次の方法で共有

Microsoft 365 のリスク管理のプログラム

  • [アーティクル]

Microsoft 365 リスク管理プログラムの目的は、Microsoft 365 に対するリスクを特定、評価、管理することです。 Microsoft の最優先事項は、サービス インフラストラクチャだけでなく、お客様、データ、信頼に影響を与える可能性のあるリスクを事前に特定し、対処することです。 さらに、契約上の義務を満たし、お客様が独自のコンプライアンス要件を満たすために使用する公的な認定を維持するには、堅牢なリスク管理プログラムが必要です。 Microsoft 365 Risk Management プログラムは独立して機能しますが、包括的な Enterprise Risk Management (ERM) プログラムのポリシー、優先順位、および方法に合わせて調整されます。 ERM プログラムを使用すると、部署とエンジニアリング グループ間で一貫した比較が可能になり、企業全体のリスク管理に対するより一貫性のあるアプローチに貢献します。

Microsoft 365 トラスト チームは、Microsoft 365 リスク管理プログラムを管理し、ERM プログラムによって定義されたアクティビティを実施する責任があります。 信頼チームは、リスク管理プログラムをより効果的かつ効率的にするために、リスク管理フレームワークを既存の Microsoft 365 エンジニアリング、サービス運用、コンプライアンス プロセスと統合することに重点を置いています。

また、信頼チームは Microsoft 365 Controls Framework を管理しています。これは、コンプライアンス活動をサポートして適切に実装された場合に、エンジニアリング チームが主要な規制と認定に準拠できるようにする合理化された一連のコントロールです。 このフレームワークは、リスク管理プロセスの一環として、フィードバックと結果に基づいて継続的に更新されます。

リスク管理アクティビティは、識別、評価、対応、監視とレポートという 4 つのフェーズに分類されます。

リスク管理プロセス アクティビティ。

識別

リスク管理プロセスは、Microsoft 365 環境内のすべての主要な制御領域、内部および外部の脅威、および脆弱性に対するすべてのリスクを特定することから始まります。 このプロセスを導く情報は、インタビュー、脆弱性スキャン、攻撃シミュレーション演習、監査結果、インシデント管理アクティビティなど、複数のソースから得られます。

信頼チームは、サービスの拡大に伴って導入される可能性のある以前に特定されたリスクと潜在的な将来のリスクについて、複数のサービス チームから主題の専門家 (SMEs) にインタビューします。 さらに、中小企業は、他の継続的な監視ソースから特定されたリスクの正確性と完全性を検証するのに役立ちます。

識別フェーズは、意思決定ログ、アクティブなセキュリティとコンプライアンスの例外、および以前のリスク評価からの軽減作業がレビューされる場合でもあります。

料金の考え方の案内

特定された各リスクは、影響、可能性、コントロールの不備という 3 つのメトリックを使用して評価されます。

  • 影響とは、そのリスクが発生した場合に、サービス、ビジネス、または Microsoft に発生する損害を指します。 Microsoft への影響には、評判の損害、顧客の損失、または法的/コンプライアンスへの影響が含まれる場合があります。
  • 尤度は、潜在的なリスクが実現される確率を定義し、発生する確率と頻度を分析することによって計算されます。
  • コントロール欠損は、実装された軽減コントロールの有効性を測定します。

これらのメトリックは、既存の軽減策を考慮して、各リスクの重大度を表すリスク スコアを計算するために使用されます。 リスクは集計され、各サービスの主要な利害関係者に提示され、Microsoft 365 のリスク体制の正確性と完全性が検証されます。

応答

検証済みのリスクの一覧を Microsoft 365 に使用して、信頼チームはリスク対応のために影響を受けるサービスにリスクを割り当てます。 定義されたガイドラインは、リスク スコアとコントロールの有効性に基づいて適切なリスク対応戦略を決定するのに役立ちます。 リスク対応戦略は、次の 4 つのカテゴリに分類されます。

  • 許容: 漏えいの危険度が低い領域で、制御レベルも低い場合。
  • 処理: 漏えいの危険度が低い領域で、制御が適切だとみなされる場合。
  • 監視: 漏えいの危険度が高い領域で、制御が適切であり、監視が有効だとみなされる場合。
  • 改善: リスクの高い露出の領域で、対処の最優先事項である制御レベルが低い領域。

信頼チームはサービス チームと連携して、各リスクに対処するための計画を策定します。 重大度レベルによって、各プランの適切なレビューレベルと承認レベルが決まります。 アクションが必要なリスクについては、既存のエンジニアリング バグ プロセスを追跡、管理、および例外の決定に使用します。 エンジニアリングチームと運用チームに精通したプロセスを使用すると、リスク対応の効率と効果が向上します。

監視とレポート

リスク評価の一環として特定されたリスクを監視し、関連する関係者へと報告を行います。 監視戦略には、セキュリティの監視、定期的なリスクの確認、侵入テスト、脆弱性のスキャンが含まれます。 これらの監視作業は、主要な業績評価指標の報告、ダッシュボードの作成、正式なレポートの開発を行うためのデータ ソースとして機能し、そのすべてが将来のリスクの決定を通知します。

年に複数回、信頼チームは各サービスのリスク所有者と会い、リスク スコアを確認し、アクション プランの有効性を評価し、必要に応じて更新を行います。 さらに、Microsoft 365 のリスク評価アクティビティは、ERM プログラムのエンタープライズ リスク評価に貢献し、Microsoft のリスク体制の概要を Microsoft の上級管理および ERM プログラムに提供します。