SecurityScorecard社が提供する
「SecurityScorecard Ratings」による、
企業のセキュリティ態勢を攻撃者視点でレイティングするサービス
セキュリティリスクレイティングサービス
米SecurityScorecard社(以下SSC社)が独自で収集している情報や、インターネット上で収集できる情報をもとに、企業のサイバーセキュリティ対策状況を診断し、レイティングを行うサービスです。
診断に必要な情報はドメインのみであり、非侵入の評価手法を用いることから、自社グループのみならず取引先などのサードパーティについても容易に評価を行うことができます。
サプライチェーンを構成する企業のセキュリティ対策レベルをチェックすることで、サプライチェーンのどこに弱点が存在するのかを把握することが可能となります。
レイティング手法
4ステップでレイティング行います。
SSC社独自の技術により、評価対象企業に関連する外部公開資産を自動で特定し、脆弱性や設定不備に関する情報(イシュー)が紐づけられます。これらのイシューは10のカテゴリーに分類され、イシューの深刻度や検出件数をもとにレイティングが実施され、カテゴリーごとのスコアおよび総合スコアを判定いたします。
レイティングはデイリーで更新されるため、継続的に最新の評価結果を把握することが可能です。
既に1,100万社※を超える企業のレイティングデータを有しており、この大量のデータを基に統計解析によって各社の評価を行うため、信憑性高いレイティング結果を提供します。
※2021年10月時点。
-
データ収集
-
データ収集
Active/Passiveスキャン等、多数の手段を用いて、常時モニタリングを行います。モニタリング対象は1,100万社以上に及び、高い網羅性を誇ります。
-
データ分析
-
IPアトリビューション
SecurityScorecard社独自の技術により、国内外の企業のデジタル資産を高精度で特定します。構成変更やクラウド環境など、環境の変化にも早期に対応可能です。
-
リスク評価
-
収集した脆弱性・設定不備を10のリスクカテゴリから評価
-
1. Network Security
2. DNS Security
3. Patching Cadence
4. Endpoint Security
-
5. IP Reputation
6. Application Security
7. Cubit™ Score
-
8. Hacker Chatter
9. Leaked information
10. Social Engineering
-
-
スコアリング
-
ABCDFの5段階で総合スコアを判定
- A
- B
- C
- D
- F
-
01
ネットワーク・セキュリティ
安全でないネットワークの検出
-
02
DNSの正常化
安全でないDNS設定と脆弱性有無の検出
-
03
パッチ適用頻度
サポート終了製品や脆弱性を含む可能性のある古いシステムの検出
-
04
エンドポイント・セキュリティ
従業員のワークステーションなど、作業端末のセキュリティレベルを測定
-
05
IPレピュテーション
企業ネットワーク内におけるマルウェアやスパムなどの疑わしい通信の検出
-
06
アプリケーション・セキュリティ
一般的なウェブアプリケーションの脆弱性の検出
-
07
キュービット・スコア
SSC独自のアルゴリズムで、一般的なベストプラクティスをもとにリスクを測定
-
08
ハッカーチャッター
ハッカーサイトにおける、お客様企業に関する話題を確認
-
09
漏洩された情報
誤って漏えいしている可能性のある、企業機密情報の検出
-
10
ソーシャル・エンジニアリング
ソーシャルエンジニアリングまたはフィッシング攻撃に対する従業員の認識を測定
攻撃者の目線に立ったレイティング
本サービスは、攻撃者が標的企業の情報収集を行うフェーズにフォーカスし、攻撃者目線で企業のセキュリティ対策状況を診断し、レイティングを行います。
診断対象企業に内在する脆弱性のみならず、スコアを確認することによって「攻撃者からの狙われやすさ」を把握することができ、継続的に良好なスコアを保つことで、攻撃されにくい環境を維持することが可能となります。
スコアとセキュリティ侵害の相関関係
SSC社が評価したスコアとセキュリティ侵害との間には相関関係があることが、統計的に確認されております。
過去セキュリティ侵害が発生した数千社に対してSSC社が統計分析を行ったところ、Fスコアの企業では、Aスコアの企業と比較し7.7倍ものセキュリティ侵害が発生しており、SSCのスコアを改善することが、セキュリティ侵害の発生を低減させることにつながるといえます。
SecurityScorecardを活用して実現できること
自社のみならず、国内外グループ企業および取引先企業のセキュリティ対策レベルについて、
既存のチェックリストによるアセスメントだけではカバーできなかった領域の実態が
把握できるようになるため、バランスを考慮したセキュリティ投資の判断が可能となり、
サプライチェーン全体のセキュリティレベルの強化を実現します。
問題点の把握
スコアの根拠となる脆弱性やその他の問題点について、検出元のIPアドレスやURL等も指摘するため、攻撃者から狙われる前にプロアクティブな対応が可能となります。
グループ各社や取引先に対しても、具体的な問題点を提示することができるため、円滑なコミュニケーションを促し、実効性高い管理が可能となります。
スコア改善方法の提示
スコアの改善プランを自動で作成するため、適切なスコアを維持するために必要な対策を、優先順位付け実行することが可能となります。
レポート作成機能
スコアが確認できるサマリーレポートだけでなく、検知された脆弱性や問題点を具体的に確認ができる詳細レポートを自動で作成します。
英語、日本語を含む7か国語へ自動翻訳機能が実装されているため、海外の関係者への情報共有も容易に行うことが可能であり、社内外の報告資料作成を効率化いたします。
ベンチマーク
ベンチマークしたい特定の企業とセキュリティ状況を比較することができるため、同業他社と比較することで業界内における自社の対策状況について客観的に把握することが可能です。
SecurityScorecardの活用事例
製造業
セルフモニタリング
課題
- ・国内外に拠点が散在しており、セキュリティ対策状況を適切に把握することができていなかった。
- ・社内の人的リソースが限られており、着手することができていなかった。
活用方法
- ・自社に関連するドメインを対象にSSCでモニタリング。現状把握とともに、問題点の洗い出しを実施。
- ・検出された問題点に対して深刻度に応じた優先順位を付け、順次対策を行った。
- ・現状は自社のみを対象に活用しているが、次フェーズとして国内グループ企業も対象とする運用に拡大予定。
小売業
小売業 / 海外グループ会社管理
課題
- ・海外グループ会社の管理は手つかずであり、現場任せとなっていた。
- ・言語の壁がありコミュニケーションをとることもできておらず、現状把握もできていない状況であった。
活用方法
- ・海外グループ会社をSSCでモニタリングを行い、現状把握を行った。
- ・レポート機能を活用し、問題点の共有を実施。
- ・当地の言語に翻訳したレポートを提供できること、また具体的に脆弱性を指摘することができることで、対策指示を出すことに成功。
- ・SSCで常時モニタリングを行うことで、継続的にコミュニケーションを実施。
金融業
委託先管理
課題
- ・委託先に対して、定期的なチェックリストによる点検、実査を行い膨大な時間とコストを投じている割に実態把握が進まない状況。
- ・コロナ禍におけるテレワークの促進やDX関連の案件が増加している中、従来の方式では点検しきれない課題に直面。
活用方法
- ・既存のチェックリスト運用ではカバーできていない領域に対してSSCを活用。重要な委託先やリスク評価が不十分な委託先をSSCに登録し、スコア推移をモニタリング。
- ・新規ベンダーについては、SSCの評価項目で初期指標を設け、選定時のファーストレビューの効率化(チェックリスト等、その他のリスク評価手法を実施する事前の選定)。
- ・ウィークポイントの早期可視化、委託先や委託元事業部門と対話量を増やす新たな点検手法として活用。
SecurityScorecard Trust Portal
SSC社は透明性高く情報を公開しております。
上記サイトでは、最新の提供済みのスコアカード数など最新の情報や、
レイティング手法についてもご確認いただくことが可能です。
サイバーセキュリティに関するさまざまな課題にお応えします。
お気軽にご相談ください。