「リスク管理フレームワーク」(RMF) は、資産を保護するために組織がどのような体制をとり、どのように監視を行うべきかを指示する一連の基準です。
リスクはビジネスにつきものです。 投資、新製品、新しい市場への進出、さらには組織構造や従業員の責任の変化でさえ、混乱を引き起こす可能性があります。絶えず存在する外部リスクについては言うまでもありません。 一方、リスクに対する姿勢が強すぎると、ビジネスの成長が阻害され、組織が潜在能力を発揮できなくなってしまう可能性があります。 トップクラスの組織は戦略に従い危険にアプローチする方法を理解しており、成長機会を妨げることなくリスクの可能性を最小限に抑えるために、利益とリスクを計算しています。
そのために、多くの企業は、業務プロセスの保護に対する全社的なアプローチとしてリスク管理フレームワークを導入しています。
RMF は体系的なアプローチを取り、あらゆる種類のビジネスリスクを特定して緩和します。 特定のバージョンの RMF が必要となる場合があることも注目に値します。 米国連邦政府機関が NIST バージョンの RMF に準拠することを義務付けられていることがその一例です。
具体的なユースケースにはさまざまなものがありますが、ほとんどのリスク管理フレームワークは、基本的に以下に示す 5 つのコンポーネントで構成されています。
組織がリスクから身を守るには、危険が発生したときにそれを認識できる必要があります。 リスク管理の特定コンポーネントはリスクユニバース、つまり、組織とその資産が直面する可能性のあるすべての既知のリスクの完全なカタログを定義するのに役立ちます。 これらのリスクは、特定のカテゴリに分類する必要があります。カテゴリにはデジタルリスク、ESG リスク、ベンダー/サードパーティリスク、品質リスク、事業継続性リスク、人的リスク、環境、健康、安全性リスク、倫理とコンプライアンスリスク、プライバシー/法的リスク、財務リスク、オペレーショナルリスク、テクノロジー/サイバーリスクなどがあります。 潜在的な脅威と不確実性を明確に把握したうえで、組織は次に、リスクをさらに「コアリスク」(成長の原動力となる本質的なリスク) か「非コアリスク」(排除できる、また可能な限り排除すべき不要なリスク) のいずれかに分類する必要があります。
リスク自体を理解することは、リスク管理の一部にすぎません。リスク管理では、組織は次に、特定のリスクやリスクカテゴリが発生する可能性、そしてリスクに遭遇した場合に何を失う可能性があるかという観点から、自社に目を向ける必要があります。 これらのリスクを計算する際、組織はリスクの全体的な影響を考慮に入れる必要があります。 以上を行うことにより、損害の可能性と発生の可能性に基づいてリスクに優先順位を付け、リスクしきい値を決定できます。
リスクを特定して優先順位を付けたら、次のステップは効果的なリスク緩和計画の作成です。 適切なリスク緩和計画により、組織はどのコアリスクを受け入れるか、どのリスクを最小化あるいは排除するか、どこから始めるべきかを判断できます。 この時点で、トラッキングを行い、監査記録を作成するうえで効果的な問題/POA&M 管理プロセスを使用する必要があります。
RMF プロセス全体を通じて見ても、監視とレポートは最も重要です。 組織や業界にもよりますが、リスク管理レポートを自動化し、ダッシュボードからリアルタイムでアクセスできるようにする必要があります。 ダッシュボードには、現在の危険を正確に把握するために、リスクにさらされている要素を調整する正規のリスク担当者がアクセスできるだけでなく、現場の作業者と経営幹部もアクセスできる必要があります。 また、レビューと承認のために、業界固有のレポートを作成する必要があります。 適切なリスク監視とレポートが、確立された基準への準拠を維持する役割を果たすこともあります。
リスク管理フレームワークとは要するに、組織におけるリスク管理をサポートし、構造化するためのフレームワークです。 それ自体は完全なリスク管理ソリューションではありません。フレームワークで確立された慣行を採用し、それに従うかどうかは、関係者次第です。 RMF ソリューション内のガバナンスコンポーネントは、従業員が自分の役割と責任を理解し、職務を割り当て、リスク管理リーダーの権限を確立するのを支援するように設計されています。
リスク管理フレームワークの目的は、組織のあらゆる側面を潜在的な危険から保護するのを支援することです。 危険には、望ましくない製品や欠陥のある製品、不安定な市場、うまく実行されていないビジネスプランなどによってもたらされるリスクが含まれます。 しかし、デジタルシステムが普及し続ける中、組織が今日直面している最も明白なリスクのいくつかは、「IT システム」に対するリスクです。
IT リスク管理フレームワークは、企業や政府機関が、データリスクの可能性を特定し、脅威にさらされているシステムを突き止め、そのリスクを防止/修復するためにどのようなオプションがあるかを判断するのを支援するように設計されています。 各種 RMF 標準の手順は非常に似ています。NIST RMF を例に取りましょう。 これは、最も厳格で、米国連邦政府内でシステムを承認するために使用されているものの 1 つで、 次の 5 つの重要なステージに分けることができます。
組織内のすべての IT システムを評価して分類します。 システムの境界を定義し、システムに関連付けられている情報の種類を特定します。 同様に、組織自体、システムの運用環境、他のシステムとの接続、使用目的に関連する情報も考慮に入れます。
次に、適切なセキュリティコントロールを選択します。 組織のセキュリティコントロールとは、組織の情報システムが利用できる管理、運用、技術的な保護手段であり、システムの整合性と可用性を保護するために設計されたものです。 当然ながら、システムや情報の種類ごとに、効果的なセキュリティコントロールは異なり、適切なコントロールを選択することが、適切に保護されたシステムを実現できるか、脆弱なシステムになるかの分かれ目となることもあります。 選択を終えたら、そのセキュリティコントロールを実装し、使用ポリシーを確立します。
セキュリティコントロールを導入したら、次のステップはその機能と成果を評価することです。 コントロールは正しく導入され、意図したとおりに動作していますか? 動作しているなら、そのコントロールは、求められるセキュリティ要件を満たしていますか? 満たしていない場合、そのコントロールはビジネスオペレーションとデータの保護において有効ではありません。
セキュリティコントロールを実装し、評価を行ったら、システムに対するコントロールを承認し、運用を許可します。 正しく実装すれば、RMF 自動ワークフローが動作を開始し、ビジネスの保護を支援します。
システムセキュリティコントロールを承認すれば、IT リスク管理が終わるわけではありません。セキュリティコントロールを継続的に監視することで、そのリスク管理フレームワークが使用期間を通じて現実的なものであり続けていることを確認できます。 変更を文書化し、定期的に影響分析を実施し、有効性の持続を確保するためにセキュリティコントロールのステータスを継続的に報告します。
前述の通り、ビジネスリスクは至るところにあります。 また、IT システムの拡大と進化に伴い、現代のデジタルビジネス環境はますます複雑になっています。 適切なリスク管理フレームワークは、組織がこの状況を乗り切るのに役立ち、そのプロセス内で重要な利点を数多く提供します。
リスク管理フレームワークの重要なメリットには、次のものがあります。
現代のサプライチェーンはこれまでになく複雑化しており、商品、リソース、製品のデリバリをサプライチェーンに依存している組織に大きなリスクをもたらしています。 効果的な RMF ソリューションを利用すれば、組織は、天気予報、ソーシャルメディアのトレンド、世界中の通信社の報道など、サプライチェーン関連のデータストリームの品質と使いやすさを高めることができます。 その結果、重要なサプライチェーンに影響を与える可能性のある要素について、より正確なインサイトを得ることができます。
組織の安全性は、その資産の安全性にかかっています。 リスク管理フレームワークは、資産を保護し、関連する情報を特定し、リスクを把握して優先順位を付け、緊急のリスクを緩和して解決するために迅速に対応するうえで役立ちます。 適切なフレームワークは、その組織の最も重要な資産の安全性を確保するための一連の基準と行動計画を提供します。
同様に、リスク管理フレームワークは、知的財産を盗難や悪用から保護する方法も規定します。 組織は、関連データと明確な基準の支援に支えられて、知的財産がより適切に保護され、盗難の可能性が最小限に抑えられていると確信しながら安心してビジネスオペレーションを実行できます。
組織のあらゆるレベルでセキュリティとオペレーションの明確な基準を確認できるようにすることで、セキュリティプロセスの一貫性が保たれます。 これにより、リスクがさらに緩和され、データ漏洩の危険性が軽減されます。 さらには、一般の人々の認識に悪影響を及ぼし、評判の低下につながる可能性のある、コストのかかるミスから組織を保護することができます。
競争の激しい市場では、競合他社を理解することは、自社を理解するのと同じくらい重要です。 リスク管理フレームワークには、ソーシャルメディア、ブログ、ニュースレポートなどのさまざまな社外の情報源が組み込まれているため、競争相手をしっかり監視し、必要に応じて迅速に対応できます。
組織が上記の利点を得るには、まずは自組織のニーズに最適なリスク管理フレームワークを選択しなければなりません。 現在利用できる RMF ソリューションは数多く存在しますが、他よりも優れ、包括的なオプションとして際立っているものがいくつかあります。
ここで、トップ 4 の管理フレームワークについて簡単に説明します。
連邦情報セキュリティ近代化法 (Federal Information Security Modernization Act) (FISMA) は、政府のシステムと政府機関向けに、法的に裏付けられたガイドラインとセキュリティ基準を確立することを目的とした米国の法律です。 FISMA アプローチは、さまざまな業界や地域の非政府組織によって採用されてきました。 このアプローチは、効果的なセキュリティコントロールを選択、実装、監視するための一連の手順で構成されています。
リスク管理に対してより一般的なアプローチを採用した ISO 31000 は、さまざまなビジネスリスクの影響を効果的に管理する方法として設計されており、基本的にあらゆる業界の組織に関連しています。 ISO 31000 アプローチは、組織全体で効果的なリスクに対する考え方と文化を発展させるのに役立ち、リスク管理プロセスの一部としてさまざまな組織プロセス、役割、責任を生み出します。
FISMA や ISO 31000 ほど柔軟ではない COSO Enterprise Risk Management フレームワークは、「戦略」、「オペレーション」、「コンプライアンス」、「レポート」の 4 つのカテゴリで構成されており、組織全体への導入には向いていません。 それでも、COSO はリスク重視の文化を確立するための信頼できるアプローチです。
米国標準技術局 (NIST) フレームワークは、セキュリティ、プライバシー、サイバーサプライチェーンのリスク管理を統合してシステム開発できるようにしたもので、規模の大小を問わず、あらゆる業界のあらゆる種類の企業内の新しいシステムやレガシーシステムに適用できます。
組織が競争力を維持するためには、常に何らかのリスクが伴います。 しかし、適切なリスク管理ソリューション、リソース、戦略があれば、そのリスクを効果的に管理できると同時に、不確実な未来に直面してもレジリエンスと継続性を確保できます。 IT 管理とワークフロー自動化のリーダーである ServiceNow は、この動向の先頭に立っています。
ServiceNow は、付加価値の高い、人にしか出来ない新しい仕事を創造します。 ServiceNow により、あらゆる規模の組織が、リスク管理、コンプライアンスアクティビティ、インテリジェントな自動化をデジタルビジネスプロセスにシームレスに組み込み、リスクの継続的な監視と優先順位付けができるようになります。 ServiceNow のリスクソリューションは、企業全体のデータの非効率的なプロセスやサイロ化を、自動化され統合された実行可能なリスクプログラムに変換できます。 リスクベースの意思決定を改善し、組織全体やベンダーとのパフォーマンスを向上させ、ビジネスへのリスクをリアルタイムに管理できます。 また、予算を無駄にすることなく、日常業務においてリスク情報に基づく意思決定が可能になります。
ServiceNow により、あらゆる規模の組織がリスク管理とコンプライアンスをデジタルエクスペリエンスとワークフローにシームレスに組み込めるため、従業員と組織の業務を改善できます。 受賞歴のある ServiceNow AI Platform 上に構築されたリスク管理は、完全な可視性とコントロールを提供します。 リスクと重要な情報の特定と管理、高リスク領域の監視、非準拠のコントロールの診断、重要なリスクの自己アセスメントの作成とスケジュール設定を、すべて一元的に実行できます。 また、高度なレポート作成と分析、組み込みのガイダンスと分類ライブラリ、高度な自動化ソリューションによって、予算を無駄にすることなく、リスクの評価と準備に必要なものをすべて得ることができます。
ServiceNow のリスク管理で、適切な準備がどこまでできるかを確認してください。