05 例外管理とリスク受容基準
目的
本基準は、統制基準、実装基準、証跡基準を満たせない場合の例外管理とリスク受容を定義する。
例外は、未対応を隠すための手段ではない。例外は、期限付きで管理されたリスク判断である。無期限、無承認、代替統制なし、残余リスク未評価の例外を認めてはならない。
例外登録が必要な状態
次の場合は、例外登録しなければならない。
- 適用対象の統制目的を満たせない。
- 実装基準を期限内に満たせない。
- 証跡基準を満たす証跡を取得できない。
- 証跡の鮮度SLAを超過した。
- Level 1またはLevel 2の証跡が必要な対象で、Level 3またはLevel 4しか存在しない。
- 脆弱性、構成逸脱、権限不備、ログ欠損、バックアップ不備がSLAを超過した。
- 委託先、SaaS、AI/Dataの責任分界または証跡が不明である。
例外項目
例外には、少なくとも次の項目を持たせる。
| 項目 | 内容 |
|---|---|
| Exception ID | 例外を一意に識別するID。 |
| System ID | 対象システム。 |
| Asset ID | 対象資産、設定、データ、委託先、ID。 |
| Control ID | 未達となる統制目的ID。 |
| 未達基準 | 統制基準、実装基準、証跡基準のいずれか。 |
| 例外理由 | 技術、業務、契約、費用、移行、ベンダー都合、法務判断など。 |
| 影響 | 機密性、完全性、可用性、法令、顧客、業務継続への影響。 |
| 代替統制 | リスクを低減する暫定策または補完策。 |
| 残余リスク | 代替統制後に残るリスク。 |
| 期限 | 例外終了日または再評価日。 |
| 再評価条件 | 期限、リリース、契約更新、ベンダー修正、環境変更など。 |
| 承認者 | 承認権限を持つ者。 |
| リスク受容者 | 残余リスクを業務上受け入れる者。 |
| 経営報告要否 | Tier、重大度、期限切れ、残余リスクに基づく。 |
| 恒久対応方針 | 解消、移行、廃止、代替継続、投資判断。 |
承認権限
| 対象 | 承認者 |
|---|---|
| Tier 0の例外 | CISOまたはリスク委員会。重大例外は経営層。 |
| Tier 1の重大例外 | システムオーナーおよびCISO。 |
| Tier 1の軽微例外 | システムオーナー、セキュリティ部門確認。 |
| Tier 2の例外 | システムオーナー。重大なものはセキュリティ部門確認。 |
| Tier 3の例外 | システムオーナー。期限と代替統制は必須。 |
| Externalの例外 | システムオーナー、契約責任者、必要に応じ法務。 |
| AI/Dataの例外 | システムオーナー、データ責任者、必要に応じ法務。 |
作業担当者本人による自己承認は禁止する。
代替統制
代替統制は、未達基準に対して具体的なリスク低減効果を持たなければならない。
| 未達例 | 代替統制例 |
|---|---|
| MFAを即時適用できない。 | 接続元制限、利用時間制限、管理者承認、監視強化、短期期限。 |
| 重大脆弱性を即時修正できない。 | WAFルール、公開停止、ネットワーク制限、機能停止、監視強化。 |
| ログ転送が未実装。 | ローカルログ保全、手動取得、対象操作制限、導入期限設定。 |
| 復元試験が未実施。 | 机上復旧確認、バックアップ成功確認、優先復旧手順の暫定作成。 |
| 委託先監査報告が未取得。 | 契約上の提出期限、代替質問票、リスク受容、利用範囲制限。 |
代替統制がない例外は、残余リスクが高いものとして扱う。
期限
例外には期限を設定しなければならない。期限の目安は次の通りとする。
| 重大度 | 期限目安 |
|---|---|
| 重大 | 30日以内。延長時はCISOまたはリスク委員会承認。 |
| 高 | 90日以内。延長時はシステムオーナーとセキュリティ部門承認。 |
| 中 | 180日以内。 |
| 低 | 次回定期レビューまたは1年以内。 |
期限切れ例外は、06に基づき報告対象とする。
禁止事項
- 無期限例外を認めてはならない。
- 例外理由を「対応困難」「予算なし」だけで完了させてはならない。
- 代替統制と残余リスクを記録せずに承認してはならない。
- Tier 0/1の重大例外を経営報告対象外として扱ってはならない。
- 監査直前の証跡不足を、事後的に例外として処理するだけの運用をしてはならない。