第 2 章 : セキュリティ リスク管理方法の概観
公開日: 2005年1月13日
この章ではまず、セキュリティ リスク管理を予防型で行う方法および対処型で行う方法のそれぞれについて、長所と短所を説明します。 次に、従来からある 2 つの方法、定性的リスク管理および定量的リスク管理を比較して評価します。 マイクロソフトのセキュリティ リスク管理プロセスは、これらの方法の間でバランスが取れた代替方法として提示されており、マイクロソフト内で高い効果が実証されています。
注 : 組織がこれまでに取り組んできたさまざまなセキュリティ リスク管理方法を確認して、マイクロソフトのセキュリティ リスク管理プロセスを取り入れる基盤を固めておくことが重要です。 セキュリティ リスク管理に精通している場合は、この章はざっと目を通すだけでかまいませんが、セキュリティ リスク管理にあまり詳しくない場合は、しっかり目を通しておいてください。
トピック
リスク管理の方法を比較する
リスク優先度の設定方法
マイクロソフト セキュリティ リスク管理プロセス
リスク管理の方法を比較する
多くの組織は、比較的小さいセキュリティ インシデントに対応する必要性から、セキュリティ リスク管理を開始します。 たとえば、スタッフ メンバのコンピュータがウイルスに感染した場合、オフィス マネージャは社内の PC 専門家に変身して、コンピュータやそこに保存されているデータを壊さずにウイルスを根絶する方法を見つけ出す必要があります。 最初のインシデントが何であれ、セキュリティに関連する問題が頻繁に発生し、ビジネスに影響し始めるにつれて、多くの組織は、次々と発生する危機への対応に不便さを感じ始めます。 このような対処型の方法に代わる方法、そして何よりもセキュリティ インシデントが発生する確率を低減させる方法が求められます。 効率的にリスクを管理する組織は、より予防的なアプローチを求める方向に進みますが、この章で説明するように、このようなアプローチはソリューションの一部にすぎません。
対処型のアプローチ
現在、多くの情報技術 (IT) 専門家は、できるだけユーザーに不便をかけずに迅速に作業を完了するよう、大変なプレッシャーを受けています。 セキュリティ イベントが発生した場合、時間内でできることはできるだけ迅速に状況を封じ込め、発生内容を突き止め、影響を受けたシステムを修正することだけだと、多くの IT 専門家は考えています。 根本原因の特定に努める担当者もいますが、リソースが極端に限られている担当者から見ると、そのような作業さえも贅沢なものと考えられます。 対処型の方法は、悪用されることでセキュリティ インシデント化したセキュリティ リスクに対する有効な対応措置ですが、対処型の方法を少し厳密に適用すると、あらゆる種類の組織がリソースを効率的に使用できます。
最近のセキュリティ インシデントを参照すると、組織は将来の問題を予測して準備を整えることができる場合もあります。 すなわち、インシデントを発生させた根本的な原因を特定しつつ、時間をかけて冷静かつ理性的にセキュリティ インシデントに対応すれば、組織は将来同じような問題が発生した際に自己防御できるとともに、他の問題が発生した場合にも迅速に対応することができます。
インシデント対応の詳しい検証については、このガイドでは取り扱っていませんが、セキュリティ インシデントに対応する場合は次の 6 つの手順に従えば、インシデントを迅速かつ効率的に管理することができます。
人命を保護して安全を確保する。 どのような場合でもこれが最優先です。 たとえば、影響を受けるコンピュータに生命維持システムが含まれている場合、これをシャットダウンさせることはできません。ルータとスイッチを再構成すれば、患者の生命維持機能を中断させずにネットワーク上でシステムを論理的に分離できるはずです。
損害を封じ込める。 攻撃による被害を封じ込めることによって、損害の拡大を最小限に抑えることができます。 重要なデータ、ソフトウェア、ハードウェアは即座に保護してください。 コンピューティング リソースの混乱を最小限に抑えることは重要な考慮事項ですが、攻撃されている間もシステムを稼動したままにすると、結局は問題がさらに増大し、拡大するおそれがあります。 たとえば、環境がワームに感染した場合には、サーバーをネットワークから切断して被害を抑えることができます。 ただし、サーバーを切断する方が悪い結果をもたらす場合もあります。 このような決断を行う場合は、最高の判断力と、自分が使用しているネットワークおよびシステムに関する知識が必要です。。 悪影響はない、または悪影響よりも利点の方が大きいと判断した場合は、セキュリティ インシデント発生後できるだけ迅速に、影響を受けるとわかっているシステムをネットワークから切断して封じ込めを開始してください。 サーバーを分離しても損害を抑えられない場合は、できるだけ早く損害を復旧できるようにするため、攻撃者の活動を積極的に監視します。 また、どのような場合でも、サーバーをシャットダウンする前にはすべてのログ ファイルを保存してください。ログ ファイル内の情報を証拠として保管し、担当者または組織の顧問弁護士が後で必要になったとき使用できるようにするためです。
損害を評価する。 攻撃を受けたサーバーのハード ディスクの複製をすぐに作成し、後で法的措置に使用するために別の場所に保管します。 次に、損害を評価します。 状況を封じ込めてハード ディスクの複製を作成したら、できるだけ早急に攻撃による損害範囲の特定を開始する必要があります。 この作業は重要です。これにより、調査用のハード ディスクのコピーを保存したまま、できるだけ早く組織の業務を再開できるようになります。 損害をすぐに評価できない場合は、危機管理計画を実施して、通常どおりの業務を継続し生産性を維持できるようにする必要があります。 この時点で、組織はインシデントについて司法当局に連絡する必要が出てくる場合があります。インシデントが発生する前に、組織の事業を管轄する司法当局と業務上の関係を確立、維持して、深刻な問題が発生した場合の連絡先および協同作業内容を把握しておくことをお勧めします。 また、会社の法務部にもただちに連絡し、損害の結果として誰かを相手に民事訴訟を起こせるかどうかを判断できるようにする必要があります。
損害の原因を特定する。 攻撃の起点を確認するには、攻撃目標とされたリソースが何か、アクセスの取得やサービスの妨害を行うために悪用された脆弱性は何かを理解する必要があります。 トラフィックをルーティングするネットワーク デバイスだけでなく、直接影響を受けたシステムの両方について、システム構成、更新プログラム、システム ログ、監査ログ、および監査記録を確認します。 多くの場合、これらの確認を行うと、攻撃の起点となったシステム内の場所と影響を受けたその他のリソースを検出できます。 この作業は、手順 3 で作成したバックアップ済みのドライブではなく、元々配置されているコンピュータ システムで行います。 これらのドライブは、司法当局または会社の弁護士が攻撃の加害者を追跡して起訴するのに使用できるように、法的証拠としてそのまま保存する必要があります。 損害の原因を特定するためにテスト用としてバックアップを作成する必要がある場合は、元のシステムから 2 番目のバックアップを作成し、手順 3 で作成したドライブは未使用のままにしておいてください。
損害を修復する。 たいていの場合、通常業務の復旧および攻撃中に失われたデータの復元のためには、できるだけ迅速に損害を修復することが非常に重要です。 組織のビジネス継続性計画および手順では、復元戦略も対象とする必要があります。 インシデント対応チームは、復元および復旧プロセスの処理、またはプロセスに関するガイドの担当チームへの提供にも応じられるようにしてください。 復元プロセスの実行中は、損害を隔離してその拡大を防止するために、危機管理手順が実行されます。 修復したシステムを再び運用する前に、インシデント発生中に悪用されたすべての脆弱性に対する対策を行ったことを確認して、システムがすぐに再び感染しないように注意してください。
対応の再確認とポリシーの更新を行う。 文書化フェーズと回復フェーズが完了した後は、プロセスを全面的に検討する必要があります。 チームで、正常に実行された手順と誤りのあった手順を特定します。 ほぼすべての場合に、今後は問題なくインシデントを処理できるようにプロセスを修正する必要があることがわかります。 インシデント対応計画の欠陥は必ず見つかります。 この事後検証の目的は、改善できる箇所を確認することです。 欠陥が見つかった場合には、インシデント対応計画プロセスをもう 1 度実施する必要があります。これにより、今後インシデントをよりスムーズに処理できるようになります。
ここで説明した方法論を、次に図で示します。
.gif)
図 2.1 インシデント対応プロセス
予防型のアプローチ
予防型のセキュリティ リスク管理には、対処型よりも多数の長所があります。 良くないことが起こるのを待ち、起きた後で対応する代わりに、何よりもまず良くないことが起こる可能性を最小限に抑えます。 悪意のあるソフトウェア、攻撃者、または不注意による誤用から脆弱性が悪用されるリスクを軽減する制御を実装して、組織の重要な資産を保護する計画を作成します。 わかりやすいように、たとえを使って説明します。 インフルエンザは、毎年米国だけで何百万もの人が感染する恐ろしい呼吸器系疾患です。 そのうち 10 万人以上は病院での治療が必要となり、約 3 万 6 千人が死亡します。 この病気の脅威に対処するには、感染したかどうか様子を見て、実際に病気にかかった場合に薬を飲んで症状を治すという方法があります。 または、インフルエンザ シーズンに入る前に予防接種を受ける方法もあります。
もちろん、組織はインシデント対応を完全にやめることはできません。 効果的な予防型の方法を利用することで、組織は将来発生するセキュリティ インシデントの数を大幅に減らすことができますが、このような問題が完全になくなることはありえません。 したがって、組織はインシデント対応プロセスの改善を続けながら、同時に長期的な予防型アプローチを開発する必要があります。
この章の以降の項、およびこのガイドの残りの章では、予防型のセキュリティ リスク管理について詳しく説明します。 どちらのセキュリティ リスク管理方法にも、次のような大まかな手順が共通して含まれています。
ビジネス資産を特定する。
資産への攻撃が組織にどのような損害を与えるかを判定する。
攻撃が悪用できるセキュリティの脆弱性を特定する。
適切な制御を実装して攻撃のリスクを最小限に抑える方法を決定する。
リスク優先度の設定方法
このガイドには、"リスク管理" および "リスク評価" という用語が頻繁に登場します。この 2 つの用語は互いに関係ある言葉ですが、入れ替えて使用できるものではありません。 マイクロソフト セキュリティ リスク管理プロセスでは、"リスク管理" を、ビジネス全体で許容されるレベルにリスクを管理するすべての作業と定義しています。 "リスク評価" は、ビジネスに対するリスクを特定して優先度を設定するプロセスと定義されています。
リスクの優先度設定またはリスク評価を行う方法は多数ありますが、ほとんどは、定量的リスク管理または定性的リスク管理のいずれか、またはこの 2 つの方法の組み合わせに基づくものです。 その他のリスク評価方法のリンクについては、「第 1 章 セキュリティ リスク管理ガイドの紹介」の「関連情報」に記載されている参考項目一覧を参照してください。 この章の次の項では、定量的リスク評価および定性的リスク評価の概要と比較について説明します。その後にマイクロソフト セキュリティ リスク管理プロセスについて簡単に説明して、このプロセスにおいて両方の方法の特性がどのように組み合わされているかを理解できるようにします。
定量的リスク評価
定量的リスク評価の目的は、リスク評価および費用対利益分析中に収集された各構成要素の客観的数値の計算です。 たとえば、置き換えのコスト、失われる生産性のコスト、ブランドの評判に関するコストから見た各ビジネス資産の実際の価値、およびその他の直接的または間接的ビジネス価値を予測します。 リスク管理プロセス中に特定した資産の危険度、制御コスト、およびその他の価値を計算する場合は、同じ客観性を使用するようにしてください。
注 : この項は、定量的リスク評価に伴う一部の手順の概要を説明したものであり、セキュリティ リスク管理プロジェクトでその方法を使用するための規範的なガイドではありません。
この方法には、簡単には解決できない大きな本質的欠陥があります。 まず、資産と制御の価値を効果的に算出する、正式かつ厳密な方法はありません。 つまり、資産価値の数字は、詳細を示しているように見えますが、実際はその数字が予測に基づいているという事実を覆い隠しています。 世間に広く知られたセキュリティ インシデントが自分のブランドに与える影響を正確に計算するには、どのような方法があるでしょうか? 可能な場合は、過去のデータを調べることができますが、ほとんどの場合不可能です。
次に、組織が定量的リスク管理のあらゆる面を細かく適用しようとする場合、プロセスに非常にコストがかかります。 そのようなプロジェクトでは通常、最初のサイクルが完全に完了するのに非常に長い時間がかかり、また多数のスタッフ メンバがいて、特定の帳簿上の価値を計算した方法について詳細を議論します。 第 3 に、高い価値の資産を所有する組織の場合、エクスポージャに対するコストが高くつきすぎるため、危険にさらされるリスクを低減するために莫大なコストがかかる可能性があります。 しかし、これは現実的でありません。組織は、1 つの資産であれ、たとえ上位 5 つに入る資産であれ、これらを保護するために全予算を費やすことはありません。
定量的アプローチの詳細
ここで、定量的リスク評価の長所と短所の両方を概略的にでも理解しておくと便利です。 この項の残りでは、資産評価、制御のコスト算出、セキュリティ投資収益率 (ROSI) の決定、個別予想被害額 (SLE)、年間発生率 (ARO)、年間予想被害額 (ALE) の算出など、定量的リスク評価の実施中に一般的に評価される要素と価値について説明します。 ここでは、定量的リスク評価のあらゆる側面の総合的な紹介は行いません。すべての計算の根拠になっている数字自体が主観的なものであることを理解してもらえるように、その方法の詳細の一部を簡単に紹介するにとどめます。
資産を評価する
資産の金銭的な価値の判定は、セキュリティ リスク管理の重要な部分です。 多くの場合、経営者は、資産価値に基づいて、資産を保護するためにかかる費用と時間を判定しようとします。 多くの組織では、ビジネス継続性計画の一環として、資産価値 (AV) の一覧を保持しています。 ただし、算出された値は実際には主観的な予測であることに注意してください。資産の価値を判定する客観的なツールまたは手法は存在しません。 資産に価値を割り当てるには、次の 3 つの基本要素を算出します。
組織に対する資産の総合的な価値。 直接的な財務条件で資産の価値を算出または推定します。 簡単な例として、顧客の注文により 1 時間当たり平均 2,000 ドルの利益を得ている通常週 7 日、1 日 24 時間営業の電子商取引 Web サイトが一時的に中断した場合の影響を考えてみてください。 この場合、売上収益の面でのこの Web サイトの年間評価額は 17,520,000 ドルであると自信を持って言明できます。
資産の損失に伴う直接的な財務的影響。 ここであえて例を簡略化し、この Web サイトが年間で一定した収益率を上げていて、この Web サイトが 6 時間使用できなくなると仮定した場合、算出される危険度は年間に 0.000685 パーセントです。 この危険度の割合に資産の年間評価額を掛けると、この場合の直接的な損失は 12,000 ドルになると予測できます。 実際には、ほとんどの電子商取引の Web サイトは、時間帯、曜日、季節、販売促進キャンペーンなどの要因によって収益率が大きく変動します。 また、一部の顧客が元の Web サイトよりも気に入った別の Web サイトを見つけたために、一部のユーザーを完全に失う場合もあります。 正確を期してすべての潜在的な損失を考慮に入れると、収益の減少の算出は非常に複雑になります。
資産の損失に伴う間接的なビジネスへの影響。 この例では、この会社は、このような事態による悪評を抑えるために 10,000 ドルの広告費の支出を見積もります。 さらに、この会社は、年間売上の 1 パーセントの 0.01、つまり 17,520 ドルの損失を予想しています。 広告費の増額分と年間売上収益の損失分を合わせて、間接的な損失は総額 27,520 ドルになると予測できます。
SLE を判定する
SLE は、リスクが 1 回発生するごとに失われる収益の総額です。 1 回のイベントに割り当てられる金額で、特定の脅威が脆弱性を悪用した場合の企業の損失見込み額を表します (定性リスク分析の影響度に類似しています)。 SLE を算出するには、資産価値に危険度 (EF) を掛けます。危険度は、実現した脅威が特定の資産に与える損失の割合を表します。 150,000 ドルの資産価値がある Web ファームで火災が発生し、その価値の約 25 パーセントに相当する被害を受けた場合、SLE は 37,500 ドルになります。 ただし、これは極端に簡略化された例です。実際には、その他の経費を考慮する必要があります。
ARO を判定する
ARO は、リスクが 1 年間に発生すると合理的に予測される回数です。 この数値の予測は非常に困難です。利用可能な保険数理データはほとんどありません。 これまで収集されたデータは、一部の損害保険会社が保有する機密情報のようです。 ARO を予測するには、これまでの経験を頼りに、セキュリティ リスク管理の専門家やセキュリティとビジネスに関するコンサルタントに相談します。 ARO は、定性リスク分析の確率に類似しています。ARO の範囲は、0 パーセントから 100 パーセントまでです。0 パーセントはリスクがまったく発生しないことを示し、100 パーセントはリスクが必ず発生することを示します。
ALE を判定する
ALE は、リスクを軽減するための対策を何も行わなかった場合に、1 年間に組織が損失する総額です。 この値は、SLE に ARO を掛けることによって求められます。 ALE は、定性リスク分析の相対的ランクに類似しています。
たとえば、上記会社の Web ファームで火災が発生すると、37,500 ドルの被害が発生するとします。火災が発生する確率 (つまり、火災発生の ARO 値) は、0.1 (つまり、10 年に 1 回の割合) であるとします。この場合、ALE の値は、3,750 ドル (37,500 ドル x 0.1 = 3,750 ドル) になります。
ALE は、組織が制御または保護手段を確立してこのような被害を防止し、適切なレベルの保護を実現する場合にかかる費用 (この場合は年間 3,750 ドル以下) を予算化するために利用できる値を提供します。 潜在的な脅威の結果を防止するために使用できる費用を把握できるようになるには、実際にリスクが起こる可能性、およびその脅威がもたらす可能性のある被害額を数値で表すことが重要です。
制御のコストを判定する
制御のコストを判定するには、各制御の取得、テスト、展開、運用、および保守のコストを正確に予測する必要があります。 そのようなコストには、制御ソリューションの購入または開発、制御ソリューションの展開と構成、制御ソリューションの保守、新しい制御に関連する新しいポリシーまたは手順のユーザーへの通知、制御の使用およびサポート方法に関するユーザーと IT スタッフのトレーニング、制御によって被る可能性のある利便性または生産性の損失への対処などがあります。 たとえば、Web ファームに損害を与える火災のリスクを軽減するために、架空の組織が自動火災防止システムの展開を検討しているとします。 契約社員を雇ってシステムを設計およびインストールし、継続的にシステムを監視する必要があります。 また、定期的にシステムをチェックして、ときどきシステムによって使用される化学消火剤を補充する必要もあります。
ROSI
次の式を使用して、制御のコストを推定します。
(制御前の ALE) – (制御後の ALE) – (制御の年間コスト) = ROSI
たとえば、攻撃により Web サーバーが停止する脅威の ALE が 12,000 ドルで、提案された保護手段を実装した後の ALE が 3,000 ドルであるとします。 保護手段の保守および運用にかかる年間コストは 650 ドルとします。この場合、$12,000 - $3,000 - $650 = $8,350 という式で値を求めると、ROSI は年間 8,350 ドルになります。
定量リスク分析の結果
定量リスク分析から得られる項目から、明確に定義された目標と結果が導き出されます。 これまでの手順の結果から通常得られる項目は、次のとおりです。
資産に割り当てられた金銭的な価値
重大な脅威の包括的な一覧
各脅威が発生する確率
企業が 12 か月間で 1 つの脅威から被る損失の見込み
推奨される保護手段、制御、および行動
ここまでの説明でわかるように、これらの計算はすべて主観的な予測に基づいています。 計算結果の基礎となる主要な数値は、客観的な式または明確に定義された保険数理データセットから導き出されたものではなく、評価の実施担当者の意見から導き出されたものです。 AV、SLE、ARO、および制御コストはどれも、(通常は十分な議論と妥協の後) 参加者自身が挿入する数字です。
定性的リスク評価
定性的リスク評価と定量的リスク評価の違いは、前者の場合、資産、予想損失、および制御コストに具体的な帳簿上の価値を割り当てないことです。 代わりに相対的な価値を算出します。 通常、リスク分析は、情報セキュリティ専門家、情報技術マネージャおよびスタッフ、ビジネス資産所有者およびユーザー、上級管理者など、組織内のさまざまなグループに属する人が関与するアンケートや共同ワークショップを組み合わせて行われます。 アンケートを使用する場合は、通常、最初のワークショップの数日前または数週間前に用紙が配布されます。 アンケートは、既に配置されている資産と制御がわかるように作成されており、収集された情報はその後のワークショップで非常に役立ちます。 ワークショップでは、参加者は資産を特定し、それぞれの相対的な価値を見積もります。 次に、各資産が直面する可能のある脅威を見つけ出し、それらの脅威により将来悪用される可能性のある脆弱性のタイプを予測します。 情報セキュリティ専門家とシステム管理者は通常、グループが検討すべきリスクを軽減する制御を見つけて、各制御のコストを見積もります。 最後に、結果が経営陣に提出され、費用対利益分析の実施中に検討が行われます。
以上のように、定性的な評価の基本プロセスは、定量的な方法で行われるプロセスと非常によく似ています。 細部にも違いがあります。 ある資産と別の資産の価値の比較は相対的なもので、参加者は何時間もかけて資産評価用の正確な金額を計算しようとはしません。 リスクが実際に発生したときに予想される影響、および制御を実装するコストを計算する場合も同様です。
定性的な方法の長所は、資産価値や制御コストなど正確な数字を計算する必要がなく、プロセスのスタッフもずっと少なくて済むことです。 定性的リスク管理プロジェクトでは通常、数週間以内に重要な結果が現れ始めます。これに対して、定量的な方法を選択したほとんどの組織では、何か月、場合によっては何年経っても、努力の効果はほとんど見えてきません。 定性的な方法の短所は、得られた数字があいまいなことです。一部の意思決定者 (BDM)、特に財務や会計の経験のある人には、定性的リスク管理プロジェクトの実施中に判定された相対的な価値に納得できない場合があります。
2 つのアプローチを比較する
セキュリティ リスク管理を定性的に行う方法と定量的に行う方法のどちらにも、長所と短所があります。 特定の状況では、組織は定量的な方法を採用する必要があります。 また、小規模またはリソースが限られている組織の場合は、定性的な方法がより適しています。 次の表は、各方法の長所と短所をまとめたものです。
表 2.1: 各リスク管理方法の長所と短所
| 定量的 | 定性的 | |
|---|---|---|
| 長所 | – リスクは、財務的な影響によって優先度が設定されます。資産は、帳簿上の価値によって優先度が設定されます。 – 結果を利用すると、セキュリティ投資収益率によるリスクの管理がしやすくなります。 – 結果を経営陣に明確な用語 (金額、具体的なパーセントで表示された確率など) で示すことができます。 – 組織は経験を積みながらデータの履歴記録を増やしていくため、正確性が時の経過とともに向上します。 | – リスクのランクを認知および理解しやすくなります。 – 合意に達するのが簡単です。 – 脅威の頻度を定量化する必要がありません。 – 資産の帳簿上の価値を判定する必要がありません。 – セキュリティやコンピュータの専門家でなくても参加できます。 |
| 短所 | – リスクに割り当てられる影響の価値は、参加者の主観的な意見に基づいています。 – 信頼できる結果と合意に達するプロセスに、非常に時間がかかります。 – 計算は複雑で時間がかかる場合があります。 – 結果は金額数値でのみ表示されるため、専門家でない人には解釈が難しい場合があります。 – プロセスに専門知識が必要なため、プロセスを通じて参加者を簡単に指導できません。 | – 重要なリスクが十分に区別されていません。 – 費用対利益分析の基盤がないため、制御の実装への投資を正当化することが困難です。 – 結果は、編成されるリスク管理チームの質に左右されます。 |
これまでは、定量的な方法がセキュリティ リスク管理で優位を占めていました。しかし、最近では状勢が変化し、定量的リスク管理プロセスに厳密に従っても、困難で長期間続くプロジェクトとなって具体的な効果はほとんど見られないことを認める担当者がますます増えています。 以降の章で説明しますが、マイクロソフト セキュリティ リスク管理プロセスは、両方の方法の最良の部分を組み合わせた、固有のハイブリッドなアプローチです。
マイクロソフト セキュリティ リスク管理プロセス
マイクロソフト セキュリティ リスク管理プロセスは、従来からある 2 つのアプローチの最も良い要素を組み合わせたハイブリッドなアプローチです。 以降の章で説明しますが、このガイドでは、従来の定量的な方法よりもずっと迅速な、固有のセキュリティ リスク管理方法を紹介します。 しかも、この方法を使用すれば、通常の定性的な方法よりも詳細で経営幹部にも簡単に納得してもらえる結果を提供することができます。 このガイドでは、定性的な方法の単純性と簡潔性を、定量的な方法の厳密性の一部と組み合わせることによって、効果的かつ使用可能な固有のセキュリティ リスク管理プロセスを提供しています。 このプロセスの目標は、関係者が評価のすべての手順を理解できるようになることです。 この方法は、従来の定量的リスク管理よりもずっと簡単で、リスク分析フェーズと意思決定支援フェーズの結果に対する抵抗を最小限に抑えるため、合意をより迅速に得ることができるとともにプロセス全体で維持することができます。
マイクロソフト セキュリティ リスク管理プロセスは、4 つのフェーズで構成されています。 最初の「リスクの評価」フェーズでは、定量的リスク評価と定性的リスク評価という 2 つの方法のさまざまな側面が結合されています。 定性的な方法を使用して、セキュリティ リスクすべての優先度をすばやく決定します。 次に、この優先順位の設定作業中に特定された最も深刻なリスクが、定量的な方法で詳細に調査されます。 その結果、詳細に調査された最重要のリスクの比較的短めの一覧が作成されます。
この短い一覧は、次の「意思決定支援の実行」フェーズで使用されます。このフェーズでは、潜在的な制御ソリューションの提案と評価が行われ、最適なソリューションが上位リスクへの対策の推奨手段として組織のセキュリティ運営委員会に提出されます。 3 番目の「制御の実装」フェーズでは、対策責任者が制御ソリューションを実際に配置します。 4 番目の「プログラムの効果の測定」フェーズでは、制御によって想定どおりの保護が実現していることを確認し、組織のリスク プロファイルを変更する可能性のある新しいビジネス アプリケーションや攻撃ツールなど、環境に変化がないかをチェックします。
マイクロソフト セキュリティ リスク管理プロセスは継続して行うプロセスのため、新しいリスク評価ごとにサイクルが再開されます。 サイクルが再開される頻度は、組織によって異なります。ほとんどの場合、組織が新しい脆弱性、脅威、および資産を予防的に監視している限り、1 年ごとに繰り返すだけで十分です。
.gif)
図 2.2 マイクロソフト セキュリティ リスク管理プロセスの各フェーズ
上の図 2.2 は、マイクロソフト セキュリティ リスク管理プロセスの 4 つのフェーズを示したものです。 次の「第 3 章 セキュリティ リスク管理の概要」では、プロセスの概要について説明します。 その後の章では、4 つの各フェーズに関連する手順およびタスクについて詳しく説明します。