リスクの特定とリスク評価を理解します
リスクの特定
Microsoft 365 リスク管理は、まずリスクの特定から始まります。 リスクの特定では、すべての主要な管理領域、内部および外部の脅威、Microsoft 365 環境の脆弱性について、既知のリスクの原因を発見し特定することが重視されます。 Microsoft 365 Trust チームは、Microsoft 365 のサービス チームとのインタビューを行い、Microsoft 365 サービスと依存関係に関連する新しいリスクを特定します。 サービスチームの分野ごとの専門家 (Sme) は、サービスの成長、新機能の追加、または新しい依存関係の活用に伴って段階的に導入される可能性のあるリスクに関する知見を提供します。
SME のインタビュー以外にも、リスクの特定プロセスには継続的なモニタリング対象のデータが組み込まれています。これには、脆弱性のスキャン、赤色チーム/青色チームによる攻撃のシミュレーション、独立した監査結果、インシデント管理アクティビティが含まれます。 たとえば、赤色チームによる攻撃のシミュレーションで、既存の制御実装に脆弱性がみられた場合、その情報はリスクの特定プロセスに含まれます。 前年の監査結果のレビュー結果、および管理上のギャップが見られるという調査結果の傾向は、リスクの特定に含まれる情報源の例です。 特定作業のプロセスには、決定ログ、アクティブなセキュリティおよびコンプライアンスの例外、軽減活動、および以前のリスク評価中に特定されたリスクのレビューが含まれます。
Microsoft 365 Trust チームは、SME のインタビューおよび継続的なモニタリング データを使用して、Microsoft 365 環境へのリスクを特定します。 このプロセスでは、Microsoft 365 Trust チームがサービス チームやリスクの所有者と協力し、特定されたリスクの正確さと完全性を検証します。 関連するすべてのリスクが特定されると、Microsoft 365 Trust チームはリスク評価に進みます。
リスク評価
Microsoft 365 Trust チームは、 ERM リスク評価手法を使用して、特定された各リスクの影響、可能性、および制御上の欠陥といった内容を評価します。 [影響] は、データの機密性の損失、顧客からの信頼、コンプライアンスの証明など、発見されたリスクの悪影響に対応します。 尤度は、潜在的なリスクが実現される確率を識別します。 [可能性] は、過去の発生頻度と将来の発生確率を調べて算出されます。 最後に、特定されたリスクを軽減する際に実装されたセキュリティコントロールの有効性を分析することで、制御不足が計算されます。 これらの指標は、制御の軽減を考慮した後の各リスクの重大度を示す残留リスクスコアを計算するために使用されます。
リスク スコアが計算されると、Microsoft 365 Trust チームは、リスクを重要度別に分類します。 これらのカテゴリはERM のリスク評価方法に準拠しており、Microsoft 365 が直面している高レベルのリスクの総合的な観察を提供します。 リスクは、次の 4 つの重大度カテゴリに分類されます。
- 重大: 適切なコントロールが配置されていない非常に高いリスクにさらされる領域、または意図した方法で動作しない、および既存のリスクを軽減するために修復が必要なコントロール。
- 高: 適切なコントロールが配置されていない非常に高いリスクにさらされる領域、または意図した通りに動作しない、および既存のリスクを軽減するために修復が必要なコントロール。
- 中: 中程度のコントロールの欠陥があり、中程度のリスクにさらされている領域、不適切なコントロールしかなく、または意図した通り機能していないコントロール。
- 低: 実装されたコントロールまたはポリシーに軽微な問題がある、低いリスクにさらされている領域。
Microsoft 365 トラスト チームは、特定されたすべてのリスクを評価して分類したら、各サービス チームの関係者と会い、評価が Microsoft 365 のリスク態勢を正確に表していることを確認します。 評価の結果は、Microsoft 365 の管理によってレビューされます。