クラウド リスクを評価する
この記事ではクラウドに関連するリスクを評価する方法について説明します。 どのようなテクノロジでも、組織に一定のリスクが生じます。 リスクとは、業界標準に準拠していないなど、ビジネスに影響を与える可能性のある望ましくない結果です。 クラウドを導入するときはクラウドが組織に与えるリスクを特定する必要があります。 クラウド ガバナンス チームはこれらのリスクを防ぎ、軽減するためのクラウド ガバナンス ポリシーを作成します。 クラウド リスクを評価するには次のタスクを実行します。
クラウド リスクを特定する
クラウド リスクの包括的な一覧をカタログ化します。 リスクを知ることで、それらのリスクを防ぎ、軽減できるクラウド ガバナンス ポリシーを作成することができます。 クラウド リスクを特定するには、次の推奨事項に従ってください。
すべてのクラウド資産をリスト化します。 関連するリスクを包括的に識別できるように、すべてのクラウド資産をリスト化します。 たとえば、サブスクリプション内のすべてのリソースを表示するには、Azure portal、Azure Resource Graph、PowerShell、Azure CLI を利用できます。
クラウド リスクを検出します。 クラウド ガバナンス ポリシーをガイドするための安定したリスク カタログを作成します。 頻繁な調整を防ぐには、特定のワークロード固有のリスクではなく、全般的なクラウド リスクに重点を置きます。 優先度の高いリスクから始めて、時間の経過と共により包括的なリストを作成します。 リスクの一般的なカテゴリには、規制コンプライアンス、セキュリティ、運用、コスト、データ、リソース、AI などがあります。 Microsoft 以外のソフトウェア、パートナーまたはベンダーのサポート、内部クラウド コンピテンシーなど、組織固有のリスクを含めます。
主要な利害関係者に関与を求めます。 潜在的なすべてのリスクを考慮するために、さまざまな組織の役割 (IT、セキュリティ、法務、財務、ビジネス ユニット) からの意見を収集します。 このコラボレーションによるアプローチで、クラウドに関連するリスクの全体像を見ることができます。
リスクを検証します。 クラウド リスクの特定を深く理解している外部の専門家と連携して、リスク リストを確認および検証します。 Microsoft アカウント チームまたは専門の Microsoft パートナーも、これらの専門家に含まれます。 彼らの専門知識が、潜在的なすべてのリスクの特定を確認し、リスク評価の精度を高める上で役立ちます。
Azure ファシリテーション: クラウド リスクの特定
次のガイダンスは Azure のクラウド リスクを特定するのに役立ちます。 クラウド ガバナンスの主要なカテゴリのサンプルの開始点となります。 Azure は、リスクを見つけるプロセスの一部を自動化することができます。 Azure Advisor、Microsoft Defender for Cloud、Azure Policy、Azure Service Health、Microsoft Purview などの Azure ツールを使用します。
規制コンプライアンス上のリスクを特定します。 クラウドのデータと運用に影響を与える、法的および規制上の枠組みに準拠していないリスクを特定します。 業界における規制要件を把握します。 始めるには、「Azure コンプライアンス ドキュメント」を参照してください。
セキュリティ リスクを特定します。 クラウド環境の機密性、整合性、可用性を危険にさらす脅威と脆弱性を特定します。 Azure を使用してクラウド のセキュリティ態勢を評価し、ID リスクを検出します。
コスト上のリスクを特定します。 クラウド リソースのコストに関連するリスクを特定します。 コスト関連のリスクには、オーバープロビジョニング、プロビジョニング不足、過小使用、データ転送料金やサービスのスケーリングによる予期しないコストなどがあります。 コスト評価を使用して、コスト上のリスクを特定します。 Azure を使用して、Azure 価格計算ツールでコストを見積もります。 現在のリソースのコストの分析、予測を行います。 クラウド コストの予期しない変化を特定します。
運用上のリスクを特定します。 ダウンタイムやデータ損失など、クラウド運用の継続性を脅かすリスクを特定します。 Azure ツールを使用して、信頼性とパフォーマンスに対するリスクを特定します。
データ リスクを特定します。 クラウド内のデータ管理に関連するリスクを特定します。 データの不適切な処理と、データ ライフサイクル管理の欠陥を考慮してください。 Azure ツールを使用して、データ リスクを特定し、機密データに対するリスクを調査します。
リソース管理のリスクを特定します。 クラウド リソースのプロビジョニング、デプロイ、構成、管理に起因するリスクを特定します。 オペレーショナル エクセレンスに対するリスクを特定します。
AI リスクを特定します。 定期的に言語モデルをレッドチーミングします。 AI システムを手動でテストし、AI 用の自動リスク識別ツールを使用して手動テストを補完します。 一般的な 人間と AI の対話失敗を探します。 AI システムの使用、アクセス、出力に関連するリスクを考慮します。 責任ある AI の教義と責任ある AI の成熟度モデルを確認します。
クラウド リスクの分析
重要度別に優先順位を付けることができるように、各リスクに定性的または定量的なランク付けを割り当てます。 リスクの優先順位付けはリスクの確率とリスクへの影響を組み合わせたものになります。 より正確なリスクの優先順位付けを行う場合は、定量的なリスク分析を定性的よりも優先します。 クラウド リスクを分析するには、次の戦略に従ってください。
リスクの確率を評価する
1 年に発生する各リスクの定量的または定性的確率を推定します。 年単位の定量的リスク確率を表すには、パーセンテージ範囲 (0%~100%) を使用します。 低、中、高は定性的リスク確率の一般的なラベルです。 リスクの確率を評価するには、次の推奨事項に従ってください。
パブリック ベンチマークを使用します。 一般的なリスクとその発生率を文書化するレポート、調査、またはサービス レベル アグリーメント (SLA) のデータを使用します。
履歴データを分析します。 内部インシデント レポート、監査ログ、その他のレコードを調べ、過去に類似のリスクが発生した頻度を特定します。
コントロールの有効性をテストします。 リスクを最小限に抑えるには現在のリスク軽減コントロールの有効性を評価します。 コントロール テストの結果、監査結果、パフォーマンス メトリックを確認することを検討してください。
リスクの影響を判断する
組織に発生するリスクの定量的または定性的な影響を見積もります。 金額は、定量的なリスクの影響を表す一般的な方法です。 低、中、高は、定性的なリスクの影響に関する一般的なラベルです。 これらの推奨事項に従ってリスクの影響を判断してください。
財務分析を行います。 ダウンタイムのコスト、法的手数料、罰金、修復作業のコストなどの要因を調べることで、リスクの潜在的な財務上の損失を見積もります。
評判への影響評価を実施します。 同様のインシデントに関するアンケート、市場調査、履歴データを使用して、組織の評判に与える可能性のある影響を見積もります。
運用中断分析を実施します。 ダウンタイム、生産性の損失、代替手配のコストを見積もって、運用の中断の程度を評価します。
法的な影響を評価します。 コンプライアンス違反や違反に関連する潜在的な法的費用、罰金、ペナルティを見積もります。
リスク優先度の計算
各リスクにリスク優先度を割り当てます。 リスク優先度とは、リスクを処理する緊急性 (高、中、低) を把握するためにリスクに割り当てる重要度です。 リスクの影響はリスクの確率よりも重要です。これは、影響が大きいリスクが永続的な結果を招く可能性があるためです。 ガバナンス チームは、組織全体で一貫した手法を使用して、リスクに優先順位を付ける必要があります。 リスク優先度を計算するには、次の推奨事項に従ってください。
定性的評価にはリスク マトリックスを使用します。 マトリックスを作成して、各リスクに定性的なリスクの優先順位を割り当てます。 マトリックスの 1 つの軸はリスク確率 (高、中、低) を表し、もう 1 つはリスクの影響 (高、中、低) を表します。 次の表に、リスク マトリックスのサンプルを示します。
影響が低い 中ぐらいの影響 影響が高い 低確率 非常に低い ある程度低い ある程度高い 中程度の確率 低 Medium 高 高い確率 Medium 高 非常に高 定量的評価にはフォーミュラを使用します。 ベースラインとして、リスク優先度 = リスクの確率 x リスクの影響 という計算を行います。必要に応じて変数の重みを調整して、リスク優先度の結果を調整します。 たとえば、リスク優先度 = リスクの確率 x (リスクの影響 x 1.5) という数式 を使用すると、リスクの影響をより強調できます。
リスク レベルを割り当てます。
各リスクを、主要リスク (レベル 1)、副リスク (レベル 2)、リスク ドライバー (レベル 3) の 3 つに分類します。 リスク レベルにより、適切なリスク管理戦略を計画し、将来の課題を予測できます。 レベル 1 のリスクは、組織またはテクノロジを脅かします。 レベル 2 のリスクは、レベル 1 リスクの下位に分類されます。 レベル 3 のリスクは、最終的に 1 つ以上のレベル 1 またはレベル 2 のリスクに至る可能性がある傾向です。 たとえば、データ保護法への非準拠 (レベル 1)、クラウド ストレージの不適切な構成 (レベル 2)、規制要件の複雑化 (レベル 3) という場合を考慮してください。
リスク管理戦略を決定する
リスクごとに、リスクの回避、軽減、移行、受け入れなど、適切なリスク処理オプションを特定します。 選択した内容についての説明を用意します。 たとえば、リスクを軽減するコストが高すぎるためにリスクを受け入れる場合は、将来参照するためにその理由を文書化する必要があります。
リスク オーナーを割り当てる
すべてのリスクに対してリスクの主要オーナーを指定します。 リスク オーナーは、各リスクを管理する責任を負います。 この担当者は、関係するすべてのチームにわたってリスク管理戦略を調整し、リスク エスカレーションの最初の窓口となります。
クラウド リスクを文書化する
各リスクとリスク分析の詳細を文書化します。 リスクの特定、分類、優先順位付け、管理に必要なすべての情報を含むリスクの一覧を作成します (リスク レジスタ)。 すべてのユーザーがクラウド リスクを簡単に理解できるように、リスク ドキュメント用の標準化された文言を開発します。 次の要素を含めるよう検討してください。
- リスク ID: 各リスクの一意の識別子。 新しいリスクを追加するときに、識別子を順番にインクリメントします。 リスクを削除する場合は、シーケンスに欠番を残しても、欠番を埋めてもかまいません。
- リスク管理の状態: リスクの状態 (オープン、クローズ)。
- リスク カテゴリ: 規制コンプライアンス、セキュリティ、コスト、運用、AI、リソース管理などのラベル。
- リスクの説明: リスクの簡潔な説明。
- リスクの確率: そのリスクが 1 年あたりに発生する確率。 パーセンテージまたは定性ラベルを使用します。
- リスクの影響: リスクが発生した場合の組織への影響。 金額または定性ラベルを使用します。
- リスク優先度: リスクの重大度 (確率 x 影響)。 ドル単位の金額または定性ラベルを使用します。
- リスク レベル: リスクの種類。 主要な脅威 (レベル 1)、副リスク (レベル 2)、またはリスク ドライバー (レベル 3) を指定します。
- リスク管理戦略: リスクの軽減、受け入れ、回避などのリスクを管理するためのアプローチ。
- リスク管理の実施: リスク管理戦略を適用する手法。
- リスクオーナー: リスクを管理する個人。
- リスク終了日: リスク管理戦略を適用する日付。
詳細については、「リスク リストの例」を参照してください。
クラウド リスクを伝える
特定されたクラウド リスクをエグゼクティブ スポンサーとエグゼクティブ レベルの管理者に明確に伝えます。 目標は組織がクラウド リスクに優先順位を付けられるようにすることです。 クラウド リスク管理に関して定期的に情報を更新し、リスクを管理するために追加のリソースが必要な場合には伝達します。 クラウド リスク管理とガバナンスの管理が日常業務の一部となっている文化を促進します。
クラウド リスクを確認する
現在のクラウド リスク リストを確認して、有効で正確であることを確認します。 レビューは定期的に行い、特定のイベントに対応するものである必要があります。 必要に応じて、リスクを維持、更新、または削除します。 クラウド リスクを確認するには、次の推奨事項に従ってください。
定期的な評価をスケジュールします。 定期的なスケジュールを設定して、四半期ごと、年単位、年単位などでクラウド リスクを確認して評価します。 人員の可用性、クラウド環境の変化率、組織のリスク許容度に最も適したレビュー頻度を判断します。
イベントベースのレビューを実施します。 リスクの防止失敗など、特定のイベントに対応するようリスクを確認します。 新しいテクノロジを導入し、ビジネス プロセスを変更し、新しいセキュリティ脅威イベントを検出する場合は、リスクを確認することを検討してください。 また、テクノロジ、規制コンプライアンス、組織のリスク許容度がいつ変化するかを確認することも検討してください。
クラウド ガバナンス ポリシーを確認します。 クラウド ガバナンス ポリシーを保持、更新、または削除して、新しいリスク、既存のリスク、または過去のリスクに対処します。 必要に応じて、クラウド ガバナンス ポリシー ステートメントとクラウド ガバナンス実施戦略を確認します。 リスクを削除する場合は、それに関連付けられているクラウド ガバナンス ポリシーがまだ適切であるかどうかを評価します。 利害関係者と相談した上で、クラウド ガバナンス ポリシーを削除するか、ポリシーを更新して新しいリスクに関連付けます。
リスク リストの例
次の表はリスク レジスタとも呼ばれるリスク リストの例です。 組織の Azure クラウド環境の特定のニーズとコンテキストに合わせて例を調整します。
| リスク ID | リスク管理状況 | リスク カテゴリ | リスクの説明 | リスク確率 | リスクの影響 | リスク優先度 | リスク レベル | リスク管理戦略 | リスク管理の実施 | リスク オーナー | リスク終了日 |
|---|---|---|---|---|---|---|---|---|---|---|---|
| R01 | 始 | 規制に対するコンプライアンス | 機密データの要件に準拠していない | 20% (中) | $100,000 (高) | $20,000 (高) | レベル 2 | 軽減 | 機密データの監視には Microsoft Purview を使用します。 Microsoft Purview のコンプライアンス レポート。 |
コンプライアンス リード | 2024 年 4 月 1 日 |
| R02 | 始 | セキュリティ | クラウド サービスへの不正アクセス | 30% (高) | $200,000 (高) | $60,000 (非常に高い) | レベル 1 | 軽減 | Microsoft Entra ID の多要素認証 (MFA)。 Microsoft Entra ID ガバナンスの月次アクセス レビュー。 |
セキュリティ リード | 2024 年 3 月 15 日 |
| R03 | 始 | セキュリティ | 安全でないコード管理 | 20% (中) | $150,000 (高) | $30,000 (高) | レベル 2 | 軽減 | 定義済みのコード リポジトリを使用します。 パブリック ライブラリの検疫パターンを使用します。 |
開発リード | 2024 年 3 月 30 日 |
| R04 | 始 | コスト | オーバープロビジョニングと監視の欠如によるクラウド サービスへの過剰支出 | 40% (高) | $50,000 (中) | $20,000 (高) | レベル 2 | 軽減 | ワークロードの予算とアラートを設定します。 Advisor のコストに関する推奨事項を確認し、適用します。 |
コスト リード | 2024 年 3 月 1 日 |
| R05 | 始 | 運用 | Azure リージョンの停止によるサービスの中断 | 25% (中) | $150,000 (高) | $37,500 (高) | レベル 1 | 軽減 | ミッション クリティカルなワークロードにはアクティブ/アクティブ アーキテクチャがあります。 他のワークロードにはアクティブ/パッシブ アーキテクチャがあります。 |
運用リード | 2024 年 3 月 20 日 |
| R06 | 始 | データ | 不適切な暗号化とデータ ライフサイクル管理による機密データの損失 | 35% (高) | $250,000 (高) | $87,500 (非常に高い) | レベル 1 | 軽減 | 転送中と保存中の暗号化を適用します。 Azure ツールを使用してデータ ライフサイクル ポリシーを確立します。 |
データ リード | 2024 年 4 月 10 日 |
| R07 | 始 | リソース管理 | クラウド リソースの構成が正しく行われておらず、不正アクセスとデータ漏洩が発生する | 30% (高) | $100,000 (高) | $30,000 (非常に高い) | レベル 2 | 軽減 | コードとしてのインフラストラクチャ (IaC) を使用します。 Azure Policy を使用してタグ付け要件を適用します。 |
リソース リード | 2024 年 3 月 25 日 |
| R08 | 始 | AI | AI モデルのトレーニング データが典型的なものではなく、偏った意思決定が生成される | 15% (低) | $200,000 (高) | $30,000 (ある程度高い) | レベル 3 | 軽減 | コンテンツ フィルタリングの軽減手法を使用します。 毎月、AI モデルをレッドチーミングします。 |
AI リード | 2024 年 5 月 1 日 |
次のステップ
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示