リスク管理
データセンター内のリスク管理は継続的なプロセスであり、機能のライフサイクルを通して正式な評価を行っています。 Microsoft データセンターへの物理的および環境的な脅威による影響を特定し軽減するために、脅威、脆弱性、リスクの評価 (TVRA) が顧客データをホスティングするすべてのデータ センターで毎年実行されます。 Microsoft 企業リスク管理フレームワークの以下の手順に加えて、Microsoft では、2013年6月にシンガポール金融庁によって発行された「テクノロジー リスク管理ガイドライン」で定義された要件を活用しています。 TVRA は、一般に受け入れられているリスク評価方法と、現在会社で利用可能な情報に基づいた Microsoft の専門家による最高の判断を反映しています。
Microsoft は、次の手順に従って TVRA プロセスを進めます。
リスクの特定: TVRA は、さまざまな自然および人為的危険 (過失を含む) に起因する脅威のシナリオを検討します。 結果は、データセンターの場所、設計、サービスの範囲、およびその他の要因によって異なります。 TVRA は、顧客の要件、独立した国/地域、市区町村、およびサード パーティのリスク情報によって提供されるリスク環境のサイト レベルの評価に基づいて、TVRA ドキュメントで強調表示する脅威シナリオを選択します。 複数のデータセンターが配置されている地域では TVRA 評価は総計され、評価対象地の物理的および環境的脅威、脆弱性、およびリスクの全体像の把握が図られます。
データセンターの TVRA で評価される脅威のシナリオの種類は次のとおりです。
- 外部の脅威 – 外部の意図的または偶発的な人間の活動に起因するインシデント。 たとえば、市民の混乱、テロ、犯罪活動、外部からの盗難、即席爆発装置、武力攻撃、放火、不正侵入、飛行機墜落事故などです。
- 内部の脅威 – 内部の意図的または偶発的な人間の活動に起因するインシデント。 たとえば、内部の盗難や妨害行為などです。
- 自然災害 – データセンターに悪影響を及ぼす可能性のある自然のプロセスや現象。 たとえば、熱帯低気圧、サイクロン、洪水、地滑り、干ばつ、山火事、地震、火山活動、雷雨を伴う暴風、ひょう、強風、豪雨などです。
- 環境の脅威 - データセンターに悪影響を与える可能性のある環境条件。 たとえば、水ストレス、熱ストレス、パンデミックなどです。
リスク分析: 脅威は、固有のリスクの評価に基づいて評価されます。固有のリスクは、脅威の固有の影響と、管理制御活動がなされない場合に脅威が発生する固有の確率に応じて計算されます。 これらの評価は、内部領域の専門家 (SME) フィードバックと外部リスク インデックスの使用の両方によって通知されます。
残留リスク: 残留リスクは、統制の有効性を考慮した上で、残存するリスク レベルの指標として決定されます。 制御の有効性は、現在の管理措置、および脅威を予防し検出するために設計された制御の指標として評価されます。また、設計され、実装されたものとしての制御が、望ましい効果を発揮する可能性について評価されます。 これらの評価は、TVRA で対処されたデータセンターの場所の制御の有効性に関する内部 SME フィードバックの集約によって通知されます。
レポート: 評価が完了すると、管理者の承認のため TVRA レポートが生成され、リスク管理に関連する全体的な取り組みがサポートされます。
Microsoft は、リスク評価と方法体系を継続的に更新し、状況の変化に備えて改善を行います。 その結果、弊社の分析や結論は変更される場合があります。