脆弱性診断だけじゃ不十分?Security Risk Ratingと徹底比較

 2022.01.05  株式会社ネットワークバリューコンポネンツ

働き方の変化に伴い、多くの組織で在宅勤務やリモートワークを行うようになりました。こうした働き方の変化を狙ったサイバー攻撃が増えている一方で、ここ数年活発に行われている攻撃の1つにサプライチェーンを狙った攻撃があります。自社でどれだけ強固にセキュリティ対策をしても、グループ会社や取引先企業でセキュリティの弱い箇所を狙い、そこを踏み台にして攻撃を行うのがサプライチェーン攻撃です。

こうした脅威に備えるべく新たに注目されているセキュリティ対策の1つにSecurity Risk Ratingがあります。攻撃者の目線で組織に対する外部診断を行うこの新たなセキュリティ対策は、脆弱性を見つけることができるために脆弱性診断と比較されることが多いです。そこで、本ブログでは、Security Risk Ratingと脆弱性診断は何が違うのか紹介します。

脆弱性診断だけじゃ不十分?Security Risk Ratingと徹底比較

Security Risk Ratingとは

Security Risk Ratingは、サプライチェーンに含まれる各社に対して、攻撃者と同じ目線でセキュリティリスクを継続的に判定するようなツール、サービスです。日本ではセキュリティスコアリングサービス、などとも呼ばれます。

従来までのセキュリティ対策製品が、自社をターゲットとして到達した攻撃に対して防御や検知を行う製品であったのに対して、Security Risk Ratingは攻撃者がターゲットとなる組織を決める段階、情報収集フェーズにフォーカスしたセキュリティ対策です。攻撃者目線でどの程度攻撃が成功しやすそうな会社に見えるかを診断し、その結果から攻撃につながる可能性の高い脆弱性や、脆弱な設定を潰し込むために活用できます。

興味深いのは、Security Risk Ratingのセキュリティ機能の提供対象が、利用者自身の会社に留まらない点です。サプライチェーン攻撃に備えるべく、サプライチェーンリスク管理を行う製品でもあるため、自社に加えてグループ会社や取引先企業のセキュリティリスクを診断し、一緒にセキュリティの向上を目指せるのがSecurity Risk Rating製品の特徴と言えます。

Security Risk Ratingの詳細は別途こちらのブログを参照ください。
ブログ:今話題のSecurity Risk Ratingとは?

脆弱性診断とSecurity Risk Ratingの違い

「外部からセキュリティ診断を行い、脆弱性を見つける」と聞くと、脆弱性診断を思い浮かべる方も多いのではないでしょうか。そこで、このSecurity Risk Ratingと脆弱性診断の違いについて「目的」、「診断対象」、「実施頻度」の3つの観点から比較していきましょう。

目的

Security Risk Ratingを利用する目的はセキュリティリスクを軽減することにあります。そのために、攻撃者の目線で診断対象企業に対する第三者評価を行い、セキュリティリスクの判定、可視化を行います。情報収集フェーズにフォーカスしているため、擬似攻撃を含むような診断は一切行わずにインターネット上に公開されている情報だけを用います。そして、診断の結果から攻撃を受ける可能性の高い箇所を特定、対策を行うことで、攻撃者に対して攻撃が成功しにくいセキュアな会社と認識させます。これによってばら撒き型な攻撃被害を最小限にし、セキュリティリスクが低い状態を維持することにつながります。

一方で脆弱性診断の目的はセキュリティリスクを無くすことにあります。セキュリティリスクが生じる原因は誤った設定やシステムの脆弱性です。そのため脆弱性診断では診断対象となるシステムに対して、網羅的の抽出を行います。診断のレベルによって抽出できる情報量が変わり、より強力な診断では、擬似攻撃通信を利用する場合や、アナリストによる手動での診断やハッキングなどを試みるようなものもあります。

こうした目的の違いのために、一般的にSecurity Risk Ratingでは可視化されたセキュリティリスクに対して対応すべき優先順位づけを行いますが、脆弱性診断ツールは全ての脆弱性を修復することを前提にしているため優先順位づけは行われません。一方で、脆弱性診断は最新の流行りの脆弱性から古いすでに悪用されることのほぼないような脆弱性まで全ての脆弱性を網羅的に抽出しますが、Security Risk Ratingでは流行りのものにフォーカスしていて網羅的に抽出することはありません。このような目的による違いがあります。

脆弱性診断だけじゃ不十分?Security Risk Ratingと徹底比較-1

診断対象

Security Risk Ratingはサプライチェーンリスク管理を行う製品です。そのため、診断対象となるのは自社だけではなく、グループ会社や取引先企業といったサプライチェーンに含まれるあるゆる組織をセキュリティリスク判定対象とします。攻撃を含む診断を行なっていないため、他社に対する監視、診断を行えるのも特徴の一つです。

一方の脆弱性診断は、自社で利用しているシステムを対象とします。それも全てのシステムを対象とするものではなく、サービス提供を行っている基盤システムや、重要なシステムなどサイバー攻撃に備える重要度の高いシステムを対象として行うことが多いです。

Security Risk Ratingは組織単位での診断を行うものであり、組織内のどのシステムを対象とするかといった精査を行う必要はありません。それに対して、脆弱性診断では自社のシステムのうちどのシステムに対して診断を行うかを判断する必要があります。これが診断対象の違いです。

comparison-with-security-risk-rating-2

実施頻度

Security Risk Ratingは診断対象に対して定常的なセキュリティリスク診断を行うツール/サービスです。セキュリティのトレンドは日々更新されるものであり、最新の情報をもとにした診断結果からセキュリティリスクを定常的に監視し、悪化した場合にすぐに対応できるようにします。

一方で多くの組織で脆弱性診断はこれまで実施されていますが、多くは年に1回や半年に1回程度の頻度で実施されています。セキュリティ対策の一環として定期的な棚卸しのような使われ方をされることが多いです。

脆弱性診断だけじゃ不十分?Security Risk Ratingと徹底比較-3

まとめ

このようにSecurity Risk Ratingと脆弱性診断は全く異なるものであり、どちらかの対策を行うことで、もう一方の対策が不要になるようなものではありません。実施したいセキュリティ対策を考えて、どちらが相応しいのかをしっかりと考えることが重要です。
弊社では2021年から新たにSecurity Risk RatingのNo1ベンダであるSecurityScorecardの提供を開始しております。Security Risk Ratingにご興味がある方はぜひお問い合わせください。

攻撃されにくい環境を作るためのリスクモニタリング

RECENT POST「Security Scorecard」の最新記事


Security Scorecard

急増するサプライチェーン攻撃とは?そのリスクと対策方法

Security Scorecard

MITRE ATT&CKとは?他のフレームワークとの違いや活用方法も解説

Security Scorecard

今話題のSecurity Risk Ratingとは?

Security Scorecard

第二第三のApache Log4jへの備え - SecurityScorecard Ratingsで定常的なセキュリティ監視を

脆弱性診断だけじゃ不十分?Security Risk Ratingと徹底比較
攻撃されにくい環境を作るためのリスクモニタリング

RANKING人気資料ランキング

SUBSCRIBEお知らせを受け取る

RANKING人気記事ランキング

RECENT POST 最新記事

TOPIC トピック一覧