オペレーショナル脆弱性
オペレーショナルレジリエンス のオペレーショナル脆弱性機能により、ユーザーは運用上の脆弱性や重大な機能上のギャップにフラグを立て、主要なステークホルダーと連携し、根本的な原因を分析し、解決策を特定することができます。
チームがオペレーショナル脆弱性を使用すると、違反、ソフトウェアのギャップ、または侵害に起因する問題に対処できます。ユーザーは、従業員センターから運用上の脆弱性に関するレポートを送信したり、オペレーショナルレジリエンスワークスペースで直接レポートを作成したりできます。
- 顧客データの公開
- サードパーティの問題
- ソフトウェアの欠陥
- 政治や環境の状況
オペレーショナル脆弱性のメリット
- チームが注意する必要のある不一致、侵害、または苦情をビジネスユーザーが報告できます。
- 重要性および影響許容度アセスメント、シナリオ分析、自己証明、サービスなど、複数のソースから作成できます。
- エンティティ、場所、ユーザー、会社など、注意が必要な影響を受ける組織領域および関連する組織領域を記録します。
- 複数チーム間のコラボレーションを促進し、調査、評価、証拠の収集、観察事項の記録、将来のレビューのための応答に関する決定を行います。
- 修復方法と予防策を開始し、根本原因分析を実施して脆弱性の原因を取り除くことができます。
技術的な脆弱性と運用上の脆弱性の定義
- 技術的な脆弱性:組織の IT インフラ内に存在する重大なギャップ、欠陥、または弱点のこと。このカテゴリには、セキュリティプロトコル、システム設計、内部コントロール、または日常業務の慣行における不備が含まれます。
- 運用上の脆弱性:組織の運用に影響を与える可能性のある IT 以外の要因、プロセスに関連する要因、または外部要因に関係する脆弱性。通常、これらには、スキャンツールによる検出を回避するサードパーティ、施設、または外部の状況に関する問題が含まれます。
オペレーショナル脆弱性のワークフロー
オペレーショナル脆弱性の解決には、いくつかの重要な手順が含まれます。
- 識別:運用上のギャップを認識します。
- アセスメント:対処が必要な脆弱性かどうかを評価します。このアセスメントは 1 回または繰り返し実行でき、修復のコストと、問題を修正することで見込める節減額を比較検討します。
- 意思決定:アセスメントに基づいて、対処措置を決定します。脆弱性に対処することが決定した場合は、次のタスクを行います。
- タスクのアサイン:特定のタスクを適切な個人にアサインします。
- 完了と検証:タスクが完了したら、脆弱性が解決されていることを確認します。
- 受け入れの代替パス:アセスメント後に、脆弱性をそのまま受け入れることができます。この場合、それ以上のアクションは実行されず、脆弱性が確認されてクローズされます。
オペレーショナル脆弱性のユースケース
次の例では、運用上の脆弱性を示す状況が概説されています。こうした問題は、IT スキャナーでは検出できませんが、対象分野のエキスパートが識別できます。特定のサードパーティとの連携や単一施設への依存など、日常業務における弱点やギャップを表しています。
| シナリオ | 説明 |
|---|---|
| サードパーティと連携する、または単一施設に依存する |
特定の地域のサードパーティに重要なプロセスをアウトソーシングしている会社について考えてみましょう。時事問題が原因で、サードパーティはサービスの提供を妨げられ、会社はこの地域からサービスを受けることができません。 顧客にサービスを提供するというコミットメントを持つこの会社は、業務を継続するために代替のサードパーティを速やかに特定する必要があります。 会社にとって重要なポイントは、サードパーティが集中するリスクに対処することです。 |
| 手動介入が必要な非 IT 関連の脆弱性 |
遠隔地にある重要な金融機関について考えてみましょう。近くで発生した状況によりそのエリアが危険にさらされる場合、管理チームはこれを脆弱性として特定する可能性があります。 これは、手動介入が必要な非 IT 関連の脆弱性の例を示しています。 |
組織はこうした運用上の脆弱性に対処するために、複数の地域にサードパーティを分散させたり、金融機関を移転させたりするなど、さまざまなアプローチを調査できます。これらのソリューションを実装するために、組織は通常、費用便益分析を実行し、運用上の脆弱性を軽減するためのコストや、ソリューションが 1 回限りの解決策、一時的な対策、または永続的な解決策であるかどうかなどの要素を比較検討します。