セキュリティ監査の新機軸"レーティングサービス"の破壊力
目次
- 高まるサプライチェーンリスク
- 自社を守るためにもセキュリティ監査の重要性はこれまで以上
- セキュリティ監査では"調査業務"の負担が大きい
- 新たな方策として注目されるレーティングサービスとは
- 海外では義務化も進む自社のスコアレポートの開示
1.高まるサプライチェーンリスク
デジタル化が進むなか、ランサムウェアをはじめとしたセキュリティインシデントが企業規模問わず発生しており、企業経営において深刻な問題となっていることは、みなさんご存知の通りだろう。なかでも、企業同士がシステム連携することで、グループ会社や取引先含めたシステムの脆弱性が、サプライチェーン全体に深刻なダメージを与える事象が頻繁に起こっており、サプライチェーンリスクへの対策が多くの企業で求められている。
独立行政法人情報処理推進機構(I PA)が毎年公開している情報セキュリティ10 代脅威においても、2 023 年にはサプライチェーンの弱点を悪用した攻撃が第2 位に挙げられるなど、自社だけの対策では重大なセキュリティインシデントを防ぐことは難しい時代になっている。
2.自社を守るためにもセキュリティ監査の重要性はこれまで以上
そもそもサプライチェーンの弱点を狙う脅威とは、セキュリティ対策の強固な関連企業・サービス・ソフトウェアなどは直接攻撃せずに、それ以外のセキュリティ対策が脆弱なプロセスを最初の標的とし、そこを踏み台として顧客や上流プロセスの関連企業など本命の標的を攻撃するものだ。そのため、どれだけ自社のセキュリティ対策を強化したとしても、グループ会社や取引先の保有システムに脆弱性が存在していると、信頼できる取引先からのアクセスを正規なものとして処理してしまい、内部に侵入されてしまった結果、情報漏洩やランサムウェアの被害にあってしまう可能性があるわけだ。
調達先含めたサプライチェーン全体のセキュリティレベルを向上させるには、契約時に取引先の規則を確認することはもちろん、取引先との連絡プロセスの確立や情報セキュリティ対応の確認、監査など被害の予防に向けた取り組みが重要になってくる。ただし、グループ会社であれば自社のセキュリティ対策基準をベースにセキュリティの対策状況を明らかにしていけばいいが、外部の取引先に同一の基準を当てはめることができるかどうかは分からない。その意味でも、取引先企業に向けた統一的な情報セキュリティ対策基準を自社で策定したうえで、部門ごとに取引先のセキュリティ対策状況を把握し、監査していく体制づくりが求められることになる。
3.セキュリティ監査では"調査業務"の負担が大きい
実施にサプライチェーン全体にセキュリティ監査を行うには、多くの手間と時間が必要になる。その方法としては、取引先に適用すべき情報セキュリティ対策基準を提示したうえで、その対応状況をアンケートや直接ヒアリングして実態を明らかにし、その基準が満たされているかどうかの確認を定期的に実施していかなければならない。そのため、取引先が多くなればなるほど、セキュリティ対策状況の可視化をしていく作業には時間がかかり、アンケート回収だけでも多くの時間を要することになるはずだ。
また、ケースによっては攻撃者の手法を知り尽くしたセキュリティエンジニアが実際の攻撃を行って脆弱性を洗い出すペネトレーションテストの実施も有効な手立ての1 つだが、当然内部に高度な知識を有したセキュリティ人材を確保することが大変なだけでなく、サプライチェーン全体に対して攻撃を仕掛けるようなテストを定期的に外部に依頼することで、高額な費用が発生することになってしまう。有効な手立てではあるものもの、セキュリティ監査を効率的に行うという意味では、選択しづらいところだろう。
サプライチェーン全体のセキュリティ対策を専任に行う人材が確保できればいざ知らず、多くの企業では専任のセキュリティ担当者を設置しておくことは難しい。システムの運用保守など他業務との兼任でサプライチェーン全体のセキュリティ管理を行わざるを得ない企業が多く、できる限り状況把握に時間と手間をかけない方法が望まれているはずだ。
4.新たな方策として注目されるレーティングサービスとは
そんなアンケート調査含めたセキュリティ監査の手段として注目されているのが、企業のセキュリティ状態を点数化できるセキュリティレーティングサービスだ。
レーティングサービスは、外部から見たときの攻撃者からの狙われやすさを点数として数値化したもので、統一的な基準に沿って監査を実施してくれるサービス。攻撃を開始する前の攻撃者と同じ目線でターゲットとなる企業の情報収集を行い、ドメイン情報に紐づく外部公開サービスやI P アドレスを洗い出したうえで調査、点数化していく。具体的には、脆弱性スキャンを行わず非侵入型の調査方法を用いることで、運用中の既存システムに影響を与えずに調査が行われることになる。そしてサービスによっては、点数を下げる要因に対して、その具体的な対策方法についても案内してくれる。
レーティングサービスが注目されているのは、前述した通り、監査をはじめとしたセキュリティチェック運用の効率化に大きく貢献してくれるためだ。従来は、監査側の企業がヒアリングしたい内容が網羅されたチェックシートをベースに人に回答してもらい、その内容が判断材料となる。アナログ的な手法のため、正確性や網羅性には限界があり、自社にとってもアンケート回答する取引先にとっても負担は大きなものだろう。
レーティングサービスを利用すれば、自社だけでなく取引先に対してのセキュリティ監査結果そのものがデータとして点数として示されることで、定量的な評価が可能になる。また、各スコアの収集やレポート化が可能なため、運用負担を大きく軽減することにつながってくる。特に、取引先については、ある意味でいつの間にか調査されていることになるため、アンケート回答などの手間が全くかからなくなるわけだ。
なお、レーティングサービスは、客観的な事実に基づいてセキュリティレベルの共通指標が確立できる点が大きなメリットとなるが、一方で機械的に保有資産の脆弱性からスコア化を行う仕組みのため、他社資産の一部も自社の資産として紐づけられることがあり、数値の低下につながるノイズとしてスコアに影響する部分は出てきてしまう。また、ドメイン情報をもとに資産を発見、数値化する仕組みとなっているため、把握できていないドメインに関連した資産については発見できない。これらについては運用による工夫や別のソリューションで補完することも可能なため、レーティングサービス導入時に最適な活用方法を含めて検討する必要がある。
5.海外では義務化も進む自社のスコアレポートの開示
レーティングサービスは、何も自社が利用するだけにとどまらない。レーティングサービスを使うことで、自社としてセキュリティ監査を実施したい関連会社や取引先のセキュリティスコアが把握できるだけでなく、実は外部から自社の点数をチェックされることも当然ながら発生する。つまり、任意のタイミングで外部から自社が評価される時代がやってくるわけだ。
この外部とは、自社の取引先はもちろん、競合他社や株主などが想定されるが、定量的なセキュリティの対応状況が外部に明示されることで、自社のビジネスに少なからず影響を及ぼすことが考えられることは想像に難くない。
参考までに、海外における法規制の動きもある。例えばフランスでは、2 0 2 2 年3 月に制定され、2 0 2 3 年10 月より施行されたCyberscore Lawにおいて、大手販売業社5 0 0 社に対して、サイバースコアの開示を義務付けており、今後も電力網やヘルルスケアなど多くの企業にまでその開示義務が拡大することが計画されている。
日本においては、民間企業における義務化はないものの、日本政府の業務委託先については、米国政府が調達時に必要なセキュリティガイドラインとなる「N I S T S P 8 0 0 -171 」に沿ったサプライチェーンリスク対策が求められることになる。そのため、調達から販売・供給までの一連のサプライチェーンに存在する、業務委託先や関連企業のすべてで、一貫したセキュリティ基準を持つことが必要となってくる。そんなセキュリティレベルを担保していくための監査業務は重要なものとなっており、その効率化を図るためのレーティングサービスは、今後大きなトレンドとなってくる可能性は高い。
▼続きはホワイトペーパーをDLください。
(続きの目次)
6. レーティングサービス活用ユースケース3 選
7. マクニカが提供するSecurityScorecardとは?