マーフィーには2つの法則がありますが、ITリスクマネジメントに関してはどちらも当てはまります。マーフィーの第一法則は、「うまくいかないことは、必ずうまくいかない」というもので、十分な時間があれば、何かがうまくいかない可能性が高いため、正確であると考えられています。何が起こってもいいように準備しておく必要があるのです。マーフィーの第2法則は、「見た目ほど簡単なものはない」というものですが、これはビジネスリスクの管理に関しても当てはまります。
これらは、企業がリスクの特定、評価、優先順位付け、修正を支援するマネージドサービスプロバイダー(MSP)に期待する2つの理由です。あなたがMSPであれば、顧客のリスクを軽減し、システムとデータの保護を確実にするために、どのような支援ができるかをご覧ください。
ITリスクとは?
ITリスクとは、ITインフラ、アプリケーション、データなど、組織の情報資源の脆弱性が脅威に悪用され、損失や損害が発生する可能性と定義されます。サイバーセキュリティリスク、停電、災害、ヒューマンエラー、ソフトウェア/ハードウェアの故障など、ビジネスを混乱させる可能性があり、何らかの形で情報技術(IT)に依存しているものであれば、あらゆる種類のリスクをカバーする広い用語です。
ITリスクマネジメントとは?
ITリスクマネジメントとは、企業がどの程度のリスクを受け入れることができるかを評価することで、企業のITインフラに対する脅威を分析するプロセスであります。業界では、これを 「リスクアペタイト(選好度) 」と呼んでいます。特定のリスクを想定できない場合は、そのリスクを低減できるかどうか、どのように低減するかを判断する必要があります。
ここでは、リスクシナリオと企業が許容するリスクアペタイトの例を紹介します。
● 自然災害が発生した場合、企業のメールコミュニケーションは24時間停止します。ビジネスへの影響が少なく、災害が頻繁に起こらないため、ビジネスはこのレベルのリスクを受け入れます。
● 小惑星が衝突した場合、企業のオフィスや建物は破壊されてしまいます。壊滅的な結果をもたらすにもかかわらず、小惑星の衝突の可能性は低いため、企業はこのレベルのリスクを受け入れます。
● ランサムウェアの攻撃を受けた場合、IT業務が無期限に停止する可能性があります。この種のイベントは一般的で、ビジネスに壊滅的な打撃を与える可能性があるため、ビジネスはこのレベルのリスクを受け入れません。
リスクマネジメントとは、必ずしもリスクをゼロにすることではなく、影響が大きいときにリスクを最小限にすることです。
なぜITリスクマネジメントが重要なのでしょう?
事業者は、自社の弱点を知り、過剰にさらされているかどうかを判断し、ギャップの優先順位をつけ、リスクを軽減するために、直面するリスクを知り、評価する必要があります。過剰にさらされている場合、企業は利用可能なリソースと、後述のリスク計算を用いて決定されるリスクの優先順位に基づいて行動を起こす必要があります。
ITリスクを特定するプロセスについて
ITリスクマネジメントのプロセスは、後述する5つのステップのプロセス、またはISO27005のような外部のリスクアセスメントを用いて、企業が社内で行うことができる作業です。これは、ISO 27001の要求事項に従った情報セキュリティ・リスクアセスメントの実施方法を説明した国際規格です。
ITリスクを特定するために企業が行うべき5つのステップは以下の通りです。
1. 脆弱性を特定
IT部門は、ITインフラで考えられるすべての弱点とリスクを定義しなければなりません。
2. 組織のデータにラベルを付け、分類
どのようなデータを保護すべきかがわかって初めて、企業はデータを保護することができるため、これは重要なステップです。このステップでは、個人情報やセンシティブなデータを特定する機会を提供します。これらのデータは、安全で保護すべき最も重要なデータです。
3. 脆弱性に優先順位を
この作業は、常に稼働している必要のある重要なシステムを特定できるLOB(ライン・オブ・ビジネス)と、重要なサービスが保護されているかどうかを判断できるIT部門との合同会議で行う必要があります。このステップでは、IT部門とLOBは以下のことも行います。
● リスク分析。ある事象がどのくらいの頻度で発生するのか、どのくらいの確率で発生するのか、どのような結果になるのかを判断します。
●リスク評価。リスクを計算するための「公式」は次のとおりです。リスク=脅威×脆弱性×結果。 これは数学的な公式ではなく、ガイドラインとして使用されるべきものであります。
ここでは、この「公式」を使ってリスクを評価する方法について、いくつかの例を紹介します。
企業がシステムのバックアップを行っていない場合、人為的なミス、自然災害や人災、悪意のある攻撃によってシステムがダウンする可能性が高く、データが失われた場合の影響は甚大です。この脆弱性は高リスクであり、直ちに改善する必要があります。
事業者は、スパム広告がユーザーにとって迷惑なものであることを認識しています。これはよくあることですが、その影響は大きくないため、改善の優先順位は2番目と考えられます。
一方、企業は、ユーザーのパスワードを盗むフィッシング攻撃があることを認識しています。これは一般的な出来事であり、その影響は大きいため、早急な改善を必要とする最優先事項と考えられます。
4. リスクに対処
事業者はリスクを把握した後、優先順位、リスク選好度、許容度に基づいてリスクに対処しなければなりません。
5. 継続的なリスクモニタリングを実施
ITリスクを特定するプロセスは、セキュリティの状況が外部と内部の両方の力によって常に変化しているため、継続的なプロセスとなります。
ITリスク管理のベストプラクティスについて
企業にとっては、サプライチェーンやクラウドベースのアプリケーションなどのインフラを継続的に監視し、新たなリスクを回避することが重要です。例えば、パンデミックが発生する前は、在宅勤務者のデータ漏えいや侵入のリスクは低かったです。しかし、2020年にはリモートワークへの大規模な移行が予定されており、ほとんどの従業員が自宅で仕事をしているため、データのセキュリティは高リスクとなっています。つまり、ノートPCの紛失や、自宅の無人のノートPCが誰かにアクセスされる確率が高くなり、マルウェアのリスクが高まります。また、パンデミックは、サイバー犯罪者がCOVID-19への恐怖心を利用してマルウェアを拡散させるため、より多くのリスクを生み出しています。
事業者は、ベンダー、パートナー、あらゆる個人(請負業者など)、または事業者が協力するその他の企業に関連するリスクを必ず監視しなければなりません。例えば、SolarWindsの情報漏えいは、犯罪者がOrionソフトウェアシステムにハッキングし、悪意のあるコードを追加したために起こりました。そのマルウェアは、SolarWinds社がシステムアップデートを配信した際に、18,000人の顧客に拡散されました。これは大惨事であり、多くの組織を高いリスクにさらしました。
EU一般データ保護規則(GDPR)、カリフォルニア州消費者プライバシー法(CCPA)、支払カード産業データセキュリティ基準(PCI DSS)、医療保険の相互運用性と説明責任に関する法律(HIPAA)、ISO 27001などの規制要件の対象となる事業者は、コンプライアンス規制と会社の遵守状況も継続的に監視する必要があります。
アクロニスのオールインワンソリューションでサイバーリスクを回避
Acronis Cyber Protect Cloudは、高度なマルウェアを検知・予防し、修復・調査機能を提供し、顧客のデータを総合的に保護する唯一のソリューションです。行動ベースとシグネチャベースのアンチマルウェア、エンドポイントプロテクション管理、バックアップ、ディザスタリカバリを1つのソリューションにまとめています。単一のコンソールと単一のエージェントを備えたAcronis Cyber Protect Cloudは、比類のない統合と自動化を実現し、複雑さを軽減して生産性を向上させ、運用コストを削減します。Acronis Cyber Protect Cloudを使用すると、必要不可欠なサイバープロテクションを備えたバックアップサービスを無料で強化することができます。また、以下のような高度な保護パックでサービスを拡張できます。
● 機械知能(MI)ベースの技術を用いて、次世代アンチマルウェアが新興または新種のマルウェアを防止します。
● アクロニス・サイバープロテクション・オペレーションセンター(CPOC)によるグローバルな脅威の監視とスマートアラートにより、顧客のデータ保護に影響を与える可能性のあるマルウェア、脆弱性、自然災害、その他のグローバルな出来事について十分な情報を得ることができ、それらを防ぐための対策を講じることができます。
● デジタル証拠データを収集し、サイバー脅威から保護するために安全な場所に保管されているディスクレベルのバックアップに含め、今後の調査に利用することができるフォレンジックバックアップができます。
● Windows上のマイクロソフトおよびサードパーティ製ソフトウェアのパッチ管理により、顧客のデータを安全に保つためのパッチを簡単にスケジュールまたは手動で導入することができます。
● 機械知能(MI)技術を用いたドライブ(ハードディスク)ヘルスにより、ディスクの問題を予測し、警告を発して予防措置を講じることで、お客様のデータを保護し、稼働率を向上させます。
● 自動またはオンデマンドのスキャンによるソフトウェア・インベントリの収集により、お客様のソフトウェア・インベントリを詳細に可視化します。
● フェイルセーフパッチ機能により、顧客のシステムのイメージバックアップを作成し、パッチによって顧客のシステムが不安定になった場合でも簡単にリカバリできるようにします。
● Microsoft Exchange、Microsoft SQL Server、Oracle DBMS リアルアプリケーションクラスター、SAP HANAなど、20種類以上のワークロードを1つのコンソールで保護します。
● データ保護マップにより、お客様のマシン上でのデータ配布を追跡し、ファイルの保護状態を監視し、収集したデータをコンプライアンスレポートの基礎として使用します。
● 継続的なデータ保護により、スケジュールされたバックアップの間に行われた顧客のデータ変更を失わないようにします。
● ランブックという顧客の本番環境をクラウド上でスピンアップさせる方法を定義した一連の指示書を使用したディザスタリカバリオーケストレーションにより、あらゆるデバイス、あらゆるインシデントから、顧客のアプリケーション、システム、データを迅速かつ確実にリカバリすることができます。
● スパム、フィッシング、ビジネスメール侵害(BEC)、マルウェア、APT(アドバンストパーシスタント:APT攻撃)、ゼロデイなどのメールの脅威を、エンドユーザーのMicrosoft 365、Google Workspace、Open-Xchangeのメールボックスに到達する前にブロックします。Perception Pointが提供する、次世代のクラウドベースのメールセキュリティソリューションを活用することができます。
Acronis Cyber Protect Cloudを使用すると、顧客のエンドポイントを複数のレイヤーで保護し、データ、アプリケーション、システムが常に利用可能で保護されていることを保証し、何が起こってもデータやシステムを最短で復旧することができます。
※このブログはAcronis.comブログ "What is IT risk managemnt?" の抄訳です。
