* Web ベースのサービス プロバイダーは、電子商取引、ソーシャル メディア、クラウド コンピューティングなどのオンライン サービスやアプリケーションを顧客やユーザーに提供する組織です。Web ベースのサービス プロバイダーは、Web サーバー、ネットワーク、システムの可用性、信頼性、セキュリティに依存して、サービスやアプリケーションを提供します。
* システム停止に対するリスク許容度が低いということは、Web サーバー、ネットワーク、またはシステムの通常の動作や機能の中断や混乱であるシステム停止のレベルや頻度が高いことを組織が受け入れる意思がないことを意味します。システム停止は、顧客の不満、収益の損失、評判の失墜、または Web ベースのサービス プロバイダーの法的責任を引き起こす可能性があります。
* オンライン セキュリティの現在のリスク プロファイルとは、Web ベースのサービス プロバイダーの目的と運用に影響を及ぼす可能性のあるオンライン セキュリティ リスクの現在の状態または状況です。これには、オンライン セキュリティ リスクの特定、分析、評価、およびそれらの重要性と緊急性に基づく優先順位付けと対応が含まれます。
* 上級管理職にエスカレーションする最も関連性の高い観察結果は、分散型サービス拒否 (DDoS) 攻撃の試みの増加です。これは、大量または頻繁なリクエストやトラフィックで Web サーバー、ネットワーク、またはシステムを圧倒または過負荷にし、正当なリクエストやトラフィックに応答できないようにすることを目的とした悪意のある攻撃です。DDoS 攻撃の試みの増加は、システム停止の可能性と影響が高く、Web ベースのサービス プロバイダーのオンライン セキュリティに対する脅威または脆弱性のレベルが高いことを示しています。この観察結果を上級管理職にエスカレーションすると、上級管理職はリスクの重大性と緊急性を理解し、適切なリスク対応とリソースの割り当てを決定するのに役立ちます。
* その他のオプションは、システム停止の可能性や影響が高くないことを示しておらず、上級管理職にとって関連性や対応力がないことがあるため、上級管理職にエスカレーションするのに最も関連性の高い観察事項ではありません。
* Web サイトのフィッシング攻撃の試みの増加は、Web ベースのサービス プロバイダーの Web サイトまたは電子メールを偽装して、Web ベースのサービス プロバイダーの顧客またはユーザーを騙してユーザー名、パスワード、クレジットカード番号などの個人情報や金融情報を提供させようとする悪意のある試みの増加を意味します。Web サイトのフィッシング攻撃の試みの増加は、Web ベースのサービス プロバイダーのオンライン セキュリティに対する脅威または脆弱性のレベルが高いことを示していますが、フィッシング攻撃が Web サーバー、ネットワーク、またはシステムを侵害するために使用されない限り、システム停止を直接引き起こすことはありません。この観察結果を上級管理職にエスカレーションすることは、Web ベースのサービス プロバイダーのシステム停止に対するリスク許容度を反映していない可能性があり、上級管理職の関与または承認を必要としない可能性があるため、あまり適切ではない可能性があります。
* サービスレベル契約（SLA）の達成度の低下とは、Webベースのサービスプロバイダーが合意または期待されるサービスレベルを満たす、または上回る程度または度合いが低下することを意味します。
* 顧客またはユーザーとの契約書または合意書に指定されている、サービスまたはアプリケーションの品質、パフォーマンス、または可用性に関する標準または基準。SLA の達成度が低いということは、顧客満足度、顧客維持率、または顧客ロイヤルティのレベルが低く、Web ベースのサービス プロバイダーの競争力または収益性が低いことを示しています。この観察結果を上級管理職にエスカレーションすることは、Web ベースのサービス プロバイダーのシステム停止に対するリスク許容度を反映していない可能性があり、上級管理職の関与や承認を必要としない可能性があるため、あまり適切ではない可能性があります。
* 修正された Web セキュリティ脆弱性の減少は、Web ベースのサービス プロバイダーによって特定され、解決または軽減された Web セキュリティ脆弱性の数または割合の減少を意味します。Web セキュリティ脆弱性とは、Web サーバー、ネットワーク、またはシステムの弱点または欠陥であり、悪意のある攻撃者がこれを悪用して、Web ベースのサービス プロバイダーのオンライン セキュリティを侵害または損傷する可能性があります。修正された Web セキュリティ脆弱性の減少は、Web ベースのサービス プロバイダーの Web セキュリティ制御またはプロセスの有効性または効率性が低いことを示しています。この観察結果を上級管理職にエスカレーションすることは、Web ベースのサービス プロバイダーのシステム停止に対するリスク許容度を反映していない可能性があり、上級管理職の関与または承認を必要としない可能性があるため、あまり適切ではない可能性があります。参考資料
* ISACA、CRISCレビューマニュアル、第7版、2022年、19-20、23-24、27-28、31-32、40-41、47-48ページ、
54-55、58-59、62-63
* ISACA、CRISC レビュー問題、解答、解説データベース、2022、QID 161
* CRISC 練習クイズと試験準備

制御の適用後の資産に関連するリスクは、可能性と影響度の関数として表すことができます。これは、残留リスク レベルとエクスポージャーを測定および定量化するのに役立つためです。残留リスクとは、制御またはリスク処理の実装後に残るリスクです。残留リスクは、リスク イベントの可能性と影響度を掛け合わせることで計算できます。ここで、可能性とはリスク イベントが発生する確率または頻度であり、影響度とはリスク イベントが資産または目標に及ぼす結果または重大度です。
残留リスクは次のように表すことができます。
残留リスク=可能性×影響
制御を適用した後の資産に関連するリスクを、発生可能性と影響度の関数として表現すると、次のような利点が得られます。
* 主観的または定性的な判断に頼るのではなく、データ主導型で証拠に基づいたアプローチでリスク評価と報告が可能になります。
* 組織全体および外部の利害関係者に対して、リスク レベルとリスク露出を測定して伝達するための一貫性のある標準化された方法を促進します。
* リスク管理および制御活動を組織の戦略および目標と整合させ、望ましい成果の達成を評価するのに役立ちます。
* リスク管理および制御プロセスの改善と強化の領域を特定して優先順位を付け、是正措置または予防措置の開発と実施をガイドするのに役立ちます。
* リスク管理および制御プロセスに関するフィードバックと学習の機会を提供し、継続的な改善と革新の文化を育むのに役立ちます。
他のオプションは、制御が適用された後の資産に関連するリスクを表現するための最良の方法ではありません。
コストとコントロールの有効性の関数は、リスク管理およびコントロール プロセスの入力または出力の尺度ですが、リスク レベルまたはリスクの露出を示すものではありません。特定の脅威の可能性はリスク計算の要素ですが、脅威の影響または結果を反映するものではありません。影響の規模はリスク計算の要素ですが、リスク イベントの可能性または確率を反映するものではありません。参考資料 = リスク評価および分析方法: 定性的および定量的、IT リスク リソース | ISACA、残存リスク: 定義、公式、および管理 - ビデオとレッスン...