はてなブックマーク

改めてリスク対応とは、リスクに関して必要な情報を入手・分析（リスク特定・分析）し、対応の優先順位を決定（リスク評価）した後に行う活動であり、「リスクの対策を決定する」、「対策の導入計画を策定する」、「導入計画を履行する」といった活動を指します。 なお、上に挙げたISO31000は世界で最も有名なガイドラインの一つであり、リスクマネジメント活動のよりどころとなっていますが、このようなリスク対応の考え方やプロセスは、ISMS（情報セキュリティマネジメントシステム）やQMS（品質マネジメントシステム）、PMS（個人情報保護マネジメントシステム）等でも基盤となっています。 先述しましたように、リスク対応を中心となって支える活動の一つに「リスクの対策を決定する」があります。この対策には選択肢があり、一般的には、「リスク回避」「リスク軽減（低減）」「リスク移転」「リスク保有」の4つに分類されます。企業

KRIは、Key Risk Indicatorの略であり、 重要リスク指標とも呼ばれます。KRIは、リスクの顕在化（または、そうなりそうな状況）をいち早く察知し、被害の発生や影響をできる限り抑えることを狙いとして設定するモニタリング指標です。組織の将来に悪影響をもたらす可能性を示唆するものであり、リスク顕在化と大きな因果関係を持つものです。世間一般的には良く、「予兆」「前触れ」と表現されることもあります。 噴火のリスクを例にとってみましょう。噴火の予兆や前触れを示唆するものが、言わばKRI候補です。具体的には何でしょうか。因果関係が実証されていないものもあるでしょうが、KRIになりうるものとしては、たとえば火口の隆起や、震源の浅い火山性地震を挙げることができるでしょう。では、外部からハッキングを受ける不正アクセスリスクの場合はどうでしょうか。KRIになりうるものとしては、たとえばファイアウ

NIST (National Institute of Standards and Technology：米国標準技術局) が、2011年2月3日にパブリッククラウドに関するガイドラインのドラフト版を公表しました。 これは連邦政府のCIOの要請により、NISTが一定のセキュリティを保ちつつ政府機関がクラウドコンピューティングを利用する手法をガイドラインとしてまとめたものです。 あくまで政府機関がクラウドコンピューティングを利用することを想定して書かれていますが、主語をそのまま企業に置き換えても十分利用可能な内容となっており、現在は2月末を目処にパブリックコメントを募っている状況です。 今回このガイドラインの公開に併せて、クラウドコンピューティングの定義を示した文書もドラフト版としてアップデートされています。こちらのアップデートは急速に変化するクラウド環境を反映し改訂はすでに16版を数えます

近年急速に情報が集まり、分析が進展し、理論的な解明がすすんでいる確率分布のひとつに「ベキ分布」があります。 従来はリスクについて考える際は、損害規模や発生確率は正規分布的に平均を考え、分散を考え、どの程度かと想定していました。しかし、地震や山火事や、株価の大暴落の災害や異常現象は、何らかの平均があり、それからの乖離を計る分散を見ることで予測できるものではないのではないか、という議論が出てきます。 その後の研究により、自然現象では地震の大きさと発生頻度、山火事の被害面積ごとの発生頻度など、経済現象では株価、為替などの市場価格の変動、社会現象では戦争の発生頻度と戦死者数などは正規分布とは明らかに異なる形、即ちベキ分布に従っていることが分かってきました。 まずは正規分布について説明します。 いわゆる確率的な分布と言われたら、ほとんどの人は右図のような釣鐘型の正規分布を思い浮かべることでしょう。正

IT-BCPの世界では、プライマリリソース（本番用として稼働しているITシステムのこと。たとえば本番用サーバや、それらを設置している情報処理施設など）からバックアップリソース（予備のITシステムのこと。たとえば代替機やDRサイトなど。）への切り替えについて、その際の切り替え速度の観点から（速い順に）”ホット”、”ウォーム”、”コールド”という3種類の言葉が使われます。 なお仮に、プライマリリソースをメインの車、バックアップリソースを予備の車にたとえるならば、「ホット」とは、バックアップリソース（予備の車）のエンジンをかけっぱなしにして待機させてある状態のことで、プライマリリソース（メインの車）に何か問題が発生しても、すぐに予備の車に乗り換えられるような準備がなされている形態を指します。 逆に、「コールド」とは、予備の車を用意しておくものの、エンジンはオフ、車の鍵もエンジンに差し込まない状態

BIA（事業インパクト分析）とは、組織にとって重要な事業（製品及びサービスの提供）について、以下を明らかにする目的で実施する分析を指します。 ・業務の中断による事業への影響 ・業務の継続（復旧）優先順位 ・業務の目標復旧時間（または復旧レベル） ・業務に必要なリソース（経営資源：人・サイト・技術・情報・供給） それでは、以下に詳細の手順をご紹介します。 事業を支える業務の洗い出し（業務、その概要、主管部署など） 業務が中断することによる影響の特定（定量的または定性的に特定） 業務復旧優先度の決定 目標復旧時間（RTO）・目標復旧レベル（RLO）の設定 各業務に必要なリソースの特定（人であれば「どのような力量を持った要員を何名」など） １．事業を支える業務の洗い出し 経験則から重要な事業を支える業務は何か、ある程度あたりをつけることは可能です。しかし、重要な業務の抜け・漏れを防ぐために、また

インシデント管理とは、ITサービスの利用者（顧客）が”何らかの理由により”業務を遂行できない状態を、いかに早く解決し、業務を続けられるようにするかを支援するIT運用管理プロセスです。この際の”何らかの理由”が、インシデントにあたりますが、一般的には対応方法が手順化されているかどうかによって、大きく以下に示す２つに分類することができます。※1 1.障害回復要求　（例：データ閲覧不可、ログインエラーに関する問い合わせ等） 2.サービス要求　（例：情報の開示要求、登録情報変更依頼、パスワード再発行依頼等） ちなみに「2. サービス要求」にのみに関わるプロセスを特に「サービスリクエスト管理」と呼ぶ場合があります。 ※1. インシデントの定義にサービス要求を含めるかどうかについては、規格やガイドライン、専門家によって異なる場合があります。 【ITIL ver3における定義】 「予定していないITサー

サイバー/デジタルリスク Naviは、サイバーセキュリティとデジタルトランスフォーメーション（DX）に関する情報を集めたサイトです。 サイバーセキュリティやDXの最新情報を収集、提供しているほか、注目したい話題や用語、ガイドラインについて随時解説しております。 各情報は左メニューからご覧ください。セキュリティ対策のための情報収集にお役立ていただければ幸いです。 ご意見・ご要望は お問い合わせページ よりお寄せ下さい。 2024.10.01 レガシーシステム 2024.09.27 ISO/IEC 42001の参照も推奨、「AIセーフティに関する評価観点ガイド」を公表　AISI 2024.09.25 デジタルガバナンス・コード「3.0」を発表、3つの視点・5つの柱として再整理　経産省 2024.09.20 「迷惑メール白書 2022-2024」を発行　迷惑メール対策推進協議会 2024.09.

クラウドコンピューティングとは、一言で述べると「雲の向う側の世界の（インターネットの向う側にある）巨大な情報処理施設を利用（・提供）する技術の総称」です。クラウドコンピューティングは、大きく３種類に分類できます。 ・SaaS（サース）：ソフトウェアサービスを提供するサービス ・PaaS（パース）：プラットフォームを提供するサービス ・IaaS（イアース）：インフラストラクチャを提供するサービス ソフトウェアを提供するサービス（SaaS） 具体例としては、Google社が提供するメールシステム（Google Apps Mail）や、セールスフォース社が提供する顧客管理システム（CRM：営業活動を支援する機能などを持つ）などがあります。これにより、自社でわざわざサーバ施設を用意し、必要機材を調達し、OSやメールソフトなどをインストールするという面倒を踏まずとも、即日から高い機能を持つソフトウェ