Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial KITEWORKSを探る

セキュリティリスク管理 [情報リスクと評価]

ホーム 用語集 セキュリティリスク管理 [情報リスクと評価]

セキュリティリスク管理は、会社の弱点が見過ごされ、外部の攻撃者に狙われるのを防ぐことができます。

セキュリティリスク管理とは何ですか?リスク管理は、企業がリスク領域を特定するために行うプロセスです。このプロセスは継続的に行われるべきであり、リスクが発見された場合には適切に対処されるべきです。

セキュリティリスク管理 [情報リスクと評価]

セキュリティと脅威管理とは?

現代のITおよびビジネス運営において、サイバーセキュリティは最優先事項です。データ駆動型の商取引の現実は、ほとんどの消費者およびビジネス情報がデジタル空間に保存されており、セキュリティ脅威や脆弱性が人々や企業に実際に持続的な害を及ぼす可能性があるということです。

そのため、多くの企業や第三者のセキュリティ企業は、一般的に脅威評価と呼ばれるものを実施しています。これらの評価は、組織のインフラストラクチャと能力、保存されているデータ、外部との通信やインタラクションの種類を考慮し、これらの要素を既存の脅威と比較します。

InfoSec Instituteは、Certified Information Systems Security Professional (CISSP)フレームワーク内でセキュリティ管理を以下の要素で定義しています:

セキュリティモデル

これには、ITインフラストラクチャ、ビジネス目標、およびHIPAA、GDPR、PCI DSSなどの規制からのコンプライアンス要件に基づく組織内のセキュリティに関する基本的なコントロールと意思決定が含まれます。

機密性、整合性、可用性

データ管理において、機密性はデータのプライバシー、整合性はデータの継続的な安定性、可用性は必要に応じたユーザーへの提供を指します。

セキュリティガバナンス

ほとんどの組織は、セキュリティポリシーと手順を管理するための統治機関を持つべきであり、最高技術責任者、最高情報セキュリティ責任者、またはコンプライアンス責任者が率いるべきです。

ポリシーと手順

問題を効果的に管理するために、組織は構成変更、アップグレード、従業員トレーニングなどの計画を処理するための包括的なデータガバナンスとサイバーセキュリティポリシーを持つべきです。

事業継続性

セキュリティは、ビジネスが運営を継続する能力に関するものです。これには、システム侵害後に運営を再開する能力、侵害が発生した際にそれを軽減する能力、問題領域が発生した際にそれを修正する能力が含まれます。

リスク管理

リスク管理の基盤であるリスクは、ITインフラストラクチャにおける潜在的なセキュリティ脅威をビジネスおよび技術的目標に対して測定することです。企業が引き受けるリスクの量は、組織、業界、または時期によって異なることがあります。

脅威モデリング

セキュリティ要件と潜在的な脆弱性を具体的にモデリングし、それらの脆弱性を軽減するための方法です。必要に応じて脅威を測定、ラベル付け、優先順位付けします。

サイバーセキュリティリスク管理とは?

もう少し掘り下げると、サイバーセキュリティリスク管理は、リスクを特定、評価、優先順位付けし、それらを管理するための戦略を開発するプロセスです。このプロセスには通常、潜在的な脅威の評価、重要な資産の特定、それらの資産に対するリスクの影響の評価、潜在的なリスクを軽減するための戦略の選択と実施、そしてそれらの戦略の効果を定期的に監視および報告することが含まれます。これは、組織のセキュリティプログラムの重要な部分です。

組織は、悪意のある行為者から機密データやシステムを保護するために、サイバーセキュリティリスクを管理する必要があります。デジタル時代において、サイバー脅威は絶えず進化しており、企業が新たな脅威に対応し、それらに対抗するための積極的な措置を講じることが重要です。サイバーセキュリティリスク管理は、組織がサイバーセキュリティ戦略の弱点を特定し、問題になる前に対処するのに役立ちます。また、組織がサイバーセキュリティへの投資を優先し、業界の要件を満たすセキュリティプログラムを確保するのにも役立ちます。さらに、サイバーリスクを管理するための積極的な措置を講じることで、組織は財務的損失を減らし、政府の規制に準拠することができます。堅牢なサイバーセキュリティプログラムに投資することで、企業は貴重なデータやシステムを盗難、詐欺、その他の悪意のある攻撃から保護することができます。

企業は、サイバーセキュリティリスク管理計画を持つことで、リスクへの露出を減らし、セキュリティの脆弱性を軽減し、全体的なセキュリティ姿勢を向上させることができます。よく構築されたリスク管理計画は、組織がセキュリティ対策を特定し、優先順位を付け、潜在的な脅威を予測し、リスク軽減戦略を作成するのに役立ちます。さらに、組織が最も効果的なサイバーセキュリティ対策に投資し、セキュリティプログラムのすべての領域が適切に保護されていることを確認するのにも役立ちます。包括的なリスク管理計画を持つことで、組織はリスクを減らし、セキュリティ姿勢を向上させ、セキュリティ侵害に関連する潜在的な損害を軽減することができます。

セキュリティリスク管理はどのように機能しますか?

これらのセキュリティ慣行と基準を組み合わせることで、組織はリスクを完全かつ包括的に理解し、それに対処するための意思決定を行うためのリスク管理ポリシーを実施することができます。

リスクの評価、カタログ化、測定を組み合わせることで、組織はセキュリティ管理を進め、セキュリティプロファイルの次の4つの側面に対処することができます:

1. 資産

組織にはどのようなデータ資産がありますか?それらの資産はどこに保存されていますか?内部および外部のユーザーはどのようにそれらの資産とインタラクトし、変更し、または接触しますか?この場合、資産はデータベースやデータストア内のデータ、クラウドのSoftware-as-a-Serviceアプリケーション(SaaS)、または内部ユーザーポータルなどを意味することがあります。

2. コントロール

どのような技術が導入されていますか?それらの技術はどこにありますか?それらは更新され、正しく構成されていますか?セキュリティコントロールには、暗号化アルゴリズム、ファイアウォール、アンチマルウェア技術、またはIDおよびアクセス管理ソフトウェアが含まれることがあります。

3. 脆弱性

ITシステムのどこに弱点がありますか?資産はどこで保護されていませんか?データが通過する可能性のある未保護の場所はありますか?脆弱性を見つけるのは難しく、発見するためには定期的な脆弱性スキャン、年次ペネトレーションテスト、またはレッドチーム演習が必要になることがあります。

4. 脅威

現代のサイバーセキュリティ脅威の状況はどのようなものですか?新たな脅威が出現していますか?この側面はしばしば動的であり、脅威は警告なしに突然出現することがあります。長年知られている脅威であっても、依然として課題をもたらし、特定のセキュリティ対策を必要とすることがあります。

上記の4つの側面を具体的なセキュリティ計画に組み込み、把握することで、どの組織も潜在的なリスクと脅威を良く理解することができます。

リスク評価と統合セキュリティに関する具体的なガイドラインについては、多くの組織が国際標準化機構や米国国立標準技術研究所のような専門団体に頼ります。ISO 31000やNIST特別出版物800-39および800-53は、堅牢なリスク管理フレームワークを提供しています。

どの業界がコンプライアンスのためにセキュリティリスク評価を必要としますか?

コンプライアンスのためにセキュリティリスク評価を必要とする業界は多くあります。最も一般的なものには以下が含まれます:

ヘルスケア

病院、診療所、その他の医療施設は、HIPAA(医療保険の相互運用性と説明責任に関する法律)に準拠し、患者の機密健康情報を保護するために定期的なリスク評価を実施する必要があります。

金融

銀行、信用組合、その他の金融機関は、GLBA(グラム・リーチ・ブライリー法)に準拠し、消費者の金融情報を保護するためにセキュリティリスクを評価する必要があります。

政府

連邦、州、および地方の政府機関は、FISMA(連邦情報セキュリティマネジメント法)、NIST(米国国立標準技術研究所)サイバーセキュリティフレームワークなどのさまざまな規制やガイドラインに準拠し、機密政府データを保護する必要があります。

教育

学校、大学、大学院は、FERPA(家族教育権とプライバシー法)に準拠し、学生の学業記録を保護するためにセキュリティリスクを評価する必要があります。

小売

クレジットカード取引を処理する企業は、PCI DSS(PCIデータセキュリティ基準)に準拠し、消費者のクレジットカード情報を保護するためにセキュリティリスクを評価する必要があります。

法律

法律事務所および法律サービスは、アメリカンバーカウンシル(ABA)モデルルールオブプロフェッショナルコンダクトに準拠し、クライアントの機密情報を保護するためにセキュリティリスクを評価する必要があります。

エネルギーとユーティリティ

エネルギー企業は、北米電力信頼度協議会(NERC)重要インフラ保護(CIP)基準に準拠し、重要インフラを保護するためにセキュリティリスクを評価する必要があります。

輸送

航空会社、空港、その他の輸送会社は、運輸保安局(TSA)の規制に準拠し、旅行者と貨物を保護するためにセキュリティリスクを評価する必要があります。

技術

ソフトウェアおよびハードウェアを開発および販売する技術企業は、ISO 27001などのさまざまな規制および基準に準拠し、顧客データおよび知的財産を保護するためにセキュリティリスクを評価する必要があります。

機密データ、重要インフラ、または公共の安全に関する懸念を扱う業界は、さまざまな規制および基準に準拠するためにセキュリティリスク評価を必要とする可能性があります。これらの業界は、個人および組織の保護を確保するために、定期的にセキュリティリスクを評価および管理することが重要です。

サイバーリスク管理フレームワーク

サイバーリスク管理フレームワークは、サイバーリスクを特定、測定、評価、優先順位付けし、それらを効果的に管理および軽減するための構造化されたアプローチです。これらのフレームワークは、プロセスをさまざまな段階および活動に分解し、通常はステップバイステップのプロセスでサイバーリスクを管理するための体系的かつ統合された方法を提供します。一般的に使用されるフレームワークには以下が含まれます:

1. NISTサイバーセキュリティフレームワーク

このフレームワークは、米国国立標準技術研究所(NIST)によって開発され、サイバーリスクを管理および軽減するためのガイドライン、基準、およびベストプラクティスのセットを提供します。

2. ISO/IEC 27001

これは、情報セキュリティ管理システム(ISMS)のためのフレームワークを提供する国際標準です。情報の機密性、整合性、および可用性に焦点を当て、情報セキュリティリスクを管理するための体系的なアプローチを提供します。

3. COBIT

このフレームワークは、情報システム監査および管理協会(ISACA)によって開発され、IT管理のためのガバナンスフレームワークを提供します。プロセス、コントロール目標、およびメトリクスのセットを組み合わせて、サイバーリスクを含むIT関連のリスクを管理および軽減します。

4. FAIR

情報リスクの要因分析(FAIR)フレームワークは、リスク管理に対する定量的アプローチであり、組織の目標に対する影響に基づいてサイバーリスクを特定、分析、および優先順位付けします。サイバーリスクの確率と影響を推定するための数学的モデルとアルゴリズムのセットを使用します。

5. CISコントロール

インターネットセキュリティセンター(CIS)コントロールは、組織がサイバー防御を改善するために使用できるベストプラクティスのセットです。最も一般的なサイバー脅威から保護するために実施できるセキュリティ対策の優先順位付けされたリストです。

どのフレームワークを使用するかに関係なく、組織がサイバーリスクを管理するために体系的かつ統合されたアプローチを採用することが重要です。これには、サイバーリスクの特定と評価、リスク軽減戦略の開発と実施、およびサイバーセキュリティ姿勢の継続的な監視と改善が含まれます。

組織はリスクをどのように扱いますか?

組織がリスクに対処する方法は、そのビジネスモデルに依存します。異なる業界は、最終的にセキュリティ問題に対処するために異なるアプローチを必要としたり、優先したりすることがよくあります。一般的に言えば、リスクが発生した際に対処するための5つの主要な方法があります:

1. リスクの修正

リスクを除去、修正、または部分的に排除するための措置を講じる行為。

2. リスクの軽減

組織的手段を通じて潜在的な脆弱性の影響を軽減すること。通常、即時のリスクを修正するのではなく、周囲のセキュリティ対策を実施することによって行われます。

3. リスクの受容

ビジネスまたはITの観点からリスクが許容可能であると判断し、何もしないこと。

4. リスクの移転

脆弱性からの責任または潜在的な影響を移動すること。たとえば、データを移動したり、財務的な影響を相殺するために侵害保険を購入したりすることです。

5. リスクの回避

問題を完全に回避するためにリスクを隔離すること。たとえば、データを新しいサーバーに移行し、非機密データを扱うためにリスクの高いデバイスを使用することです。

企業はどのくらいの頻度でリスク評価を実施すべきですか?

セキュリティ評価を実施する方法はいくつかあります。一般的に言えば、以下のガイドラインはリスクとセキュリティを測定するための良い出発点です:

リスク評価テスト

スケジュール

リスク評価(フルスケールIT評価)

年次

ペネトレーションテスト

少なくとも年に1回

脆弱性スキャン

毎月

1つのプラットフォームからサイバーセキュリティリスクを管理する方法

現代経済におけるセキュリティ管理の基盤は、安全なプロバイダーやベンダーと協力することです。これらのベンダーは、安全な技術を提供するだけでなく、すでに忙しい組織のリスク管理を引き受けることもできます。

Kiteworksのプライベートコンテンツネットワークは、安全なデータ管理とガバナンスポリシー、リスク管理、分析をサポートします。

Kiteworksがどのように機密コンテンツ通信のリスクを最小限に抑えるかを確認するには、パーソナライズされたデモにサインアップしてください。

 

リスクとコンプライアンス用語集に戻る

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

始めましょう。

Kiteworksを使用すれば、規制コンプライアンスを確保し、リスクを効果的に管理することが簡単に始められます。今日、コンテンツ通信プラットフォームに自信を持つ数千の組織に参加しましょう。以下のオプションから選択してください。

デモを予約
担当者に相談
Share
Tweet
Share
Explore Kiteworks