:

日本セキュリティマネジメント学会2011年度第3回ITリスク学研究会

Risk-IT（ISACAのリスクフレームワーク）の概要

原田 要之助

情報セキュリティ大学院大学教授、前ISACA国際本部副会長

2011年10月1日

1

目次

（１） ITガバナンスについて

（２） RISK-ITについて

（３） BMISについて

2

ITガバナンスについてITガバナンスについて

3

ITについての4つの根源的な問い

4出所：VAL IT Framework、日本語版、日本ITガバナンス協会

Risk-ITとVAL-IT、CobiTとの関係

Risk ITはCobiTをVAL-ITとともに、拡張して、ITのガイドラインとしている

出所：RISK IT Framework、日本語版、日本ITガバナンス協会5

ISACAのITガバナンスを解釈すると

6 原田，“情報セキュリティガバナンスと説明責任，”情報通信総合研究所，InfoCom Review第49号, 2009, 20-36（2009）

ＶＡＬ－ＩＴの３つのドメイン

7出所：VAL IT Framework、日本語版、日本ITガバナンス協会

リスクITの構成要素

出所：Risk IT Framework、日本語版、日本ITガバナンス協会8

Risk-ITについてRisk-ITについて

9

Risk ITの位置づけ

各種の標準やフレームワークの位置づけは図に示すようになっていて、抜けている部分がある

一般的な企業のリスクマネジメントシステムを指向している

情報セキュリティを指向している

ITに関する総合的なフレームワークがない

出所：Risk IT Framework、日本語版、日本ITガバナンス協会10

リスクITの構成 リスクマネジメントの基本

リスクガバナンス

リスク評価

リスク対応

Risk ITをどのようにCobiTやVAL-ITに拡張するか注: Risk ITは、CobiTやVAL-ITを前提とはしていない

個々のプロセスのモデル記述

インプットとアウトプットの関連表

RACI (Responsible, Accountable, Consulted, Informed) の表

ゴールとメトリクスの表

個々のドメインでの成熟度モデル

付録参照

High-level comparison of Risk IT to other risk management frameworks and standards

出所：Risk IT Framework、日本語版、日本ITガバナンス協会11

リスクITの構成要素

出所：Risk IT Framework、日本語版、日本ITガバナンス協会12

ITリスクの分類

13出所：Risk IT Framework、日本語版、日本ITガバナンス協会

ITリスクと企業のリスク

ITリスクとはビジネスリスクである。具体的には、企業内におけるITの利用や所有、運営、関係、影響、適用に関連するビジネスリスクを示す。それはビジネスに影響を及ぼす可能性のある、ITに関連したイベントおよび条件でもある。そのリスクは、不確定な頻度と大きさで発生し、戦略的な達成目標や目標へ到達するための障害となる。ITリスクはいくつか異なる形で分類される。

ITによる利益や価値をもたらすリスク

ITプログラムやプロジェクト提供のリスク

ITの運用やサービス提供のリスク

14出所：Risk IT Framework、日本語版、日本ITガバナンス協会

Risk IT フレームワーク Risk IT フレームワークは、ITの利

用に関連したビジネスリスク

原則 常に事業目標と関連付けられる

適用可能であれば（つまりERMが企業で実施されていれば）、ERM全体とITに関連するビジネスリスクの管理の整合性をとるる

ITリスクマネジメントにおけるコストと効果のバランスを保つ

ITリスクへの公正でオープンなコミュニケーションを促進する

経営上層部が適切な風土を確立し、同時に、受容可能で十分に定義された許容レベルで運用するために個人の責任を定義し守らせる

継続的なプロセスと日常的活動の一部とする

15出所：Risk IT Framework、日本語版、日本ITガバナンス協会

リスクITの構成要素

出所：Risk IT Framework、日本語版、日本ITガバナンス協会16

リスクガバナンス

リスクガバナンスは、経営者層（トップマネジメント）がリスクに対する責任の範囲

リスクの共通視点を確立し、それを最適状態に維持すること（RG1）

ERM:との統合（もしくは整合性）を図ること（RG2）

リスク認識に基づくビジネス意思決定を行うこと（RG3） リスク認識に基づくビジネス意思決定を行うこと（RG3）

リスクに対する責任と説明責任

リスクの容認と耐性（Risk appetite and tolerance）

アウェアネスとコミュニケーション

リスクカルチャの醸成

出所：Risk IT Framework、日本語版、日本ITガバナンス協会17

リスクガバナンス（RG１）について

RG1：リスクの共通視点を確立し、それを最適状態に維持する

RG1.1：組織固有のITリスクマネジメントのフレームワークを確立する

RG1.2：ITリスクマネジメントの手法を確立する

RG1.3：組織全体のリスク・アセスメントの実施 RG1.3：組織全体のリスク・アセスメントの実施

RG1.4：ITリスクの耐力限度を把握し提言する

RG1.5：ITリスクの耐力の承認を受ける

RG1.6：ITリスクの耐力にIT関連のポリシーと標準を整合させる

RG1.7：ITリスク認識の文化を広める

RG1.8：ITリスクに関する効果的な情報交換を行う

18出所：Risk IT Framework、日本語版、日本ITガバナンス協会

リスクマップの考え方

19出所：Risk IT Framework、日本語版、日本ITガバナンス協会

ＩＴリスクマネジメントの実行責任と説明責任

20出所：Risk IT Framework、日本語版、日本ITガバナンス協会

リスク選好（Risk Appetite)

リスク選好は、事業体がその目標を達成しようとしたときに、受け入れる準備のあるリスクの量

損失（金融損失、風評被害など）を吸収できる企業の客観的な容量

リスクを負う（経営の）文化または性質－慎重に対応するか積極的に対応するか。企業が収益を追及するのに受容できる損極的に対応するか。企業が収益を追及するのに受容できる損失の程度

リスク選好は、実際はリスクの発生頻度と大きさの組み合わせにより定義される。リスク選好は、企業によって異なる。絶対的な規格や標準は存在しない

リスク選好はリスクマップを使って定義できる

21出所：Risk IT Framework、日本語版、日本ITガバナンス協会

リスク許容度（Risk Tolerance)

リスク許容度はリスク選好によって設定されたレベルから逸脱した場合、許容できる範囲

例えば、見積予算および時間内にプロジェクトが完了することが求められているが、予算の10%、時間の20%の超過が許容度として認められている

リスク選好とリスク許容度の指針 リスク選好とリスク許容度の指針

リスク選好とリスク許容度は密接な関係にある

リスク許容度は企業レベルで定められ、経営幹部によって定められるポリシーに反映される

リスクの新しい機会を追求するためには管理者が裁量権を持つべきである

リスク選好と許容度は時間経過に伴い変化していく

22出所：Risk IT Framework、日本語版、日本ITガバナンス協会

リスクコミュニケーションについて

利用者が期待するもの戦略、方針、手続き、アウェアネス向上、訓練

23

企業の能力リスクマネジメント、プロセスの成熟度

現状の報告リスクのプロファイル、KRI（主要リスク指標）、喪失したデータなど

出所：Risk IT Framework、日本語版、日本ITガバナンス協会

リスクガバナンスについて

24出所：Risk IT Framework、日本語版、日本ITガバナンス協会

リスク文化

リスク意識の高い文化は、リスクの要素についてオープンに議論する環境があり、受け入れることのできるリスクのレベルが理解されている。

リスク意識の高い文化は経営上層部によって始められ、リスクを認識した意思決定と効果的なリスクマネジメントに対して報いることを周知する。に対して報いることを周知する。

リスクの認識は、企業内部のあらゆる階層で、好ましくないITのイベントに対応する方法と理由を認識していることを意味している。

リスク文化は説明の難しい概念である。リスク文化は、以下の行動によって形成される。

25出所：Risk IT Framework、日本語版、日本ITガバナンス協会

リスク文化について

26出所：Risk IT Framework、日本語版、日本ITガバナンス協会

リスク文化

リスクテイクに対する態度

どれだけのリスクを企業が吸収できると考え、またどのリスクを進んで取るか。

ポリシーの遵守に対する態度

従業員がどれだけリスクに関するポリシーを理解し、従うか。

悪い結果に対する態度

企業がネガティブな結果、即ち損失イベントや機会の逸失などをどのように扱うか。悪い結果から学び改善していくか、

問題のあるリスク文化の兆候 策定されたポリシーにずれが生じている（リスクを容認してい

るのにポリシーにはリスクに対する姿勢が厳しくなっている）

「非難する文化」が存在（効率的なコミュニケーションが抑制）

27出所：Risk IT Framework、日本語版、日本ITガバナンス協会

リスク評価（RE）

実際にどのようにしてリスクをとらえ、それが重要かどうかを判断するものである。

データ収集（リスクに関する情報の収集）（RE1)

リスク分析（RE2)

リスクのプロファイルの継続（RE3)

リスク評価での主要な内容

リスクシナリオを作成する

リスクがビジネスにどのようなインパクトを与えるかについて記載する

出所：Risk IT Framework、日本語版、日本ITガバナンス協会28

リスク評価

ITリスクをビジネスに関連した用語に訳し、表現する場合に利用できる各種の手法

29出所：Risk IT Framework、日本語版、日本ITガバナンス協会

ITリスクシナリオ

ビジネスがITに依存している場合、ITによって、またはITとの関連で問題が発生し得る全ての事柄から、重要かつ関連のあるリスクを特定する。この技法に、リスクシナリオの作成と利用がある

トップダウンアプローチ

全体的な事業目標から始まり、事業目標に影響を与え、関連性と発 全体的な事業目標から始まり、事業目標に影響を与え、関連性と発生可能性の最も高いITリスクシナリオの分析を行う。

影響を与える評価基準が実際の企業の価値を牽引するものとうまく連携する場合は、実際的な価値を持つリスクシナリオが作成される

ボトムアップアプローチ

一般的なシナリオの一覧が、具体的でカスタマイズされた一連のシナリオを定義するために利用され、個別の企業の状況に合わせて適用される。

30出所：Risk IT Framework、日本語版、日本ITガバナンス協会

ITリスクシナリオ

発生時点の、または発生するかもしれないビジネスに影響を及ぼし得るIT関連事象について記述したもの。

脅威を生み出す主体 主体は組織の内外にあり、それは人の場合や人以外の場合もある

内部主体は社内に存在する。（例．スタッフ、契約者）

外部主体は部外者や競合、監督機関や市場を含む。 外部主体は部外者や競合、監督機関や市場を含む。

脅威のタイプ イベントの性質。悪意があるか。悪意がない場合、偶然起こったものか、

または明確に定められたプロセスの失敗で起きたのか。または不可抗力か。

シナリオには常にイベント（秘密情報の漏えいや、システム停止、プロジェクトの中断、改ざん、窃盗、破壊など、不適切な（システム、プロセスの）設計や、プロセス（例．変更管理手順、獲得手順、プロジェクトの優先付けプロセス）の不適切な実施、規則による影響、誤った利用が含まれる。

31出所：Risk IT Framework、日本語版、日本ITガバナンス協会

シナリオの対象となる資産/資源

資産とは、イベントにより影響を受け、ビジネス上の影響をもたらす、企業にとって価値のあるもの

資源は、ITの達成目標を達成する助けとなるもの。資源と資源は同一となることがある

人と組織

ITプロセス（例．CobiT、Val ITプロセスまたは業務プロセスとして ITプロセス（例．CobiT、Val ITプロセスまたは業務プロセスとしてモデル化されたもの）

物理的なインフラ （例．施設、設備）

ITインフラ（コンピュータハードウェア、ネットワークインフラ、ミドルウェアを含む。）

その他

情報

アプリケーション

32出所：Risk IT Framework、日本語版、日本ITガバナンス協会

シナリオの注意点

シナリオの発生頻度は高くなる

タイミングの特徴として、シナリオに関連する場合に、以下のものが描写される。

イベントの持続時間（サービスやデータセンタのサービス提供停止の持続時間）

タイミング（イベントは重大な局面で発生しているか?） タイミング（イベントは重大な局面で発生しているか?）

イベントから結果を生じるまでの期間（ネットワーク障害によりダウンが発生した場合のように、結果が即座に生じるのか、それとも誤ったITアーキテクチャにより、数年の期間が経って高コストになるなどのように結果は遅れて生じるのか?）

リスクシナリオの構造は損失イベントと脆弱性または脆弱性イベント、脅威イベントを区別する。これらのリスクを混同したり、大きなリスクとして一括りにしない

33 出所：Risk IT Framework、日本語版、日本ITガバナンス協会

リスクシナリオリスクをモデル化する

34出所：Risk IT Framework、日本語版、日本ITガバナンス協会

リスクシナリオリスクを考えるための要因

35出所：Risk IT Framework、日本語版、日本ITガバナンス協会

リスク対応（リスクレスポンス）（RR）

インシデントを検出し、それに適切に対応するための手続きについてまとめたもの

リスクの明瞭化（RR1）

リスク処理（RR2）

事象への対応（RR3）

リスク対応での主要な内容

リスクを評価、対応するために、重要リスク指標 (KRIs)を尺度として用いる

リスク対応の定義と優先度付けを行う

出所：Risk IT Framework、日本語版、日本ITガバナンス協会36

リスク対応

リスク対応には、次の二つが必要となる

重要リスク指標（KRI）と

リスク対応の定義と優先順位づけ

KRIについて

リスク指標は、定義したリスク選好を超えるリスクや、その可 リスク指標は、定義したリスク選好を超えるリスクや、その可能性が高いリスクについて、企業が対象として示す基準である。

この指標は各企業で固有であり、企業規模や複雑さ、規制の厳しい市場における経営かどうか、また戦略的な焦点など、内部または外部環境における複数のパラメータに依存して選択される

37出所：Risk IT Framework、日本語版、日本ITガバナンス協会

リスク指標を特定

企業の中のさまざまな利害関係者を考慮する

リスク指標はリスクの経営的または戦略的な側面にばかり焦点を当てるべきではない。指標は全ての利害関係者が確認できるようにしておくべきである。リスク指標の選定に適切な利害関係者が関わることで、より大きなリスクを引き受け、所有することができる。有することができる。

リスク指標はバランスをとって選定する

実行指標（イベントが発生した後のリスクを示す）、先行指標（イベントの発生を防ぐためにどのような能力があるかを示す）、傾向（時間経過による指標分析や、見識を得るための相関指標の分析）などを含める。

選択された指標により、イベントの根本的な原因を掘り下げていけるようにする

38出所：Risk IT Framework、日本語版、日本ITガバナンス協会

重要リスク指標（KRI）として全ての指標を維持することは不可能であり、他の指標と区別するようにする。KRIの選定にあたり、以下を評価基準とする。 影響度－ビジネスに大きな影響をもたらすリスク指標はKRIとな

り得る。

実装、測定、報告にかかる労力－精度が等しい指標が複数ある 実装、測定、報告にかかる労力－精度が等しい指標が複数ある場合は、測定しやすいほうが望ましい。

信頼性－指標はリスクとの高い相関関係を持ち、優れた予測値または結果判定の材料とならなければならない。

精度－指標はリスクを代表するものであり、リスクの変化を正確に示すことができるものでなければならない。

39

火災探知機の例：信頼性とは、煙を探知するたびに、毎回火災探知機がアラームを鳴らすことを意味する。精度とは、煙がある一定値の濃度に達したら火災探知機が鳴ることを意味する

出所：Risk IT Framework、日本語版、日本ITガバナンス協会

適切なKRIの選定

KRIはビジネスへの影響度だけでなく、リスクの指標と根本的な原因のバランスを取ることで、以下の利益を得る

（リスクが実際に損失となる前に）重大なリスクの出現について早い段階で（起こり得る）警告信号を発することで経営者は事前に対策をとることができる

発生したリスクイベントについて、後から見直しを行うことでリ

40

発生したリスクイベントについて、後から見直しを行うことでリスクへの対応と管理方法を改善することができる。

傾向の文書化と分析が可能になる

指標の設定を通じて企業のリスク選好とリスク許容度への測定指標（KRIの閾値）を提供する

企業の戦略目標の達成可能性を高めることができる

リスクガバナンスと経営環境の継続的な最適化の助けとなる

出所：Risk IT Framework、日本語版、日本ITガバナンス協会

KRIの実装を成功させるための共通課題

KRIが特定のリスクに結びついていない。

詳細の部分が不完全または不正確である。（一般的すぎる）

リスクやKRIの記述、KRIの指標の間で整合性が取れていない。

KRIが多すぎる。

KRIの測定が困難である。 KRIの測定が困難である。

企業レベルで体系的にKRIを収集、比較し、解釈することが困難である

企業の内部/外部環境は絶えず変化するため、リスク環境も極めて動的でありKRIの設定も時間とともに変化する必要がある。

各KRIはリスク選好とリスク許容度に関連していることから、利害関係者が適切なタイミングで、適切なアクションをとるための閾値のレベルを定義することができる。

41出所：Risk IT Framework、日本語版、日本ITガバナンス協会41

リスクへの対応の選択と優先度付け

適切な対応（残余リスクが有る場合）の注意する事項

対応に必要な費用（例．リスクの移転を行う場合の保険料；リスクの緩和を行う場合の抑制措置をとる費用（重要な経費、人件費、コンサル費用））

対応により対処されたリスクの重要性。即ち、リスクマップ上の位置づけを意味する（これは発生頻度と大きさの組み合わの位置づけを意味する（これは発生頻度と大きさの組み合わせを反映している）

企業の対応能力。企業のリスクマネジメントプロセスが成熟している場合、より進んだ対応をとることができる。企業が未熟な場合は、ごく基本的な対応の方が望ましい

対応の効果。即ちリスク対応することで低減されたリスクの発生頻度と影響度

対応の効率。即ち対応することで見込まれる相対的な利益

42 出所：Risk IT Framework、日本語版、日本ITガバナンス協会

43出所：Risk IT Framework、日本語版、日本ITガバナンス協会

低減、共有、または移転の対応を行うために必要となる労力

割り当てることができる能力（資源）を超えている場合のリスク対応

即時対応－重要なリスクに対して非常に効果的かつ効率的な対応が可能な場合

ビジネスケース－重要なリスクに対して対応にコストが掛かるまたは対応が困難な場合。または重要度の低いリスクに対しまたは対応が困難な場合。または重要度の低いリスクに対して効果的で効率的な対応が可能な場合。どちらも慎重な分析と投資に対する経営的判断が必要とされる。Val IT フレームワークのアプローチをここに適用することも可能である。

延期－低いリスクに対してコストが掛かる対応が必要となる場合従って、企業は以下の評価基準を利用してリスク対応を選択し優先順位をつけなければならない。

44出所：Risk IT Framework、日本語版、日本ITガバナンス協会

45出所：Risk IT Framework、日本語版、日本ITガバナンス協会

BMISについてBMISについて

46

BMISモデルについて組織 設計/戦略

アーキテクチャ

文化

ガバナンス

47

技術

アーキテクチャ

創発 実現と支援

人的要因

人

プロセス

出所：Business Model for Information Security、ISACA

BMISの目的 情報セキュリティの整理とビジネス目標

このモデルはビジネスの目標を可能にし、なおかつ支援している。この情報セキュリティプログラムは役員室からエンドユーザまでを整理し、情報セキュリティコントロールに対して、実践的で、現実的な計測可能なリスク軽減を要求する。

リスクアプローチ しばしば、情報セキュリティコントロールは実際の企業に対する脅威とリスクの評価をしないか、ある

いは少しだけ実施している、このことにより過剰保護もしくは過小保護というダメージを生み出す結果となる。情報セキュリティマネージャは、ビジネス、つまり、その目標や運用、環境規則、潜在的脅威、リスクインパクト、運用の柔軟性と回復力などを理解しなければならない。リスクを効率的に軽減させリスクインパクト、運用の柔軟性と回復力などを理解しなければならない。リスクを効率的に軽減させるために適切なコントロールを選択することができる。

組織、人材、プロセス、技術のバランス 効率的なリスク管理は組織の支援と有能な人材、効果的なプロセスと適切な技術の選択を必要とす

る。それぞれの要素は大抵複雑な方法で、他の要素を相互に作用し、インパクトを与え、サポートするので、それらの要素の間でバランスを保つことがきわめて重要である。もし唯一の要素が不十分であれば、情報セキュリティは減退する。

セキュリティ戦略の集中のための費用 投資収益率を最大にするためには、全てのセキュリティ機能（情報セキュリティや物理的セキュリティ

など）は互いに協調し合い、サポートしあうべきである。協調性の無いセキュリティ機能は無駄であり、クロスファンクションリスクの識別と低減を邪魔することになる。

48出所：Business Model for Information Security、ISACA

組織の企画と戦略

組織とは、定められた役割の中でたがいに作用しあい、共通の目的に向かって機能する人、資産及びプロセスのネットワークである。

企業の戦略では、達成すべきビジネス目標及び目的、ならびに追求すべき価値や氏名が定められる。それが企業の瀬一行へ向けた公式であり、基本的方向性を定めるものである。行へ向けた公式であり、基本的方向性を定めるものである。戦略は内外の要因に対して順応しなければならない。資源は戦略を策定するための最初の原料であり、これには様々な種類がある（人、機器、ノウハウなど）

企画では、組織が戦略を実践する方法が定められる。プロセス、文化及びアーキテクチャーが企画の決定において重要である。

49出所：Business Model for Information Security、ISACA

人

人材及びそれを取り巻くセキュリティの問題。ここでは、誰が（企画を通じて）線ら約の各部分を実践するかという点が定められる。これは人を集合的に示すもので、価値、行動及び先入観を考慮する必要がある

社内では、情報セキュリティマネージャーが人事部門及び法務部門と協力し、以下の問題に対処することが重要である務部門と協力し、以下の問題に対処することが重要である 人材募集戦略（手段、身辺チェック、面接、役割及び責任）

雇用問題（オフィスの場所、ツールやデータへのアクセス、研修及び啓発、異動）離職（離職理由、離職の時期、役割及び責任、システムへのアクセス、その他の従業員との接触）

社外的には、顧客、サプライヤー、メディア、利用関係者などが企業に大きな影響を及ぼす可能性があり、セキュリティの乗用の中でこれらを考慮する必要がある

50出所：Business Model for Information Security、ISACA

プロセス

物事を実行するための正式および非公式なメカニズム（規模の大小、シンプル、複雑なものなど）が含まれ、動的相互関係の全てに繋がる重要な役割を持つ。プロセスでは、リスク、可用性、完全性および機密性が特定、評価、管理及びコントロールされ、説明責任も確保される。これらは戦略から引き出され、組織の要素の運営面を実践する。出され、組織の要素の運営面を実践する。

企業にとってプロセスを有利にするには、プロセスが次の要件を満たさなければならない。 ビジネス要件を満たし、方針と整合している

創発を考慮し、変化する要件に適応できるようにする

適切な人的資源に対して十分に文書化し伝達する。

定期的に見直し、確立された場合には効率と有効性を保証する。

51出所：Business Model for Information Security、ISACA

技術 プロセスをより効果的にする全てのツール、アプリケーションおよびインフ

ラストラクチャーで構成されている。技術は、頻繁な変更によって発展する要素として、それ自体に動的なリスクを抱えている。典型的な企業の依存性が加わることにより、技術は企業のインフラストラクチャーの中核及びそのミッションの達成における重大な構成要素となる。

企業の経営陣は、技術はセキュリティの脅威とリスクを解決するための方法として見なしている。技術的コントロールは、ある種のリスクを低減させ法として見なしている。技術的コントロールは、ある種のリスクを低減させる一助となるが、技術は情報セキュリティの解決策としてみなされるべきではない。

技術はユーザや組織的文化からの影響を大きく受けやすい。一部の人はまだ技術を信用しておらず、またある人は使い方を学ばず、むしろシステムが遅いと感じる人もいる。理由には関係なく、情報セキュリティマネージャは、多くの人が技術的コントロールを回避しようとしていることに気づいていなければならない

52出所：Business Model for Information Security、ISACA

ご清聴ありがとうございました

53

ご清聴ありがとうございました