ガバナンス チームが配置されたら、次の手順は、組織によるクラウドの使用に関連するすべての重大なリスクを特定して評価することです。 このコンテキストにおける "リスク" とは、クラウドの使用方法に起因する可能性のある、セキュリティ侵害、コンプライアンス違反、サービスの停止、コストオーバーランなど、望ましくない可能性のある結果です。 リスクを評価することで、ガバナンス チームは、次の手順で関連するポリシーを作成するために必要な情報を取得します。 このリスク評価は、最初はガバナンスのセットアップ中に実施し、新しいプロジェクト、新しい脅威、監査、インシデントなど、大きな変更が発生するたびに定期的に再検討する必要があります。
1. クラウド リスクを特定する
まず、組織がクラウドで直面するリスクの包括的な一覧をコンパイルします。 非常にニッチなシナリオではなく、一般的な適用性のリスクに焦点を当てます。 明確な優先度の高いリスクから始めて、時間の経過と共にリストを展開することができます。
すべてのクラウド資産を一覧表示します。 関連するリスクを包括的に識別できるように、すべてのクラウド資産を一覧表示します。 たとえば、Azure portal、Azure Resource Graph、PowerShell、Azure CLI を使用して、サブスクリプション内のすべてのリソースを表示できます。
クラウド リスクを検出します。 クラウド ガバナンス ポリシーをガイドするための安定したリスク カタログを開発します。 頻繁な調整を防ぐには、特定のワークロード固有のリスクではなく、一般的なクラウド リスクに重点を置きます。 優先度の高いリスクから始めて、時間の経過と共により包括的なリストを作成します。 リスクの一般的なカテゴリは、規制コンプライアンス、セキュリティ、運用、コスト、データ、リソース、AI です。 Microsoft 以外のソフトウェア、パートナーまたはベンダーのサポート、内部クラウド コンピテンシーなど、組織固有のリスクを含めます。
主要な利害関係者を巻き込みます。 潜在的なすべてのリスクを考慮するために、さまざまな組織の役割 (IT、セキュリティ、法務、財務、ビジネス ユニット) からの意見を収集します。 このコラボレーションアプローチにより、クラウドに関連するリスクの全体像が保証されます。
リスクを確認します。 クラウド リスク識別の深い理解を持つ外部の専門家と連携して、リスク リストを確認および検証します。 これらの専門家は、Microsoft アカウント チームまたは専門の Microsoft パートナーである可能性があります。 彼らの専門知識は、潜在的なすべてのリスクの特定を確認し、リスク評価の精度を高めるのに役立ちます。
Azure ファシリテーション: クラウド リスクの特定
次のガイダンスは、Azure のクラウド リスクを特定するのに役立ちます。 クラウド ガバナンスの主要なカテゴリのサンプルの開始点を提供します。 Azure は、リスクを見つけるプロセスの一部を自動化するのに役立ちます。 Azure Advisor、Microsoft Defender for Cloud、Azure Policy、Azure Service Health、Microsoft Purview などの Azure ツールを使用します。
規制コンプライアンス リスクを特定します。 クラウドのデータと運用に影響を与える法的および規制のフレームワークに準拠していないリスクを特定します。 業界の規制要件を把握します。 Azure コンプライアンスのドキュメントを使用して開始します。
セキュリティ リスクを特定します。 クラウド環境の機密性、整合性、可用性を危険にさらす脅威と脆弱性を特定します。 Azure を使用して クラウド のセキュリティ体制 を評価し、 ID リスクを検出します。
コスト リスクを特定します。 クラウド リソースのコストに関連するリスクを特定します。 コスト関連のリスクには、オーバープロビジョニング、プロビジョニング不足、過小使用、データ転送料金やサービスのスケーリングによる予期しないコストが含まれます。 コスト評価を使用して、コスト リスクを特定します。 Azure を使用して、 Azure 料金計算ツールを使用してコストを見積もります。 現在のリソースのコストを分析して予測します。 クラウド コストの 予期しない変更 を特定します。
運用リスクを特定します。 ダウンタイムやデータ損失など、クラウド運用の継続性を脅かすリスクを特定します。 Azure ツールを使用して、 信頼性とパフォーマンスに対するリスクを特定します。
データ リスクを特定します。 クラウド内のデータ管理に関連するリスクを特定します。 データの不適切な処理と、データ ライフサイクル管理の欠陥を考慮してください。 Azure ツールを使用して 、データ リスクを特定 し、 機密データに対するリスクを調査します。
リソース管理のリスクを特定します。 クラウド リソースのプロビジョニング、デプロイ、構成、管理に起因するリスクを特定します。 オペレーショナル エクセレンスに対するリスクを特定します。
AI リスクを特定する。 定期的に レッドチーム言語モデル。 AI システムを手動でテストし、 AI 用の自動リスク識別ツールを使用して手動テストを補完します。 一般的な 人間と AI の相互作用の失敗を探します。 AI システムの使用、アクセス、出力に関連するリスクを考慮します。 責任ある AI の教義と責任ある AI 成熟度モデルを確認します。
2. クラウド リスクの分析
重要度別に優先順位を付けることができるように、各リスクに定性的または定量的なランク付けを割り当てます。 リスクの優先順位付けは、リスクの確率とリスクへの影響を組み合わせたものになります。 より正確なリスクの優先順位付けを行う場合は、定性的よりも定量的なリスク分析を優先します。 クラウド リスクを分析するには、次の戦略に従います。
リスクの確率を評価する
1 年に発生する各リスクの定量的または定性的確率を推定します。 年単位の定量的リスク確率を表すには、パーセンテージ範囲 (0%-100%) を使用します。 低、中、高は、定性的リスク確率の一般的なラベルです。 リスクの確率を評価するには、次の推奨事項に従います。
パブリック ベンチマークを使用します。 一般的なリスクとその発生率を文書化するレポート、調査、またはサービス レベル アグリーメント (SLA) のデータを使用します。
履歴データを分析します。 内部インシデント レポート、監査ログ、その他のレコードを調べ、過去に類似のリスクが発生した頻度を特定します。
コントロールの有効性をテストします。 リスクを最小限に抑えるには、現在のリスク軽減コントロールの有効性を評価します。 制御テストの結果、監査結果、およびパフォーマンス メトリックを確認することを検討してください。
リスクへの影響を判断する
組織に発生するリスクの定量的または定性的な影響を見積もります。 金額は、定量的リスクへの影響を表す一般的な方法です。 低、中、高は、定性的リスクへの影響に関する一般的なラベルです。 リスクへの影響を判断するには、次の推奨事項に従います。
財務分析を行います。 ダウンタイムのコスト、法的手数料、罰金、修復作業のコストなどの要因を調べることで、リスクの潜在的な財務上の損失を見積もります。
評判への影響評価を実施します。 同様のインシデントに関するアンケート、市場調査、履歴データを使用して、組織の評判に与える可能性のある影響を推定します。
運用中断分析を実施します。 ダウンタイム、生産性の損失、代替手配のコストを見積もって、運用の中断の程度を評価します。
法的な影響を評価します。 コンプライアンス違反や違反に関連する潜在的な法的費用、罰金、ペナルティを見積もります。
リスク優先度の計算
各リスクにリスク優先度を割り当てます。 リスクの優先順位は、リスクに割り当てる重要度であるため、緊急度が高、中、低のどちらでリスクを処理するかを把握できます。 リスクへの影響はリスクの確率よりも重要です。これは、影響が大きいリスクが永続的な結果を招く可能性があるためです。 ガバナンス チームは、組織全体で一貫した手法を使用してリスクに優先順位を付ける必要があります。 リスク優先度を計算するには、次の推奨事項に従います。
定性評価にはリスク マトリックスを使用します。 マトリックスを作成して、各リスクに定性的リスクの優先順位を割り当てます。 マトリックスの 1 つの軸はリスク確率 (高、中、低) を表し、もう 1 つはリスクへの影響 (高、中、低) を表します。 次の表に、リスク マトリックスのサンプルを示します。
低い影響 中程度の影響 影響が大きい 低確率 非常に低い やや低い 中程度の高 中確率 Low ミディアム High 高い確率 ミディアム High 非常に高い 定量的評価には数式を使用します。 ベースラインとして、 リスク優先度 = リスク確率 x リスク影響 の計算を使用します。必要に応じて変数の重みを調整して、リスク優先度の結果を調整します。 たとえば、リスク優先度 = リスク確率 x (リスク影響 x 1.5) という数式を使用して、リスクへの影響をより強調できます。
リスク レベルを割り当てる
各リスクを、主要なリスク (レベル 1)、サブリスク (レベル 2)、リスク ドライバー (レベル 3) の 3 つに分類します。 リスク レベルを使用すると、適切なリスク管理戦略を計画し、将来の課題を予測できます。 レベル 1 のリスクは、組織またはテクノロジを脅かします。 レベル 2 のリスクは、レベル 1 のリスクに分類されます。 レベル3のリスクは、その結果として、1つ以上のレベル1またはレベル2のリスクにつながる可能性がある傾向です。 たとえば、データ保護法 (レベル 1)、不適切なクラウド ストレージ構成 (レベル 2)、規制要件の複雑さの増加 (レベル 3) に準拠していないとします。
リスク管理戦略を決定する
リスクごとに、リスクの回避、軽減、転送、受け入れなど、適切なリスク処理オプションを特定します。 選択内容の説明を入力します。 たとえば、リスクを軽減するコストが高すぎるためにリスクを受け入れる場合は、将来の参照のためにその理由を文書化する必要があります。
リスク所有者を割り当てる
すべてのリスクに対してプライマリ リスク所有者を指定します。 リスク所有者は、各リスクを管理する責任があります。 この担当者は、関係するすべてのチームにわたってリスク管理戦略を調整し、リスクエスカレーションの最初の窓口となります。
3. クラウド リスクを文書化する
各リスクとリスク分析の詳細を文書化します。 リスクの特定、分類、優先順位付け、管理に必要なすべての情報を含むリスク (リスク レジスタ) の一覧を作成します。 すべてのユーザーがクラウド リスクを簡単に理解できるように、リスクドキュメント用の標準化された言語を開発します。 次の要素を含めます。
| フィールド | Description |
|---|---|
| ID | 各リスクの一意な識別子。 これにより、追跡可能性と単純な参照が保証されます。 シーケンシャル ラベル (R01、R02 など) を使用します。は、リスクを追加するときにシーケンスをインクリメントし、リスクを削除する場合はギャップを残すか、必要な場合にのみ番号を付け直します。 |
| 管理の状態 | リスクの現在の状態。 リスクにアクションが必要かどうかを明確にしています。 [開く] または [閉じた] を使用し、変更されるとすぐに状態を更新します。 |
| カテゴリ | リスクを分類するラベル。 対象となるガバナンスとレポートのリスクをグループ化します。 規制コンプライアンス、セキュリティ、コスト、運用、AI、リソース管理などのカテゴリを使用します。 |
| Description | リスクの簡単な具体的な説明。 脅威、影響を受ける資産、スコープについて説明します。 リスクを 1 つの文に記載し、原因またはエントリ ポイントを含めます。 |
| 確率 | リスクが発生する年単位の確率。 これは、定量的な優先順位付けと比較をサポートします。 パーセンテージ (0%–100%) または定性的ラベル (低、中、高) を使用します。 |
| インパクト | リスクが発生した場合の組織への影響。 修復作業とコスト見積もりが通知されます。 通貨見積もりまたは定性的ラベル (低、中、高) を使用し、見積もりの基準を文書化します。 |
| Priority | 確率と影響を組み合わせた計算された重大度。 処理とリソースの割り当ての順序を指示します。 ドル額または定性的ラベルを使用し、計算方法 (たとえば、影響×確率) を記録します。 |
| レベル | リスク階層内のリスク層。 エスカレーション パスとガバナンス スコープを定義します。 主要な脅威 (レベル 1)、サブリスク (レベル 2)、またはリスク ドライバー (レベル 3) を使用します。 |
| 管理戦略 | リスクを処理するための選択されたアプローチ。 これは、主要なアクションと予想される結果を定義します。 軽減、承諾、回避、転送などのアクションを使用し、選択の根拠を説明します。 |
| 管理の強制 | 戦略を実装するコントロールとプロセス。 これにより、戦略が確実に実行され、有効なままになります。 特定の技術的な制御、ポリシー、監視、レビューの頻度を一覧表示します。 |
| オーナー | リスクを管理する責任を負う個人またはロール。 責任と単一の窓口が割り当てられます。 所有者のロールまたは名前、連絡先の詳細、エスカレーションの手順を記録します。 |
| 終了日 | 管理戦略を適用するか、リスクを解消するための目標日付。 アカウンタビリティと追跡の期限が作成されます。 日付を設定し、リスクが終了したとき、またはプランが変更されたときに更新します。 |
詳細については、 リスクリストの例を参照してください。
4. クラウド リスクを伝える
特定されたクラウド リスクをエグゼクティブ スポンサーとエグゼクティブ レベルの管理に明確に伝えます。 目標は、組織がクラウド リスクに優先順位を付けられるようにすることです。 クラウド リスク管理に関する定期的な更新プログラムを提供し、リスクを管理するために追加のリソースが必要な場合に通信します。 クラウド リスク管理とガバナンスの管理が日常業務の一部である文化を促進します。
5. クラウド リスクを確認する
現在のクラウド リスク リストを確認して、有効で正確であることを確認します。 レビューは定期的で、また特定のイベントに応答する必要があります。 必要に応じて、リスクを維持、更新、または削除します。 クラウド リスクを確認するには、次の推奨事項に従います。
定期的な評価をスケジュールします。 定期的なスケジュールを設定して、四半期ごと、年単位、年単位などのクラウド リスクを確認して評価します。 人員の可用性、クラウド環境の変化率、組織のリスク許容度に最も適したレビュー頻度を見つけます。
イベントベースのレビューを実施します。 リスクの失敗防止など、特定のイベントに対応してリスクを確認します。 新しいテクノロジを導入し、ビジネス プロセスを変更し、新しいセキュリティ脅威イベントを検出する場合は、リスクを確認することを検討してください。 また、テクノロジ、規制コンプライアンス、組織のリスク許容度がいつ変化するかを確認することも検討してください。
クラウド ガバナンス ポリシーを確認します。 クラウド ガバナンス ポリシーを保持、更新、または削除して、新しいリスク、既存のリスク、または古いリスクに対処します。 必要に応じて、クラウド ガバナンス ポリシーステートメントとクラウド ガバナンス適用戦略を確認します。 リスクを削除する場合は、それに関連付けられているクラウド ガバナンス ポリシーがまだ関連しているかどうかを評価します。 関係者に相談して、クラウド ガバナンス ポリシーを削除するか、ポリシーを更新して新しいリスクに関連付けます。
リスク リストの例
次の表は、リスク レジスタとも呼ばれるリスク リストの例です。 組織の Azure クラウド環境の特定のニーズとコンテキストに合わせて例を調整します。
| リスク ID | リスク管理の状態 | リスク カテゴリ | リスクの説明 | リスクの確率 | リスクへの影響 | リスクの優先順位 | リスク レベル | リスク管理戦略 | リスク管理の適用 | リスク所有者 | リスク終了日 |
|---|---|---|---|---|---|---|---|---|---|---|---|
| R01 | Open | 規制に対するコンプライアンス | 機密データの要件に準拠していない | 20% OR 中 | $100,000 または 高い | $20,000 または高い | レベル 2 | Mitigate | 機密データの監視には Microsoft Purview を使用します。 Microsoft Purview のコンプライアンス レポート。 |
コンプライアンス リーダー | 2024-04-01 |
| R02 | Open | セキュリティ | クラウド サービスへの不正アクセス | 30% または 高い | $200,000 または 高い | $60,000 / 非常に高い | レベル 1 | Mitigate | Microsoft Entra ID 多要素認証 (MFA)。 Microsoft Entra ID ガバナンスの毎月のアクセス レビュー。 |
セキュリティ リーダー | 2024-03-15 |
| R03 | Open | セキュリティ | 安全でないコード管理 | 20% OR 中 | $150,000 または高値 | $30,000 または 高い | レベル 2 | Mitigate | 定義済みのコード リポジトリを使用します。 公共ライブラリに隔離パターンを適用してください。 |
開発者リーダー | 2024-03-30 |
| R04 | Open | 費用 | オーバープロビジョニングと監視の欠如によるクラウド サービスのオーバーペンディング | 40% または高い | $50,000 または 中程度 | $20,000 または高い | レベル 2 | Mitigate | ワークロードの予算とアラートを設定します。 Advisor のコストに関する推奨事項を確認して適用します。 |
コスト主導 | 2024-03-01 |
| R05 | Open | オペレーション | Azure リージョンの停止によるサービスの中断 | 25% OR 中 | $150,000 または高値 | $37,500 あるいは高い | レベル 1 | Mitigate | ミッションクリティカルなワークロードにはアクティブ-アクティブ アーキテクチャがあります。 他のワークロードにはアクティブ/パッシブ アーキテクチャがあります。 |
運用リーダー | 2024-03-20 |
| R06 | Open | データ | 不適切な暗号化とデータ ライフサイクル管理による機密データの損失 | 35% または高い | $250,000または高額. | $87,500 もしくは非常に高い | レベル 1 | Mitigate | 転送中と保存時に暗号化を適用します。 Azure ツールを使用してデータ ライフサイクル ポリシーを確立します。 |
データリーダー | 2024-04-10 |
| R07 | Open | リソース管理 | クラウド リソースの構成が正しく行われず、不正アクセスとデータ漏洩が発生する | 30% または 高い | $100,000 または 高い | $30,000か非常に高額 | レベル 2 | Mitigate | コードとしてのインフラストラクチャ (IaC) を使用します。 Azure Policy を使用してタグ付け要件を適用します。 |
リソース リーダー | 2024年3月25日 |
| R08 | Open | AI | 代表的でないトレーニングデータに基づく偏った判断を生み出すAIモデル | 15% または低い | $200,000 または 高い | $30,000 または やや高い | レベル 3 | Mitigate | コンテンツ フィルタリングの軽減手法を使用します。 Red Team AI モデルは月単位です。 |
AI リード | 2024-05-01 |