スコーピング

スコーピングの段階では、脅威曝露マネジメントの取り組み全体の基礎固めを行い、明確なオブジェ クトを設定し、主要な利害関係者を関与させることで、組織の脅威曝露マネジメントの取り組みが十分に 定義され、戦略的に整合し、成功する態勢が整っていることを確認する。

このフェーズでは、組織は CTEM イニシアチブの範囲を特定し、定義する。これには、どの資産、シス テム、および環境を、後の段階における全体的な評価とミティゲーションの取り組みに含めるかを含 む。そのためには、オンプレミス環境、クラウドベース環境、ハイブリッド環境、サードパーティの依存関係、サプライチェーンの考慮事項など、組織のインフラを十分に理解する必要がある。

様々な部門や事業単位の主要な利害関係者を特定し、スコーピングの決定に関するインプットに関与させることで、脅威曝露管理プログラムが、IT、セキュリティ、運用、コンプライアンス、法務、経営幹部など、すべての関係者の関心や優先事項に対応するようにする。

範囲を定義するだけでなく、組織は脅威暴露管理プログラムの明確なゴールとオブジェクトを設定しなければならない。これらの目標には、サイバーリスクの低減、セキュリティ態勢の強化、規制遵守の徹底、重要な資産やデータの保護、あるいは特定のビジネス成果の達成などが含まれる。これらの目標を明確にすることで、企業は脅威暴露管理への取り組みを集中させ、戦略的優先事項と整合させることができる。

スコーピングには、組織のリスク許容度とリスク選好度、すなわち組織がビジネスオブジェ クトを追求する上で許容できるリスクレベルの評価も含まれる。そのためには、セキュリティインシデントが事業運営、財務安定性、評判、コンプライアンス要件に及ぼす潜在的な影響を理解する必要がある。組織は、リスク許容度のしきい値を定義し、それに従ってリソースを配分することで、脅威曝露管理の取り組みに優先順位を付けることができる。

ディスカバリー

CTEMの次の段階では、組織のIT環境内の潜在的なセキュリティ脅威と脆弱性を特定する。このフェーズでは、対象範囲に含まれるすべての要素を総合的に調査し、資産と潜在的な弱点のベースラインを特定する。

以下は、ディスカバリー・プロセスの主な構成要素である。 ...