説明
統制の有効性には、統制プロセスが意図したとおりに機能したことを検証するプロセスが必要です。二重統制や複式簿記などの例は、プロセスが意図したとおりに機能したことを検証し、保証するものです。統制の種類は関係なく、不備の通知は統制の強度を決定するものではありません。
信頼性は制御の強さを示すものではありません。制御が弱くても、効果のない制御であっても、信頼性が高い場合があります。

組織がユーザーから、一部のファイルが暗号化され、ファイルの復号化に金銭の要求を受けているという苦情を受けた場合の最善の行動は、インシデント対応を開始することです。
これは、組織がランサムウェア攻撃に直面しているためです。ランサムウェア攻撃は、被害者のデータを暗号化し、復号鍵と引き換えに身代金を要求する悪意のあるソフトウェアの一種です。ランサムウェア攻撃は、組織の業務、資産、そして評判に重大な混乱、損害、そして損失をもたらす可能性があります。そのため、組織は、このようなセキュリティインシデントに協調的、効果的、かつ効率的に対応できるよう設計されたインシデント対応計画とチームを迅速に発足させる必要があります。インシデント対応プロセスは、以下のステップで構成されます1。
準備：インシデント対応チームは、インシデントへの対応に必要なリソース、ツール、手順を準備します。また、チームメンバーとその他の関係者間の役割、責任、コミュニケーションチャネルを確立します。
特定：インシデント対応チームは、インシデントの範囲、発生源、および重大度を特定します。また、さらなる分析と調査のために、関連する証拠とログを収集・保存します。
封じ込め：インシデント対応チームは、ランサムウェアの拡散を防ぎ、インシデントの影響を最小限に抑えるため、影響を受けたシステムとネットワークを隔離します。また、重要な機能とサービスを復旧するための一時的な解決策や代替策も実施します。
根絶：インシデント対応チームは、影響を受けたシステムとネットワークからランサムウェアとその感染痕跡をすべて削除します。また、システムとネットワークがクリーンで安全であることを確認した上で、通常の運用に戻します。
復旧：インシデント対応チームは、影響を受けたシステムとネットワークを通常運用に復旧します。また、可能であれば、バックアップやその他のソースから暗号化されたデータを復号または復元します。さらに、システムとネットワークを監視し、再発や残存する問題の兆候がないか確認します。
教訓：インシデント対応チームは、インシデント発生後のレビューを実施し、インシデント対応プロセスとチームの有効性と効率性を評価します。また、インシデントから得られた根本原因、教訓、ベストプラクティスを特定します。さらに、将来同様のインシデントを防止または軽減するために必要な改善策と是正措置を推奨し、実施します。
参考資料 = CISM レビューマニュアル、第 16 版、第 4 章: 情報セキュリティ インシデント管理、セクション: インシデント対応プロセス、229 ～ 2331 ページ; CISM レビュー質問、回答および解説マニュアル、第 10 版、質問 45、432 ページ。