サイバーセキュリティポリシーは、組織の情報資産をサイバー脅威から保護するための目標、原則、期待事項を定義する高レベルのステートメントです。サイバーセキュリティポリシーは、サイバーセキュリティ戦略、計画、手順、標準、ガイドラインの策定と実施の基盤となります。しかし、効果的なサイバーセキュリティを確保するには、サイバーセキュリティポリシーだけでは不十分です。組織は、ハードウェア、ソフトウェア、人材、トレーニング、テスト、監査、インシデント対応など、サイバーセキュリティ対策の導入と維持を支援するために、十分な予算リソースを割り当てる必要があります。十分なサイバー予算の割り当ては、組織のサイバーセキュリティへのコミットメントを示し、サイバーセキュリティ目標の達成を可能にします。参考：https://www.isaca.org/credentialing/cism https://www.wiley.com/en-us/CISM+Certified+Information+Security+Manager+Study+Guide-p-9781119801948

リスク管理の第一の目標は、組織が目標を達成する能力を維持することです。IT資産の保護は、インフラストラクチャとシステムの可用性の確保と同様に、一つの目標として考えられます。しかし、これらは組織の目標達成という観点から捉えるべきです。予防的管理は必ずしも可能、あるいは必要とは限りません。リスク管理は、予防的管理と是正的管理を適切に組み合わせることで問題に対処します。

独立した侵入テストの結果、実稼働間近のクラウドベースのアプリケーションに高い評価の脆弱性が見つかった場合、最善の対応策は、その脆弱性が組織のリスク許容レベル内であるかどうかを評価することです。これは、脆弱性が悪用された場合の潜在的な影響と可能性、そして脆弱性を修正または軽減するためのコストとメリットを理解せずに、アプリケーションを実装すべきではないためです。また、組織は、クラウドサービスプロバイダーとアプリケーションユーザーの契約上および法的義務、サービスレベル契約、そしてパフォーマンスへの期待値も考慮する必要があります。リスク許容レベルを評価することで、組織はリスクを受け入れるか、移転するか、回避するか、軽減するか、そしてリスク管理のためのリソースと責任をどのように配分するかについて、情報に基づいた合理的な判断を下すことができます。
アプリケーションを導入した上でクラウドサービスプロバイダーに脆弱性の修正を依頼するのは、組織を不必要かつ許容できないリスクにさらし、クラウドサービス契約の利用規約に違反する可能性があるため、最善の方法ではありません。クラウドサービスプロバイダーは、組織と同等の緊急性、説明責任、能力を備えていない可能性があるため、脆弱性の修正をプロバイダーに依存すべきではありません。また、クラウドベースのアプリケーションは、その高い可視性、アクセス性、そして価値ゆえにサイバー攻撃者に狙われる可能性があるため、脆弱性が悪用されないと想定することも避けるべきです。
初期テストの結果を検証するためにさらに侵入テストを実施することは、アプリケーションの実装が遅れる可能性があり、追加の有用な情報が得られない可能性があるため、最善の方法ではありません。
組織は、資格を有し客観的な第三者機関によって実施される独立したペネトレーションテストの結果を信頼すべきです。また、冗長なテストや不必要なテストの実施に時間とリソースを浪費すべきではありません。プロジェクトの予算、スケジュール、品質に影響を与える可能性があるためです。
脆弱性が修正されるまで実装を延期することは、組織にとって実現不可能または望ましくない可能性があるため、最善の方法ではありません。実装の延期は、組織の評判、収益、顧客満足度に影響を与える可能性があるため、組織はビジネスへの影響と機会費用を考慮する必要があります。また、脆弱性の修正には、アプリケーションまたはクラウド環境への大幅な変更または修正が必要になる可能性があるため、技術的な実現可能性と複雑さも考慮する必要があります。組織のイノベーションと競争力を阻害する可能性があるため、リスクゼロまたはリスク回避的なアプローチを採用すべきではありません。参考文献：ISACA、CISMレビューマニュアル、第16版、2020年、97～98ページ、101～102ページ、105～106ページ、109～110ページ。
ISACA、CISM レビューの質問、回答と説明のデータベース、第 12 版、2020 年、質問 ID 1025。

セクション: 情報セキュリティプログラム管理