発生確率は、発生の可能性とそれに伴う結果によって決定されます1。これは、脅威またはハザードの性質と規模、その脅威またはハザードによる脆弱性、そして結果として生じる可能性のある結果によって影響を受けます。リスク情報により、施設の所有者や運営者から連邦政府機関に至るまで、パートナーはリスク管理活動の優先順位付けを行うことができます。
この補足資料では、図1に示すリスク管理フレームワークをサポートする、有用な重要インフラリスク管理アプローチについて説明します。このフレームワークは、戦略、能力、ガバナンス構造を統合し、国の重要インフラに関するリスク情報に基づいた意思決定を可能にします。
この補足資料で説明する重要インフラリスク管理アプローチは、サイバーインシデント、自然災害、人為的な安全上の危険、テロ行為など、あらゆる脅威とハザードに適用できますが、それぞれを理解するために異なる情報と方法論が使用される場合があります。
「原子力規制活動における確率論的リスク評価(PRA)手法の活用」(文献31)に関する政策声明は、米国原子力規制委員会(NRC)の規制活動においてPRA技術の活用を促進すべきであるという委員会の考えを表明した。その結果、NRCはNRC規制のあらゆる分野において、数多くのリスク情報活用活動を実施してきた。リスク情報活用活動の増加に伴い、リスク情報の多くの潜在的な用途を一貫性と予測可能な方法で実施すれば、規制の安定性と効率性を高めることができるという認識が生まれた。一貫性と予測可能な実施に不可欠な要素は、正確な情報伝達と伝達を確保するために、一貫した用語を使用することである。さらに、NRCは、リスク関連用語の一部が実務家によって曖昧に使用されていることを認識している。リスク情報活用活動に関連するガイダンス文書、規制、および手順の策定が進むにつれて、これらのリスク関連用語の基本的な理解がますます重要になっている。
リスク情報を活用した活動を適切に実施し、NRCと利害関係者間のコミュニケーションを促進するためには、用語の一貫性が不可欠です。これにより、実務者はコミュニケーション上の問題を排除し、技術的な問題と誤って認識される可能性のある不必要な議論を回避することができます。したがって、リスク情報を活用した関連用語の合意された定義を記載した用語集は、将来のリスク情報を活用した活動に不可欠なツールとなります。この用語集は、原子力発電所の原子炉に関連するリスクの文脈で使用されるリスク関連用語を扱っています。
サイバーリスクを取り巻く状況が変化するにつれ、経営幹部は自社のセキュリティ対策の有効性をますます問うようになっています。脅威を早期に特定するための適切なリスク評価フレームワークは整備されているでしょうか?ウイルス対策ソフトウェアや暗号化ソリューションは、最新の脅威から保護するのに十分な強度があるでしょうか?しかし、経営幹部がしばしば忘れがちなのが、従業員が日常業務においてサイバー脅威をどの程度意識しているかという点です。悪意のある人物から身を守るためのツール、フレームワーク、そして管理策は、サイバーリスクの一側面にしか対処していません。たとえこれらを導入していても、従業員は悪意の有無にかかわらず、組織を脅威にさらす可能性があります。データ侵害は、必ずしも専門家によるハッキングやデータサーバーへのマルウェア攻撃の結果であるとは限りません。従業員がノートパソコンのロックを忘れ、第三者が認証情報を盗み、機密データにアクセスした場合にも発生する可能性があります。2018年には50億件のレコードが盗難または漏洩され、そのうち20億件以上が内部関係者によるものでした1。したがって、組織を真に保護するためには、サイバーレジリエントな文化を構築することも重要です。
企業のサイバーレジリエンスの度合いは、より広範かつ根本的な組織文化を反映します。これは、従業員が「ルールなんて関係ない」という軽視的な態度をとる文化から、全員がビジネスのリスク認識を高めることに関与する文化まで、幅広い範囲にわたります2。この点で前進するためには、組織は、大規模な文化変革と同様に、長期的な取り組みの一環として、サイバーレジリエントな行動を浸透させるためのメカニズムを整備する必要があります。
0 件のコメント:
コメントを投稿