脆弱性診断だけじゃ不十分？
セキュリティ レーティングと徹底比較

近年多くの組織で在宅勤務やリモートワークを行うような働き方の変化が起きています。こうした働き方の変化を狙ったサイバー攻撃が増えている一方で、ここ数年活発に行われている攻撃の１つにサプライチェーンを狙った攻撃があります。自社でどれだけ強固にセキュリティ対策をしても、グループ会社や取引先企業でセキュリティの弱い箇所を狙い、そこを踏み台にして攻撃を行うのがサプライチェーン攻撃です。

サプライチェーン攻撃による脅威に備えるべく新たに注目されているセキュリティ対策の１つにセキュリティ レーティングがあります。攻撃者の目線で組織に対する外部評価を行うこの新たなセキュリティ対策は、脆弱性を見つけることができるために脆弱性診断と比較されることが多いです。そこで、本ブログでは、セキュリティ レーティングと脆弱性診断は何が違うのか紹介します。

セキュリティ レーティングとは

セキュリティ レーティングは、サプライチェーンに含まれる各社に対して、攻撃者と同じ目線でセキュリティリスクを継続的に判定するようなツール、サービスです。日本ではセキュリティスコアリングサービス、などとも呼ばれます。

従来までのセキュリティ対策製品が、自社をターゲットとして到達した攻撃に対する防御や検知を行う製品であったのに対して、セキュリティ レーティングは攻撃者がターゲットとなる組織を決める段階、情報収集フェーズにフォーカスしたセキュリティ対策です。攻撃者目線でどの程度攻撃が成功しやすそうな組織に見えるかを評価し、その結果から攻撃につながる可能性の高い脆弱性や、脆弱な設定を潰し込むために活用できます。

興味深いのは、セキュリティ レーティングのセキュリティ機能の提供対象が、利用者自身の組織に留まらない点です。サプライチェーン攻撃に備えるべく、サプライチェーンリスク管理/サードパーティーリスク管理(TPRM)を行う製品でもあるため、自社に加えてグループ会社や取引先企業のセキュリティリスクを評価し、一緒にセキュリティの向上を目指せるのが特徴と言えます。

セキュリティ レーティングの詳細は別途こちらのブログを参照ください。
ブログ：今話題のセキュリティ レーティングとは？

脆弱性診断とセキュリティ レーティングの違い

「外部からセキュリティ評価を行い、脆弱性を見つける」と聞くと、脆弱性診断を思い浮かべる方も多いのではないでしょうか。そこで、このセキュリティ レーティングと脆弱性診断の違いについて「目的」、「ターゲット」、「実施頻度」の３つの観点から比較していきましょう。

目的

セキュリティ レーティングを利用する目的は「サプライチェーン全体でセキュリティリスクを軽減すること」にあります。そのために、攻撃者の目線で評価対象組織に対する第三者評価を行い、セキュリティリスクの判定、可視化を行います。情報収集フェーズにフォーカスしているため、擬似攻撃を含むような評価は行わずにインターネット上に公開されている情報だけを用いるのが特徴です。そして、評価の結果から攻撃に悪用される可能性の高い箇所を特定、対策を行うことで、攻撃者に対して攻撃が成功しにくいセキュアな組織と認識させます。つまり、セキュリティリスクが低い状態を維持することにつながります。

一方で脆弱性診断の目的は「特定の自社システムのセキュリティリスクを無くすこと」にあります。セキュリティリスクが生じる原因は誤った設定やシステムの脆弱性です。そのため脆弱性診断では診断対象となるシステムに対して、脆弱性の網羅的な抽出を行います。診断の方法とレベルによって抽出できる情報量が変わり、より強力な診断では、擬似攻撃通信を利用する場合や、アナリストによる手動での診断やハッキングなどを試みるようなものもあります。

こうした目的の違いのために、一般的にセキュリティ レーティングでは可視化されたセキュリティリスクに対して対応すべき優先順位づけを行います。しかし、脆弱性診断ツールは全ての脆弱性を修復することを前提にしているため、脆弱性そのものの危険度については提示されますが、対応の必要性に対する優先順位付けは行われません。一方で、脆弱性診断では最新の流行りの脆弱性からすでに悪用されることが少なくなっている古い脆弱性まで全ての脆弱性を網羅的に抽出します。これに対してセキュリティ レーティングでは流行りのものにフォーカスしていて網羅的に抽出することはありません。このような目的による違いがあります。

ターゲット

セキュリティ レーティングはサプライチェーンリスク管理/サードパーティリスク管理(TPRM)を行う製品です。そのため、評価対象となるのは自社だけではなく、グループ会社や取引先企業といった「サプライチェーンに含まれるあるゆる組織の公開資産」をセキュリティリスク評価対象とします。攻撃を含む評価を行なっていないため、他社に対する事前の承諾や確認を行わずに監視、評価を行えるのも特徴の一つです。

一方の脆弱性診断は、「自社で利用している特定のシステム」を診断の対象とします。公開資産だけではなく、社内ネットワーク内からのアクセスしか許可されていない非公開資産も対象とできますが、全てのシステムを対象とした診断が行われることはあまりありません。サービス提供を行っている基盤システムや、重要なシステムなどサイバー攻撃に備える重要度の高いシステムを対象として行うことが多いです。

セキュリティ レーティングは組織単位での評価を行うものであり、組織内のどのシステムを対象とするかといった精査を行う必要はありません。それに対して、脆弱性診断では自社のシステムのうちどのシステムに対して診断を行うかを判断する必要があります。これがターゲットの違いです。

実施頻度

セキュリティ レーティングは評価対象に対して定常的なセキュリティリスク評価を行うツール/サービスです。セキュリティのトレンドは日々更新されるものであり、最新の情報をもとにした評価の結果からセキュリティリスクを常時監視し、悪化した場合にすぐに対応できるようにします。

一方で多くの組織で脆弱性診断はこれまで実施されていますが、多くは年に1回や半年に1回程度の頻度で実施されています。セキュリティ対策の一環として定期的な棚卸しのような使われ方をされることが多いです。

まとめ

このようにセキュリティ レーティングと脆弱性診断は全く異なるものであり、どちらかの対策を行うことで、もう一方の対策が不要になるようなものではありません。実施したいセキュリティ対策を考えて、どちらが相応しいのかをしっかりと考えることが重要です。
弊社では2021年からセキュリティ レーティング製品としてSecurityScorecard社製品の提供を開始しております。セキュリティ レーティングにご興味がある方はぜひお問い合わせください。