ISO 31000:2018リスクマネジメント規格の概要
⸻
🎯 一般的な考え方
ISO 31000:2018 は、リスク管理に関する国際ガイドラインを提供し、組織があらゆるレベルでリスクを特定、分析、対処するのに役立つ統一された柔軟なアプローチを作成することを目的としています。
この規格は、セクターや規模に関係なく、あらゆるタイプの組織に適用できる包括的なフレームワークであり、リーダーシップ、統合、および継続的な改善に焦点を当てています。
⸻
🧭 リスク管理の定義
リスク: 不確実性が目標に与える影響で、ポジティブ (機会) またはネガティブ (脅威) の場合があります。
リスク管理: リスクに関連して組織を指導および制御するための調整された活動。
⸻
⚙️ リスクマネジメントの原則
その目的は、価値を創造し、保護することです。
リスク管理への効果的なアプローチは、次の 8 つの重要な原則に基づいています。
1. 統合: 組織の活動の不可欠な部分。
2. 構造化および包括的: 一貫した比較可能な結果を保証するため。
3.カスタマイズ:組織の性質と目的に従って。
4. 包括的: 利害関係者を巻き込んで認識と理解を促進します。
5. ダイナミック: 内部および外部の変化に対応する柔軟性。
6. 入手可能な最良の情報: 正確なデータと情報に基づいた予測を使用します。
7. 人的および文化的要因: 行動と文化の影響の認識。
8. 継続的改善: 経験と学習による継続的な改善。
⸻
🧩 リスクマネジメント体制
このフレームワークは、リスク管理をコーポレートガバナンスとプロセスに統合して持続可能性を達成することを目的としています。
主な成分:
1. リーダーシップとコミットメント:
• 上級管理職のサポートが不可欠です。
• リソース、責任、リスク選好度の特定を提供します。
• リスクに敏感な制度文化を確立する。
2. 統合:
• リスクは、個別の単位としてではなく、組織の各部分で管理されます。
• 各個人は、自分の業務範囲内のリスクに対して責任を負います。
3. デザイン:
• 内部および外部のコンテキストを理解します。
• 役割と責任を定義し、リソースを割り当てます。
• 効果的なコミュニケーションと相談のチャネルを確立します。
4. 実装:
• リスク管理計画を策定し、それを日常の意思決定に統合します。
5. 評価:
• 目標と実施計画に対するパフォーマンスの測定。
6. 継続的改善:
• 変化に適応し、フレームワークを定期的に見直します。
⸻
🔄 リスク管理プロセス
このプロセスは周期的かつインタラクティブであり、次の 7 つの基本的なステップが含まれます。
1️⃣ コミュニケーションと相談:
• リスク認識と社内外のステークホルダーとの情報交換を促進します。
2️⃣ スコープ、コンテキスト、基準:
• 目的、内部および外部のコンテキスト、およびリスク評価基準を定義します。
• リスク選好度と許容可能なリスクレベルの決定が含まれます。
3️⃣ リスク評価:
これは、次の 3 つのフェーズで構成されています。
• リスクの特定: 目的に影響を与える可能性のあるイベントや状況を検出します。
• リスク分析: その特性、発生源、発生確率、影響を理解します。
• リスク評価: 結果を受け入れ基準と比較して、適切なアクションを決定します。
これは、進化するテクノロジーを用いた大規模な調査、分析、実験の第4弾です。以下は、学術的、技術的、そして専門的な即興的な試みです。つまり、人間がAIツールの前に座り、一連の質問と回答を検討します。目的は、主に2つの点を示すことです。
つまり、質問をしたり分析を導いたりするには人間が必要です。最後に、AIの回答は、その経験、知識、教育、情報源、または提供された言説の出所に関するコンテキストをほとんど提供しません。言い換えれば、私が言っていることは、部分的に間違っているものから、極めて不正確なものまで、何でもあり得ます。これにより、「ファクトチェック」と検証の負担が、人間、あるいは他のさまざまなツール、システム、プロセスに押し付けられることになります。この編集上の要求は、全体を通して導き出された迅速で論理的で、一見情報に基づいた回答を作成するのに費やした時間、労力、専門知識よりもはるかに多くの時間、労力、専門知識を費やすことになるでしょう。
私は誰でしょうか?つまり、人間です。トニー・リドリーです。MSc CSyP CAS MSyl SRCMP の資格を持ち、国際セキュリティとリスクマネジメントのプロフェッショナルとしてキャリアを積んでいます。セキュリティとリスクマネジメントの理学修士号(MSc)、公認セキュリティプロフェッショナル(CSyP)、認定対テロスペシャリスト(CAS)、セキュリティ協会の審査済み会員兼フェロー(FSyl)、そしてセキュリティリスクマネジメント認定プロフェッショナル(SRMCP)の資格も取得しています。現在、博士課程4年目で、トランスジェンダーを研究しています。
本白書において、IRGCは、リスクガバナンスのための統合分析フレームワークを提示しています。このフレームワークは、特に地球規模のリスクに対処するための包括的な評価・管理戦略の策定のための指針となります。このフレームワークは、科学的、経済的、社会的、そして文化的側面を統合し、ステークホルダーの効果的な関与も含んでいます。このフレームワークは、国際的な影響を及ぼし、人々の健康と安全、経済、環境、そして社会全体に害を及ぼす可能性のあるリスクに対するリスクガバナンス戦略の改善という、IRGC自身の優先事項を反映しています。
リスクガバナンスの概念は、リスクの全体像を包含しています。「リスク管理」や「リスク分析」と呼ばれるものだけでなく、多様な主体が関与する場合のリスク関連の意思決定の展開方法にも着目しており、多様な役割、視点、目標、活動間の調整、場合によっては調和も必要とされます。実際、政府、科学界、企業、NGO、市民社会など、個々の主体が全体として抱える問題解決能力は限られており、今日の社会が直面する主要な課題に対応しきれない場合が多い。激甚化する自然災害、食品安全、重要インフラなどに関連するリスクは、国、セクター、階層、専門分野、リスク分野の垣根を越え、多様な主体による協調的な取り組みを必要としている。最後に、リスクガバナンスは、歴史的・法的背景、指針、価値観や認識、そして組織的要請といった要素を考慮することで、リスクの文脈を明らかにする。
今年のENISA脅威ランドスケープ(ETL)では、脅威中心のアプローチと強化された文脈化を通じて洞察を提供することを目的とした、改訂された簡潔なフォーマットが導入されています。本版では、戦略担当者と運用担当者の両方を対象とし、敵対者の行動、脆弱性、地政学的要因に関する追加分析を統合し、EUのサイバー脅威環境を形成する傾向に関する実用的な視点を提供しています。
ETL 2025は、約4,900件の厳選されたインシデントに基づき、2024年7月から2025年6月までの欧州のサイバー脅威エコシステムの概要を提供します。報告期間中は、脆弱性の急速な悪用と敵対者追跡の複雑さの増大を特徴とする、成熟しつつある脅威環境が浮き彫りになっています。
侵入活動は依然として活発であり、その中心にはランサムウェアがあります。サイバー犯罪者は、法執行機関の行動に対し、活動の分散化、積極的な恐喝戦術の採用、規制遵守への懸念への乗じといった形で対応しました。ランサムウェア・アズ・ア・サービス(RaaS)モデル、ビルダーリーク、アクセスブローカーのサービスの継続的な増加により、参入障壁がさらに低下し、ランサムウェアファミリーが多様化しました。これにより、専門化され、強固な犯罪エコシステムが促進されました。
同時に、国家と連携した脅威グループは、EUの通信、物流ネットワーク、製造業に対する長期的なサイバースパイ活動を強化し、サプライチェーンの侵害、ステルス性の高いマルウェアフレームワーク、署名付きドライバの悪用といった高度な手口を駆使しました。
ハクティビスト活動は依然として主流です。
この文書の目的は、リスク管理の側面を取り扱う公開済みの標準規格について、一貫した概要を提供し、これらの標準規格への準拠または実装に使用できる方法論とツールについて説明することです。
規則(EU) 2019/881(サイバーセキュリティ法)は、「ENISAは、リスク管理、ならびにICT製品、ICTサービス、およびICTプロセスのセキュリティに関する欧州および国際標準規格の制定および採用を促進するものとする」(第8条5項)と規定しています。
この分析は、この目標の達成に貢献することを目的としています。これは、サイバーセキュリティリスク管理の分野における標準規格と標準規格に関連する方法論を網羅的にまとめたインベントリに基づいています。この出版物は、EUの機関、団体、および政府機関に対し、サイバーセキュリティリスク管理に関連する標準および方法論の利用可能性に関するガイダンスを提供し、これらの分野における潜在的なギャップを概説しています。これにより、関係するEUの機関、団体、および政府機関は、これらのギャップを埋めるための活動を開始し、法令に基づくサイバーセキュリティ政策のさらなる実施を図ることができます。
さらに、この出版物は、組織が組織内でリスク管理を実施するための、またはサイバーセキュリティ認証スキームの開発において、リスク管理の標準および方法論のライブラリとして使用することもできます。
標準は、利害関係者やその他の利害関係者によって指名された技術専門家の間で知識を共有し、合意を形成するプロセスを通じて策定および定義されます。
標準の開発と確立には、多種多様なプレーヤーが存在します。
当然のことながら、これらのプレーヤー間で競争が起こりますが、彼らはまた、
企業の生産性と回復力を高めることは、価値ある目標です。健全なビジネス環境は、企業が繁栄できるエコシステムを提供することで、社会に利益をもたらします。健全で成功している企業は、働きがいのある、公平な雇用を提供し、経済成長の原動力となり、生活水準の向上への道を開きます。従業員と、その製品やサービスの消費者は、持続可能な企業から恩恵を受け、ステークホルダー全体も同様です。先進的な企業は、持続可能性をビジネスモデルに組み込むことが増えています。しかし、私たちが住む世界はますます複雑になり、企業のビジネスモデル、ブランド、そして企業の存在そのものを脅かす予期せぬ危険に満ちています。私たちは、常にリスクが存在する世界に生きています。それは常にそうでした。確率の概念は、古代のギャンブルから生まれ、数千年前に遡ります。バックギャモンもその一つで、現在のイラク南部で発祥し、約5000年前に遡ると考えられています。現代確率論の基礎は、17世紀半ば、フランスの数学者パスカルとフェルマーが偶然のゲームについて共著した一連の書簡の中で築かれました(アメリカ物理学会、2009年)。リスクとは、本質的に、ある行動や活動が損失または望ましくない結果につながる可能性の度合いです。リスクは、損失ではなく利益につながる場合もあります。実際、ある程度のリスクは、ほとんどの企業にとって価値提案の根幹を成しています。一方、「おそらく」とは、ある出来事が起こる可能性、あるいはある発言が真実である可能性を測る尺度、あるいは推定値です。リスクに関して、確率はリスク事象が発生する可能性、つまりその頻度を推定するために使用されます。したがって、確率の概念を確立することは、リスクの概念を定式化する能力において基礎的なものでした。リスクはどこにでもあります。それは私たちの生涯に付きまとうものであり、完全に排除したり回避したりすることは決してできません。だからこそ、私たちはそれと共存することを学ばなければなりません。
世界経済フォーラムは毎年、グローバルリスク報告書を発行し、リスクを経済、環境、地政学、社会、技術の5つの大まかなカテゴリーに分類しています。2022年のリスクプロファイルは、気候関連リスクと環境リスクへの懸念が極めて高く、それに続いてデジタル格差やサイバーセキュリティの失敗といった技術リスクが続いています(WEF、2022年)。これを、所得格差と財政不均衡が最大のリスクとして挙げられていた10年前のプロファイルと比較すると、リスクが静的なものではないことが明らかになります(WEF、2021年)。リスクは常に存在するだけでなく、常に変化しています。気候変動によるショック、ブラックスワンイベント、そして増大するグローバルリスクがますます発生しやすい環境において、eコマースはどのように機能するのでしょうか?
