* リスク管理に関するグローバル スタンダードとは、さまざまな組織、セクター、地域にわたって、一貫性、有効性、効率性をもってリスクを管理するための原則、ガイドライン、ベスト プラクティスを示す文書です12。
* リスク管理担当者がリスク管理に関する国際標準を使用する主な理由は、組織の目標、パフォーマンス、価値創造に影響を与える可能性のあるリスクを組織が特定、分析、評価、処理、監視、伝達できるようにする活動とタスクであるリスク管理プロセスを継続的に改善することです34。
* リスク管理プロセスを継続的に改善することが、組織のリスク管理能力と成熟度を高め、変化するリスク環境と利害関係者の期待に適応するのに役立つため、主な理由です34。
* リスク管理プロセスを継続的に改善することは、組織の目標の達成と利害関係者への価値の提供をサポートするため、リスク管理の最終的な目的と結果でもあるため、主な理由でもあります34。
* その他の選択肢は主な理由ではなく、リスク管理に関連する国際標準の適用によって得られる可能性のあるメリットや目標です。例えば、
* 組織におけるリスク認識文化の構築は、リスク管理に関するグローバルスタンダードを活用することのメリットの一つであり、組織の従業員とリーダーの間でリスクに対する共通の理解、姿勢、行動を構築・維持し、説明責任、透明性、学習の文化を育むことが含まれます34。しかし、このメリットはリスク管理プロセスの継続的な改善を促す要因であり、結果として得られるものであり、推進力や目標ではないため、主な理由ではありません34。
* 法規制の遵守は、リスク管理に関連するグローバルスタンダードを利用する目的の一つであり、法律、規制、標準、契約など、組織の活動や業務を統制または監督する外部機関や団体の期待と義務を満たし、それを上回ることが含まれます34。しかし、この目的は、リスク管理プロセスの継続的な改善に対する制約であり課題であり、動機付けやメリットではないため、主な理由ではありません34。
* リスク管理慣行におけるギャップを特定することは、リスク管理に関する国際標準を活用する目的の一つであり、組織のリスク管理プロセスの現状と望ましい状態を評価・比較し、改善または対処が必要な領域や側面を特定することが含まれます34。しかし、この目的は、リスク管理プロセスを継続的に改善するためのステップでありツールであり、理由や結果ではないため、主要な目的ではありません34。参考文献
* 1: ISO - ISO 31000 - リスクマネジメント1
* 2: リスク管理基準2
*3: IT リスク フレームワーク、ISACA、2009 年
* 4: ITリスク管理フレームワーク、トロント大学、2017年

セキュリティログとは、ITシステム、ネットワーク、またはアプリケーションで発生するセキュリティ関連のイベントやアクティビティ（ユーザー認証、アクセス制御、ファイアウォールアクティビティ、侵入検知など）の記録です1。セキュリティログは、IT環境のセキュリティ体制とパフォーマンスを監視および監査し、セキュリティインシデント、侵害、または異常を検出して調査するのに役立ちます2。
セキュリティログの整合性とは、ログデータの正確性と完全性、そしてログデータが権限のない者や悪意のある者によって変更、削除、改ざんされていないことを保証することを意味します3。セキュリティログの整合性は、ログ分析とレポートの信頼性と妥当性を確保し、セキュリティインシデントやコンプライアンスに関する証拠と説明責任を提供するために不可欠です4。
提示された4つのオプションの中で、セキュリティログの整合性にとって最も重要な要素は、編集不可能であることです。これは、セキュリティログデータが、ログエントリの追加、削除、修正、ログ形式やタイムスタンプの変更など、不正または偶発的な変更や改ざんから保護される必要があることを意味します5。編集不可能な状態は、以下のような様々な制御と対策を実装することで実現できます。
* ログデータにデジタル署名またはハッシュを適用して、その信頼性と整合性を検証する
* ログデータを暗号化して不正アクセスや漏洩を防止
* ログデータへの最小権限アクセスを実装して、ログデータを表示、変更、削除できるユーザーを制限する
* ログデータを保存するには、CD-ROMやWORMドライブなどのライトワンスメディアまたはデバイスを使用する
* ログデータを安全で集中化されたログサーバーまたはリポジトリに送信し、syslogまたはその他のプロトコルを使用して安全で信頼性の高いログ転送を確保します。
* データの損失や破損を防ぐために、ログ データを定期的にバックアップしてアーカイブする参照: セキュリティ ログ: ログ記録と管理のベスト プラクティス、セキュリティ監査ログ記録ガイドライン、機密性、整合性、可用性: 情報セキュリティの基礎、ログ データの整合性を維持するための手順、コンピュータ セキュリティ ログ管理ガイド

リスク要因とは、リスクの発生可能性または影響を増大させる可能性のある状況または事象であり、リスクとは目標に対する不確実性の影響です1。情報システムレビューとは、情報システムおよび関連する管理策、ポリシー、手順の適切性と有効性を検証・評価するプロセスです2。情報システムレビューの目的は、情報システムとその出力の機密性、完全性、可用性、パフォーマンスに影響を与える可能性のあるリスク要因を特定し、報告することです3。情報システムレビュー中に特定されたリスク要因に対処するための最良の方法は、適切なリスク対応を実施する責任と説明責任を持つ特定の担当者に、アクションアイテムと期限を割り当てることです。リスク対応とは、リスクの回避、移転、削減、受容など、リスクを軽減または排除するために実施または計画される措置です4。特定の担当者にアクションアイテムと期限を割り当てることで、組織はリスク要因が適切かつ迅速に対処され、リスク対応の進捗状況と結果が監視・報告されることを確実にすることができます5。
ビジネスプロセスオーナーへのリスクの通知、リスク登録簿の見直しと更新、そして新しい統制技術の導入は、情報システムレビューで特定されたリスク要因への対応を確実に行うための最善の方法ではありません。なぜなら、これらの方法は、特定の担当者にアクションアイテムと期限を割り当てるのと同等のレベルの説明責任と有効性を提供できないからです。ビジネスプロセスオーナーへのリスクの通知は、情報システムによってサポートまたは有効化されているビジネスプロセスに対する権限と説明責任を持つ担当者にリスク情報を伝達し、共有するプロセスです6。ビジネスプロセスオーナーへのリスクの通知は、リスクに対する認識と理解を高めるのに役立ちますが、リスクに対処するために必要な行動をとることを保証するものではありません。リスク登録簿の見直しと更新は、リスクとその関連情報を記録・追跡する文書であるリスク登録簿が最新、完全、かつ一貫性があることを確認し、検証するプロセスです7。リスク登録簿の見直しと更新は、リスク要因とそのステータスの変化と更新を反映するのに役立ちますが、リスク要因が解決または軽減されることを保証するものではありません。新しい制御技術の導入とは、情報システムに影響を与えるリスク要因を防止、検出、または是正するのに役立つ新しいソフトウェアまたはハードウェアを導入または適用するプロセスです8。新しい制御技術の導入は、情報システムのセキュリティとパフォーマンスの向上に役立ちますが、リスク要因が完全に排除または軽減されるとは限りません。参考文献 = 1: リスク要因 - 概要 | ScienceDirect Topics2: 情報システム監査および制御協会 (ISACA) - ISACA3: 情報システム監査: 基礎4: リスク対応戦略と緊急時対応計画 - ProjectManagement.com5: リスクおよび情報システム制御学習マニュアル、第3章: リスク対応、セクション3.1: リスク対応オプション、pp. 113-115.6: [ビジネスプロセス所有者 - Gartner IT用語集] 7: リスクレジスター: プロジェクトマネージャーガイドと例 [2023] * Asana8: テクノロジー制御の自動化: 効率の向上、削減... - ISACA : [ビジネスプロセス所有者 - 役割と責任] : [リスクおよび情報システム制御学習マニュアル、第2章: ITリスク評価、セクション2.1: リスクの特定、pp. 57-59.] : [リスクおよび情報システム制御学習マニュアル、第4章: リスクと制御の監視と報告、セクション4.2: リスクの監視、 [pp. 189-191.]