今日の主なリスク管理フレームワーク

ビジネス環境は日ごとに変化しています。だからこそ、リスク管理フレームワーク(RMF)を活用することは、あらゆる組織にとって欠かせません。RMFは、組織が日々直面するさまざまな脅威を管理するのに役立ちます。

強固なRMFを持つ組織は、この予測不可能な世界で成長し、適応する準備が整っているため、継続的な成功とレジリエンスを実現できます。

この記事では、RMFについて紹介し、それを組織で利用する重要性について説明します。具体的には次の点を取り上げます。

• RMFの重要な要素
• 世界で採用されている主なRMF
• RMFを利用するメリット

リスク管理フレームワーク(RMF)とは

RMFは、組織がリスクを効果的に管理するために遵守すべき原則とガイドラインを定義したものです。(RMFなしにリスクを効率的に管理することはできません。)

脆弱性、脅威、リスクの通常の評価では、リスクは「特定の脅威が実際に発生した場合に生じる損失や被害の可能性」と要約できます。RMFは一般的に、こうしたリスクの特定、評価、軽減、監視などの要素で構成されます。これについては後ほど詳しく説明します。

初めて開発されたRMFはNIST (米国国立標準技術研究所)のサイバーセキュリティフレームワークで、その目的は情報システム関連のリスクを軽減することにありました。今日のRMFは、ビジネス、財務、訴訟、コンプライアンス、情報システムなど、組織の重要な業務全体でリスクを管理するために活用されています。

リスクがもたらす結果と影響は、管理対象のリスクの種類によって異なる場合があります。

• サイバーセキュリティリスク管理
• 金融犯罪リスク管理
• サードパーティリスク管理
• AIリスク管理(AIのリスク管理が存在することにもはや驚きはないでしょう)

RMFの重要性

変化する今日のビジネス環境において、組織は次のようなさまざまなリスクに直面しています。

• サイバーセキュリティリスク
• 規制の変更
• 経済情勢の変化に伴うリスク

当然ながら、企業はある程度計算した上でリスクを取るべきですが、多すぎるリスクは企業にとって足かせとなり、ブランドイメージの低下や金銭的損失への対処などを余儀なくされる可能性があります。

さまざまなリスクをすべて効果的に管理しなければ、組織が長期的な成功を収めることはできません。したがってRMFは、組織がさまざまな部門にまたがるリスクに体系的に対処するために欠かせない要素の1つとなっています。

RMFの重要な機能と要素

多くのRMFは、組織のリスクを管理するための一般的な戦略に従っています。RMFを構成する一般的な要素には、リスクの特定、評価、軽減、監視と報告、ガバナンスなどがあります。それぞれの要素を簡単に説明しましょう。

リスクの特定

RMFの最初の要素は、潜在的な脅威と脆弱性の特定です。具体的には、脅威に対して脆弱な資産と、そのような脅威がビジネス目標に与える影響の両方を特定します。ビジネスは常に変化しているため、このプロセスは継続的に行う必要があります。

リスクの評価

2つ目の要素は、脅威の重大度を測定し、特定された脅威の影響に優先順位を付けることです。ここで言う影響には、財務的な影響もそれ以外の影響も含まれます。組織はたいてい、定量的および定性的な手法を使用して、重大度に応じた優先順位を設定します。

(インシデントの重大度もご確認ください。)

リスクの軽減

この要素は、特定したリスクを排除または軽減する方法を定義します。具体的には、次の取り組みが含まれます。

• 必要なセキュリティコントロールの実装
• 既存のセキュリティ対策の改善
• リスク管理の効果を高めるベストプラクティスの適用

さらに、この要素の成果として、全社的な報告体制や従業員体制を見直してリスクの軽減を図る組織もあります。

リスクの監視と報告

この要素では、現在のリスクを定期的に監視し、現在のリスク軽減戦略がどの程度の効果を発揮しているかをチェックします。レポートには、現在のリスクの状況だけでなく、現在のリスク管理戦略を改善するために実施できる対策などの情報を含めることができます。

(Splunkの包括的な可視化とセキュリティ監視によるSOCの強化については、こちらをご覧ください)

全体として、監視と報告は、組織の環境が変化する中で脅威軽減戦略の有効性を維持するのに役立ちます。

リスクのガバナンス

リスクのガバナンスは、組織のリスク軽減手順を従業員が十分に理解し、遵守できるようにするためのものです。GRCフレームワークでは、リスクは構成要素の1つであり、ガバナンスやコンプライアンスとともに総合的に管理されます。

強力なRMFに必要な要素についての説明はこれくらいにして、今度は最もよく使用されるフレームワークについて見てみましょう。

今日の主要なRMF

ここでは、世界的によく使用されているRMFをご紹介します。それぞれの特徴や違いを確認して、どのフレームワークが自分の組織に最適なのかを見極めましょう。

NISTサイバーセキュリティフレームワーク

NISTのRMFは、組織のサイバーセキュリティリスクに対処する目的で特別に開発されました。もともとNISTが米国連邦政府機関向けに開発したこのRMFは、組織内のプライバシーリスクと情報セキュリティリスクの管理に役立つ6つの要素で構成されています。(NISTはAI RMFと呼ばれる新たなフレームワークも策定しています。)

さらに、連邦情報セキュリティ近代化法(FISMA)に準拠したリスク管理システムを実装するためのガイドラインが含まれています。

NISTフレームワークの6つのステップについて、簡単に説明しましょう。

1. 分類：影響分析を通じて、システムと、そのシステムで処理、保存、転送されるデータを分類します。
2. 選択：リスク評価を通じて保護が必要と判断されたシステムにとって最適なNISTコントロールを選択します。
3. 実装：コントロールを実装し、デプロイプロセスを文書化します。
4. 評価：策定したコントロールを評価して、計画どおりに機能して期待どおりの成果をあげているかどうかを確認します。
5. 認可：組織の上層部がリスクに基づいて意思決定を下し、システムを承認して運用できるようにします。
6. 監視：コントロールの実施状況を定期的に監視し、システムの潜在的なリスクをチェックします。

(NISTコントロールより具体的な対策が盛り込まれた「CISコントロールバージョン8」を推奨する人もいます。)

ISO 31000

ISO 31000は国際標準化機構(ISO)によって開発されたもので、さまざまな組織に共通するリスク管理の原則やガイドラインを提供しています。この世界的なRMFは、特定の業界を対象としたものではないため、さまざまな組織や業界に適用できます。

ISO 31000では、リスク管理を組織のガバナンスおよび意思決定の手順と一体化させることを推進しています。これにより、さまざまな規模や業種の組織が、共通のフレームワークと言語を利用してリスクに対処できるようになります。

簡単に言えば、ISO 31000は、企業が意思決定の質を向上させ、潜在的なリスクや不確実性を軽減しながら戦略的目標を達成できるよう支援するものです。

COBIT 5

COBIT (Control Objectives for Information and Related Technologies)は、ISACA (Information Systems Audit and Control Association：情報システムコントロール協会)によって開発されたフレームワークで、もともとは財務監査担当者向けのものでした。COBITの最新バージョンであるCOBIT 5は、あらゆるレベルの組織が次の問題を解決できるよう支援します。

• 技術的な問題
• ビジネスリスク
• コントロール要件

この強力なフレームワークにより、組織はすべてのIT資産、IT手順、IT運用を効率的に監督および規制できます。

また、COBIT 5フレームワークには、リスク管理をサポートする重要なプロセスがまとめられています。そのため、組織はリスク関連に特化した成果を得ることができます。具体的には次のような成果です。

• リスク管理のための戦略
• リスク管理のためのコミュニケーション計画
• リスクへの対処とリスクの最小化に必要な財源

FAIR

FAIR (Factor Analysis of Information Risk)は、組織がサイバーセキュリティ関連のリスクを評価し、分析できるようにするためのフレームワークで、リスクの評価、管理、報告の際に従うべき基準とベストプラクティスを提供します。

もっぱら定性的手法に依存する従来のリスク評価フレームワークと異なり、FAIRはサイバーリスクと運用リスクを定量的に理解、評価、測定するのに役立ちます。

具体的には、企業が社内でリスクを伝達するのに使用できる共通の言語を提供することで、技術系ユーザーと非技術系ユーザーのコミュニケーションを円滑にします。さらにFAIRは、次のような機能を備えたリスクモデルで定量化を容易にします。

• データ収集フレームワーク
• リスク計算エンジンとのインテグレーション
• 複雑なリスク向けのモデリング機能

OCTAVE

OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation)もリスク管理フレームワークの1つで、組織による情報セキュリティリスクの特定、分析、管理を支援する目的で設計されています。このRMFは、1999年にカーネギーメロン大学のソフトウェア工学研究所(SEI)によって発表されました。

OCTAVEは、組織が次の3つの重要な情報を特定するための包括的なアプローチを提供します。

• 組織にとって重要な情報資産
• 特定された資産に対する潜在的な脅威
• 資産の悪用につながる可能性のある脆弱性

これら3つを組み合わせることで、組織はどの情報資産が潜在的なリスクにさらされているのかを把握できます。組織は、把握した情報に基づいて、情報資産に対する全体的なリスクを最小限に抑える仕組みを構築し、実装することができます。

TARA

TARA (Threat Assessment and Remediation Analysis)は、MITREのシステムセキュリティエンジニアリング(SSE)プラクティスのポートフォリオの1つです。サイバー上の弱点を認識して評価し、その脆弱性を効果的に軽減できる手段を選択するためのアプローチを提供します。

TARAは、次の3つの主要な要素で構成されています。

• Threat Agent Library (TAL)：一般的な脅威エージェントを定義します。
• Methods and Objectives Library (MOL)：脅威エージェントの目的と、その目的を達成するために使用される手法を説明します。
• Common Exposure Library (CEL)：既知の情報セキュリティの脆弱性とエクスポージャーに関するナレッジライブラリです。

TARAでは、この3つの要素に基づいて脅威エクスポージャーを明らかにするための6つのステップを定義しています。

1. 現在のリスクの特定
2. リスクのベースラインの確立
3. 脅威エージェントの目的の特定
4. 脅威エージェントの手法の特定
5. エクスポージャーの特定
6. 状況に合わせた情報セキュリティ戦略の調整

(よく使用されるサイバーセキュリティフレームワークのMITRE ATT&CKについては、こちらをご覧ください。)

効果的なRMFを導入するメリット

効果的なRMFは、組織に計り知れないメリットをもたらし、次の成果を達成するための土台となります。

• 潜在的な脅威に対する万全の準備：潜在的なリスクを事前に特定することで、組織はその影響を軽減するための緊急時対応計画や戦略を準備できます。
• 組織の評判の向上：プロアクティブなリスク管理によって、インシデントを防止し、顧客に及ぼす影響を最小化することで、組織は評判を維持できます。
• 意思決定の強化：RMFには、リスクを評価し、情報に基づいてリスクの優先順位を正しく設定するためのリスク評価要素がまとめられています。そのためRMFを活用することで、組織は最適なリスク軽減戦略を決定できます。
• 包括的なレジリエンスの構築：RMFの導入により、組織はどのようなリスクに直面しても、迅速に対処してシステムを復旧し、ビジネス活動を継続できるようになります。
• コンプライアンスの達成：多くの業界で、厳しい規制要件が定められています。RMFはコンプライアンスの取り組みを支援し、法的影響のリスクを軽減します。
• イノベーションへの集中：組織は、リスクを効果的に管理することで、自信を持ってイノベーションに集中できるようになります。

フレームワークでリスクを管理

RMFは、組織がさまざまなリスクを効果的に管理するために不可欠なツールとなっています。この記事では、NIST、ISO 31000、COBIT 5、FAIR、OCTAVE、TARAなど、よく使用されるRMFを取り上げました。これらのフレームワークは、さまざまな領域でリスクを特定、評価、軽減、監視できる構造化されたアプローチを提供します。

RMFは一般的に、リスクの特定、評価、軽減、監視、報告、ガバナンスなどの要素で構成されており、RMFを活用することで、企業は複数のメリットを得られます。たとえば、RMFは企業がサイバー攻撃、規制の変更、経済の不確実性から生じるリスクを適切に管理するのに役立ちます。また、効果的なリスク管理により、組織は評判を維持しながらイノベーションを促進できるため、自信を持って未来に向けた取り組みに集中できるようになります。

このブログはこちらの英語ブログの翻訳です。