SHOEISHA iD

パスワードを忘れた場合はこちら

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

  • 新規
    会員登録
  • 新規会員登録

ニュース

記事

Security Online

DB Online

イベント

講座

特集

ブログ

新着記事一覧を見る

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

EnterpriseZine Day 2024 Summer

EnterpriseZine Day 2024 Summer

2024年6月25日(火)オンライン開催

イベント一覧はコチラから

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

紛争事例から学ぶ! 実践ベンダーコントロール習得講座

講座一覧はコチラから

Security Online Day 2024 春の陣レポート(AD)

取引先など組織のセキュリティを5段階で評価、スコアAとFではサイバー侵害の可能性は最大13倍以上

サプライチェーン全体のリスク対策底上げに、そのための共通言語に

サイバー攻撃リスクをランクとスコアで評価

 こうした背景からサプライチェーンリスク管理を徹底する動きが広がっており、多くの企業がセキュリティガイドラインを策定し、取引先にもガイドラインに準拠するよう促している。とはいえ、実際に準拠しているかどうかはアンケートで確認することが多く、心もとない状況だ。

 実際にガイドラインへの準拠を確認している現場は、「(取引先の)セキュリティ態勢は聞いてみないと把握できない」「把握する機会が年や四半期に1度でリアルタイムに把握できない」ともどかしさを抱えているという。とはいえ、リアルタイム性を求めて頻度を高めてしまうと回答側の負担になり、下手をすれば形骸化のリスクもある。また、アンケート調査では回答者の主観が入るため、実態に即しているとは限らない。藤本氏は「サプライチェーンリスク管理では、ステークホルダー間でリアルタイムかつ継続的に、実態に即した内容でコミュニケーションをとるための共通言語がないことが課題です」と指摘する。

 そこで役立つのがセキュリティリスクの評価サービスであり、SecurityScorecardではセキュリティレーティングを提供している。冒頭に述べたように、これはセキュリティ対策状況の成績表のようなものだ。サイバーキルチェーンの情報収集(初期偵察)フェーズにフォーカスしてIPv4空間全体をスキャン、攻撃者視点でリスク要素を非侵入・非破壊的に収集。そこからサイバー攻撃による侵害の可能性との相関関係がA~D/Fのランク、100点満点のスコアで評価される。

 「攻撃者たちがサイバー攻撃に利用する手口を200項目ほど調査し、10個のカテゴリーに分類・評価することで総合評価をスコアとして出しています」(藤本氏)

 セキュリティレーティングで最低位のF評価を受けた企業は、最高位のA評価と比べると7.7倍もサイバー攻撃を受ける可能性が高いという統計結果が出ており、「直近の統計結果では7.7倍が13倍にまで広がっています」と藤本氏は説明する。

 では、なぜさまざまな企業を評価付けできるのか、調査の仕組みはこうだ。まずは世界80ヵ所以上に設置した独自のセンサーから空いているポート、起動しているサービス、脆弱性情報などを取得。それと同時に組織ごとのドメイン登録情報から関連するIPや資産を紐付け、攻撃者が注目する問題がないかをピックアップする。ここには機械学習を活用しており、類似する規模の企業と比較したスコアを算出する。

[画像クリックで拡大]

取引先のサイバー攻撃リスクを客観的かつリアルタイムに把握

 現在、グローバルで1200万社以上がセキュリティレーティングを利用している中、自社のセキュリティリスクだけではなく、グループ企業や取引先にも対象が広がってきた。また、競合企業との比較や企業買収時のサイバーデューデリジェンスにも活用されているという。

 藤本氏は「2023年前半までは自社のデジタルアセットを把握し、どこに問題があるのかを確認するなど、自社の安全を保つために使われていました。しかし、2023年半ばからはグループ企業や取引先を含めたサプライチェーンリスク管理に活用されることが非常に増えてきました」と話す。

 実際に管理すべき企業情報を一覧できる画面(下図)では、企業群のランクがどのように分布しているか、最も懸念される企業はどこか、クリティカルな問題はどういったものか、どのくらい検出されているかなどを俯瞰できる。こうしたスコアを継続的に調査していると自社のサプライチェーンに連なる企業が改善傾向にあるのか、それとも下落傾向にあるのかも把握できるだろう。

[画像クリックで拡大]

 このようにセキュリティレーティングを用いて、調査対象組織のドメインを登録するだけで継続的にリスクを把握できる。これまでのようにグループ企業や取引先へのアンケートではなく、より客観的な状況をリアルタイムかつ継続的に把握できる点は大きなアドバンテージだ。

 なお、フォレスター社の調査では、同サービスはサイバーセキュリティリスク評価プラットフォームのなかでリーダーポジションとして最も高い評価を受けているという。これまでは大企業、特にサプライチェーンの上流にある企業における導入が多かったが、中堅企業での導入も広がってきている。

 また、サイバーセキュリティの格付けを行う組織でも活用されている。たとえば、日本IT団体連盟は日経平均の構成銘柄500社を対象に「サイバーインデックス企業調査」を毎年実施しているが、これまでは公開情報やアンケートから調査結果を公表していた。しかし、前々回から診断ツール調査としてセキュリティレーティングを利用している。なお、このサイバーインデックス企業調査で最高格付け「☆☆(二つ星)」を獲得した14社のうち、8社が既にセキュリティレーティングを導入済みだ。

 セキュリティレーティングを使うと、自社だけではなく関連企業のセキュリティリスクも評価できるようになり、サプライチェーンリスク管理に大きく寄与する。藤本氏によると、もし取引先企業のスコアが悪いことが発覚したら「外部調査ではこういう風に見えているので、実際にそのような問題があるか確認してほしい」とセキュリティレーティングの調査結果をエビデンスとして活用することを勧める。

 「取引先などとのコミュニケーションにも活用することで、サプライチェーン全体のリスク対策の底上げを実現できます。立場の異なるステークホルダー間のサイバーセキュリティリスク管理における共通言語として、ぜひご活用いただければ」と述べて講演を締めくくった。

無料で自社グループ/取引先のセキュリティリスクを評価してみませんか?

セキュリティレーティングの調査結果をエビデンスとして活用することで、サイバーセキュリティのリスクをコントロールし、客観的な情報に基づく意思決定を行うことができます。無料アカウントの作成はこちらから

PREV

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
関連リンク
Security Online Day 2024 春の陣レポート連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:https://emiekayama.net

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事

提供:SecurityScorecard株式会社

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/19450 2024/04/23 10:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

  1. 1
    ソニーグループの生成AI活用が本格化──内製「Enterprise LLM」とベクトルDBによる独自の環境構築
  2. 2
    世界60ヵ国以上に展開の三井物産、セキュリティ施策を3ステップに集約 経営層の理解を得ながら推進 NEW
  3. 3
    退職社員への誓約書はどこまで有効?社内情報流失の裁判事例から、検討すべき要点を考える
  4. 4
    エバラ食品のDXは“土台づくり中” 社内の機運が高まりローコードツールの勉強会に100人以上が参加 NEW
  5. 5
    セキュリティに関心のある女性たちの“拠り所”として10年──「CTF for GIRLS」が新体制に
  6. 6
    OpenAI CTO「スケールに賭けていた」“生成AIブーム"の前夜、AGIに向けた懸念も明かす
  7. 7
    アドビのSaaSビジネスを導いた手腕に期待、神谷知信氏とPTCは日本のモノづくりを変えられるか
  8. 8
    ゼロトラストの次なる課題は「経営・事業戦略との連動」──ゼットスケーラー代表に聞く日本企業特有の事情
  9. 9
    加賀市が起こした「消滅可能性都市」からの逆転劇、なぜ“IT先進地域”になれたのか 震災で変化も
  10. 10
    日本のセキュリティをかつて救った「境界防御」多大な貢献の歴史も、近年通用しなくなった背景
  1. 1
    ソニーグループの生成AI活用が本格化──内製「Enterprise LLM」とベクトルDBによる独自の環境構築
  2. 2
    パスワードレス化が進まないのはなぜ? 普及停滞を打開する認証手法「パスキー」への期待と導入のストーリー
  3. 3
    加賀市が起こした「消滅可能性都市」からの逆転劇、なぜ“IT先進地域”になれたのか 震災で変化も
  4. 4
    グーグルが「Google Cloud Next '24」で発表した「生成AIエージェント」戦略とは?
  5. 5
    OracleとAWSの巨額投資の行方、富士通との蜜月復活の鍵も握る「ソブリンクラウド」
  6. 6
    人的資本経営の潮流で“ERP選定眼”に変化か 大手企業での導入進むjinjerに訊く
  7. 7
    Google Workspace、生成AIで業務効率化を加速 Gemini搭載で文章・画像生成、Google Vidsで動画作成も
  8. 8
    企業独自の生成AI活用は「RAG」が高いハードルに、Oracleが狙う“一元化”は金の鉱脈になるか
  9. 9
    防衛装備庁が参考にしたことで注目高まる「NIST SP800-171」 企業が倣う際に着目すべき要点
  10. 10
    2024年大注目の「RAG」の正体とは?──ハルシネーションを防ぐ有効手段として期待

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2024年6月25日(火)オンライン開催

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング

  1. 1
    ソニーグループの生成AI活用が本格化──内製「Enterprise LLM」とベクトルDBによる独自の環境構築
  2. 2
    世界60ヵ国以上に展開の三井物産、セキュリティ施策を3ステップに集約 経営層の理解を得ながら推進 NEW
  3. 3
    退職社員への誓約書はどこまで有効?社内情報流失の裁判事例から、検討すべき要点を考える
  4. 4
    エバラ食品のDXは“土台づくり中” 社内の機運が高まりローコードツールの勉強会に100人以上が参加 NEW
  5. 5
    セキュリティに関心のある女性たちの“拠り所”として10年──「CTF for GIRLS」が新体制に
  6. 6
    OpenAI CTO「スケールに賭けていた」“生成AIブーム"の前夜、AGIに向けた懸念も明かす
  7. 7
    アドビのSaaSビジネスを導いた手腕に期待、神谷知信氏とPTCは日本のモノづくりを変えられるか
  8. 8
    ゼロトラストの次なる課題は「経営・事業戦略との連動」──ゼットスケーラー代表に聞く日本企業特有の事情
  9. 9
    加賀市が起こした「消滅可能性都市」からの逆転劇、なぜ“IT先進地域”になれたのか 震災で変化も
  10. 10
    日本のセキュリティをかつて救った「境界防御」多大な貢献の歴史も、近年通用しなくなった背景
  1. 1
    ソニーグループの生成AI活用が本格化──内製「Enterprise LLM」とベクトルDBによる独自の環境構築
  2. 2
    パスワードレス化が進まないのはなぜ? 普及停滞を打開する認証手法「パスキー」への期待と導入のストーリー
  3. 3
    加賀市が起こした「消滅可能性都市」からの逆転劇、なぜ“IT先進地域”になれたのか 震災で変化も
  4. 4
    グーグルが「Google Cloud Next '24」で発表した「生成AIエージェント」戦略とは?
  5. 5
    OracleとAWSの巨額投資の行方、富士通との蜜月復活の鍵も握る「ソブリンクラウド」
  6. 6
    人的資本経営の潮流で“ERP選定眼”に変化か 大手企業での導入進むjinjerに訊く
  7. 7
    Google Workspace、生成AIで業務効率化を加速 Gemini搭載で文章・画像生成、Google Vidsで動画作成も
  8. 8
    企業独自の生成AI活用は「RAG」が高いハードルに、Oracleが狙う“一元化”は金の鉱脈になるか
  9. 9
    防衛装備庁が参考にしたことで注目高まる「NIST SP800-171」 企業が倣う際に着目すべき要点
  10. 10
    2024年大注目の「RAG」の正体とは?──ハルシネーションを防ぐ有効手段として期待