リスク管理

印刷

変化し続ける IT 環境、リソース不足、複雑なリスク分析方法などのため、IT セキュリティのリスクを特定するのは困難な場合があります。さらに悪いことに、監督官庁とコンプライアンスの要件では、企業がリスクプログラムを管理し、定期的にリスク評価を行うことが求められています。以下に例を挙げます。

  • PCI 12.1.2: 脅威、脆弱性、結果を識別する年に一度のプロセスを正式なリスク評価に含める。
  • NCUA: IT 748 準拠: リスク評価プロセスの IT ポリシーチェックリスト (Risk Assessment Process IT Policy Checklist) と、リスク評価に関する情報セキュリティプログラム (Information Security Program with Risk Assessments) を文書化を求める。
  • COBIT PO 9.4: 特定されたすべてのリスクの発生可能性と影響を、定性的および定量的な方法を用いて繰り返し評価する。
  • SOX: 企業の内部にリスク評価のフレームワークと手順 (Risk Assessment Framework and Methodology) を持つことを求める。
  • ISO 27001 A.14.1.2 - ビジネスの継続性とリスクの評価: ビジネスプロセスの妨げになる恐れのあるできごと、およびその可能性、影響、情報セキュリティに引き起こされる問題を特定することを求める。

Allgress は、技術的な脆弱性のスキャナから得られた既存のセキュリティデータ、IT 監査、セキュリティ評価を効率的に活用することで、これらの困難な課題を解決し、NIST 準拠のリスク評価を実施します。

リスクのスクリーンショット

Allgress は貴社のリスクの傾向を図示します。画面上の円形の位置をずらすことにより、組織にとって重要な評価指標に対応付けることができます。評価指標には、収入、患者数、販売された製品など、自由に設定できます。

Allgress のソリューションの特長:

  1. 効率のよさ: 多くの企業が既に、脆弱性データ、IT 監査、セキュリティ評価の情報を持っています。Allgress は既存の情報を効率的に活用するため、新たに多大な人的リソースを必要とすることなく、迅速にリスク評価を実施することができます。
  2. レポーティングと分析: リスク評価のレポートを生成します。レポートは、組織のビジネスユニット、OS プラットフォーム、その他のビジネス上必要な分類をもとにカスタマイズすることができます。また、補償制御やその他のリスク改善要因は、必要に応じて手動で修正することができます。
  3. 傾向の把握: リスク改善状況を時系列で示します。あるいは、IT セキュリティのリソース削減の結果としてリスクが増大したといった状況が示されます。
  4. もしもの場合の備え: もしもの場合のシナリオを作成することで、ビジネスの目的に見合った IT セキュリティの戦略を立てることが可能になります。もしもの場合のシナリオとしては、「新規市場開拓のための新たな動きがあるか」、「新たな投資や顧客の保護のために十分なセキュリティ体制があるか」、「新規合併や買収がリスクを増大させるか」、「リスク管理のためにどのようなリソースが必要か、リソースをどこに配置するべきか」など、様々なケースが考えられます。