スコアリングサービス解説
セキュリティスコアリングサービスとその活用法
近年、米国を中心に第三者視点で企業、組織のインターネットセキュリティを評価して点数化するスコアリングサービスの利用が拡大しています。弊社においても、SecurityScorecard (SSC)社のサービスの販売とサポートを行っていますが、今回はこうしたスコアリングサービスがどのようなものか、その活用法などについて書いてみたいと思います。
セキュリティ第三者評価のニーズが拡大
いまや、サイバーセキュリティは、企業にとっては様々なビジネス活動におけるリスク対応と同等の重要性を持っており、適切な管理がなされなければ企業の価値を損なうことにつながります。実際、取引やM&Aなどに際して相手側のサーバーセキュリティの管理状況を確認することも増えているため、企業として管理が適切であることを有価証券報告書などに記載する企業も増加しています。
しかし、一方で、企業自身が自らの視点で公表する内容は、ともすれば自社をよく見せる方向にバイアスがかかる可能性もあり、取引や買収といった際には、客観的な評価が必須です。ISMSなどのセキュリティ認証制度は、こうした視点からも利用されますが、認証の更新間隔が数年単位であるなど、必ずしも最新の状況を反映していない可能性があります。最近では、第三者視点で細部のアセスメントを行うサービスや、ヒアリング、書類審査などに基づいたセキュリティ格付けサービスなどを提供する企業もありますが、相応のコストが必要なほか、相手の了承なしでは、こうしたサービスは受けられません。
特に重要な取引等では、双方合意の元で評価を実施するといったことも出来ますが、多くの取引先の全体や、内密に買収を検討している先などに対しては難しいのが実際でしょう。
コラム「サプライチェーンリスクとベンダーリスクの管理」でも述べていますが、こうした相手先について、概略でもよいので、客観的かつ低コストな評価情報を提供するようなサービスが求められることになります。
しかし、一方で、企業自身が自らの視点で公表する内容は、ともすれば自社をよく見せる方向にバイアスがかかる可能性もあり、取引や買収といった際には、客観的な評価が必須です。ISMSなどのセキュリティ認証制度は、こうした視点からも利用されますが、認証の更新間隔が数年単位であるなど、必ずしも最新の状況を反映していない可能性があります。最近では、第三者視点で細部のアセスメントを行うサービスや、ヒアリング、書類審査などに基づいたセキュリティ格付けサービスなどを提供する企業もありますが、相応のコストが必要なほか、相手の了承なしでは、こうしたサービスは受けられません。
特に重要な取引等では、双方合意の元で評価を実施するといったことも出来ますが、多くの取引先の全体や、内密に買収を検討している先などに対しては難しいのが実際でしょう。
コラム「サプライチェーンリスクとベンダーリスクの管理」でも述べていますが、こうした相手先について、概略でもよいので、客観的かつ低コストな評価情報を提供するようなサービスが求められることになります。
セキュリティスコアリングサービスの概要
ここで述べるセキュリティスコアリング(以下、単にスコアリングとします)とは、インターネット越しにその組織を俯瞰し、そこから見えるセキュリティ管理の状況を客観的に評価するものです。従って、その組織内部のセキュリティ管理の状況まで調べるものではありません。また、こうした情報収集は、インターネットに公開されているサービスに対して通常のアクセスを行った結果得られる情報や、受動的に得られる情報、相手先が公開している情報などに限られ、たとえばあからさまに脆弱性を調べるようなアクセスは一切行いません。公開サービスを発見するために、低負荷のポートスキャンは行いますが、それ以上のことは行わず、相手に危険や高い負荷を与えません。スコアリングを提供する企業は、自らの責任で、多くの企業、組織について自主的にこうした情報を収集し、それぞれ独自のアルゴリズムを使用して、状況を可視化、点数化します。こうした情報はデータベースに蓄えられ、一定期間で更新されます。スコアリングサービスの顧客は、有償でこのデータベースにアクセスし、自らが見たい企業の情報を検索することになります。
さて、ここで疑問が湧きます。インターネットに公開されているサービスは、その企業のシステムのごく一部です。それで正しい評価が可能なのでしょうか。そう言う意味で、スコアリングサービスに網羅的な評価を期待するのは誤りです。しかしながら、インターネット公開サービスは、サイバー攻撃等のリスクが高いサービスであり、いわば表玄関にあたります。会社の顔ということになりますから、最大限の注意を払ってしかるべき部分です。そこに問題が生じているということは、内部ではさらに大きな問題がある可能性もあります。つまり、その組織のセキュリティへの取り組み姿勢が、インターネット公開サービスに表れるということなのです。もちろん外面はいいが、内面は・・・ということもあるでしょう。ただ、外面が悪い組織の多くは内面も良くないことが多いのです。従って、その組織のサイバーセキュリティへの取り組み姿勢を、ざっくり、相手に負担をかけず、また、相手に知られることなく把握することがが、スコアリングサービスを利用して可能となります。スコアリングサービスを利用するにあたっては、こうした特性を前提とする必要があります。
また、スコアリングサービス事業者の多くが、いわゆる脅威インテリジェンス(Threat Intelligence)の機能を有していたり、そうした事業者と情報を連携していたりします。これにより、ハニーポット(※注1)やDNSシンクホール(※注2)、ダークウェブ探索などを利用した、対象企業やそのサービスに関する直接、間接の脅威情報を入手して、注意情報として提供したり、スコアに反映させたりします。ハニーポットやシンクホールなどを使用すれば、場合によっては、対象企業のIPアドレスからの通信を検知し、内部でのマルウエア感染が発生した事実を把握出来ることもあります。こうした情報も常に得られるわけではありませんが、その企業のセキュリティ状況を評価するための材料となります。
注1:ハニーポット(Honey Pot)敢えて不正侵入やマルウエア感染を受けて、その手口や挙動を調べるためのダミーシステム。脅威情報を収集する目的でインターネットに脆弱なシステムを敢えて公開するものです。熊寄せの蜜壺(Honey Pot)がその由来です。
注2:DNSシンクホール(Sink Hole)マルウエアが使用していたドメインをセキュリティ事業者や研究者が取得し、DNSサーバを立て、情報収集用のサーバにマルウエアからの通信を誘導し、感染状況などを確認するしくみです。近年のマルウエアは指令サーバ(C2サーバ)への通信がフィルタリングされることを防ぐため、特定のドメインに属する名前をDNSを使用して解決することで、頻繁にC2サーバのIPアドレスを変更する仕組みになっています。こうしたマルウエアに使用されたドメイン(過去に使用されたものや、使用中のものを法的な手段で押さえたものなど)を利用して、特定の検出用サーバに振り向けることができます。(Sink Holeは「陥没穴」の意味で、マルウエア通信を吸い込むことからこの名前が使われます)
また、スコアリングサービス事業者の多くが、いわゆる脅威インテリジェンス(Threat Intelligence)の機能を有していたり、そうした事業者と情報を連携していたりします。これにより、ハニーポット(※注1)やDNSシンクホール(※注2)、ダークウェブ探索などを利用した、対象企業やそのサービスに関する直接、間接の脅威情報を入手して、注意情報として提供したり、スコアに反映させたりします。ハニーポットやシンクホールなどを使用すれば、場合によっては、対象企業のIPアドレスからの通信を検知し、内部でのマルウエア感染が発生した事実を把握出来ることもあります。こうした情報も常に得られるわけではありませんが、その企業のセキュリティ状況を評価するための材料となります。
注1:ハニーポット(Honey Pot)敢えて不正侵入やマルウエア感染を受けて、その手口や挙動を調べるためのダミーシステム。脅威情報を収集する目的でインターネットに脆弱なシステムを敢えて公開するものです。熊寄せの蜜壺(Honey Pot)がその由来です。
注2:DNSシンクホール(Sink Hole)マルウエアが使用していたドメインをセキュリティ事業者や研究者が取得し、DNSサーバを立て、情報収集用のサーバにマルウエアからの通信を誘導し、感染状況などを確認するしくみです。近年のマルウエアは指令サーバ(C2サーバ)への通信がフィルタリングされることを防ぐため、特定のドメインに属する名前をDNSを使用して解決することで、頻繁にC2サーバのIPアドレスを変更する仕組みになっています。こうしたマルウエアに使用されたドメイン(過去に使用されたものや、使用中のものを法的な手段で押さえたものなど)を利用して、特定の検出用サーバに振り向けることができます。(Sink Holeは「陥没穴」の意味で、マルウエア通信を吸い込むことからこの名前が使われます)
脆弱性検査との違いは?
よく、スコアリングサービスと脆弱性検査は何が違うのかという質問を受けます。こうした質問の背景には、上で述べたスコアリングサービスの特性への認識不足があります。たしかに、スコアリングサービスでも、公開されているサービスの脆弱性の多くがわかります。それは、サービスに通常のアクセスをする際に返ってくる情報(ヘッダやバナーと呼ばれる情報)などから、相手のソフトウエアのバージョンなどが分かるケースが多いため、脆弱性のデータベースと比較すれば、そのバージョンに含まれる脆弱性の有無が分かるからです。このプロセスは、脆弱性検査におけるポートスキャンの初期段階とほぼ同じです。ただ、そこから先の細かい検査は一切行いません。つまり、ドアをノックするだけで、鍵が開くどうかを確かめるような行為はしないのです。このため、相手側がバナーやヘッダ情報を制限しているような場合は情報は得られません。ただ、スコアリングでは、それで十分なのです。通常のアクセスで情報が得られないということは、実際の攻撃者にとっても同じですから、その先へ進むためにはリスクを冒して鍵開けを試みなければいけないからです。つまり、最低限の敷居は保たれているということになります。
もう一つ、大きな違いが網羅性です。脆弱性検査は、対象となるサービスに脆弱性がないことで、可能な限り確認しようとします。また、すべてのサービスをくまなく調べます。一方、スコアリングでは、あくまで「概観」をつかむことを目的としています。もちろん、攻撃リスクが高いサービスなどはその多くを網羅しますが、それらが「概観」を掴むために重要だからであり、網羅することを意図しているわけではありません。たとえば工場での製品検査でも全数検査とサンプル検査があるように、スコアリングの場合は、あくまでスコアリングサービス側の視点で重要だと思われるサービスをサンプリングしているに過ぎないのです。
つまり、スコアリングサービスと脆弱性検査は似て非なるものであり、その目的も異なるため、比較の対象とすべき物ではないということなのです。それでは、たとえば多くの関連会社、自社のIT・OT部門や関係先に対して、定期的にアセスメントや脆弱性検査を行っているようなセキュリティ管理部門の役には立たないのでしょうか。
もう一つ、大きな違いが網羅性です。脆弱性検査は、対象となるサービスに脆弱性がないことで、可能な限り確認しようとします。また、すべてのサービスをくまなく調べます。一方、スコアリングでは、あくまで「概観」をつかむことを目的としています。もちろん、攻撃リスクが高いサービスなどはその多くを網羅しますが、それらが「概観」を掴むために重要だからであり、網羅することを意図しているわけではありません。たとえば工場での製品検査でも全数検査とサンプル検査があるように、スコアリングの場合は、あくまでスコアリングサービス側の視点で重要だと思われるサービスをサンプリングしているに過ぎないのです。
つまり、スコアリングサービスと脆弱性検査は似て非なるものであり、その目的も異なるため、比較の対象とすべき物ではないということなのです。それでは、たとえば多くの関連会社、自社のIT・OT部門や関係先に対して、定期的にアセスメントや脆弱性検査を行っているようなセキュリティ管理部門の役には立たないのでしょうか。
スコアリングサービスの使い方
スコアリングサービスは、脆弱性検査やセキュリティアセスメントの代替となるものではありません。しかしながら先に述べたようなセキュリティ管理部門の継続的な業務を考えれば、様々な使い方が出来るでしょう。
(1) 脆弱性検査や調査票によるアセスメントの補完
たとえば、多くのグループ会社を統括する立場にある、親企業のセキュリティ管理部門は、その労力や費用の多くを、関連会社に対するアセスメント(多くは、セキュリティ状況の調査票による評価)や、脆弱性検査の実施に費やしています。そのような中で、こうしたアセスメントや検査の頻度を上げることができず、脅威の変化に合わせた継続的なモニタリングがなかなか難しい実情があります。また、調査票ベースのアセスメントでは、回答内容の正確性を保証するために定期、不定期の実地監査が必要ですが、それも頻度を上げることが難しい現実があります。
そうした中で、たとえば、こうした「網羅的」なチェックの間隔を「サンプリング」である、スコアリングサービスで埋めるという使い方が考えられます。スコアリングサービスのデータは数日~1ヶ月程度の頻度で更新されます。年に一度の調査票や、場合によっては数年に一度の脆弱性検査の合間に、管理状況が劣化していないかどうかを、継続的にモニタリングするには、スコアリングサービスは最適のソリューションかもしれません。
また、調査票の回答の正確性を評価するための材料としても使えるでしょう。インターネット公開サービスのセキュリティ管理に関する調査票項目が実際と矛盾していないかどうかをスコアリングサービスで検証すれば、調査票全体の信頼度を推定することも出来るでしょう。これによって実地監査の対象や優先度を最適化することが出来ます。比較的リスクの低い対象については、実地監査との置き換えも可能かもしれません。
(2) 自主的な向上を促す取組として
セキュリティ管理部門の大きな悩みの一つが、関連企業や取引先が「受け身」であることでしょう。チェックにおける指摘には対応しても、自主的に改善を行っているかと言えば、なかなかそのように見えない相手も少なくありません。もちろん、自主的に脆弱性検査などのチェックを行おうとすれば費用もかかりますし、専門人材も少ない中で、自社の本当の弱点が見えず、どうしても「喉元過ぎれば・・」となってしまいがちです。
もし、スコアリングサービスの生の情報を対象企業が直接目にすることができれば、少なくともインターネットに見えている部分については、改善が必要な内容が見えるため、スコアを向上させようというモティベーションに繋がります。多数の企業の情報を参照するためには、相応のライセンス料が必要になるスコアリングサービスですが、自社のみの情報参照であれば比較的低コスト、もしくは無料で利用出来るサービスもあります。実際、弊社が取り扱っているSSC社のサービスでは、自社のスコアや詳細を確認するだけならば、無償で利用することができます。相手先の担当者をサービスに招待することもできるので、そうした取組を通じて、スコアリングサービスのプラットフォーム上でコラボレーションができれば、互いの向上に繋がるでしょう。
またスコアリングサービスは、その多くが自動処理ですから、機械的につけられたスコアに異論も出るかも知れません。また、本来、その企業のものでないサービスをその企業のものと誤認したり、自動的に発見できないサービスが生じることも実際にありますが、サービスアカウントがあれば、サービス事業者に対して修正や追加、削除を依頼することも可能となります。もちろん、客観的に検証できない依頼は多くの場合受け付けられませんが、こうした意識を持つことは、セキュリティの向上に資することになります。
(1) 脆弱性検査や調査票によるアセスメントの補完
たとえば、多くのグループ会社を統括する立場にある、親企業のセキュリティ管理部門は、その労力や費用の多くを、関連会社に対するアセスメント(多くは、セキュリティ状況の調査票による評価)や、脆弱性検査の実施に費やしています。そのような中で、こうしたアセスメントや検査の頻度を上げることができず、脅威の変化に合わせた継続的なモニタリングがなかなか難しい実情があります。また、調査票ベースのアセスメントでは、回答内容の正確性を保証するために定期、不定期の実地監査が必要ですが、それも頻度を上げることが難しい現実があります。
そうした中で、たとえば、こうした「網羅的」なチェックの間隔を「サンプリング」である、スコアリングサービスで埋めるという使い方が考えられます。スコアリングサービスのデータは数日~1ヶ月程度の頻度で更新されます。年に一度の調査票や、場合によっては数年に一度の脆弱性検査の合間に、管理状況が劣化していないかどうかを、継続的にモニタリングするには、スコアリングサービスは最適のソリューションかもしれません。
また、調査票の回答の正確性を評価するための材料としても使えるでしょう。インターネット公開サービスのセキュリティ管理に関する調査票項目が実際と矛盾していないかどうかをスコアリングサービスで検証すれば、調査票全体の信頼度を推定することも出来るでしょう。これによって実地監査の対象や優先度を最適化することが出来ます。比較的リスクの低い対象については、実地監査との置き換えも可能かもしれません。
(2) 自主的な向上を促す取組として
セキュリティ管理部門の大きな悩みの一つが、関連企業や取引先が「受け身」であることでしょう。チェックにおける指摘には対応しても、自主的に改善を行っているかと言えば、なかなかそのように見えない相手も少なくありません。もちろん、自主的に脆弱性検査などのチェックを行おうとすれば費用もかかりますし、専門人材も少ない中で、自社の本当の弱点が見えず、どうしても「喉元過ぎれば・・」となってしまいがちです。
もし、スコアリングサービスの生の情報を対象企業が直接目にすることができれば、少なくともインターネットに見えている部分については、改善が必要な内容が見えるため、スコアを向上させようというモティベーションに繋がります。多数の企業の情報を参照するためには、相応のライセンス料が必要になるスコアリングサービスですが、自社のみの情報参照であれば比較的低コスト、もしくは無料で利用出来るサービスもあります。実際、弊社が取り扱っているSSC社のサービスでは、自社のスコアや詳細を確認するだけならば、無償で利用することができます。相手先の担当者をサービスに招待することもできるので、そうした取組を通じて、スコアリングサービスのプラットフォーム上でコラボレーションができれば、互いの向上に繋がるでしょう。
またスコアリングサービスは、その多くが自動処理ですから、機械的につけられたスコアに異論も出るかも知れません。また、本来、その企業のものでないサービスをその企業のものと誤認したり、自動的に発見できないサービスが生じることも実際にありますが、サービスアカウントがあれば、サービス事業者に対して修正や追加、削除を依頼することも可能となります。もちろん、客観的に検証できない依頼は多くの場合受け付けられませんが、こうした意識を持つことは、セキュリティの向上に資することになります。
スコアリング手法(アルゴリズム)の透明性は重要
スコアリングはあくまで「サンプリング」による評価です。従って、どのような「問題点」をもって評価するのかが明らかにされており、また、状況の変化に伴って、評価対象となる「問題点」の内容もタイムリーに入れ替えていくことが重要となります。こうした入れ替えについても、その理由が明らかにされる必要があります。
また、スコアリングでは、単に特定対象の問題点を洗い出すだけでなく、それらの問題点に重み付けし、スコアに反映させます。こうした重み付けには、サービス事業者が集めた多くの企業や組織のデータを統計的に処理した結果や機械学習による判断などが利用されます。しかし、その過程がブラックボックスでは、スコアそのものを信頼できません。少なくとも、そうした重み付けの基本的な考え方や、アルゴリズム、判断根拠となる統計情報と言ったものが公開され、それに基づいて公平な判定がなされていることが重要でしょう。
さらに、自分のスコアに対する疑義を受け付ける窓口があり、それらを客観的に判断した結果をフィードバックできる体制があることなどは、少なくとも必要です。
スコアリングサービスはまだまだ発展途上ですが、今後、セキュリティに関する「格付けサービス」的な意味合いも大きくなってくるでしょう。そう言う意味では、こうしたサービスを自ら利用し、自社のセキュリティが客観的にどのように評価されているのかをモニタリングしておくことが、会社にとって極めて重要になってくるのかもしれません。
また、スコアリングでは、単に特定対象の問題点を洗い出すだけでなく、それらの問題点に重み付けし、スコアに反映させます。こうした重み付けには、サービス事業者が集めた多くの企業や組織のデータを統計的に処理した結果や機械学習による判断などが利用されます。しかし、その過程がブラックボックスでは、スコアそのものを信頼できません。少なくとも、そうした重み付けの基本的な考え方や、アルゴリズム、判断根拠となる統計情報と言ったものが公開され、それに基づいて公平な判定がなされていることが重要でしょう。
さらに、自分のスコアに対する疑義を受け付ける窓口があり、それらを客観的に判断した結果をフィードバックできる体制があることなどは、少なくとも必要です。
スコアリングサービスはまだまだ発展途上ですが、今後、セキュリティに関する「格付けサービス」的な意味合いも大きくなってくるでしょう。そう言う意味では、こうしたサービスを自ら利用し、自社のセキュリティが客観的にどのように評価されているのかをモニタリングしておくことが、会社にとって極めて重要になってくるのかもしれません。