残留リスク
残留リスク とは何ですか?
残留リスク計画した統制と対応策を適用した後に残るリスクで、組織は受容・移転・追加対応のいずれかを選択する必要があるもの。
残留リスクは、固有リスクから既存または予定された統制によって発生可能性や影響が低減された後に残るリスクです。統制は完璧でなく脅威も変化するため、意思決定上、最も重要な指標となります。組織は残留リスクをリスクアペタイトおよびトレランスと比較し、これを上回るものはさらなる対応・エスカレーション、もしくは文書化された根拠と責任者の下での正式な受容を必要とします。残留リスクはリスク登録簿に記録され、統制の機能不全、脅威の変化、新たな依存関係の発生時に重点的に見直されます。取締役会と規制当局は、判断の妥当性を示す残留リスクの明示的な報告を一層強く求めるようになっています。
● 例
- 01
MFA、教育、メールフィルタリング導入後に残るフィッシング侵害の残留リスク。
- 02
廃止予定のレガシーシステムの残留リスクを文書化したうえで受容する事例。
● よくある質問
残留リスク とは何ですか?
計画した統制と対応策を適用した後に残るリスクで、組織は受容・移転・追加対応のいずれかを選択する必要があるもの。 サイバーセキュリティの コンプライアンスとフレームワーク カテゴリに属します。
残留リスク とはどういう意味ですか?
計画した統制と対応策を適用した後に残るリスクで、組織は受容・移転・追加対応のいずれかを選択する必要があるもの。
残留リスク はどのように機能しますか?
残留リスクは、固有リスクから既存または予定された統制によって発生可能性や影響が低減された後に残るリスクです。統制は完璧でなく脅威も変化するため、意思決定上、最も重要な指標となります。組織は残留リスクをリスクアペタイトおよびトレランスと比較し、これを上回るものはさらなる対応・エスカレーション、もしくは文書化された根拠と責任者の下での正式な受容を必要とします。残留リスクはリスク登録簿に記録され、統制の機能不全、脅威の変化、新たな依存関係の発生時に重点的に見直されます。取締役会と規制当局は、判断の妥当性を示す残留リスクの明示的な報告を一層強く求めるようになっています。
残留リスク からどのように防御しますか?
残留リスク に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
残留リスク の別名は何ですか?
一般的な別名: ネットリスク, 統制後リスク。
● 関連用語
- compliance№ 534
固有リスク
統制や緩和策を適用する前の段階で活動や資産に存在するリスク水準であり、脅威に対する素のエクスポージャを示すもの。
- compliance№ 939
リスク対応
組織のリスク基準に基づき、リスクを受容・低減・移転・回避するなどして変化させるための意思決定と行動。
- compliance№ 936
リスクマネジメント
リスクを特定・分析・評価・対応・監視・伝達し、組織が定めた許容範囲内に維持するための調整されたプロセス。
- compliance№ 934
リスクアペタイト
戦略目標を追求する上で組織が取りに行く、または受け入れる用意があるリスクの総量と種類で、取締役会と上級経営層が定めるもの。
- compliance№ 937
リスク登録簿
識別したリスクの説明・オーナー・スコア・対応・状況を一元管理し、組織のリスクエクスポージャを継続的に追跡するための生きた台帳。
- compliance№ 733
NIST リスクマネジメントフレームワーク
セキュリティ、プライバシー、サプライチェーンのリスクマネジメントをシステムライフサイクルに組み込むため、NIST SP 800-37 で定義された 7 ステップのプロセス。
● 関連項目
- № 938リスクトレランス