事例から学ぶ!セキュリティリスクレーティングの運用のすゝめ
3行でわかるサマリ
- サプライチェーン攻撃への対策として、セキュリティリスクレーティングが注目されている
- A社はセキュリティリスクレーティングの導入により、効率的にグループ会社のリスク管理を実現
- SecurityScorecardは、企業のサイバーセキュリティをリアルタイムに評価し、一元的なリスク管理を実現
目次
- はじめに
- セキュリティリスクレーティングの利用用途と効果
- セキュリティリスクレーティング導入企業の事例
- まとめ
・セキュリティリスクレーティングツールご紹介
1. はじめに
昨今、サイバー攻撃はさらに複雑で巧妙になり、連日そのニュースを目にする機会が増えています。
日々高度化するサイバー攻撃に対処するため、企業は様々なセキュリティ対策を導入し、検討していることでしょう。
多くの企業では、IPSやWAF等に代表されるネットワークセキュリティの導入やEDR等の侵入を想定した対策の導入を進め、自社のセキュリティ強化に取り組んでいます。しかしながら、自社の対策が進む中で、それだけでは防ぎきれないサプライチェーン攻撃による被害がここ数年で増加していることが問題視されています。
情報処理推進機構(IPA)が毎年発表している「情報セキュリティ10大脅威」の最新版(2024年版)によると、組織を標的とした脅威の中で第2位に「サプライチェーンの脆弱性を悪用した攻撃」が挙げられています。この脅威は2022年以降順位を上げ、2023年、2024年と2年間連続で第2位に位置づけられており、注目を浴び続けているサイバー攻撃の1つです。
※下記出典1-3を基に作成
出典1:独立行政法人情報処理推進機構「情報セキュリティ10大脅威2022」
https://www.ipa.go.jp/security/10threats/10threats2022.html
出典2:独立行政法人情報処理推進機構「情報セキュリティ10大脅威2023」
https://www.ipa.go.jp/security/10threats/10threats2023.html
出典3:独立行政法人情報処理推進機構「情報セキュリティ10大脅威2024」
https://www.ipa.go.jp/security/10threats/10threats2024.html
また、ガイドラインにも新たな動きが見られます。経済産業省が発表した「サイバーセキュリティ経営ガイドライン Ver 3.0」では、「指示9:ビジネスパートナーや委託先を含めたサプライチェーン全体の状況把握とその対策」が記載されています。
※出典:経済産業省「サイバーセキュリティ経営ガイドラインVer3.0」
https://www.meti.go.jp/policy/netsecurity/downloadfiles/guide_v3.0.pdf
サプライチェーン攻撃が注目を集めている現在では、自社の対策だけでは不十分であり、グループ会社も含めたサプライチェーン企業全体のセキュリティ強化が重要視されてきています。このような背景のもと、特に関心を集めているのが"セキュリティリスクレーティング"と呼ばれるソリューションです。
本記事では、セキュリティリスクレーティングの利用用途やその効果、さらに運用事例について詳しくご紹介します。
2. セキュリティリスクレーティングの利用用途と効果
セキュリティリスクレーティングの利用用途として、特に多く見られる4つの例を紹介します。
①自社リスク管理
自社のセキュリティ向上を図るための効果的な手段として活用されています。
自社のセキュリティリスクを可視化し、現状を正確に把握することで、潜在的な問題点を明確に洗い出し、具体的な改善点を特定できます。これにより、効果的な対策を講じて、リスクを軽減し、安定的なリスク状態を維持することに活用されています。
②サプライチェーンリスク管理
グループ会社や委託先、取引先などに対して、セキュリティリスクを継続的に監視・可視化することで、セキュリティを向上する手段として活用されます。この仕組みにより、自社を取り巻くサプライチェーン内で攻撃を受けるリスクが高い企業を定量的に評価でき、リスク管理の優先度を決める指標として活用できます。
さらに、各組織を1つのプラットフォームで一元管理することで管理が容易になり、リスク評価の結果を各社と共有するためのコミュニケーションツールとしても利用できます。これにより、サプライチェーン全体のセキュリティ強化が効率的かつ効果的に進められます。
③サイバー保険審査
サイバー保険を提供する企業では、セキュリティリスクレーティングが重要な基準として活用されています。海外ではサイバー保険の料率算定などに活用されています。
企業のセキュリティ状況を数値化することで、保険会社は目に見えるリスクを把握しやすくなり、リスクレーティングに基づいて適切な保険料を算定することが可能です。
④買収企業調査
特に海外の企業では、サイバーデューデリジェンスにおいて、企業買収前の評価ツールとして活用されています。
買収対象企業のセキュリティ状況を評価することで、潜在的なリスクを明確に把握できます。さらに、買収後に発生する可能性のある問題を事前に特定し、対策を講じることができます。
この利用方法の中で、国内では主に自社管理とサプライチェーンリスク管理が広まっています。サプライチェーンリスク管理はガイドラインが普及していることから、認知度や関心が高まっていますが、委託先や取引先のリスク管理は対象となる企業が多いことや管理難易度が高いことから、実施している企業はまだ少数派です。ただ、サプライチェーンリスク管理の導入を希望している企業は多く、まずは自社やグループ会社の管理を進め、その後に取引先の管理に取り組もうとしています。数年後にはリスクレーティングを用いたサプライチェーンリスク管理を行う企業が増えると予測されます。
3. セキュリティリスクレーティング導入企業の事例
リスクレーティング運用における利用用途についてお伝えしてきましたが、実際にリスクレーティングを導入している、弊社のお客様のリスクレーティング運用事例をご紹介します。
あくまで一例にはなりますが、導入を検討する際や今現在リスクレーティング運用で悩んでいる方は参考にしてください。
事例.セキュリティリスクレーティング導入により、自社・グループ会社のリスク管理を実施、効果的なセキュリティ運用を実現(A社)
導入前の課題
グローバルに事業を展開しているA社では、国内外に拠点が散在していることを背景にセキュリティ対策状況を適切に把握することができていないという課題がありました。併せて、各グループ会社間での情報共有の不足による、リスク対応の遅れといった懸念もありました。
導入を決めた理由
A社は、リスクレーティングツールを活用することで、各拠点やグループ会社のセキュリティ状況を統一された基準で評価できると考え、一元的な評価と管理の実現を期待していました。さらに、客観的なデータをもとに他社とのリスクコミュニケーションをスムーズに行える点が、導入の決定要因となりました。
運用例
A社は、リスク管理の取り組みに際して、まずはリスクレーティングツールで算出されるスコアを用いて対象企業の優先度を設定しています。基準となるスコアを満たしていない企業に対しては優先度を高く設定して、隔週でレポートなどを利用し、対策法の連携をとることでスコアの向上とセキュリティレベルの維持/向上を実現しています。また、優先度が低かった企業においても、問題点が発生した場合や基準スコアを下回った場合に是正依頼を実施することでセキュリティレベルの維持を図っています。さらに、進捗が芳しくない企業には上層部から直接是正依頼を行う仕組みを整えることで、ほとんどの対象企業が基準スコアに到達することに成功しています。
導入による効果
リスクレーティングツールを活用し、グループ会社を含むセキュリティ対策の取り組み状況を点数化することで、一覧管理を実現。また、グループ会社とのコミュニケーションツールとして活用することで、セキュリティの弱点の早期発見・可視化とその情報共有が可能になりました。
今後の展望
A社では、引き続き自社・自社グループ会社のスコア維持を実施し、効率的なリスク管理を実現するための連携を強化していく方針です。また、次のフェーズとして取引先や委託先企業に対してのリスクレーティングツールの運用を想定しており、サードパーティも含めたサプライチェーン全体のリスク管理を視野に入れています。
4. まとめ
本記事では、サプライチェーン攻撃の増加に伴い、注目を集めているセキュリティリスクレーティングの運用にフォーカスを当て、活用方法や得られる効果についてご紹介しました。これからの時代は自社だけでなく、サプライチェーン全体を見据えたセキュリティ対策が不可欠になります。
そのためには、セキュリティリスクレーティングを取り入れて、効果的にリスク管理を強化することが鍵となります。
セキュリティリスクレーティングツールご紹介
最後に、これまでご紹介したリスクレーティングツールの中でも、特に世界的に知名度が高く、スコアの信頼性の観点において強みを持つ製品である「SecurityScorecard」についてご紹介します。
SecurityScorecardは、企業のサイバーセキュリティ態勢を評価するためのプラットフォームであり、リアルタイムにセキュリティリスクをスコアリングし、脆弱性やリスク要因を可視化します。企業はこの情報を活用して、効果的なリスク管理や対策の強化をすることができます。評価は120項目以上の観点からセキュリティリスクの分析によって行われ、100点を満点とした減算式のスコアリングと、A-D/Fの5段階グレーディングによって、セキュリティ状況を可視化します。
さらに、見つかった問題点に対する詳細な説明や推奨事項、関連するアセット(IT資産)の情報を確認できます。そして、多言語で出力可能なレポートや自動作成される改善施策のプランニング機能も備えるなど、ユーザビリティに富んでいるため、企業間でのコミュニケーションにおいて有用性が高く、効果的にリスク管理ができる点も魅力的な製品です。
下記よりSecurityScorecardに関する資料をご覧ください。