残留リスクとは、リスク軽減コントロールの実装後に残るリスクの量です。オンライン決済システムの不正検出コントロールが期待どおりに機能しない場合、コントロールでは不正リスクの影響または可能性を意図したとおりに軽減できないため、残留リスクは結果として変化する可能性が高くなります。残留リスクはコントロールのパフォーマンスに応じて増加または減少する可能性があり、リスク担当者はそれに応じてリスク対応戦略​​を調整する必要がある場合があります。その他のオプションは、コントロールのパフォーマンスに直接影響されず、リスクの原因、組織の目的、外部環境などの他の要因に依存するため、残留リスクほど変化する可能性は高くありません。以下に説明します。
* A. 影響とは、リスクによって引き起こされる損害または損失の範囲または大きさです。オンライン決済システムにおける不正リスクの影響は、コントロールのパフォーマンスの結果として変化しない可能性があります。これは、影響は、金銭的損失、評判の失墜、法的責任など、コントロールとは無関係な不​​正の潜在的な結果によって決まるためです。
* C. 固有リスクとは、リスク軽減コントロールを実施する前に存在するリスクの量です。オンライン決済システムにおける詐欺リスクの固有リスクは、コントロールの実行の結果として変化しない可能性があります。これは、固有リスクが、詐欺の種類、発生源、頻度など、コントロールとは無関係なリスクの性質と特性によって決まるためです。
* D. リスク選好度とは、組織が目的達成のために受け入れるリスクの量と種類です。リスク選好度は、コントロールとは無関係な組織の戦略、文化、価値観によって決まるため、コントロールのパフォーマンスの結果として組織のリスク選好度が変わることはありません。参考文献 = リスクおよび情報システム コントロール スタディ マニュアル、第 2 章、セクション 2.1.1、32 ページ。残留リスクとは何か? 定義、例、その他、残留リスク: 定義、公式、管理 - ビデオとレッスンのトランスクリプト | スタディ。
com、残留リスク：それが何であるか、そしてそれをどう管理するか

CRISC レビュー マニュアル 1 によると、影響評価とは、IT サービスの変更が組織のビジネス目標、プロセス、リソース、およびリスクに及ぼす潜在的な影響を特定し、評価するプロセスです。影響評価は、変更が組織の戦略、目標、およびリスク許容度と一致していること、および変更のメリットがコストとリスクを上回っていることを確認するために不可欠です。影響評価は、変更を効果的かつ効率的に優先順位付け、計画、実装し、変更の結果を監視および測定するのにも役立ちます。したがって、リスク担当者が IT サービスの変更計画を評価する際に考慮すべき最も重要な要素は、変更の影響評価です。参考文献 = CRISC レビュー マニュアル 1、224 ページ。

* Web ベースのサービス プロバイダーは、電子商取引、ソーシャル メディア、クラウド コンピューティングなどのオンライン サービスやアプリケーションを顧客やユーザーに提供する組織です。Web ベースのサービス プロバイダーは、Web サーバー、ネットワーク、システムの可用性、信頼性、セキュリティに依存して、サービスやアプリケーションを提供します。
* システム停止に対するリスク許容度が低いということは、Web サーバー、ネットワーク、またはシステムの通常の動作や機能の中断や混乱であるシステム停止のレベルや頻度が高いことを組織が受け入れる意思がないことを意味します。システム停止は、顧客の不満、収益の損失、評判の失墜、または Web ベースのサービス プロバイダーの法的責任を引き起こす可能性があります。
* オンライン セキュリティの現在のリスク プロファイルとは、Web ベースのサービス プロバイダーの目的と運用に影響を及ぼす可能性のあるオンライン セキュリティ リスクの現在の状態または状況です。これには、オンライン セキュリティ リスクの特定、分析、評価、およびそれらの重要性と緊急性に基づく優先順位付けと対応が含まれます。
* 上級管理職に報告すべき最も関連性の高い観察事項は、分散型サービス拒否（DDoS）攻撃の増加である。これは、システムを圧倒または過負荷にすることを目的とした悪意のある攻撃である。
* 大量のリクエストやトラフィック、または頻繁なリクエストやトラフィックがある Web サーバー、ネットワーク、またはシステムにアクセスできなくなり、正当なリクエストやトラフィックに応答できなくなります。DDoS 攻撃の試行回数が増加すると、システム停止の可能性と影響が高く、Web ベースのサービス プロバイダーのオンライン セキュリティに対する脅威または脆弱性のレベルが高いことを示します。この観察結果を上級管理職にエスカレーションすると、上級管理職はリスクの重大性と緊急性を理解し、適切なリスク対応とリソースの割り当てを決定するのに役立ちます。
* その他のオプションは、システム停止の可能性や影響が高くないことを示しておらず、上級管理職にとって関連性や対応力がないことがあるため、上級管理職にエスカレーションするのに最も関連性の高い観察事項ではありません。
* Web サイトのフィッシング攻撃の試みの増加は、Web ベースのサービス プロバイダーの Web サイトまたは電子メールを偽装して、Web ベースのサービス プロバイダーの顧客またはユーザーを騙してユーザー名、パスワード、クレジットカード番号などの個人情報や金融情報を提供させようとする悪意のある試みの増加を意味します。Web サイトのフィッシング攻撃の試みの増加は、Web ベースのサービス プロバイダーのオンライン セキュリティに対する脅威または脆弱性のレベルが高いことを示していますが、フィッシング攻撃が Web サーバー、ネットワーク、またはシステムを侵害するために使用されない限り、システム停止を直接引き起こすことはありません。この観察結果を上級管理職にエスカレーションすることは、Web ベースのサービス プロバイダーのシステム停止に対するリスク許容度を反映していない可能性があり、上級管理職の関与または承認を必要としない可能性があるため、あまり適切ではない可能性があります。
* サービス レベル契約 (SLA) の達成度の低下は、Web ベースのサービス プロバイダーが、顧客またはユーザーとの契約または合意で指定されているサービスまたはアプリケーションの品質、パフォーマンス、または可用性に関する合意または期待される標準または基準を満たすか、それを上回る程度または程度の低下を意味します。SLA の達成度の低下は、顧客満足度、維持率、または忠誠度が低いこと、および Web ベースのサービス プロバイダーの競争力または収益性が低いことを示しています。この観察結果を上級管理職にエスカレーションすることは、Web ベースのサービス プロバイダーのシステム停止に対するリスク許容度を反映していない可能性があり、上級管理職の関与または承認を必要としない可能性があるため、あまり適切ではない可能性があります。
* 修正された Web セキュリティ脆弱性の減少は、Web ベースのサービス プロバイダーによって特定され、解決または軽減された Web セキュリティ脆弱性の数または割合の減少を意味します。Web セキュリティ脆弱性とは、Web サーバー、ネットワーク、またはシステムの弱点または欠陥であり、悪意のある攻撃者がこれを悪用して、Web ベースのサービス プロバイダーのオンライン セキュリティを侵害または損傷する可能性があります。修正された Web セキュリティ脆弱性の減少は、Web ベースのサービス プロバイダーの Web セキュリティ制御またはプロセスの有効性または効率性が低いことを示しています。この観察結果を上級管理職にエスカレーションすることは、Web ベースのサービス プロバイダーのシステム停止に対するリスク許容度を反映していない可能性があり、上級管理職の関与または承認を必要としない可能性があるため、あまり適切ではない可能性があります。参考資料
* ISACA、CRISCレビューマニュアル、第7版、2022年、19-20、23-24、27-28、31-32、40-41、47-48ページ、
54-55、58-59、62-63
* ISACA、CRISC レビュー問題、解答、解説データベース、2022、QID 161
* CRISC 練習クイズと試験準備