リスク管理の最新情報を経営幹部と共有する際に最も重要な考慮事項は、組織の目標との関連性を確保することです。つまり、提示されるリスク情報は組織の戦略目標と優先事項と一致し、リスク管理がそれらの目標の達成をどのようにサポートするかを示す必要があります。経営幹部は組織の方向性とビジョンを設定する責任があるため、リスク管理が組織の価値創造と保護にどのように貢献するかを理解する必要があります。組織の目標との関連性を確保することで、リスク管理の最新情報は経営幹部が情報に基づいた意思決定を行い、リソースを割り当て、関係者とコミュニケーションをとるのに役立ちます。
組織の目標との関連性を確保する方法には次のようなものがあります。
* リスク管理の最新情報を組織の使命、ビジョン、価値観、戦略にリンクする
* 組織のパフォーマンスと競争力に影響を与える主要なリスクと機会を強調する
* 最も重大かつ重大なリスクに焦点を当てた明確で簡潔なリスクレポートを提供する
* 経営幹部が理解できる共通のリスク言語とフレームワークを使用する
* 特定されたリスクに対処するための実用的な推奨事項とソリューションを提供する
* リスク管理の更新を組織の報告サイクルとガバナンス構造に合わせる 参照
* リスク管理と戦略の統合の重要性
* CEOレベルでリスクを管理するための4つのステップ
* リスク管理を成功させるための5つの基本原則

データベースの変更が正しく適用されていることを確認することは、運用データベース環境で実行されるアクティビティを監視する主な理由です。これは、データベースとそれに依存するアプリケーションの整合性、可用性、パフォーマンスの維持に役立ちます。データベースの変更とは、テーブル、列、インデックス、トリガーの追加や削除、データの更新や挿入、ストアド プロシージャや関数の変更など、データベースの構造、構成、データ、コードに加えられる変更のことです。データベースの変更は、データベースの機能と動作に大きな影響を与える可能性があり、正しく適用されていない場合は、エラー、不整合、または脆弱性が生じる可能性があります。したがって、データベースの変更を監視することは、変更が意図したとおりに実装され、設計仕様と標準に準拠し、既存のデータベースまたはアプリケーション コンポーネントに悪影響や競合を引き起こさないことを確認するために不可欠です。
その他のオプションは、実稼働データベース環境で実行されるアクティビティを監視する主な理由ではありません。変更が承認されていることを強制することは、データベース変更管理の重要な側面ですが、データベース監視の主な目的ではありません。データベース変更管理は、制御された一貫した方法でデータベースの変更を計画、確認、承認、実装するプロセスです。
データベース変更管理は、変更が適切な関係者によって承認され、ビジネス要件と目標に沿っており、文書化されて関係者に伝達されることを保証するのに役立ちます。データベース監視は、変更の実装とパフォーマンスに関する情報とフィードバックを提供することでデータベース変更管理をサポートできますが、変更の承認を強制するものではありません。
データベース管理者の不正行為を阻止することは、データベース監視の潜在的な利点ですが、それがデータベース監視の主な理由ではありません。データベース管理者は、データベースに対する最高レベルのアクセス権と権限を持つユーザーであり、データベース操作とセキュリティの管理と維持を担当します。
データベース監視は、データベース管理者のデータベース上でのアクティビティとアクションを追跡および監査し、疑わしいまたは悪意のある動作を警告またはエスカレーションすることで、データベース管理者の不正な行為を阻止するのに役立ちます。
ただし、データベース監視は、データベース管理者の不正行為を防止または検出する唯一の、または最も効果的な方法ではありません。最小権限の原則の実装、職務の分離、パスワード ポリシーの適用、データの暗号化などの他の対策も、データベース管理者または他のユーザーによる不正または不適切なアクセスや操作からデータベースを保護するために必要です。システム開発者が本番データにアクセスできないようにすることは、データベース監視のメリットの 1 つですが、それが主な理由ではありません。システム開発者とは、データベースと対話するアプリケーションを設計、開発、テストするユーザーです。システム開発者は、本番データにアクセスできません。本番データには、開発者によって侵害または悪用される可能性のある機密情報が含まれている可能性があるためです。システム開発者は、開発およびテストの目的でテスト データまたはダミー データのみを使用する必要があります。データベース監視は、システム開発者のデータベースへのアクセスと権限を制御および制限し、不正または不適切なアクセス試行をログに記録して報告することで、システム開発者が本番データにアクセスできないようにするのに役立ちます。ただし、データベース監視は、システム開発者が本番データにアクセスできないようにする唯一の、または最も効果的な方法ではありません。アクセス制御ポリシーの実装、データのマスキングまたは匿名化、開発環境と本番環境の分離などの他の対策も、システム開発者や他のユーザーから本番環境データを保護するのに必要です。参考資料 = データベース監視: 基本と概要 | Splunk、IT リスク リソース | ISACA、データベース パフォーマンス監視のベスト プラクティス

* リスク評価とは、企業の目標や業務に影響を及ぼす可能性のあるリスクを特定、分析、評価するプロセスです。さまざまなリスク シナリオの発生可能性と影響を判断し、その重要性と緊急性に基づいて優先順位を付ける作業が含まれます。
* WiFi アクセス ポイントは、無線信号を使用してワイヤレス デバイスを有線ネットワークに接続できるようにするデバイスです。ユーザーに利便性と柔軟性を提供しますが、不正アクセス、データ漏洩、マルウェア感染、サービス拒否攻撃などのセキュリティ リスクももたらす可能性があります。
* 各部門が適切な承認、構成、監視を行わずに、企業ネットワーク上に独自の WiFi アクセス ポイントをインストールした場合、ネットワーク セキュリティ ポリシーと制御を回避し、企業に潜在的な脆弱性と露出を生み出していることになります。
* 上級管理職へのレポートに含める最も重要な情報は、このリスクの潜在的なビジネスへの影響、つまりリスクが現実化した場合に企業が被る可能性がある損失または損害の見積もりです。潜在的なビジネスへの影響は、財務、運用、評判、または法的結果の観点から表現することができ、上級管理職がリスクの重大性と緊急性を理解し、適切なリスク対応とリソースの割り当てを決定するのに役立ちます。
* その他のオプションは、リスクの大きさや重要性を伝えておらず、上級管理職にとって関連性や実行可能性がない可能性があるため、上級管理職へのレポートに含める最も重要な情報ではありません。
* ネットワーク セキュリティ ポリシーは、企業ネットワークのセキュリティ目標、要件、責任を定義する一連のルールとガイドラインです。明確で包括的なネットワーク セキュリティ ポリシーを用意し、企業全体で伝達、適用、監視することが重要ですが、リスクの実際の影響や潜在的な影響を示すものではなく、ネットワーク セキュリティの現在の状態や望ましい状態を反映していない可能性があるため、上級管理者へのレポートに含める最も重要な情報ではありません。
* WiFi アクセス ポイント構成は、WiFi アクセス ポイントの機能、パフォーマンス、セキュリティを定義する一連のパラメータと設定です。WiFi アクセス ポイント構成を安全かつ一貫性のあるものにし、ワイヤレス ネットワーク セキュリティのベスト プラクティスと標準に従うことは重要ですが、リスクの実際の影響や潜在的な影響を示すものではなく、上級管理職にとって関連性がなかったり理解できなかったりする可能性があるため、上級管理職へのレポートに含める最も重要な情報ではありません。
* 計画された修復措置とは、リスクを軽減、移転、回避、または受け入れ、および企業ネットワークの正常な運用とセキュリティを回復することを目的とした手順と対策です。修復措置について実行可能で効果的な計画を用意し、それらをタイムリーかつ効率的に実装および監視することは重要ですが、リスクの実際のまたは潜在的な影響を示すものではなく、上級管理職の承認またはサポートがなければ実行可能または適切ではない可能性があるため、上級管理職へのレポートに含める最も重要な情報ではありません。参考文献
* ISACA、CRISC レビューマニュアル、第 7 版、2022 年、19-20、23-24、27-28、31-32、40-41、47-48 ページ
* ISACA、CRISC レビュー問題、解答、解説データベース、2022、QID 146

インターネット上で行われるビジネスに関連する法的および規制上のリスクは、各国の法律および規制によって決まります。法的および規制上のリスクとは、ビジネス活動、業務、または取引を規定する適用法および規制に違反または不遵守になるリスクです。インターネット上で行われるビジネスでは、地理的境界を越えて情報、商品、またはサービスを交換するために、相互接続されたコンピュータとデバイスのグローバル ネットワークが使用されます。インターネット上で行われるビジネスでは、データ保護、プライバシー、セキュリティ、知的財産、消費者保護、課税、管轄権の問題など、さまざまな法的および規制上のリスクに企業がさらされる可能性があります。インターネット上で行われるビジネスに関連する法的および規制上のリスクは、各国の法律および規制によって決まります。これは、各国がインターネット上で行われるビジネスに適用される法律および規制がそれぞれ異なるか矛盾している場合があり、また、時間の経過とともに変化する可能性があるためです。各国の法律および規制によって、企業に異なるまたは追加の義務、要件、または制限が課される場合があり、企業が異なるまたは複数の執行措置、罰則、または紛争の対象となる場合があります。
組織の本社所在地、国際法、統一された一連の規制、国際標準設定機関は、インターネット上で行われるビジネスに関連する法的および規制上のリスクの要因にはなりません。なぜなら、それらは、企業がインターネット上でビジネスを行う際に直面する可能性のある法的および規制上の状況の多様性と複雑さを反映していないからです。参考文献 = CRISC レビュー マニュアル、第 6 版、ISACA、2015 年、217 ページ。

CRISC レビュー マニュアルによると、リスク担当者がシステムのリスク評価中にビジネス ユニット マネージャーから特別な配慮を求められた場合には、通常どおりに評価を実施するのが最善のアプローチです。そうすることで、リスク担当者が客観性、誠実性、プロ意識を維持できるからです。リスク担当者は、外部からの圧力や影響に関係なく、リスク評価の品質や正確さを損なってはなりません。リスク担当者は、確立されたリスク評価の方法論と基準に従い、事実と証拠に基づいてリスクの結果と推奨事項を報告する必要があります。その他のオプションは、リスク評価の信頼性や信頼性に影響を与える可能性があるため、最善のアプローチではありません。評価の簡略版を実施すると、リスク情報が不完全または不十分になり、リスクに関する意思決定や対応が不十分になる可能性があります。
倫理違反の可能性について事業部マネージャーに報告すると、状況が悪化したり、利益相反が生じたりして、リスク評価プロセスや結果が妨げられる可能性があります。内部監査人にレビューの実行を推奨すると、リスク担当者の責任や説明責任が移譲され、その役割や権限が損なわれる可能性があります。参考文献 = CRISCレビューマニュアル、第7版、第2章、セクション
2.2.1、74ページ。