ITリスク管理(IT Risk Management/ITRM) Part 1: 評価プロセス編(開始~承認)

はじめに

今回は、OneTrust の ITリスク管理 (ITRM) を使用し、ITアセットのリスクの特定から管理までをどう実施していくかについて解説します。

OneTrustはリスクを特定、評価するために、様々なフレームワークに基づく評価テンプレートが用意されています。評価にあたって自社の要件に合わせて、ゼロから評価のための質問票を作成することも可能ですが、今回はあらかじめ定義されたテンプレートを活用し、すぐに評価プロセスを開始する方法について紹介します。

評価を迅速に開始するために:質問票テンプレートの活用

冒頭でも触れましたが、OneTrust には、各国のプライバシーに関する法規制やISO 等の各種フレームワークに対応する質問票が事前定義済みのテンプレートが用意されています。このなかには、サイバーセキュリティフレームワークとして有名な NIST CSF も含まれており、今回はこちらのフレームワーク対応した質問票を使用し、操作方法について紹介したいと思います。

テンプレートを使用することで、ITリスク管理を実施する際に選択したフレームワークから独自に質問票を作成する必要がなく、すぐにリスクを特定するための評価プロセスを開始することが可能です。

また、テンプレートを自社に合った形でカスタマイズすることも可能です。

今回は、サイバーセキュリティの代表的なフレームワークである NIST Cyber Security Framework (NIST CSF1.1)にもとづいて作成されている評価テンプレートを使用します。2024年2月現在、NIST CSFの質問票テンプレートについては英語版しかないため、今回の記事では、弊社側で日本語に翻訳したものを使用して紹介したいと思います。(ちなみに、NIST CSFですが、2月末にNIST CSF 2.0がリリースされる予定です。)

評価を開始する

まずは、リスクの評価プロセスの対象となるアセットを登録または、既存のアセットから選択します。

すでにアセットがインベントリに登録されている場合、既存のアセットの一覧から選択し、アセットの一覧から評価を開始することが可能です。

質問票を使用して評価を開始する際、評価に関与する関係者をアサインします。

評価を作成後、評価が作成された時点で、アサインされた回答者に対してメールで質問票について回答するようリクエストが送信されます。

評価に回答する(回答者)

ここからは、先ほど評価を開始する際にアサインされた「回答者」側の操作について見ていきたいと思います。

先述の通り、評価を作成後、回答者として指定されたユーザーに対してメール通知が送信されます。
(※ 通知内容については、日本語にしたり、内容についてカスタマイズすることが可能です。)

image.png

上記のメールを受け取ったユーザーは、メールに記載されたリンクから、割り当てられた評価へアクセスし、質問票に回答します。

ちなみに、質問票へのアクセスは、メールのリンク以外にも、画面上部の通知(鈴のマーク)やプライバシー評価自動化の評価一覧からも回答を開始することができます。

質問票の構成

冒頭に表示されるのは「はじめに」セクションで、ここに評価の説明や手順などを記載することができます。(ちなみにここで表示される「はじめに」セクションの文言や各質問の内容や選択肢については、自由にカスタマイズすることが可能です。また選択肢の内容によって後続の質問を表示したり、非表示にしたりすることも可能です。)

次のセクションから、NIST CSF にもとづいた質問に回答していきます。

必要な質問にすべて回答したら、質問票を提出します。

image.png

提出後、評価のステータスが「確認中」となり、承認者に対してレビュー依頼通知が送信されます。

image.png

評価を承認する(承認者)

ここからは、評価を開始する際にアサインされた「承認者」側の操作について見ていきたいと思います。

承認者は、回答者が質問票を提出後、承認依頼メールを受け取ります。(下図参照)

image.png

回答者の時と同じように、メールのリンクからアクセスし、質問票のレビューを開始します。

(※ 承認者のレビュー画面では、画面右下のボタンが回答者の場合の「提出する」から承認者の場合は「確認を終了する」に変わっています。)

image.png

さいごに

今回のブログでは、サイバーセキュリティフレームワークとしておなじみのNIST CSF1.1のテンプレートを使用し、ITRMでリスク評価のプロセスを実施する流れについて紹介しました。

次回のナレッジでは、評価によって特定されたリスクとそれに対処するコントロール(リスクの発生を未然に防止したり抑制するための手段、方法)さらには、それらの軽減策をオペレーションに組み込むのをサポートするための機能(ワークフロー、通知、レポートなど)について紹介します。

この記事をシェアする

OneTrustのソリューションに興味がありましたら

お気軽にお問い合わせください