リスクを特定して理解する
特定されたリスクを改善の機会と見なします。
WAFR のコンテキストにおけるリスクには、高リスク問題 (HRI) と中リスク問題 (MRI) の 2 つのカテゴリがあります。
-
高リスクの問題 (HRI): ビジネスに重大な悪影響を及ぼす可能性がある、アーキテクチャおよび運用上の選択肢です。高リスクのベストプラクティスは、柱内の基本的な必須のプラクティスと見なされます。これらは、組織の運用、アセット、個人に影響を与える可能性があります。セキュリティの柱における HRI の例としては、AWS アカウントを保護していないことが挙げられます。
-
中リスクの問題 (MRI): ビジネスに悪影響を及ぼす可能性もあるが、HRI よりも程度は低い選択肢。中リスクのベストプラクティスは、ワークロードを大幅に改善できる有効な手法を表します。セキュリティの柱に関する MRI の例は、認証情報を定期的に監査およびローテーションしないことです。
レポートの生成
HRI と MRI を視覚的に識別する最初のステップは、レビューした各ワークロードのリスクを示すレポートを生成することです。
AWS Well-Architected Tool (AWS WA ツール) ダッシュボードは、ワークロード、および関連する HRI と MRI へのアクセスを提供します。自分と共有されているワークロードを含めることもできます。ダッシュボードを使用すると、ワークロード、柱、重要度 (高または中) で問題をフィルタリングできます。
ダッシュボードページには、柱または重要度でフィルタリングされた HRI と MRI のリストが表示されます。改善項目を選択すると、Well-Architected フレームワークからそれに関連するベストプラクティスに直接移動します。そこから、問題を修正するために必要な推奨アクションと必要なリソースを確認できます。
WA ツールダッシュボードから [レポートの生成] を選択すると、これらのすべての検出結果を 1 つのレポートにまとめることができます。
要約メールをレポートとともに WAFR 参加者に送信し、主要な検出結果と推奨される改善計画を要約して次のステップに備えることをお勧めします。
リスクの管理
リスクを効果的に管理するには、リスクとその許容レベルを定義することが重要です。リスク分析では、潜在的な問題とは何か、それらが問題であるかどうかを知る方法について説明します。
リスク評価を実行するには、主に 2 つの方法があります。
-
定量的: 加重目標データを使用して、コスト超過、リソース消費、スケジュール遅延の観点からリスクの影響を評価します。
-
定性的: コストまたは利点の実際の値に関連しない主観的なデータを使用して、確率と全体的な影響を測定します。
場合によっては、両方のアプローチの長所をマージしてリスクの影響を評価するハイブリッドアプローチを使用することがあります。
HRI と MRI 定義に基づいてリスクのレベルを評価するときは、次の質問を検討してください。
-
リスクが影響をもたらす可能性はどれくらいですか?
-
顧客にはどのような影響がありますか?
-
その結果、ビジネスにどのような影響がありますか?
-
リスクは完全に除去できますか、あるいは軽減することしかできませんか?
-
リスクを負うのは誰ですか?
-
除去または軽減のための改善作業の所有者は誰ですか?
-
この結果が再び発生する確率はどれくらいですか? 同じ影響を与える可能性がありますか?
-
結果の可能性と再発パターンの関係を特定できますか?
主要なステークホルダーまたはビジネスオーナーにこれらの質問に答えてもらうことは、焦点を当てる最も重要なリスクのリストと、それらに対処するための予測時間を作成するのに役立ちます。
リスクの大きさ
次の表は、リスクの大きさを判断するのに役立ちます。
| 可能性 x 影響 | ごくわずか (1) | 軽微 (2) | 中 (3) | 重要 (4) | 非常事態 (5) |
|---|---|---|---|---|---|
| ほぼ確実 (5) | 5 | 10 | 15 | 20 | 25 |
| 可能性あり (4) | 4 | 8 | 12 | 26 | 20 |
| 可能 (3) | 3 | 6 | 9 | 12 | 15 |
| 可能性が低い (2) | 2 | 4 | 6 | 8 | 10 |
| まれ (1) | 1 | 2 | 3 | 4 | 5 |
HRI と MRI およびそれらがビジネスにもたらすリスクについてグループとして取り組みます。対処する必要がある HRI のリストを作成します。ビジネスの重要度に基づいてリスクをランク付けし、優先順位を確立します。
