サイバー攻撃リスクをランクとスコアで評価
こうした背景からサプライチェーンリスク管理を徹底する動きが広がっており、多くの企業がセキュリティガイドラインを策定し、取引先にもガイドラインに準拠するよう促している。とはいえ、実際に準拠しているかどうかはアンケートで確認することが多く、心もとない状況だ。
実際にガイドラインへの準拠を確認している現場は、「(取引先の)セキュリティ態勢は聞いてみないと把握できない」「把握する機会が年や四半期に1度でリアルタイムに把握できない」ともどかしさを抱えているという。とはいえ、リアルタイム性を求めて頻度を高めてしまうと回答側の負担になり、下手をすれば形骸化のリスクもある。また、アンケート調査では回答者の主観が入るため、実態に即しているとは限らない。藤本氏は「サプライチェーンリスク管理では、ステークホルダー間でリアルタイムかつ継続的に、実態に即した内容でコミュニケーションをとるための共通言語がないことが課題です」と指摘する。
そこで役立つのがセキュリティリスクの評価サービスであり、SecurityScorecardではセキュリティレーティングを提供している。冒頭に述べたように、これはセキュリティ対策状況の成績表のようなものだ。サイバーキルチェーンの情報収集(初期偵察)フェーズにフォーカスしてIPv4空間全体をスキャン、攻撃者視点でリスク要素を非侵入・非破壊的に収集。そこからサイバー攻撃による侵害の可能性との相関関係がA~D/Fのランク、100点満点のスコアで評価される。
「攻撃者たちがサイバー攻撃に利用する手口を200項目ほど調査し、10個のカテゴリーに分類・評価することで総合評価をスコアとして出しています」(藤本氏)
セキュリティレーティングで最低位のF評価を受けた企業は、最高位のA評価と比べると7.7倍もサイバー攻撃を受ける可能性が高いという統計結果が出ており、「直近の統計結果では7.7倍が13倍にまで広がっています」と藤本氏は説明する。
では、なぜさまざまな企業を評価付けできるのか、調査の仕組みはこうだ。まずは世界80ヵ所以上に設置した独自のセンサーから空いているポート、起動しているサービス、脆弱性情報などを取得。それと同時に組織ごとのドメイン登録情報から関連するIPや資産を紐付け、攻撃者が注目する問題がないかをピックアップする。ここには機械学習を活用しており、類似する規模の企業と比較したスコアを算出する。
取引先のサイバー攻撃リスクを客観的かつリアルタイムに把握
現在、グローバルで1200万社以上がセキュリティレーティングを利用している中、自社のセキュリティリスクだけではなく、グループ企業や取引先にも対象が広がってきた。また、競合企業との比較や企業買収時のサイバーデューデリジェンスにも活用されているという。
藤本氏は「2023年前半までは自社のデジタルアセットを把握し、どこに問題があるのかを確認するなど、自社の安全を保つために使われていました。しかし、2023年半ばからはグループ企業や取引先を含めたサプライチェーンリスク管理に活用されることが非常に増えてきました」と話す。
実際に管理すべき企業情報を一覧できる画面(下図)では、企業群のランクがどのように分布しているか、最も懸念される企業はどこか、クリティカルな問題はどういったものか、どのくらい検出されているかなどを俯瞰できる。こうしたスコアを継続的に調査していると自社のサプライチェーンに連なる企業が改善傾向にあるのか、それとも下落傾向にあるのかも把握できるだろう。
このようにセキュリティレーティングを用いて、調査対象組織のドメインを登録するだけで継続的にリスクを把握できる。これまでのようにグループ企業や取引先へのアンケートではなく、より客観的な状況をリアルタイムかつ継続的に把握できる点は大きなアドバンテージだ。
なお、フォレスター社の調査では、同サービスはサイバーセキュリティリスク評価プラットフォームのなかでリーダーポジションとして最も高い評価を受けているという。これまでは大企業、特にサプライチェーンの上流にある企業における導入が多かったが、中堅企業での導入も広がってきている。
また、サイバーセキュリティの格付けを行う組織でも活用されている。たとえば、日本IT団体連盟は日経平均の構成銘柄500社を対象に「サイバーインデックス企業調査」を毎年実施しているが、これまでは公開情報やアンケートから調査結果を公表していた。しかし、前々回から診断ツール調査としてセキュリティレーティングを利用している。なお、このサイバーインデックス企業調査で最高格付け「☆☆(二つ星)」を獲得した14社のうち、8社が既にセキュリティレーティングを導入済みだ。
セキュリティレーティングを使うと、自社だけではなく関連企業のセキュリティリスクも評価できるようになり、サプライチェーンリスク管理に大きく寄与する。藤本氏によると、もし取引先企業のスコアが悪いことが発覚したら「外部調査ではこういう風に見えているので、実際にそのような問題があるか確認してほしい」とセキュリティレーティングの調査結果をエビデンスとして活用することを勧める。
「取引先などとのコミュニケーションにも活用することで、サプライチェーン全体のリスク対策の底上げを実現できます。立場の異なるステークホルダー間のサイバーセキュリティリスク管理における共通言語として、ぜひご活用いただければ」と述べて講演を締めくくった。
無料で自社グループ/取引先のセキュリティリスクを評価してみませんか?
セキュリティレーティングの調査結果をエビデンスとして活用することで、サイバーセキュリティのリスクをコントロールし、客観的な情報に基づく意思決定を行うことができます。無料アカウントの作成はこちらから
