* 制御の不備とは、制御の設計または実装における弱点または欠陥であり、意図した目的を達成したり、対処するように設計されたリスクを軽減したりする上での有効性または効率を低下させます。制御の不備は、人為的エラー、システム障害、プロセスの非効率性、リソースの制限など、さまざまな要因によって引き起こされる可能性があります。
* どの管理不備が最も重大であるかを判断する際に最も役立つ情報は、リスク分析結果です。リスク分析結果は、さまざまなリスク シナリオの可能性と影響を測定、比較し、その重大性と緊急性に基づいて優先順位を付けるリスク分析プロセスの結果または出力です。リスク分析結果は、次の情報を提供することで、どの管理不備が最も重大であるかを判断するのに役立ちます。
* 管理上の不備に関連するリスクのレベルと優先度、およびそれが現実化した場合に組織に引き起こす可能性のある結果または影響。
* 現在のリスクレベルと望ましいリスクレベルとのギャップまたは差異、および管理上の不備がそのギャップまたは差異に寄与または影響を与える程度。
* 管理上の不備に対処または修正するための可能な措置または計画の費用対効果または実現可能性分析、およびそれらが組織にもたらすと予想されるまたは望ましい結果または利点。
* その他のオプションは、リスク分析結果が提供するのと同じレベルの詳細と洞察を提供しないため、どの制御不備が最も重大であるかを判断する際に最も役立つ情報ではありません。また、組織にとって関連性がなく、実行可能でない可能性があります。
* 例外処理ポリシーとは、コントロールの通常または予想される動作や機能から逸脱し、対処または解決するために特別なまたは代替のアクションや対策が必要となる可能性のある状況や環境に対処するための手順とガイドラインを定義および説明するポリシーです。例外処理ポリシーは、コントロールの不備を処理または管理する方法に関する有用な情報を提供できますが、コントロールの不備に関連するリスクのレベルと優先度、およびそれらが組織に引き起こす可能性のある結果や影響を示していないため、どのコントロールの不備が最も重大であるかを判断する際に最も有用な情報ではありません。
* 脆弱性評価とは、組織の目標や業務に影響を及ぼす可能性のある脅威や危害源によって悪用または侵害される可能性のある、組織の資産、プロセス、またはシステムの弱点や欠陥を特定して評価する評価です。脆弱性評価は、制御の不備の存在と重大性に関する有用な情報を提供できますが、制御の不備に関連するリスク シナリオの可能性と影響、およびそれらが組織に引き起こす可能性のある結果や影響を示していないため、どの制御の不備が最も重大であるかを判断する際に最も有用な情報ではありません。
* ベンチマーク評価とは、組織のパフォーマンス、プラクティス、またはプロセスを他の組織や業界標準と比較対照し、組織の目標や運営に影響を与える可能性のある強み、弱み、機会、または脅威を特定する評価です。ベンチマーク評価は、組織のベストプラクティスや改善領域に関する有用な情報を提供できますが、どの管理不備が最も重大であるかを判断する際に最も有用な情報ではありません。管理不備に関連するリスクのレベルと優先度、および組織に引き起こす可能性のある結果や影響を示していないためです。参考文献
* ISACA、CRISCレビューマニュアル、第7版、2022年、19-20、23-24、27-28、31-32、40-41、47-48、54-
55、58-59、62-63
* ISACA、CRISC レビュー問題、解答、解説データベース、2022、QID 176
* CRISC 練習クイズと試験準備

リスク担当者がリスク シナリオを再評価する最も可能性の高い原因は、規制環境の変化です。規制環境とは、データ プライバシー、セキュリティ、コンプライアンス、ガバナンスなど、組織とその活動に適用される一連の法律、規則、標準です。規制環境の変化は、新しい法律、裁判所の判決、執行措置、業界の傾向など、さまざまな要因によって発生する可能性があります。規制環境の変化は、新しいリスクや変更されたリスクを導入したり、既存のリスクの可能性や影響を変えたりする可能性があるため、組織が直面するリスク シナリオに影響を及ぼす可能性があります。たとえば、新しい規制により、組織は追加または異なる制御を実装したり、より多くの情報を報告または開示したりすることが求められる場合があります。これにより、組織のプロセスとシステムのコスト、複雑さ、または脆弱性が増加する可能性があります。規制環境の変化は、組織のリスク管理のパフォーマンスと結果に対して異なる要件や期待を課す可能性があるため、組織のリスク選好度、許容度、および能力にも影響を及ぼす可能性があります。したがって、リスク担当者は、規制環境に変更があった場合、リスク シナリオを再評価して、リスク シナリオが正確、完全、関連性があり、リスク対応戦略​​と計画が適切、効果的、かつ準拠していることを確認する必要があります。その他のオプションは、リスク シナリオに関連している、またはリスク シナリオに影響を与える可能性がありますが、最も可能性の高い原因ではありません。リスク管理ポリシーの変更とは、役割と責任、プロセスと手順、ツールと手法、報告とコミュニケーションなど、組織がリスクを管理する方法を定義するルールとガイドラインの変更です。リスク管理ポリシーの変更は、組織がリスクを識別、分析、評価、および対応する方法を変更する可能性があるため、リスク シナリオに影響を与える可能性がありますが、リスク自体を直接作成または変更することはありません。重大なセキュリティ インシデントとは、データ侵害、サービス拒否攻撃、ランサムウェア感染など、組織の情報またはシステムの機密性、整合性、または可用性を危険にさらすイベントまたは状況です。重大なセキュリティ インシデントは、リスクの存在や重大性を示したり明らかにしたり、リスクの結果を引き起こしたりエスカレートさせたりするため、リスク シナリオに影響を及ぼす可能性がありますが、原因ではなく、リスクの結果です。侵入試行の増加は、フィッシング、マルウェア、ブルート フォース攻撃など、組織の情報やシステムにアクセスしたり悪用したりする不正または悪意のある試行の頻度や強度の増加です。侵入試行の増加は、リスクの可能性や影響を増大させたり、組織のプロセスやシステムの脆弱性を露呈させたり悪化させたりするため、リスク シナリオに影響を及ぼす可能性があります。しかし、それは原因ではなく、むしろリスクの現れです。
= リスクシナリオツールキット - ISACA、強力なリスクシナリオとステートメントの書き方 - ISACA、規制変更がビジネスに与える影響 - Deloitte

セキュリティ管理の例外のリスク受容の最も可能性の高い正当化は、ビジネス上の利点が損失の露出を上回る場合です。リスク受容は、リスクを軽減または移転するための措置を講じることなく、リスクを認識して許容するリスク対応戦略​​です。セキュリティ管理の例外は、正当なビジネス上の理由または状況による、確立されたセキュリティ ポリシーまたは標準からの逸脱または非準拠です。セキュリティ管理の例外のリスク受容は、ビジネス上の利点が損失の露出を上回る場合、つまり例外の価値または利点がリスクの潜在的なコストまたは損害を上回る場合に正当化される可能性があります。たとえば、セキュリティ管理の例外により、システムまたはデータへのアクセスが高速化または容易化され、ユーザーまたは顧客の生産性、効率性、または満足度が向上し、ビジネスの収益または利益が増加する可能性があります。例外のビジネス上の利点は、リスクの損失の露出を上回る可能性があります。損失の露出は低いか無視できる場合があり、他の管理または要因によって軽減される場合もあります。したがって、セキュリティ制御の例外のリスク受け入れは、例外とリスクの費用対効果分析に基づく合理的かつ理にかなった決定である可能性があります。自動化を制御に適用できない、エンドユーザー ライセンス契約の有効期限が切れている、制御を実際に実施するのが難しいなどの理由は、セキュリティ制御の例外のリスク受け入れの最も可能性の高い正当化理由ではありません。これらは無関係または不十分な理由であり、例外とリスクのビジネス上の利点や損失の露出を考慮していないためです。参考文献 = CRISC レビュー マニュアル、第 6 版、ISACA、2015 年、50 ページ。