日経新聞にも取り上げられた！
話題のサイバー防衛力の格付けとは

2022年1月以降で立て続けに日経電子版に”サイバー防衛力の格付け”に関する記事が掲載されました。そして直近では2024年4月にも、少し表現は変わっていますが"サイバー対応力の格付け"に関する記事が掲載されています。

2020年頃から日本国内でも"サイバー防衛力の格付け"に対する関心が少しずつ高まってきた中、これらの記事が掲載されたことでより多くの組織が関心を持つきっかけとなりました。しかしながらまだまだ聞き慣れない"サイバー防衛力の格付け"という言葉。具体的にどういったものでどんなメリットがあるのか、なぜ今求められているのかということがよくわからない、という方も多いのではないでしょうか。

そこで本ブログでは、"サイバー防衛力の格付け"がどのようなものか、なぜ今必要なのかということについてまとめていきます。

"サイバー防衛力の格付け"とは

「格付け」と聞くと皆様は何を思い浮かべるでしょうか。

多くの組織では、新規に取引を開始する際、信用調査という取引先企業の経営状態や支払い能力の格付け情報を利用されていると思います。より身近な例では、みなさまが普段利用しているクレジットカードについても、新規に作成する際や、利用額の上限を変更する場合に、個人の支払い能力に対する信用度が格付けされ、利用されています。

では今回日経新聞の記事にも取り上げられた”サイバー防衛力の格付け”とはどのような格付けでしょうか。

それは、「サイバー攻撃に対する予防力を示す指標」です。この格付けの結果が低いということはつまり、サイバー攻撃による被害を受ける可能性が高い組織であることを示すわけです。

これまでも各組織では様々なセキュリティ対策が取り組まれてきました。しかし、その対策が実際どの程度攻撃に対して効果的であるのか、ということを客観的に示す指標はありませんでした。サイバー攻撃による被害が年々増加を続ける今の世の中において、自組織のセキュリティ対策状況について他組織と比べた格付けの指標を得られるのが”サイバー防衛力の格付け”です。

この新たな格付けのユニークな点は、「自社だけではなくサプライチェーン全体を対策しうるもの」であることです。

昨今のサイバー攻撃ではターゲットの組織を直接狙うのでなく、取引先企業に攻撃を仕掛け、その取引先企業を経由して攻撃を行う“サプライチェーン攻撃"が増加しています。自組織だけ対策を強化しても、こうしたサプライチェーン攻撃への対処はできません。
※サプライチェーン攻撃につきましてはこちらのブログ「急増するサプライチェーン攻撃とは？そのリスクと対策方法」を参照ください。

そこで有効な対策となるのが”サイバー防衛力の格付け”です。取引先企業やグループ会社の防衛力を知ることで、求めるセキュリティレベルかどうかを判断できるため、仮に求めるレベルにない場合にはセキュリティ対策の改善を求めることができます。逆に自社が取引先企業の求めるセキュリティレベルにない場合には、改善を求められることや、最悪取引を中止されてしまうこともあるでしょう。各社が自身の防衛力を知ることで、サプライチェーン全体でセキュリティ対策レベルを向上させることができることが大きな特徴と言えます。

従来のセキュリティ対策との違い

では"サイバー防衛力の格付け"について従来のセキュリティ対策と比べてどのような立ち位置にあるのか、より詳しく説明していきましょう。

"サイバー防衛力の格付け"が従来までのセキュリティ対策と何が違うのかということを簡単に比較するために、サイバーキルチェーンの８段階に当てはめて考えてみましょう。

従来までのセキュリティ対策のうち、FWやUTMのような水際での対策は、攻撃の前期段階と呼ばれる「初期侵入」、「足場確率」、「権限昇格」に対する対策でした。これに対してEDRやNDRのような侵入されることを前提とした対策は、攻撃の後期段階と呼ばれる「内部偵察」、「水平展開」、「持続性確保」に対する対策です。攻撃の前期段階での対策で可能な限り攻撃を防ぎ、それでも防ぎきれない脅威は攻撃の後期段階での対策で検知、対応を行う多段でのセキュリティ対策となっています。

これに対して"サイバー防衛力の格付け"はサイバーキルチェーンにおける最初の段階である「情報収集(初期偵察)」フェーズに対する対策を行います。攻撃者視点で組織を見た時に、攻撃に悪用できそうな箇所が少ない、セキュアな組織に見えるようにセキュリティリスクの低い状態を維持するために活用できる新しいセキュリティ対策です。

"サイバー防衛力の格付け"のポイントは、「従来までのセキュリティ対策製品のように自社に対するセキュリティ対策だけを行うものではない」という点です。自社に加えて、グループ会社や関連企業、子会社、取引先組織といったサプライチェーンに含まれる各社に対するセキュリティリスクの定常的な監視と可視化を実現します。

セキュリティリスクが可視化されることで、攻撃者に狙われる可能性のある箇所の把握が可能です。自社であれば適切な対応を取ることでセキュリティリスクを低減することができます。サプライチェーンに含まれる他社で"サイバー防衛力の格付け"の結果、セキュリティリスクが高いと診断されている組織があれば、そこから攻撃が行われる可能性を考慮した対策を事前に整えることもできます。それだけではなく、その組織に対してセキュリティリスクが高い状況であることを共有し、一緒にセキュリティリスクを低減するようなアプローチも可能です。

このように、サプライチェーン全体のセキュリティリスクを定常的に把握し、サプライチェーンに含まれる各社が一緒にセキュリティ対策を行うツールとして活用できるのが"サイバー防衛力の格付け"です。他には、セキュリティスコアリングサービスや、セキュリティリスクレーティングとも呼ばれます。

"サイバー防衛力の格付け"の活用例

"サイバー防衛力の格付け"の活用例を6つ紹介します。

1. セルフチェック

従来までのセキュリティ対策製品同様、自社のセキュリティを向上するべく利用する方法です。自社のセキュリティリスクを継続的に監視、可視化することで自社のサイバー防衛力の格付け結果を常時把握します。年に数回診断する、といった類のものではありません。格付け結果を活用したセキュリティリスクの軽減や、セキュリティリスクが低い状態の維持に活用することができます。同業他社や競合他社と比較し、業界内でもセキュリティリスクを低い状態に保つことも可能です。

2. サプライチェーンリスク管理/サードパーティリスク管理(TPRM)

グループ会社や関連企業、子会社、取引先組織といったサプライチェーンに含まれる各社に対し、セキュリティリスクの継続的な監視と可視化を実現します。利用者は、サプライチェーン内においてどの企業のサイバー防衛力の格付け結果が低いのかを把握することで、攻撃者による踏み台にされ自社に対して攻撃を実施するようなリスクが高い組織を把握できます。
また、各社に対してリスク判定の結果を共有し、利用者が求めるセキュリティリスクまで改善するための指針として活用することも可能です。サプライチェーン各社が協力し、サプライチェーン全体でセキュリティ強化を実現するプラットフォームとなります。

3. 経営陣向けレポート

第三者によるセキュリティ評価レポートとして活用できます。セキュリティリスクの可視化や、必要な対応策、業界や他社と比較した結果などをレポート化することで、経営陣が求めるような情報をわかりやすく報告することが可能です。

4. サイバー保険審査

サイバー保険を提供する企業において、サイバー保険加入時の保険料の査定基準として活用されています。

5. 買収企業調査

企業買収前のサイバーデューデリジェンスに活用されます。まだまだ日本国内では浸透していませんが、海外ではこのような活用がされています。

6. 組織の信用格付け

掲載された日経新聞の記事にも記載がある通り、今後サイバー防衛力の格付けの結果が組織の取引可否の指標として利用されていく可能性が高まっています。場合によっては、サイバー防衛力の格付け結果が一定の水準に満たしていない「落第点」である場合には、取引が停止される可能性もではじめています。

まとめ

サイバー攻撃の高度化により、これまでのような自社のセキュリティ対策だけを考えればよかった時代は終わりつつあります。これからは自社に加えて、グループ会社や取引先組織といったサプライチェーン全体を考慮したセキュリティ対策が重要となります。こうした新たな時代に向けて今注目されているセキュリティ対策が、本ブログでご紹介した"サイバー防衛力の格付け"です。

弊社では、"サイバー防衛力の格付け"として日経新聞の記事の事例でも紹介のある「SecurityScorecard」の取り扱いを行っております。興味があればお問い合わせください。