リスク評価と軽減パスを確立する

完了

多くの組織では、リスク評価を使用して、サイバー セキュリティが最高レベルであることを確認しています。 組織に既にリスク評価が存在する場合は、Microsoft Power Platform で何か新しいものを作成する前に、その評価を確認することをお勧めします。

一番避けたいのは、Power Platform で全般的なサイバー セキュリティ計画にそぐわない何かを作成することです。 したがって、今あるものをチェックして、すべてが適切に配置されていることを確認してください。

そうでない場合は、以下のセクションで、組織内のリスクの追跡、測定、監視に役立つ軽量なリスク評価プロセスを確立するために使用できる、いくつかの考慮事項を確認してください。

標準を使用してベースラインを確立する

組織では、明確なルールとガイドラインを設定することが重要です。 作成者に組織の期待に沿って作成してもらいたいのであれば、何が OK で何が NG なのかを明示する必要があります。

しかし、これらのルールの存在を知らなければ、従うことはできません。 したがって、これらのルールを目に見える形にすることをお勧めします。 イントラネット サイトまたは Wiki に掲載するとよいでしょう。 また、ユーザーがフローまたはアプリを初めて作成するときに、それらが自動的に通知されるようにすることもできます。 この詳細については、このモジュールの別のセクションで取り上けます。

不要なアクションを防ぐためにガバナンス制御を実装する

ガバナンスは、適用されている場合にのみ役立ちます。 組織は、データに予期しないことが起こるのを防ぐために、基本ルールと制約を設定する必要があります。

例外プロセスを確立する

特定のアクションまたは活動が許可されるために、正当なビジネス ニーズが存在する状況が発生する可能性があります。 ただし、続行するかどうかの決定は、その決定を行う権限を持つ人によって適切なレベルの可視性を使用して文書化される必要があります。

例外を追跡する

組織の全体的な露出を測定できずにリスクを累積することは無益です。 リスクを効果的に管理し、継続的な改善に努めるために、組織は例外を追跡し、その影響を評価し、リスクに対処する責任を割り当て、定期的に見直す必要があります。

一部の組織では、Microsoft Power Platform を利用してこのプロセスを促進しています。 「Microsoft Power Platform のセキュリティとガバナンスの概要」モジュールで説明したように、Center of Excellence スタート キットには開発者コンプライアンス センターが含まれています。 このツールは、組織が新しいアプリケーションの展開を制御するのを支援し、アプリの作成者に、そのアプリの必要性を正当化するように促します。 これは、各アプリの制御を維持し、目的にかなった存在意義を保つための体系的なアプローチです。

例外を定期的に確認して報告する

正しい行動を促すには、リスクを明確にして理解しやすくすることが不可欠です。 リスクが実際に物事にどのような影響を及ぼすのか、あるいはどのような結果をもたらすのかがわからなければ、今行っていることを変更する理由が見つからないかもしれません。

組織内のリスクを明確に把握すると、管理者はリスクの大きさに問題がないのか、それとも変更を加える必要があるのかを評価することができます。 これは、安全運転のためにフロントガラス越しに視界を確保するのに似ています。