SecurityScorecard
こんな事にお困りではないですか?
-
サプライチェーンリスクに対して危機感を感じている。
-
自社だけでなく、グループ会社、海外法人、取引先のセキュリティ対策状況が把握できていない。
-
セキュリティの課題が見つかっても、どこまで対処したらよいかわからない。
最新のセキュリティ課題
サプライチェーンリスクを可視化するニーズの高まり
-
引用:IPA(情報セキュリティ10大脅威2021)
-
業務委託先にも適切なセキュリティ管理を要求
- 原材料や部品の調達、製造、在庫管理、物流、販売、業務委託先などの一連の商流(サプライチェーン)において、セキュリティ対策が甘い組織が攻撃の足がかりとして狙われる
- 一部業務を委託している外部委託先組織から情報が漏えい
自組織のみがセキュリィ対策を講じても⽳ができる
サプライチェーンの弱点を悪用した攻撃の高まり
自組織のみがセキュリティ対策を講じても⽳ができ、甚⼤な被害が
- (現状) 攻撃者はサプライチェーン全体を偵察し、「弱点」をついてきます。
- 「攻撃者の視点」に立ち、客観的に弱点を知る事が重要
サイバーキルチェーンの流れ
※サイバーキルチェーン(Cyber Kill Chain)とは、標的型攻撃における攻撃者の⾏動(攻撃の手順)を構造化したフレームワーク。アメリカの大手軍需企業であるロッキード・マーチン社により提唱されたもの。
偵察フェーズでサプライチェーン全体の弱点を探し、
その後、いくつかの手法を組み合わせ、段階的に重要情報にリーチする
「攻撃者の視点」に立ち、客観的・継続的に弱点を知る事が重要
これまでの対策方法
-
契約で縛る
- 業務委託範囲の明確化、違反時の罰則明記、セキュリティ要件明記
- あくまで机上の話。実際にどのくらいリスクがあるかは別問題。
-
脆弱性診断実施
- システムの脆弱性有無をチェック
- システム負荷(疑似攻撃)があるため、簡単にできない。
- 各システム担当者の負担大。各社やり方が異なる
サプライチェーン全体の弱点を
手早く、継続的に、
把握する事が難しい。
が解決します!
SecurityScorecardとは…
サイバー攻撃のサプライチェーンリスクを可視化する
「セキュリティ・リスク・スコアリングシステム」
重要なポイントをサンプリングし、全体的な管理状況をすばやく推定する
▼
攻撃者目線
セキュリティ・リスク・スコアリングシステムの役割
-
自社のリスクを点数化し
セキュリティ対策状況が瞬時にわかる- 外部ハッカーからの視点で点数化し、どこに問題があるか視覚化
- 目標到達点を設定することにより、わかりやすい改善計画作成
-
相手のリスクを点数化
- 相手に対して⽬標点を設定し、要件を明確化
- 相手のリスクを見える化・点数化することに自社のリスクを権限
SecurityScorecard 特徴
-
システムに負荷をあたえずに素早くチェックが可能
- Internet上から得られる情報をもとにチェック
- C&Cサーバへの通信の疑いがある企業情報や、ハニーポット等から独⾃に情報収集
※SecurityScorecard社は常時調査し情報収集実施
-
多くの実績があるスコアリングシステム
- 全世界 1,100社以上(スコアリング調査済み企業数は500万社以上)の実績あり
-
スコアリングの流れ
-
データ収集(※常時情報収集実施)
Internet上の公開情報やハニーポット、マルウェア解析情報など収集
-
スコアリングシステムにより調査対象のドメインを入力
調査対象のドメイン名をもとに、
SSC社の持つ「データ収集」により得た情報を解析
-
10の検査項⽬によりスコアリング実施
-
全体スコアリングの実施
AからFまでの分かりやすい指標でスコア化
-
-
特長
▶ 脆弱性診断ツールではなく、リスク管理のツールに最適
-
● スコア
の企業はスコア
の企業に比べ、7.7倍 の可能性で侵害が発生することが判明
- ● スコアをいい状態に維持することが、攻撃されにくい環境の維持に繋がる
他社にはない膨大な
データベース量のなせる業
-
● スコア
-
活用パターン
-
1. ベンダーリスクマネジント
サイバーリスクはいまや企業の信用調査や評価に際しても重要な指標となっており、取引先等を含めたリスク管理(ベンダーリスクマネジメント)状況を重視する傾向が強まっています。 従来の財政的なチェックのみに加え、セキュリティ対策状況の指針として活用
-
2. セルフチェック
従来はチェックが難しかった小規模なグループ会社や海外グループ会社へ活用
-
3. 企業の評価基準
- ・損保会社様向けサイバー保険用企業信用チェック
- ・企業買収前のチェック
-
-
レポートイメージ
サマリレポートの他に、詳細レポートなどの各種レポートを作成可能。
⽬標の点数に到達させるために、解決すべき課題や脆弱性対処⽅法なども確認することが可能
全体のスコアを表示
全部で10つのカテゴリーでそれぞれのスコアを表示
調査対象の企業が所属する産業のなかの平均に対して、どのくらいの位置づけなのか視覚化
見つかった脆弱性の件数とカテゴリーを記載
※レポートは日本語、英語、ドイツ語、フランス語に対応しております
-
機能補足
-
⽬標スコアの設定
-
⽬標を決めると、推奨タスクの提⽰
-
問題点も⼀⽬で詳細把握可能
-
レポートを相手と共有し、
問題改善を促す
レポートの共有先(相手)を設定。いつ(30日)までにスコア(A)にしてほしいと簡単な要求もラジオボタンで可能。
共有先の相手には、Mailで通知がいきます。届いたら、自分でSecurityScorecardプラットフォームにアクセスする為のアカウントを作成し、セキュアな状態でレポートを確認可能。画面上で確認できるため、各課題に対して解決済み等のフラグを直接設定できます。
レポートの共有先(相手)を設定。いつ(30日)までにスコア(A)にしてほしいと簡単な要求もラジオボタンで可能。
共有先の相手には、Mailで通知がいきます。届いたら、自分でSecurityScorecardプラットフォームにアクセスする為のアカウントを作成し、セキュアな状態でレポートを確認可能。画面上で確認できるため、各課題に対して解決済み等のフラグを直接設定できます。
-
導入効果
導入いただいたお客様(日本)からの声
- 脆弱性診断やアンケート調査と違いリスクを定量的にリアルタイムで把握できるのでリスク管理ツールとして最適。
- 点数で指標が示されるので、誰の立場から見ても分かりやすい。経営者、取引先ともコミュニケーションが取りやすい。
- 無償トライアルを実施する事により使い勝手などの不安を払拭して早期に導入及び運用する事が出来た。
- アラート通知でスコアの変動にすぐに気付けることも非常に役立つ。必要な対処がとれる。
- まずは関連会社に対してのリスク管理を行っているが、今後は取引先にも使っていきたい。調査対象を簡単に変更できるので柔軟性が高い。
- 自分たちで気付いていないデジタルアセット(資産)を見つけられた。
SecurityScorecard 会社概要
| 所在地 | ニューヨーク州ニューヨーク |
|---|---|
| 設⽴年 | 2013年6⽉ |
| 創設者 |
Aleksandr Yampolskiy、Sam Kassoumeh
|
| 顧客数 | 1,000社 以上 |
| 調査済み企業数 | 500万社 以上 ※最新状況は SecurityScorecard社のホームページ (https://trust.securityscorecard.com/) をご参照ください。 |
SecurityScorecardの評価
サイバーセキュリティ・リスク評価ソリューションにおいて、#1の評価獲得
フォレスター社における第三者評価にて全10項目中以下6項目において差別化できていると高評価を頂きました。
- ①データ精度
- ②プロセスの透明性
- ③過誤検知の申告
- ④他ソリューションとの連携・統合
- ⑤ユースケースの幅広さ
- ⑥戦略
電通総研の取り組み
経験豊富なスタッフによる各種ドキュメントや
トライアルメニューをご用意しております
お客様のご要望に合わせた導入から
運用まで手厚くサポートいたします
紹介動画
【日本語字幕】ISIDがお届けするSecurityScorecard紹介ビデオ
サプライチェーン攻撃へのリスクを瞬時に点数化し、改善すべきポイントを可視化するスコアリングサービスです。
自社だけでなく、サプライチェーン全体のセキュリティ対策状況を把握することができます。
【日本語字幕】SecurityScorecard顧客事例_どのように取引ベンダーを管理するか
取引ベンダーのリスク管理をするうえで、なぜSecurityScorecardを採用しようと思ったか、背景と効果などについて、米Virgin Pulse社の生の声をお聞きください。
国内でも導入が進んでいるSecurityScorecardですが、まずは自社及び関連会社のセキュリティ管理を目的に導入し、ゆくゆくはスコアリング対象を取引ベンダーへ広げていきたいというお客様が多くいらっしゃいます。この動画が少しでもヒントになれば幸いです。
