日経新聞にも取り上げられた!
話題のサイバー防衛力の格付けとは

 2022.02.21  株式会社ネットワークバリューコンポネンツ

2022年1月8日の日経新聞に掲載された「サイバー防衛力の格付け広がる 「落第企業」取引停止も」という記事が掲載されました。

日経新聞にも取り上げられた! 話題のサイバー防衛力の格付けとは-1

出典:https://www.nikkei.com/article/DGXZQODZ317TQ0R30C21A3000000/?unlock=1

2020年頃から日本国内でも”サイバー防衛力の格付け”に対する関心が少しずつ高まってきた中、この記事が掲載されたことでより多くの組織が関心を持つきっかけとなりました。しかしながらまだまだ聞き慣れない"サイバー防衛力の格付け"という言葉。具体的にどういったものでどんなメリットがあるのか、なぜ今求められているのかということがよくわからない、という方も多いのではないでしょうか。

そこで本ブログでは、"サイバー防衛力の格付け"がどのようなものか、なぜ今必要なのかということについてまとめていきます。

"サイバー防衛力の格付け"とは

「格付け」と聞くと皆様は何を思い浮かべるでしょうか。

多くの組織では、新規に取引を開始する際、信用調査という取引先企業の経営状態や支払い能力の格付け情報を利用されていると思います。より身近な例では、みなさまが普段利用しているクレジットカードについても、新規に作成する際や、利用額の上限を変更する場合に、個人の支払い能力に対する信用度が格付けされ、利用されています。

では今回日経新聞の記事にも取り上げられた「サイバー防衛力の格付け」とはどのような格付けでしょうか。

それは、「サイバー攻撃に対する予防力を示す指標」です。この格付けの結果が低いということはつまり、サイバー攻撃による被害を受ける可能性が高い組織であることを示すわけです。

これまでも各組織では様々なセキュリティ対策が取り組まれてきました。しかし、その対策が実際どの程度攻撃に対して効果的であるのか、ということを客観的に示す指標はありませんでした。サイバー攻撃による被害が年々増加を続ける今の世の中において、自組織のセキュリティ対策状況について他組織と比べた格付けの指標を得られるのが「サイバー防衛力の格付け」です。

この新たな格付けのユニークな点は、自社だけではなくサプライチェーン全体を対策しうるものであることです。

昨今のサイバー攻撃ではターゲットの組織を直接狙うのでなく、取引先企業に攻撃を仕掛け、その取引先企業を経由して攻撃を行う“サプライチェーン攻撃”が増加しています。自組織だけ対策を強化しても、こうしたサプライチェーン攻撃への対処はできません。そこで有効な対策となるのが「サイバー防衛力の格付け」です。取引先企業やグループ会社の防衛力を知ることで、求めるセキュリティレベルかどうかを判断できるため、仮に求めるレベルにない場合にはセキュリティ対策の改善を求めることができます。逆に自社が取引先企業の求めるセキュリティレベルにない場合には、改善を求められることや、最悪取引を中止されてしまうこともあるでしょう。各社が自身の防衛力を知ることで、サプライチェーン全体でセキュリティ対策レベルを向上させることができることが大きな特徴と言えます。

企業のサイバー防衛力を評価
攻撃されにくい環境を作るためのリスクモニタリング

従来のセキュリティ対策との違い

では"サイバー防衛力の格付け"について従来のセキュリティ対策と比べてどのような立ち位置にあるのか、より詳しく説明していきましょう。

"サイバー防衛力の格付け"が従来までのセキュリティ対策と何が違うのかということを簡単に比較するために、サイバーキルチェーンの8段階に当てはめて考えてみましょう。

従来までのセキュリティ対策のうち、FWやUTMのような水際での対策は攻撃の前期段階と呼ばれる「初期侵入」、「足場確率」、「権限昇格」に対する対策でした。これに対してここ数年で新たに導入が進んでいるEDRやNDRのような侵入されることを前提とした対策は攻撃の後期段階と呼ばれる「内部偵察」、「水平展開」、「持続性確保」に対する対策です。攻撃の前期段階での対策で可能な限り攻撃を防ぎ、それでも防ぎきれない脅威は攻撃の後期段階での対策で検知や対応を行う形です。
これに対して"サイバー防衛力の格付け"はサイバーキルチェーンにおける最初の段階である「情報収集」フェーズに対する対策を行います。攻撃者から見た時に、攻撃できる箇所が少ないセキュアな組織に見えるようにセキュリティリスクの低い状態を維持するために活用できる新しいセキュリティ対策です。

日経新聞にも取り上げられた! 話題のサイバー防衛力の格付けとは-2

出典:https://www.fireeye.jp/content/dam/fireeye-www/services/pdfs/mandiant-apt1-report.pdf

"サイバー防衛力の格付け"のポイントは、従来までのセキュリティ対策製品のように自社に対するセキュリティ対策だけを行うものではない、という点です。自社に加えて、グループ会社や関連企業、子会社、取引先組織といったサプライチェーンに含まれる各社に対するセキュリティリスクの定常的な監視と可視化を実現します。

セキュリティリスクの定常的な監視と可視化を行うことで、攻撃者に狙われる可能性のある箇所の把握が可能です。自社であれば適切な対応を取ることでセキュリティリスクを低減することができます。サプライチェーンに含まれる他社で"サイバー防衛力の格付け"の結果がセキュリティリスクが高いと診断されている組織があれば、そこから攻撃が行われる可能性を考慮した対策を事前に整えることもできます。それだけではなく、その組織に対してセキュリティリスクが高い状況であることを共有し、一緒にセキュリティリスクを低減するようなアプローチも可能です。

このように、サプライチェーン全体のセキュリティリスクを定常的に把握し、サプライチェーンに含まれる各社が一緒にセキュリティ対策を行うツールとして活用できるのが”サイバー防衛力の格付け”です。他には、セキュリティスコアリングサービスや、セキュリティリスクレイティング

"サイバー防衛力の格付け"の活用例

"サイバー防衛力の格付け"の活用例を6つ紹介します。

1. セルフチェック

従来までのセキュリティ対策製品同様、自社のセキュリティを向上するべく利用する方法です。自社のセキュリティリスクを継続的に監視、可視化することで自社のサイバー防衛力の格付け結果を常時把握します。年に数回診断する、といった類のものではありません。格付け結果を活用したセキュリティリスクの軽減や、セキュリティリスクが低い状態の維持に活用することができます。同業他社や競合他社と比較し、業界内でもセキュリティリスクを低い状態に保つことも可能です。

2. サプライチェーンリスクマネジメント

グループ会社や関連企業、子会社、取引先組織といったサプライチェーンに含まれる各社に対し、セキュリティリスクの継続的な監視と可視化を実現します。利用者は、サプライチェーン内においてどの企業のサイバー防衛力の格付け結果が低いのかを把握することで、攻撃者による踏み台にされ自社に対して攻撃を実施するようなリスクが高い組織を把握できます。また、各社に対してレポートを共有し、利用者が求めるセキュリティリスクまで改善するための指針として活用することも可能です。

3. 経営陣向けレポート

第三者によるセキュリティ評価レポートとして活用できます。セキュリティリスクの可視化や、必要な対応策、他社と比較した結果などをレポート化することで、経営陣向けにもわかりやすい形での報告に活用することが可能です。

4. サイバー保険審査

サイバー保険を利用する際の保険料の査定基準として活用されます。これはまだまだ日本のサイバー保険を提供する企業の中では浸透していないものではありますが、海外ではサイバー防衛力の格付け結果によるセキュリティ査定が行われていて、サイバー保険の保険料の査定基準として活用されています。

5. 買収企業調査

企業買収前のサイバーデューデリジェンスに活用されます。こちらもまだまだ日本国内では浸透していませんが、海外ではこのような活用がされ始めています。

6. 組織の信用格付け

掲載された日経新聞の記事にも記載がある通り、今後サイバー防衛力の格付けの結果が組織の取引可否の指標として利用されていく可能性が高まっています。場合によっては、サイバー防衛力の格付け結果が一定の水準に満たしていない「落第点」である場合には、取引が停止される可能性もではじめています。

まとめ

サイバー攻撃の高度化により、これまでのような自社のセキュリティ対策だけを考えればよかった時代は終わりつつあります。これからは自社に加えて、グループ会社や取引先組織といったサプライチェーン全体を考慮したセキュリティ対策が重要となります。こうした新たな時代に向けて、今注目されているセキュリティ対策が本ブログでご紹介した"サイバー防衛力の格付け"です。

弊社では、"サイバー防衛力の格付け"として日経新聞の記事の事例でも紹介のある「SecurityScorecard」の取り扱いを行っております。興味があればお問い合わせください。

攻撃されにくい環境を作るためのリスクモニタリング

RECENT POST「SecurityScorecard」の最新記事


SecurityScorecard

弊社のサイバー防衛力を初公開 ~公開する意義と弊社の取り組みをご紹介~

SecurityScorecard

海外拠点で取るべきセキュリティ対策。日本より大きい情報漏洩のリスク

SecurityScorecard

今話題のSecurity Risk Ratingとは?

日経新聞にも取り上げられた! 話題のサイバー防衛力の格付けとは
攻撃されにくい環境を作るためのリスクモニタリング

RANKING人気資料ランキング

SUBSCRIBEお知らせを受け取る

RANKING人気記事ランキング

RECENT POST 最新記事