セクション: 情報リスク管理

新たに発表された業界で求められるセキュリティ基準に多数の例外があることが判明した後、次に行うべきステップは、不遵守の影響を評価することです。情報セキュリティ管理者は、セキュリティ基準への不遵守によって組織が被る潜在的な影響とリスクを評価する必要があります。評価では、不遵守が法的、規制的、契約的、および評判に及ぼす影響に加え、不遵守に起因するインシデントや罰則の発生確率と重大性を考慮する必要があります。また、セキュリティ基準に準拠する場合と不遵守のリスクを受け入れる場合のコストとメリットを比較する必要があります。評価は、不遵守の問題への対処方法、そしてコンプライアンス達成に必要な行動とリソースの優先順位付けについて、情報に基づいた合理的な意思決定を行うための基盤を提供する必要があります。リスク受容の文書化、組織のセキュリティポリシーの改訂、情報セキュリティ監査の実施などは、不遵守の問題に対処するために実施できる可能性のある措置ですが、次に行うべきステップではありません。これらのアクションは、不遵守の影響を評価した後、評価結果と推奨事項に基づいて実施する必要があります。組織が不遵守のリスクを受け入れることを決定し、そのリスクが組織のリスク選好度と許容範囲内である場合、リスク受容の文書化が適切となる場合があります。組織がセキュリティ標準への準拠を決定し、新しい要件と期待を反映するためにポリシーを更新する必要がある場合、組織のセキュリティポリシーの改訂が必要になる場合があります。組織がコンプライアンスレベルを検証し、セキュリティ管理とプロセスにおけるギャップと弱点を特定したい場合は、情報セキュリティ監査の実施が役立つ場合があります。したがって、不遵守の影響を評価することは、新たにリリースされた業界で要求されるセキュリティ標準に多数の例外があると判断した後、次に行うべきステップです。これは、情報セキュリティ管理者が不遵守のリスクと影響を理解し、その対処方法について情報に基づいた合理的な意思決定を行うのに役立つためです。参考資料 = CISMレビューマニュアル
2023年、43ページ1; CISM練習クイズ2

機器およびソフトウェアベンダーの担当者の連絡先情報を含むべき文書は、事業継続計画（BCP）です。これは、混乱や災害発生時に組織の重要な業務機能と業務を復旧するためのガイダンスと手順を提供するものであり、ベンダーなどの外部関係者に支援やサポートを求める必要がある場合もあります。情報セキュリティプログラム憲章は、事業継続や災害復旧に関するガイダンスや手順を一切提供していないため、この目的には適していません。事業影響分析（BIA）も、事業継続や災害復旧に関するガイダンスや手順を一切提供していないため、この目的には適していません。
サービスレベル契約（SLA）は、事業継続性や災害復旧に関するガイダンスや手順を一切提供していないため、この目的には適した文書ではありません。参考資料：https://www.isaca.org
/resources/isaca-journal/issues/2017/volume-2/business-continuity-management-lifecycle https://www.isaca.
org/resources/isaca-journal/issues/2016/volume-4/ビジネスインパクト分析

バッファオーバーフローとは、ある関数が処理できる以上のデータ量で実行された際に発生するソフトウェアコーディングエラーまたは脆弱性であり、その結果、隣接するメモリ領域が超過データによって上書きまたは破損します1。プログラムに隠された意図しない機能が含まれており、それがセキュリティリスクをもたらす場合、それはバッファオーバーフローではなく、バックドアです2。通常の動作を妨害するように設計された悪意のあるコードはバッファオーバーフローではなく、マルウェアです3。データをキャプチャする一種の隠れチャネルはバッファオーバーフローではなく、キーロガーです。参考文献：1 https://www.fortinet.com/resources/cyberglossary/buffer-overflow 2
https://www.fortinet.com/resources/cyberglossary/backdoor 3 https://www.fortinet.com/resources
/サイバー用語集/マルウェア https://www.fortinet.com/resources/サイバー用語集/キーロガー