翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
サイバーセキュリティのリスク対応
ポジティブリスクとネガティブリスクとでは、対応が大きく異なります。ネガティブリスクの場合は、結果への影響を最小限に抑えるための措置を講じますが、ポジティブリスクの場合は、結果への影響を最大化するための措置を講じます。次の表は、ポジティブリスクとネガティブリスクに対して、考えられる対応策を示しています。
| リスクタイプ | レスポンス | 定義 |
|---|---|---|
| ポジティブリスク | 攻撃 | リスクが発生する確率または可能性を最大化して、そのプラスの効果を実現します。 |
| 共有 | リスクの所有権または責任の一部を他の当事者に割り当てます。これはネガティブリスクの場合と同じアプローチで、潜在的な損失や利益を抑えようとします。 | |
| 強化 | 機会を最大化するために、リスクを生み出す条件を増やします。 | |
| Ignore (無視) | リスクの可能性を無視し、何の対策も講じません。このような反応は、リスクの可能性が非常に低い場合や、プラスの結果から得られるメリットが最小限である場合によく見られます。 | |
| ネガティブリスク | 軽減 | リスクが発生する確率または可能性を最小限に抑えます。 |
| 転送 | 保険ポリシーを購入して保険会社にリスクを譲渡するなど、リスクに対する責任や義務を他の当事者に移します。 | |
| 回避 | リスクを生む条件を排除します。 | |
| Accept | リスクの存在は認めますが、何の対策も講じません。 |
ネガティブリスクの場合、組織はリスク許容度およびリスク選好度に基づいてリスクを回避、転送、軽減、または許容します。リスクの発生を未然に防ぎ、発生した場合はミッション全体への影響を最小限に抑えようとします。
ポジティブリスク対応を理解する最善の方法は、例を挙げて説明することです。
-
攻撃 — あるセキュリティ担当者が最近、有能なセキュリティ専門家が新しい仕事を探すことを決めたと知り、新入社員候補として自分のチームに引き入れるために多額の契約ボーナスを手配しました。
-
共有 — ある事業ユニットのリーダーは、特権アクセス管理製品を使用してセキュリティを向上させたいと考えていますが、現在の会計年度にツールやサービスを購入するだけの予算がありません。リーダーは、パイロットプロジェクトとしてツールの購入・実装を予定している別の事業ユニットのリーダーと協力し、しばらくして両方の事業ユニットをサポートするように導入を拡大します。
-
強化 — ある従業員が、サイバーセキュリティの脅威を軽減するために既存のビジネスプロセスを自動化する機会を特定しましたが、それには時間と設備への投資が必要です。このようなプロセスにはプラスのメリットがあると考えたマネージャーは、残業時間を承認して能力を開発し、プロジェクトを進めるために既存のハードウェアとソフトウェアのリソースを再利用します。
-
無視 — ある財務担当役員は、営業部門で働く従業員が、面倒で手間のかかるタスクを自動化する新しいアプリケーションを開発したことを知ります。このアプリケーションは最近、営業部門内に限って使用が承認されました。財務担当役員は、明示的な許可なしに新しいアプリケーションのコピーを入手して、自分の部署でも同様の利点を得ています。
