「SecurityScorecard」は、世界で急増するサプライチェーン攻撃へのリスクを瞬時に点数化し、改善すべきポイントを可視化するスコアリングサービス。
開発元のSSC社は、起業から数年で米国の著名なベンチャーキャピタルであるセコイア・キャピタル社、GV(旧グーグルベンチャーズ)社等からの資金調達に相次いで成功し、現在は世界で約800社を顧客に持つ成長企業だという。日本企業とのリセラー契約締結は、ISIDが初となる。
サプライチェーン攻撃は、標的となる企業とインターネット上で接触のあるすべての取引先や関連会社が攻撃対象となる可能性があり、その範囲は国内外を問わない。そのため、どこにリスクがあるかを網羅的に把握することが難しく、対策が後手に回っているのが現状だという。
「SecurityScorecard」の特徴
1. インターネット上のサイバー攻撃関連情報を常時収集、詳細なリスク分析結果を提供
「SecurityScorecard」の最大の特徴は、サイバー攻撃につながりうるサーバーの構成情報やマルウェアに関する情報などを、独自の手法でインターネット上から常時収集し、それらと対象企業のドメイン名に紐づく情報を照合して詳細なリスク分析を行う点にある。
クラウド上のWeb ページにドメイン名を入力するだけで、ドメインに関連するサーバーや組織内の端末などのうち、どこが危険にさらされる可能性が高いかを知ることができる。
2. セキュリティリスクを全10項目・5段階で点数化し、目標設定や対応策を明確化
「SecurityScorecard」は、対象企業のセキュリティリスクを「アプリケーション」「ネットワーク」「端末」など全10 項目に分類し、それぞれ5 段階で点数化を行う。現状のリスク対応状況が項目別に定量化されるため、目標設定や対応策が明確になり、また対応策が有効であったどうかの検証も容易に行うことができる。
3. 対象システムの運用に影響を与えることなく分析可能
現在行われている脆弱性診断の多くは、診断対象に疑似攻撃を行う手法を用いているため、システム運用者の負担が大きく、容易に行うことができない。これに対して「SecurityScorecard」は、対象システムに負荷をかけずにいつでも診断を実施することができる。
