先日、弊社のホームページが少し変わったのですが、皆さんは気づいたでしょうか。何が変わったのかというと、ホームページの最後にサイバー防衛力の格付け結果を示すバッジを公開するようになりました。
参考:https://products.nvc.co.jp/
このバッジが何かというと、サイバー防衛力の格付けを行う SecurityScorecard Ratings(以降”SSC Ratings”と記載)を提供するSecurityScorecard社が、2022年2月に新たに追加した機能の1つです。各社のホームページ内に"バッジ"を埋め込むことで、各社のサイバー防衛力の格付けがどのような結果であるのかを公開することができるようになりました。現時点では提供を開始したばかりということもあり、ホームページ内でこのバッジを公開している組織は多くないです。しかし、サイバー防衛力格付けの注目度が高まっている現状を踏まえると、今後多くの組織のホームページ内でこのバッジが見られるようになるのではないでしょうか。
本ブログでは、このバッジが何を意味するものであるのかを紹介するとともに、弊社がサイバー防衛力格付けで高評価を維持するためにどのような運用を行っているのか紹介します。
SecurityScorecardのバッジとは
自社のホームページ内でバッジを公開することで、自社のサイバー防衛力格付けの結果がどのような評価であるのかを示すことができます。(サイバー防衛力の格付けにつきましてはこちらのブログを参照ください。)
このバッジは、皆様がSSC Ratingsの利用者であるなしに関わらず自由にウェブサイトに掲載することが可能であり、皆様の組織が十分なセキュリティ対策を行なっていることを証明するために活用できる機能です。
(参考:SecurityScorecardのバッジ)
記載されたバッジの左上を確認することで、その組織のサイバー防衛力の格付け結果がわかる仕組みです。上図の例では、左上に「A」と記載がありますので最高評価のAグレードであることを示しています。他に、左上が「B」と表記されたBグレードを示すパターンと、左上に何も記載がないC/D/Fグレードのいずれかであることを示すパターンがあります。
このバッジを掲載することで十分なセキュリティ対策を行っていることを示せるということは、逆に言えばセキュリティ対策が不十分であることを示してしまう可能性もあります。このことを踏まえるとバッジを公開する必要があるのでしょうか。
サプライチェーン攻撃の増加により、サイバー防衛力の格付けに対する注目度は日増しに増加し、サプライチェーンリスクマネジメントにより取引先企業に対して一定レベルのセキュリティ対策を求める組織が増え始めています。自社のセキュリティ対策を強固にすることは、サイバー攻撃による被害を最小限にするだけでなく、取引先組織との安定した継続的な取引を実現することにも繋がります。そのためにまずはサイバー防衛力の格付けツールを活用し、自社のセキュリティ対策を見直し、高い評価を維持することが重要となっています。
つまり、バッジを公開するかしないかに関わらず、取引先企業からはサイバー防衛力の格付け結果がチェックされるわけです。であれば、バッジを公開することで格付け結果を高評価に維持するためのモチベーションとし、新たな取引先獲得に役立てるのも、良いのではないでしょうか。
弊社(NVC)でのSSC Ratings運用事例紹介
では、実際にサイバー防衛力の格付け結果を高評価に維持するためにはどうすれば良いのでしょうか。
弊社では、サイバー防衛力の格付けツールとしてSecurityScorecard社のSSC Ratingsを活用し、最高評価であるAグレードの維持に努めています。
本パートでは、SSC Ratingsを活用したセルフチェックのイメージを皆様に掴んでいただくべく、弊社がSSC Ratingsを導入する際に行った前準備と、現在の運用方法についてそれぞれ紹介しましょう。
前準備
SSC Ratingsでは、診断対象の組織が持つIPアドレス及びドメインを対象とした診断を行います。これらはプライマリドメインの情報から自動で収集されるため、どうしても数%の過不足が発生します。正確な診断を行うために、初期導入後には診断対象となっているIPアドレス、ドメイン情報の精査を行うことが重要です。
弊社での事例①
弊社の場合には、AWS上で稼働する必要な場合のみ稼働するシステムの登録が漏れていることを確認し追加登録をしています。一方で、サービス提供をしているシステムで弊社のネットワークとは接続がなく、重要な情報を一切含まないシステムの登録を解除しました。
実際に導入後の運用をスムーズに行うためには、精査に加えてもう一つ大事なことがあります。組織が外部公開しているシステムを管理する部門は1部門だけとは限りません。大きな組織であればあるほど、管理部門や情報システム部門、サービス部門などシステムによって管理する部門が異なります。診断の結果からセキュリティリスクとなる問題点が発覚した際の迅速な問題解決のためには、あらかじめ診断対象のIPアドレス及びドメインがどの部門によって管理されているものであるのかを把握し、見つかった問題点を解決するためのフローを決めておくことが重要です。
弊社での事例②
弊社の場合、SSC Ratingsの診断対象に含まれる各システムを管理する関係部門は4部門でした。そこで、この関係4部門から成るスコアの改善と維持を目的とするタスクフォースを結成し、定例の実施と、緊急性の高い問題点が見つかった場合の対応フローを定めています。
これによるメリットを2つ実感しています。
まず1つに、弊社が管理するシステムの全体像を把握/可視化できるようになりました。SSC Ratings導入以前でも、各部門でシステムの管理を行なっていました。しかし、部門ごとの管理であったため、会社全体でどれだけのシステムがあるのかを把握する部門はありませんでした。タスクフォースを結成したことで、容易に実現できるようになったことは弊社として大きな導入効果の一つと言えます。またこの結果、すでに利用していないシステムがまだ稼働している、削除したはずのDNSの設定情報が残っているなどの各部門での対応漏れを発見できるようなりました。
もう1つに、セキュリティリスクに対する対応の効率化です。新たな脆弱性が見つかった時の対応を例にすると、SSC Ratings導入前は各部門でシステムに対するチェックを行う形であり対応全体を取りまとめる部門はありませんでした。タスクフォースを結成し取りまとめ役となることで、問題が見つかった場合の対応の迅速化と、SSC Ratingsを活用したWチェックが可能となったことは弊社のセキュリティ対策を強固にする大きな導入効果となりました。
日々の運用方法
SSC Ratingsでは現在、110以上のセキュリティリスクとなる問題点を監視しています。問題点によってチェック頻度は異りますが、最短で1日1回のチェックを行っており、日々新たな問題点が見つかる可能性があります。加えて、新たなセキュリティリスクとなりうる問題点も定期的に追加されています。
自社のサイバー防衛力の格付け結果を高評価に維持するためには、自社のシステムで新たに見つかった問題点に対する対応を迅速に行うことが重要です。しかしながら、管理するシステムの数が多い組織の場合には、問題点が見つかるたびにそれら全てをリアルタイムで対応することは難しいでしょう。緊急性の高い問題点に対しては、あらかじめ定義した対応フローに従い迅速に対応し、緊急性がそれほど高くない問題点に対しては、定期的にチェックしていくことで効率的な運用が可能です。
弊社での事例③
弊社では、SSC Ratingsで緊急度/危険度が高いと判断された問題点に対してはリアルタイムでの対応を行い、緊急度/危険度が中程度もしくは低いと判断された問題点に対しては月次での定例会時に棚卸しを行なって対応をするようにしています。
緊急度/危険度が高いと判断された問題点を見つけたことが通知されると、タスクフォースメンバーで連携し関係部署と問題点を解決するための対応を行います。タスクフォースメンバーはSSC Ratingsで見つかった問題に対する専任対応者ではないため、即日での対応が難しいのが現状です。それでも数日以内に見つかった問題点への対応完了を目指して活動しています。この時、SSC Ratingには見つかった問題点に対する対応の完了報告機能があることに助けられています。対応報告を行うことで、SecurityScorecard社によるチェックが行われるため、対応の漏れや間違いがあった場合にもすぐに把握することが可能であり、第三者によるWチェックが行われる安心感があります。
一方で月次での定例会では、緊急度/危険度が中程度もしくは低いと判断された問題点に対して、次回の定例会までの対応方針を決定しています。指摘される問題点の中には利便性の観点からどうしても対応が難しいものも含まれるため、セキュリティリスクとのバランス、格付け結果への影響を考慮した上で、対応をいつまでに行うのが良いのか、それとも把握した上で現状の緊急度/危険度では対応を行わないものとするのか、といった対応方針を決めています。
まとめ
サプライチェーン攻撃が増加することで、取引を行うための重要な指標としてサイバー防衛力の格付け結果に注視する組織が増えることが様々な市場調査レポートで予測されています。
長らく重要なシステムや基盤に対して定期的な脆弱性診断を行っている組織は多いでしょう。しかし、日々進化するITの世界において、新たなセキュリティリスクが見つかるスピードもまた加速しています。そうした状況に対応するためには定常的なセキュリティリスクの監視が必要不可欠です。
本ブログで紹介したSSC Ratingsの利用用途はセルフチェックのみですが、実際にはサプライチェーンリスク管理のツールとしても活用ができます。取引先やグループ会社などのセキュリティ監査を行う部門が活用することで、簡単にその組織のセキュリティリスクの可視化が可能です。また、別製品であるSecurityScorecard Atlasを活用することで監査のための質問票の管理を行うこともできます。
自社のサイバー防衛力の格付け結果が気になる、高評価の維持を目指したい、セキュリティ監査業務で課題を抱えているなど、SecurityScoracard社製品に興味がある方は、ぜひお問い合わせください。
この記事に関するサービスのご紹介
SecurityScorecard
SecurityScorecard社は、企業のサイバーリスクに対する理解、その改善方法、経営陣/従業員/取引先企業とのコミュニケーションに変革をもたらすことで、より安全な世界を実現することをミッションとした企業です。
詳細はこちら