SaaS プロバイダーと合意した RTO がビジネス上の期待よりも長いことが判明したリスク担当者にとっての最善の行動は、リスク所有者と協力してリスク対応計画を決定することです。リスク所有者とは、責任範囲内でリスクを管理する権限と説明責任を持つ人物です。リスク対応計画は、リスクに対処するために必要な行動とリソースを説明した文書です。リスク所有者と協力することで、リスク担当者は、合意した RTO とビジネス上の期待とのギャップを分析し、潜在的な影響と結果を評価し、リスクの回避、削減、移転、受け入れなどの最も適切なリスク対応オプションを選択することができます。リスク レジスタにギャップを文書化したり、サービス プロバイダー契約に監査権条項を含めたり、リスク所有者にリスクを受け入れるようアドバイスしたりすることは、問題の根本原因に対処したり、リスクを許容レベルまで削減するソリューションを提供したりしないため、最善の行動ではありません。参考文献 = リスクおよび情報システム制御研究マニュアル、第 4 章、セクション 4.3.1、ページ 4-23。

リスクを明確にするために必要なタスクは次のとおりです。
リスク分析の結果を伝達します。
リスク管理活動とコンプライアンスの状態を報告します。
独立したリスク評価の結果を解釈します。
ビジネスチャンスを特定します。

ユーザーの再認証は、適切な機関によるユーザーのアクセス権と権限の定期的なレビューと検証を伴うため、ユーザー アクセスが最小限の権限で維持されるようにするための最も効果的な制御です。
ユーザーの再認証は、セキュリティ リスクを引き起こしたり、最小権限の原則に違反したりする可能性のある、不要、過剰、または古いアクセス権と権限を特定して削除するのに役立ちます。また、ユーザーの再認証は、ユーザーのアクセス権と権限がユーザーの現在のビジネス ニーズ、役割、および責任と一致していることを確認するのにも役立ちます。
その他のオプションは、ユーザー アクセスが最小権限ベースで維持されるようにするための最も効果的な制御ではありません。ユーザー承認は、ユーザーの ID、役割、資格情報に基づいて、ユーザーへのアクセス権と特権を付与または拒否するプロセスですが、ユーザーの既存のアクセス権と特権を確認または更新するものではありません。変更ログの確認は、システム、構成、またはデータに加えられた変更の記録を調査および分析するプロセスですが、ユーザーのアクセス権と特権に直接対処するものではありません。アクセス ログの監視は、システムまたはネットワーク上のユーザーのアクティビティとアクションを追跡および監査するプロセスですが、ユーザーのアクセス権と特権を検証または変更するものではありません。参考資料 = 最小権限の原則とは何か、なぜそれが重要なのか、最小権限の原則: 定義、方法、例、IT リスク リソース | ISACA