リスク対応
リスク対応 とは何ですか?
リスク対応組織のリスク基準に基づき、リスクを受容・低減・移転・回避するなどして変化させるための意思決定と行動。
リスク対応は、リスクマネジメントの循環の中で、評価済みのリスクに具体的な対応策を割り当てる段階です。古典的な選択肢は、受容(残留リスクをそのまま受け入れる)、低減(発生可能性や影響を抑える統制の導入)、移転(保険、契約条項、アウトソーシング)、回避(活動の停止や再設計)の 4 つです。対応計画では、責任者、コスト、期限、目標残留リスク、ISO/IEC 27001 附属書 A や NIST SP 800-53 などから選択した統制を明示します。計画はリスク登録簿で追跡され、統制が機能しなくなった場合や脅威・事業目的が変化した場合に見直されます。効果的なリスク対応は、リスクの大きさに比例し、リスクアペタイトおよびトレランスと整合している必要があります。
● 例
- 01
アカウント乗っ取りリスクを低減するための MFA と条件付きアクセスの展開。
- 02
ランサムウェアによる損失の一部を移転するためのサイバー保険の購入。
● よくある質問
リスク対応 とは何ですか?
組織のリスク基準に基づき、リスクを受容・低減・移転・回避するなどして変化させるための意思決定と行動。 サイバーセキュリティの コンプライアンスとフレームワーク カテゴリに属します。
リスク対応 とはどういう意味ですか?
組織のリスク基準に基づき、リスクを受容・低減・移転・回避するなどして変化させるための意思決定と行動。
リスク対応 はどのように機能しますか?
リスク対応は、リスクマネジメントの循環の中で、評価済みのリスクに具体的な対応策を割り当てる段階です。古典的な選択肢は、受容(残留リスクをそのまま受け入れる)、低減(発生可能性や影響を抑える統制の導入)、移転(保険、契約条項、アウトソーシング)、回避(活動の停止や再設計)の 4 つです。対応計画では、責任者、コスト、期限、目標残留リスク、ISO/IEC 27001 附属書 A や NIST SP 800-53 などから選択した統制を明示します。計画はリスク登録簿で追跡され、統制が機能しなくなった場合や脅威・事業目的が変化した場合に見直されます。効果的なリスク対応は、リスクの大きさに比例し、リスクアペタイトおよびトレランスと整合している必要があります。
リスク対応 からどのように防御しますか?
リスク対応 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
リスク対応 の別名は何ですか?
一般的な別名: リスクレスポンス, リスク低減計画。
● 関連用語
- compliance№ 936
リスクマネジメント
リスクを特定・分析・評価・対応・監視・伝達し、組織が定めた許容範囲内に維持するための調整されたプロセス。
- compliance№ 935
リスクアセスメント
特定の資産に対する脅威・脆弱性・影響を洗い出し、結果として生じるリスクを評価して対応判断につなげる、リスクマネジメント内の体系的な活動。
- compliance№ 937
リスク登録簿
識別したリスクの説明・オーナー・スコア・対応・状況を一元管理し、組織のリスクエクスポージャを継続的に追跡するための生きた台帳。
- compliance№ 923
残留リスク
計画した統制と対応策を適用した後に残るリスクで、組織は受容・移転・追加対応のいずれかを選択する必要があるもの。
- compliance№ 557
ISO/IEC 27001
情報セキュリティマネジメントシステム(ISMS)の要求事項を定める国際規格で、組織は正式な認証を取得できる。
- compliance№ 737
NIST SP 800-53
米国 NIST が発行する、連邦情報システムおよび多くの民間採用者向けの包括的なセキュリティ・プライバシー統制カタログ。