【1-5】リスクフレームワーク

リスクフレームワークとは

リスクフレームワークとは、リスクに対する対応を最適化するために考えられたフレームワークです。
リスクフレームワークはエンタープライズマネジメント(Enterprise Risk Management ：ERM)と呼ばれることもあります。

以下にリスクフレームワークの例を示します。

リスク管理の適用

リスクマネジメントは、サプライチェーンに含まれる各組織にも適用される必要があります。
サプライチェーンとは、調達から製造、配達までのビジネスの一連の流れのことです。
サプライチェーンに含まれる各組織には、ベンダや契約先、顧客などが含まれます。

サプライチェーン内の各組織に対して、以下のことを行いリスクマネジメントを行うことができます。
※ただし、維持することは非常に困難です。

• ガバナンスレビュー
• サイトセキュリティレビュー
• セキュリティ監査
• ペネトレーションテスト

サプライチェーンへのリスクマネジメント適用の現実的な方法は、サードパーティが作成した監査報告書を利用することです。

脅威モデリング

脅威モデリングとは、人が引き起こす脅威を定義し、その対策を取り入れる営みです。
攻撃者の視点から考え、悪用されうる脆弱性を判断し、脅威の低減や防止を行う対策をシステムに組み込みます。

脅威モデリングツールの例としてSTRIDEがあります。

サービスレベル

外部のサービスを利用するときには、提供元からどのような条件で、いつ何が提供されるかを正確に把握する必要があります。
提供物の条件を定める文章をサービスレベル合意書(SLA)と言います。
SLAは一般的に契約書の一部として盛り込まれ、提供機能だけでなくセキュリティ機能も定められます。
SLAはユーザが一方的に指示することはできず、提供元と協力の上で定められます。

契約の不履行などの判断に利用するため、SLAは具体的な数値による評価基準で定める必要があります。
例えば、「サービスの稼働時間は長いものとする」ではなく、「サービスの提供が5分を超える中断があった場合、不履行とする」というような客観的な内容にします。

達成目標

本章での達成目標は以下となります。

【1-5-1】共通のリスクフレームワークを理解している。
【1-5-2】リスクベースのセキュリティ管理をサプライチェーンに適用し、サードパーティを使用してリスク評価とモデリングを行うことができる。
【1-5-3】標準的な脅威モデルの概念を理解している。
【1-5-4】脅威モデリング手法を適用できる。
【1-5-5】共通の脅威とリスクを理解している。
【1-5-6】サービスレベルアグリーメントの目的、契約をどのように強化するのか、それぞれにどの項目を含めるべきかを理解している。
【1-5-7】最低限のセキュリティ要件を決定し文書化できる。