Risk Manager の特長と効果
このドキュメントは、Risk Manager の重要な製品の特長と効果を概説します。
特長は 4 種類で構成されています。
- IT リスク プロファイリング
- IT 統制のフレームワーク
- IT 統制の評価
- リスクおよびコンプライアンスのレポーティング
IT リスク プロファイリング
ユーザーの環境におけるサブジェクトを識別し、IT に基づくビジネス リスクを識別するために、これらのサブジェクトとビジネス価値の関係をモデル化します。
| 特長 | 機能 | 効果 |
|---|---|---|
| 包括的なリソース タイプを対象とする IT 資産リスト | IT 資産のデータベースには、IP アドレス付与できないものも含めて全てのリソース・タイプが含まれます。これらの IT 資産 (「サブジェクト」と呼ぶ) には、アプリケーション、データベース、サーバー、ネットワーク、データセンター、人員、プロセスが含まれます。 | IT リスクにさらされる可能性のある全領域を捕捉します。 |
| ビジネス価値/サブジェクトのマッピング | ビジネス価値の一覧を作ります。ビジネス価値は、IT リスクから保護されなければならない重要な情報およびプロセスです。ビジネス価値は、サブジェクトにマッピングされ、IT リソースにビジネス リスクの観点を与えます。 | サブジェクトとビジネス価値を結びつけることで、企業が IT 資産の観点から事業を表すことを可能にします。このマッピングは、リスクに基づく IT セキュリティ状況の分析を提供し、サブジェクトについての統制のギャップがどのようにビジネスに影響するかの理解を可能にします。 |
| ビジネス影響度調査 | 経営者サーベイを使い、ビジネス価値の機密性、完全性、可用性を危険にさらすようなリスク状況の、ビジネスへの影響を明らかにします。 | 企業経営者のインプットを識別、捕捉し、リスク分析処理に組み込む、自動化された効果的な方法を提供します。 |
| IT リスク プロファイリング ランゲージ | 各サブジェクトに関する特定の IT リスク属性を定義します。これらの属性は、サブジェクトのリスク プロファイルを構成します。属性は、ビジネス環境における固有のリスク要因をモデル化するために、簡単に定義を追加することが可能です。 | リスク インテリジェンス エンジンが、サブジェクト毎の固有リスク プロファイルに基づく決定をできるようにします。これまで手作業で行なっていた決定のプロセスを自動化することによって、時間の短縮が可能です。 |
| リスク プロファイル サーベイ | 自動化されたサーベイにより、サブジェクトにリスク プロファイル属性を割り当てます。 | リスク分析プロセスへのシステム管理者のインプット項目を効率の良い方法で取り込みます。 |
| 必然的に予期されるリスク | 各サブジェクトについて、軽減しなければならない必然的に予期されるリスクを、自動的に列挙します。 | 自動的に IT リスクをサブジェクトに関連付け、時間を節約します。わかりやすい表現の IT リスク報告書によって、セキュリティ チームが技術職以外の人員にわかりやすく IT リスクを伝えることを可能にします。 |
| 動的なグルーピング | 属性に基づく基準によってサブジェクト グループを定義します。グループへの所属は、サブジェクトのリスク プロファイルがグループの基準に合致するかどうかによって、動的に決定されます。 | 評価基準とレポーティングに柔軟性と効率性を与えます。 |
IT 統制のフレームワーク
コンプライアンス義務とリスク軽減のための統制要件を統合し、的確に対応付けます。
| 特長 | 機能 | 効果 |
|---|---|---|
| 統制のフレームワーク | 統制のフレームワークには、技術的、物理的、手続き的統制が含まれています。 | コンプライアンスを保証し、IT リスクを軽減するために必要とされる全ての統制活動の包括的な適用範囲と定義を保証します。 |
| ユニファイド コンプライアンス フレームワーク (UCF) | UCF は、最先端のネットワーク産業での精査を経た、個々の統制とコンプライアンス規制の、統合され、的確に対応付けられたマッピングで、業界専門家と法律顧問、全世界の規制にわたる標準化機構との協力によって開発されたものです。 | IT 統制フレームワークと業界の規制要件を、自動的に統合し、的確に対応付けます。これにより、統制が複数のコンプライアンス義務を満たすのに適切で十分であることを確実にします。統制実施の重複を大幅に削減するとともに、統制の適切さの証明を支援します。 |
| 統制の統合と的確な対応付け | 一般的な統制 (強力なパスワードなど) は単一の統制に標準化され、それは当該要件を必要とする全ての規格と規制により、参照されます。 | 複数の規格と規制要件に起因する統制要件の重複を無くします。これは「一度の評価で複数のコンプライアンス」アプローチのコンプライアンス レポーティングを可能にします。 |
| コンプライアンス ライブラリ | 製品には、IT 統制との関連付けと共に、400 以上の規制と規格の文書が含まれています。 | ユーザーの企業に適用されるコンプライアンス義務と規格を選択すると、直ちに、サブジェクトについて実施すべき統制が分かります。複数の要件文書を行き来する時間の無駄を無くします。 |
| 内部コンプライアンスとセキュリティ ポリシーおよび統制のマッピング | 統制は、それが、防止や検出、修正に役立つリスク状況と、自動的に関連付けられます。 | 共通の評価プロセスにより、内部的なポリシーに対するコンプライアンスを、明示します。 |
| リスク軽減と関連付けられた統制 | 統制は自動的に、防止や検出、修正に役立つリスク状況と関連付けられます。 | IT 統制がどのように現実のビジネス IT リスクを軽減するのかを示します。 |
| リスク インテリジェンス エンジン | リスク インテリジェンス エンジンは、各サブジェクトのリスク プロファイルを分析し、以下の事項を自動的に識別します。 ・サブジェクトが、さらされているリスク ・必要とされているコンプライアンス義務 ・コンプライアンスとリスク軽減を満たすために実施されなければならない統制 |
自動リスク プロファイル分析は、手動のリスク分析の実行による時間を節約します。このインテリジェンスに基づく手法は、高度な経験を持つセキュリティ専門家が手作業のリスク分析に時間を費やす必要を無くします。 |
IT 統制の評価
技術的、物理的および手続き的統制の自動化された評価をします。
| 特長 | 機能 | 効果 |
|---|---|---|
| 物理的・手続き的統制を評価するためのワークフロー | 自動化されたリスク評価ワークフローは、物理的・手続き的統制のためのスコアとエビデンスの収集を体系化します。 | データ収集の際に、物理的・手続き的統制のスコアリングを 1 つにまとめることによって、時間を節約します。 |
| 自動化された自己評価サーベイ | 最新の統制の状態を調べるために、システム管理者に複数回答選択形式のサーベイを送ります。承認後、サーベイの回答により、自動的にスコアが更新されます。 | 面接や手動でデータを収集することに費やす時間を節約します。 |
| サーベイの委任 | サーベイの受け手は、必要に応じて、他のチーム メンバーにサーベイを委任することができます。 | サーベイの質問事項は、セキュリティ チームによる組織図のチェックなどを必要とせずに、適切な担当者に回されます。 |
| 統制スコアのエージング | 設定可能なタイマーは、どの時点で統制の再評価が必要かを決定するために、各統制スコアの経過時間を追跡します。 | スコア情報が無効となり、コンプライアンスとリスクの評価基準を最新の状態に維持するために更新する必要がある場合、自動的に検出します。 |
| セキュリティ ソリューションへのインターフェイス | セキュリティ ソリューションに対するビルトイン コネクターが、自動的に統制スコアを更新するために、運用上のセキュリティ データを収集します。 | 高度なリスクとコンプライアンス統制スコアを更新するために技術的なセキュリティ レポートを手動で調べる必要を排除し、時間を節約します。 |
| 添付書類によるエビデンス収集 | 統制スコアの添付書類は、申告されたスコアのエビデンスを提供します。添付書類は、ファイルまたは URL です。(例:ポリシーを含む文書保管場所の URL 等) | 自己評価スコアの正当性を証明するために必要とされる無数のエビデンスを管理するための便利な方法を提供します。 |
| IT リスク スコアの説明責任 | 各スコア記録に、変更したユーザーの ID が含まれます。 | スコア情報の中に説明責任情報を含んでいます。 |
| 統制スコアリングの履歴 | 全ての統制スコアの履歴は自動的に保存記録されます。 | 必要な時にスコア情報履歴を入手できます。 |
| 統制スコア状況のフラグ表示 | スコア項目評価ワークフローの中で、状態を表示するためにフラグを立てることができます。 | スコア状態にフラグを立てることによって、対処が必要とされるスコアの素早い順位付けを可能にします。 |
| 監査員向けスコアリング パネル | スコア直接入力用のパネルは、評価テスト結果の迅速なスコアリングおよびデータ入力ができるよう最適化されています。 | 監査員やセキュリティ専門家にセキュリティ テスト結果の素早い文書化を可能にします。 |
| 承認方式のワークフロー | 自己評価サーベイおよび監査員向けパネルから入力されたスコアは、再調査や事前承認をされた上で、永続的なスコアとして記録されます。 | スコア情報についての内部の品質管理と共に、不正確なサーベイの回答が傾向データやスコア履歴に影響を及ぼさないことを確実にします。 |
リスクおよびコンプライアンスのレポーティング
様々なリスクとコンプライアンスの監査基準を満たすためにレポートと評価基準を生成します。
| 特長 | 機能 | 効果 |
|---|---|---|
| コンプライアンス レポーティング | コンプライアンス レポートは、業界の規制、コンプライアンス義務、社内のセキュリティ ポリシーに対するコンプライアンスについて、項目ごとの状態を示します。 | 内部および外部の監査基準を満たす詳細なレポーティングを提供します。 |
| IT リスク レポーティング | IT リスク レポートはセキュリティのギャップと、それらが重要なビジネス価値にどのように影響を及ぼすかを一覧化します。 | 技術職ではない企業経営者にも簡単に理解できる方法で、セキュリティのギャップを伝えることができます。 |
| セキュリティ運用レポーティング | セキュリティ運用レポートは、各部門の IT 運用上のセキュリティ ギャップに関する詳細情報を提供します。 | IT 運用チームにセキュリティ ギャップを伝え、改善の具体的な期待効果を設定します。 |
| リスクおよびコンプライアンスのインデックス | セキュリティ ギャップの分析情報の山から不要なものを取り除き、リスクおよびコンプライアンスのインデックスとします。 | ユーザーの全体的なセキュリティ、リスクおよびコンプライアンス状態がわかるシンプルな評価基準を提供します。 |
| 傾向分析 | コンプライアンス、IT リスクおよび運用上のセキュリティの評価基準は、日ごとに傾向づけられます。 | セキュリティ、リスクおよびコンプライアンス プログラムによる改善の傾向を、時間とともに示します。 |
| キー パフォーマンス インジケーター (KPI) | 統制とサブジェクトのユーザー定義のサブセットのスコアを合成し、目標値に対して追跡します。 | 関心のある事項に常に目を向けておきます。ユーザーのセキュリティ状態のレポート カードを閲覧するために KPI を使います。 |
| カスタマイズ可能なダッシュボード表示 | 既存のダッシュボードをカスタム表示することが可能です。 | ユーザーごとに重要な評価指標を簡単に閲覧できるようにします。 |
| 統合化された検知分析 | ヒューリスティック エンジンの採用により、効果的に統制スコアを分析し、低いコンプライアンス スコアに拘わらず、コンプライアンスに貢献しているサブジェクトのグループや、サブジェクトをカバーしきれていない統制などを発見します。 | スコアリング情報から、コンプライアンスに対して価値の高い修復措置のパターンを素早く発見することができます。 |
| 修復のモデリングと見込み | プロジェクトや修復が、どのようにリスクやコンプライアンス評価指標を向上させるかを見るために、IT リソースを最適化する「What-if」プロジェクトのシナリオを作成します。 | 評価基準に対する影響度によって、IT リソースと修復措置を優先順位付けし、全ての統制にわたるコストと時間の見積もりによって修復プロジェクトを比較します。 |
↑ トップ ページへ
