リスク管理フレームワークとは?

リスク管理フレームワークは、順次構造化されたルールベースの文書化されたアプローチで、組織内のリスクの調査、軽減、監視に役立ちます。組織は、アドホックなプロセスでリスクに取り組むのではなく、標準化されたフレームワークを選択するか、独自のフレームワークを作成します。フレームワークを使用することで、予期せぬ事態が発生した場合に、より良い結果と迅速な対応をより確実に達成できます。

リスク管理は、ガバナンス、リスク、コンプライアンス (GRC) ビジネス領域の機能であり、多くの場合、サイバーセキュリティ部門またはコンプライアンス部門内にあります。組織のリスクへの対処方法は、事業継続、運用、規制遵守、評判にとって非常に重要です。リスク管理フレームワークは、組織全体のリスクを特定、評価、軽減、追跡するのに役立ちます。 

リスクは、組織、事業部門、および事業資産に影響を与える可能性があります。これには、運用、ビジネス、コンプライアンス、サイバーセキュリティ、法律、合併と買収、プライバシー、ハードウェア、ソフトウェア、契約上のリスクが含まれます。企業は多くの場合、サイバーリスクに焦点を当てますが、他の種類のリスクを見逃さないことも重要です。このドキュメントでは、クラウドにも適用されるため、主に運用、ビジネス、コンプライアンスのリスクについて説明します。

運用リスクは、インフラストラクチャの可用性、信頼性、パフォーマンス、およびセキュリティに関連しています。このリスクカテゴリは日常業務にとって最も重要です。

ビジネスリスクは、評判、競争力、および市況に関連しています。このリスクは、運用リスクよりも範囲が広く、ビジネス全体に大きな影響を与える可能性があります。

コンプライアンスリスクとは、事業運営が必要な規制コンプライアンス基準を満たせなくなる可能性を指します。このリスクは、罰金、制裁措置、法的影響、または監査や報告義務の強化につながる可能性があります。コンプライアンス目標は、業界標準、連邦機関、その他の規制機関によって定められています。

一般的なリスク管理フレームワークには以下が含まれます。

• 米国国立標準技術研究所 (NIST) の情報システムおよび組織向けリスク管理フレームワーク (RMF)
• COBIT
• ISO/IEC 31000 リスク管理 - ガイドライン
• ISO/IEC 27005:2022 情報セキュリティ、サイバーセキュリティ、プライバシー保護 — 情報セキュリティリスクの管理に関するガイダンス
• 情報リスクの要因分析

リスク管理のベストプラクティスを常に把握しておくためには、既知かつ定期的に更新されるリスク管理フレームワークを使用することをお勧めします。

強固なリスク管理フレームワークは、組織全体であらゆる種類のリスクを管理するのに役立ちます。

リスクの識別

組織アーキテクチャ全体のすべての資産、脅威、脆弱性を特定します。リスクとは、脆弱性から生じる資産に対する脅威です。潜在的なリスクの特定は、複数の組織ベクトルやビジネス目標にまたがる長いプロセスになる可能性があります。

リスクは、技術、人事、プロセス、財務、第三者などの分野に分類できます。また、これらの幅広いカテゴリをそれぞれ細分化することもできます。たとえば、「人」カテゴリでは、スキル、人的ミス、知識のサイロにさらに細分化できます。

影響分析

資産、脅威、脆弱性を分析することで、潜在的なリスクが発生する可能性と影響の大きさを判断できます。分析とリスク評価には、質的測定と定量的測定が含まれます。たとえば、特定の種類のリスクに関するすべての詳細を収集したり、リスクスコアリングマトリックスを作成してリスクを分類したりして、結果と緩和戦略を決定することができます。これらのカテゴリには、事象が発生する可能性と予想される影響に応じて、低リスク、中リスク、高リスク、超高リスクスコアがあります。

緩和戦略

以下は、それぞれ特定のリスクに対処するための 4 つのリスク軽減戦略です。

• 軽減: リスクを排除または軽減するための統制を実施する
• 受け入れ: リスクの可能性や深刻度の変化を注意深く監視しながら、リスクを現状のまま受け入れる
• 回避: リスクを排除してシステムを再構成する
• 移管: リスク関連機能を外部委託、契約上の緩和策を作成、または事象に対する保険を提供する

リスクの重大度や発生可能性に加えて、組織のリスクアペタイトも適切な戦略の決定に役立ちます。

ソリューション実装

選択した緩和戦略に応じて、統制を適用し、システムを変更し、監視ソリューションを導入し、リスクを外部委託することができます。統制には、管理的統制、物理的統制、技術的統制があります。この段階には、望ましい結果を生み出すための複数のシステム、ビジネスユニット、利害関係者、およびステップが含まれる場合があります。

リスク軽減ソリューションには、リスクエスカレーションプロセス、リスク所有者、インシデント対応チームとの協力によるインシデント後の計画の作成などが含まれます。

ソリューションを実装したら、残余リスクを計算します。ほとんどのソリューションではリスクを完全に根絶することはできないため、リスクは残ります。この残存リスクは、状況が変化すると変動する可能性があります。

ガバナンスと継続的な監視

リスク軽減ソリューションの導入後は、必要に応じてリスクを監視、追跡、分析、監査する必要があります。リスクオーナー、GRC チーム、および経営陣のリスク追跡プロセスにレポートを組み込む必要があります。

ガバナンスの枠組みの中で、ビジネスに対する新たなリスクや増大しつつあるリスクを特定するために、オンデマンドで定期的にスケジュールされたプロセスが必要です。リスク管理と現在のプロセスを再評価する頻度に関するポリシーを確立し、適切なチームメンバーにトレーニングを提供する必要があります。ガードレールを導入すると、同じ種類のリスクが自動的に再発するのを防ぐことができます。

このガイドでは、一般的なリスク管理フレームワークのフェーズに沿った AWS パイプラインを実装する方法を示します。

リスク管理プロセスの各フェーズでは、次の 3 つの主な AWS サービスがサポート対象として使用されます。

• AWS Audit Manager: AWS の使用状況を継続的に監査して、リスクとコンプライアンスの評価を簡素化
• AWS Config: リソースの構成を評価、監査、および評価
• AWS Security Hub: 自動相関と強化されたリスクコンテキスト、セキュリティポスチャレポートなどを通じて、重大なセキュリティ問題に優先順位を付ける

1.計画

計画段階では、組織がベストプラクティスのリスク管理プロセスを構築するための強固な基盤を確実にします。

以下のサービスを使用して、ベストプラクティスのリスク管理活動を実施することを計画してください。

• AWS CloudTrail: ユーザーアクティビティと API の使用状況を追跡
• AWS Control Tower: 安全なマルチアカウントの AWS 環境をセットアップして管理
• AWS Identity and Access Management: ID と AWS のサービスとリソースへのアクセスを安全に管理
• AWS IAM Access Manager: AWS リソースへの外部アクセス、内部アクセス、および未使用アクセスを識別
• AWS Organizations: 複数の AWS アカウントをポリシーベースで管理
• AWS Secrets Manager: 組織全体のシークレットへのアクセスを管理
• AWS Systems Manager: 自動パッチ適用とコンプライアンスに使用

2.状況把握

検出フェーズでは、資産、リソース、およびサービスを検出してタグ付けします。

資産を見つけて分類するには、次の AWS サービスを使用してください。

• Amazon Macie: お客様の機密データを検出、保護
• AWS CloudFormation: Infrastructure as Code (IaC) を導入
• AWS Resource Explorer: AWS 全体の関連リソースを検索して発見
• AWS Systems Manager インベントリ: AWS コンピューティング環境を可視化
• AWS Well-Architected Tool: ベストプラクティスに照らしてクラウドアーキテクチャを評価。

3.コントロールとルールの選択

選択段階では、特定されたリスクから保護するための統制とルールを導入します。

次の AWS サービスの定義済みのベストプラクティスルールから統制を選択してください。

• AWS Config マネージドルール: AWS リソースが一般的なベストプラクティスに準拠しているかどうかを評価するために AWS Config が使用する事前定義済みのカスタマイズ可能なルールに使用
• AWS Control Tower および AWS Security Hub (セキュリティコントロール用) AWS Audit Manager (ポリシーコンプライアンスコントロール用)。
• AWS Systems Manager Compliance は、お客様の IT 要件またはビジネス要件に基づいて独自のコンプライアンスタイプと定義を作成できる AWS Systems Manager のツールです

4.実装

実装によって、必要なすべての資産と環境に一貫して統制を適用できます。

AWS サービス全体で以下の統制実装ツールを使用できます。

• 組み込みコントロールデプロイ用の AWS CloudFormation と AWS Service Catalog を組み合わせることで、精選された IaC テンプレートを作成、共有、整理、管理
• AWS Config: コントロールルールと次のステップ用
• AWS Security Hub: セキュリティルールの実装に使用
• AWS Systems Manager: リソースとサービス全体のポリシー遵守に使用

5.評価

評価は、適用された統制が実際にどの程度うまく機能するかを測定します。

次の AWS サービスを組み合わせることで、組織のリスク管理がどの程度うまく行われているかを評価できます。

• AWS Audit Manager: 追跡可能な評価に使用
• AWS Config: コンプライアンスルールに照らし合わせてチェック
• Amazon Detective: セキュリティデータを分析および視覚化して、潜在的なセキュリティ問題を調査
• Amazon GuardDuty: AWS アカウント、ワークロード、およびデータに対する継続的な脅威モニタリングを実行
• AWS Inspector: 自動脆弱性リスク評価を実施
• AWS Security Hub: セキュリティリスク評価を常時実施

AWS Trusted Advisor は、組織がリスク管理フレームワークを設定するためのもう 1 つの選択肢です。AWS Trusted Advisor サービスでは、コストの最適化、パフォーマンス、セキュリティ、耐障害性、サービスの制限、運用上の優位性をチェックできます。アラート、推奨アクション、その他のリソースはダッシュボードで確認できます。AWS のお客様は、次のウェブサイトからツールにアクセスできます:​https://console.aws.amazon.com/trustedadvisor/home

6.認証

承認機能は、アプローチ、以前のステップ、残余リスクの受け入れとモニタリングを正式化します。

次の AWS サービスを使用して自信を持って認証してください。

• AWS Artifact は AWS と ISV のセキュリティおよびコンプライアンスレポートを作成します
• AWS Audit Manager は意思決定者向けにレポートを提供します
• AWS Config はコンプライアンスレポートの詳細や追跡状況を提供します
• AWS Security Hub では、システムのセキュリティとレポートの状態をリアルタイムで確認できます

7.モニタリング

継続的な監視により、リスク管理プロセスが最新の状態に保たれ、新しく変化するリスクが組み込まれていることが保証されます。

次の AWS サービスで継続的なモニタリングが可能です。

• AWS CloudWatch: アプリケーションを監視し、異常について警告し、コンプライアンスのための運用の状態に関するインサイトを提供
• AWS Config: 継続的なコンプライアンスモニタリングを実行
• Amazon EventBridge: 他の AWS サービスのトリガーに基づいて自動レスポンスを作成
•  AWS Security Hub: 継続的なセキュリティ監視に使用
• AWS Systems Manager: パッチと設定の監視に使用

組織のレジリエンスとパフォーマンスの向上を目指す組織は、リスク管理フレームワークを導入する必要があります。リスク管理フレームワークは、企業に対するリスクの軽減と理解に役立ち、これらの未知のリスクをはるかに管理しやすくします。

標準化されたフレームワークを選択し、その上に構築することから始めるのがよいでしょう。AWS では、フレームワークの実装を容易にするサービスを提供しています。AWS Well-Architected フレームワークと組み合わせることで、AWS でのガバナンス、リスク、コンプライアンスの強固な基盤を構築できます。

今すぐ無料アカウントを作成して、AWS でのリスク管理プロセスの構築を始めましょう。