サイバーセキュリティ

 

セキュリティインテリジェンスサイクル：リスクデータの収集と整理。リードリスクストラテジストは、正式なインテリジェンスサイクルをリスク評価プロセスに統合し、「ノイズの多い」データや静的なデータにとらわれないようにする必要があります。この統合がなければ、組織は事後対応に終始してしまいます。インテリジェンスサイクルは、脅威アクターの意図と能力を積極的に予測することを可能にし、組織が防御的な姿勢から戦略的優位性を獲得することを可能にします。

リスク特定におけるHUMINTとOSINT

リスク特定は、その基盤となるデータの堅牢性によってのみ実現されます。私たちは、2つの主要なインテリジェンスストリームを統合する必要があります。

• ヒューマンソースインテリジェンス（HUMINT）：関係構築、インタビュー、直接観察を通じて、動機や行動に関する重要な洞察を得る。これは、セキュリティ関連リスクにおける「人的要因」を理解するために不可欠です。

• オープンソースインテリジェンス（OSINT）：公開されている情報を体系的に活用し、新たなトレンド、進化する脅威アクターの戦術、そして競争環境の変化を追跡すること。 「

セキュリティ関連リスクの管理：企業、重要インフラ、コミュニティ、商業価値から国家安全保障まで

詳細はこちら、ポッドキャストインタビューの視聴、または解説ビデオの視聴はこちら >> https://buff.ly/dncS7XK

汚職防止ガバナンス

 

OECD（経済協力開発機構）およびOCDEの本稿は、企業がリスク評価に取り組む際に、汚職防止コンプライアンス・プログラムの有効性を評価・強化するために用いている手法やツールの現状を整理し、支援することを目的としています。企業が評価に取り組む動機となる要因を示し、評価を実施するために必要なリソースと能力に言及し、さらに、経時的な進捗をモニタリングするために活用できるツールについて検討しています。OECDおよびバーゼル・ガバナンス研究所が収集したデータと机上調査に基づき、本稿は、公的部門と民間部門の双方において、強固な反汚職の規範と基準の促進に資するものです。M

ISO27001

1.1 この演習の目的

ISO 27001:2022 ISMS 導入ハンズオン演習へようこそ！この包括的な演習は、ISO/IEC 27001:2022 規格に基づく情報セキュリティマネジメントシステム（ISMS）の導入について、実践的で現実に即した経験を提供することを目的としています。

理論や暗記のみに焦点を当てた従来型の研修とは異なり、この演習では、現実的な（架空の）企業を相手にする ISMS 導入コンサルタントの役割を担っていただきます。実際に意思決定を行い、本物の文書を作成し、現実的なトレードオフに向き合い、情報セキュリティの専門家が日々の業務で直面する課題を体験します。

この演習は、初心者や ISMS 導入が初めての方を主な対象としており、参加にあたって長年の経験は必要ありません。各ステップを明確な手順、実践的な例、有用なヒントで丁寧に案内しつつ、十分な自由度も確保するよう慎重に構成されています

「ISO 27001、NIS2、DORA、リスク管理、AI など」と自分を位置づけると、結局みんなと同じに聞こえてしまいます。競争の激しい市場でクライアントが選ぶのはジェネラリストではありません。業界や特有の課題を理解しているスペシャリストです。 私の最新の記事では、本当の経験、市場の需要、そして長期的な焦点を組み合わせて、コンサルティングのニッチをどのように定義するかを解説しています。さらに、私が初期の段階で、ISO 27001に実務としての銀行経験を掛け合わせて自らの立ち位置を築いた方法、そしてそれがなぜ差を生んだのかも紹介しています。 https://drive.google.com/file/d/1GlozSUg-mia-x5Kxlnphrb1s8UjMm_hr/view?usp=drivesdk

リスクマネジメント

 

r

ガバナンス、モニタリング、継続的改善 ― リスク選好枠組みはクローズドループのシステムです。取締役会は「逸脱や緊張」を失敗ではなく、枠組みが機能している証拠として捉える必要があります。緊張が見られないということは、RAS（リスク選好声明）が実際のトレードオフに適用されていないことを示唆します。

ガバナンスの四つの柱：

• 承認：RASと戦略の整合性に関する取締役会レベルでの正式な承認。

• 測定：実際のリスクプロファイルを選好に対して定期的かつ一貫して報告。

• 監視：プロファイルが目標から逸脱した際の逸脱や緊張への対処。

• 学習：実装データやSTPAで特定された「未知の未知」に基づく枠組みの更新。

RASは、特定のトリガー（Airmic, 2017）に基づいて更新しなければなりません。これには、規制変更、資本コストの変動、物言う株主からの圧力、需給の変動が含まれます。

リスク選好の枠組みとオペレーション統合

詳しく読む、ポッドキャストのインタビューを聴く、またはビデオ概要を見るにはこちら →→ https://buff.ly/HkCep2a

統合マネジメントシステム

 

Google翻訳はよくできている。

リスクマネジメント

 

本研究は、アンケート調査と財務報告書の分析を組み合わせることで、監査人や財務アナリストが大規模インフラプロジェクトにおけるリスクの大きさと発生頻度を特定・評価できるようにするものです。調査結果は、ヘッジ、予備費、官民パートナーシップ（PPP）などの現在のリスク管理戦略が、財務的不確実性の特有のニーズに対応するにはしばしば不適切であることを示しています。本研究は、リアルタイムのデータ分析と多様なリスク評価ツールの組み合わせに依拠する、包括的な金融リスク管理フレームワークの必要性を提言します。

著者の皆さまに感謝します：@Bipin Chauhan @Dhanya K. A. @Rashmi Soni @J. Bamini Anu Jossy Joy @Sudip Chakraborty

サイロ化

 

サイロ化の高い代償：システム的脆弱性の分析。区分化は必然的に「戦略的盲目」を生みます。リーダーシップはしばしば、ある部署での優れた業績—たとえば受賞歴のある安全プログラム—が、そのまま組織全体の安全につながると誤って仮定する罠に陥ります。実際には、局所的な卓越はしばしばシステム全体のもろさを覆い隠します。壊滅的なリスクを招く5つのシステム的な故障点を認識する必要があります。

サイロとサブオプティマイゼーション

各分野が自分たちの懸念に孤立して対処すると、結果的にサブオプティマイゼーション（部分最適化）に陥ります。これは、ある部門が自部門のパフォーマンスを最適化する一方で、より広いシステム全体の犠牲を伴ってしまう場合に起こります。たとえば流域管理では、ある機関が洪水被害コストのモデリングだけに厳密に焦点を当てることがあります。これは狭義の財務目標は達成しますが、同時に社会的福祉や生態系の健全性を損ない、最終的にはコミュニティ全体のレジリエンスを弱体化させかねません。

連鎖的リスクの取りこぼし

孤立した手法はサブシステムを独立した存在として扱い、現代の社会技術システムを特徴づける「波及効果」を無視します。たとえば分散型金融（DeFi）では、スマートコントラクトの不具合といった個別のリスクチャネルに注目する一方で、エコシステム全体にまたがる構造的な脆弱性を見落とすと、脆弱性が時間とともに蓄積・同期していく様子をリーダーが把握できなくなります。

マルアダプテーションと誘発リスク

真空状態で設計された介入は、しばしばマルアダプテーション（不適応）を招きます。これは、あるリスクへの対応が、意図せず別の場所にリスクを生み出したり移転したりする場合に起こります。これらの「誘発リスク」は、あるセクターを今日守る一方で、その負担を別のセクターや将来世代へと押しやるときに生じます。例として、排水路を確保するために農薬・化学薬品を使用することが挙げられます。局所的な洪水問題は解決するかもしれませんが、不可欠な湿地の長期的な劣化を誘発します。

リスク・セキュリティ・セーフティ・レジリエンス科学における方法論的孤立の克服