロセスに依存する。効率を上げるためには、運用層のリスク管理者がその部門の戦略的目標を認識し、特定されたリスクによってその目標がどう影響を受けるかを理解する必要がある。同様に、リスク管理者はリスクがどのように特定・分類されるかについて明確化しなければならない。それができなければリスクは一貫性を欠き、全体的な明瞭性が薄れる可能性がある」とパーシン氏は解説する。

 パーシン氏によると、運用に関する意思決定にはリスクについての詳細な情報が求められる。だがそうしたリスクは一般性が強い傾向にあり、目標も展望も大きく異なる下層部で起きているより具体的な活動によって情報がもたらされる。

 ITシステムに障害が起きた場合、戦略的なトップダウンの視点から見ると、事業運営のためのIT資産コントロールが十分にできているのかどうか、それとも重大な侵害のリスクがあるのかどうかを見極めることに尽きる。

システム指標のインパクト

 EdgescanのCEO、オーエン・キーリー氏によると、ITシステムのソフトウェア定義性が強まれば、指標やデータをリアルタイムに近い形で収集して処理できる。これはガバナンスに対するソフトウェア定義型のアプローチにつながり、統合リスク管理戦略に対応する助けになり得る。

 ソフトウェア定義型のアプローチでは、単一の視点からリスクとガバナンスの全体像を見渡すことができ、結果として素早い反応と監督が容易になる。

 キーリー氏によれば、適切な指標を理解して使いこなせば戦略上および運用上の意思決定を支援できる。そうした指標の分析はガバナンス戦略の役に立ち、リアルタイム指標は運用ガバナンスを後押しする。「測定できないものを改善することはできない。従って情報セキュリティプロフェッショナルは、指標にフォーカスすることで支援できる。情報セキュリティの世界で価値のある指標の多くは、リスク管理や包括的な戦略と重なる。システムの安定性、利用ダウンタイム、脆弱性密度、修正までの時間といった項目を利用すれば、適切な予算を組んでプラスの方向へとチャネルを合わせる助けになる」

 キーリー氏によると次に重要なこととして、情報セキュリティプロフェッショナルはそうした指標を通常業務と関連付け、統合することに目を向ける必要がある。「指標とアラートを統合すれば、戦略的な『思考の糧』を提供し、予算とリソースをどこに割り当てるべきか検討する経営陣を支援できる。例えば脆弱性の件数が多い事業部門は、メンテナンスやデプロイを改善するためのトレーニングが必要かもしれない。症状を発見することで根本原因の理解を試み、それに従って行動できる」

 同氏の経験では、ガバナンスとコンプライアンスに対する従来型のアプローチ(注)ではあまりに遅過ぎて、環境変化のペースに追い付くことができない。

注:社内または社外のコンサルタントから監査報告書を受け取り、発見された非コンプライアンス問題を把握してその問題を修正し、その監査を繰り返す方法。

 統合型のアプローチは、ガバナンスとコンプライアンスおよびITセキュリティに重なるとキーリー氏は述べる。「レベルの高いトレンドを分析し、症状の技術的原因と根本原因を掘り下げることができる。それにより、同じ問題を運用面と戦略面の両方から見ることができる」

 指標は、IT資産に起因するリスク管理のアプローチにとって関連性が高くコンプライアンス目標を達成できない運用リスクには直接貢献できるかもしれない。だが経営陣にとってこのデータは直接役には立たないという課題はある。それでも、リスクが技術用語で定義されているというだけの理由で、ビジネスに無関係だとは言い切れない。「サイバー攻撃やゼロデイ脆弱性は、間違いなくビジネスにとって致命的になりかねない」とTurnkey Consultingのパーシン氏は言う。

 技術通の担当者が正真正銘の戦略的ビジネスリスクを指摘しても、それが技術者にとっての重大事だという理由、あるいは組織全体にとって過度に技術的な用語で定義されているという理由で、その重大性について誤った印象を与えることもある。

 「大切なのは、適切なフィルターを通して情報を把握できるようにすると同時に、リスクについての一貫した認識を徹底させることだ」とパーシン氏は言い添えた。

トップダウンとボトムアップを統合したリスク管理

 統合リスク管理に対するトップダウン方式のアプローチでは、経営陣と管理層が正確な情報を入手し、一貫性のあるやり方で参照して、適切な判断を下すことが求められる。反対に、運用面からのボトムアップ型アプローチでは、リスク管理に対して全事業部門が責任を持つことを重視する傾向がある。

 その2つを合わせることが統合リスク管理に不可欠な要素になるとパーシン氏は指摘する。

 「これは誰もが会社全体のことを何もかも知っていなければならないということではない。各事業部門が全体の中でどのような位置付けにあるのか、どこに影響を及ぼすのかを認識することだ。リスクが発見されれば提起する必要があるが、文化的にリスクを嫌悪する組織において、あるいは後に関連する問題が判明した場合に自分たちの評判を守るため、そのこと自体を目的に提起することは避けなければならない」

 「ほとんどの場合、最適な解決策は全事業部門からリスクについての情報提供を受け、全事業部門を代表するリスク管理機能を一元的に運用することだ。これがフィルターの機能を果たし、重複を見つけ出してより広範な戦略課題への統合を促進する一助となる」。パーシン氏はそう話している。

統合リスク管理に対する指標駆動型アプローチのヒント

 Edgescanのオーエン・キーリー氏によると、分析に基づく指標駆動型の統合アプローチは組織を大きく変えることができる。以下のような指標がリスクガバナンスの役に立つと同氏は言う。

セキュリティのタッチポイントとトールゲートの開発

 システム開発ライフサイクルの早い段階から、セキュリティ問題に関連した指標を収集する。検出は早い方がコストを抑えることができ、効率も高い。根本原因が特定されれば品質保証とコンプライアンス、さらにはセキュリティ対策を支援できる。

単純な修正が生み出す大きな配当

 正しく設定されていないシステムやパッチが必要なシステムなど、本番システムのコンプライアンス違反に関するセキュリティ態勢を把握する。設定ミスやシステムの不備に関して「なぜ、いつ、どこで」といった疑問に対する答えを探る。この副産物として、修正までにかかった時間(TTR)も測定できる。

修正までの平均時間

 システムの脆弱性がどれだけ迅速に修正されているかを測定し、そもそも修正されているのかどうかを調査する。多くのコンプライアンス規定では、継続的な向上とコンプライアンスに真剣に取り組んでいるという証拠が要求される。

資産インベントリの確立

 自動化された継続的なプロファイリングは、資産インベントリをほぼリアルタイムで更新する役に立つ。可視性はコンプライアンス違反やハッキングに共通する根本原因となっている。

ITmedia マーケティング新着記事

news038.jpg

生活者の生成AI利用動向 10代後半はすでに5割近くが経験――リクルート調査
テキスト型生成AIサービスの利用経験者の割合は若い年代ほど高く、特に10代後半はすでに5...

news108.jpg

今度の「TikTok禁止」はこれまでとどう違う?
米国ではまたしてもTikTok禁止措置が議論されている。これまでは結局実現に至らなかった...