リスクシナリオ策定におけるボトムアップアプローチは、運用レベルから始まります。I&T機能に最も近い関係者、つまり実際に業務を遂行する人々が、それぞれの領域における潜在的なリスクと脆弱性に関する理解に基づいてシナリオを策定します。これらのシナリオは、より上位のレベルで集約・分析されます。
組織内の誰もがリスク特定（A）に貢献できますが、ボトムアップアプローチは、特定のI&T機能（B）を担う担当者の専門知識に特化します。包括的な視点を得るためには、トップダウンなどの他のアプローチ（C）と組み合わせて活用する必要があります。

デルファイ法は、インタビュー中に個人または小グループが検証し、ランク付けするさまざまな種類の潜在的なリスクのアイデアを収集するために使用されます。その理由は次のとおりです。
* ブレインストーミングモデル：グループでアイデアを生み出す手法で、通常は即時の検証や順位付けは行いません。構造化された分析よりも、アイデア創出に重点が置かれます。
* デルファイ法：この手法は、構造化されたコミュニケーション（通常はアンケート）を用いて専門家からのアイデアを収集・精緻化します。複数回のインタビューを実施し、フィードバックを集約・共有することで、参加者はアイデアを検証し、優先順位を付けることができます。この反復的なプロセスは、潜在的なリスクに関する合意形成に役立ちます。
* モンテカルロ分析：これは、様々な結果の確率をモデル化するシミュレーションを含むリスク分析に使用される定量的な手法です。インタビューを通じてアイデアを収集し、ランク付けするためには使用されません。
したがって、デルファイ法は、インタビュー中に潜在的なリスクのアイデアを収集、検証、ランク付けするのに適した方法です。

APT攻撃の最初のステップは通常、偵察です。攻撃者は、攻撃を効果的に計画・実行するためには、標的組織のインフラストラクチャ、システム、そして人員を理解する必要があります。これには、組織のネットワーク、システム、アプリケーション、セキュリティ管理、そして従業員に関する情報の収集が含まれます。この偵察段階は、攻撃者が脆弱性と侵入ポイントを特定するために不可欠です。
ソーシャル エンジニアリング (B) とパスワード クラッキング (A) は APT でよく使用される戦術ですが、通常は最初のステップにはなりません。

組織を有害な脅威にさらす最も可能性の高い要因は、ネットワークデバイスの設定が不適切であることです。その理由は次のとおりです。
* 複雑なエンタープライズアーキテクチャ：複雑さは脆弱性を生み出し、セキュリティ管理の難易度を高める可能性がありますが、それ自体がセキュリティリスクの最大の原因となるわけではありません。適切に管理された複雑なアーキテクチャであっても、セキュリティは確保できます。
* 不適切に構成されたネットワーク デバイス: これが脅威にさらされる最も可能性の高い原因です。
ルーター、ファイアウォール、スイッチなどのネットワークデバイスは、セキュリティ境界の維持とアクセス制御に不可欠です。これらのデバイスが正しく設定されていない場合、重大な脆弱性が生じる可能性があります。例えば、デフォルトの設定や脆弱なパスワードは、攻撃者に簡単に悪用され、不正アクセスされ、データ侵害やネットワークの混乱につながる可能性があります。
* サイバーセキュリティ研修記録の不完全性：研修記録の不完全性は重要ですが、それだけでは組織が直接脅威にさらされるわけではありません。これは、認識と準備態勢に潜在的なギャップがあることを示唆するものの、悪用される可能性のある脆弱性に直接つながるものではありません。
ネットワーク デバイスは組織のセキュリティ インフラストラクチャで重要な役割を果たしているため、これらのデバイスの構成が不適切だと、悪意のある脅威にさらされるリスクが最大限に高まります。
参考文献:
* ISA 315 フェーズ 5 および 6: 組織の環境における IT リスクと制御、特に IT インフラストラクチャの構成と管理を理解します。
* SAP レポート: 構成例とネットワーク デバイスの誤った構成がセキュリティに与える影響。

ガバナンスは、組織が目標を達成し、効率的に運営され、ステークホルダーに価値を付加することを確実にすることに主眼を置いています。ガバナンスの主な目的は、組織への投資を通じて価値を創造することです。これには、組織の目標に沿った戦略的意思決定を行うこと、資源が効果的に活用されること、そして組織の活動が持続可能で長期的な利益をもたらすことが含まれます。統制の構築とリスク認識はガバナンスの重要な側面ですが、それらは戦略的投資を通じた価値創造というより広範な目標にも貢献します。この概念は、ISO/IEC 38500やCOBIT（情報および関連技術の管理目標）などのコーポレートガバナンスのフレームワークや標準に見られる原則と一致しています。