今話題のSecurity Risk Ratingとは?

 2021.11.25  株式会社ネットワークバリューコンポネンツ

高度化するサイバー攻撃に備えるべく、多くの組織でさまざまなセキュリティ対策が導入されています。従来まではFWやUTMのような水際での対策、いかに攻撃者に侵入されないようにするかという対策が注目されてきましたが、昨今ではEDRやNDRのような侵入されることを前提とした対策の導入が進められ、防ぐことができなかった脅威を迅速に検知し、対応できるよう社内の体制を整える組織が増えはじめています。

一方で、これまでのような自社だけのセキュリティ対策だけでは対応が難しいサプライチェーン攻撃による被害がここ数年増加しています。このような変化に伴い、各種ガイドラインでも組織は、自社だけではなくサプライチェーン全体に対するセキュリティ対策を把握し、備えることの重要性が記されるようになりました。

このサプライチェーン全体に対するセキュリティ対策を考える上で今注目されているのがSecurity Risk Ratingです。本ブログでは、Security Risk Ratingがそのようなものか、なぜ今必要なのかということについてまとめていきます。

今話題のSecurity Risk Ratingとは?

Security Risk Ratingとは

Security Risk Ratingは、サプライチェーンに含まれる各社に対して、攻撃者と同じ目線でセキュリティリスクを継続的に判定するようなツール、サービスです。日本ではセキュリティスコアリングサービス、などとも呼ばれます。

わかりやすく従来までのセキュリティ対策との比較のために、サイバーキルチェーンに当てはめて考えてみましょう。従来までのセキュリティ対策のうち、FWやUTMのような水際での対策は攻撃の前期段階と呼ばれる「初期侵入」、「足場確率」、「権限昇格」に対する対策でした。EDRやNDRのような侵入されることを前提とした対策は攻撃の後期段階と呼ばれる「内部偵察」、「水平展開」、「持続性確保」に対する対策です。攻撃の前期段階での対策で可能な限り攻撃を防ぎ、それでも防ぎきれない脅威は攻撃の後期段階での対策で検知対応を行う形です。

これに対してSecurity Risk Ratingはサイバーキルチェーンにおける最初の段階「情報収集」フェーズに対する対策です。攻撃者から見た時に、攻撃できる箇所が少ない、セキュアな組織、サプライチェーンに見えるようにセキュリティリスクの低い状態を維持するために利用するのがSecurity Risk Ratingという新しいセキュリティ対策です。

今話題のSecurity Risk Ratingとは?-1

Security Risk Ratingのポイントは、従来までのセキュリティ対策製品のように自社に対するセキュリティ対策だけを行うものではない、という点です。自社に加えて、グループ会社や関連企業、子会社、取引先組織といったサプライチェーンに含まれる各社に対するセキュリティリスクの定常的な監視と可視化を実現します。

セキュリティリスクの定常的な監視と可視化を行うことで、攻撃者に狙われる可能性のある箇所の把握が可能です。自社であれば適切な対応を取ることでセキュリティリスクを低減することができます。サプライチェーンに含まれる他社でセキュリティリスクが高い組織があれば、そこから攻撃が行われる可能性を考慮した対策を事前に整えることもできます。それだけではなく、その組織に対してセキュリティリスクが高い状況であることを共有し、一緒にセキュリティリスクを低減するようなアプローチも可能です。

このように、サプライチェーン全体のセキュリティリスクを定常的に把握し、サプライチェーンに含まれる各社が一緒にセキュリティ対策を行うツールとして活用できるのがSecurity Risk Ratingです。

Security Risk Ratingの利用用途

Security Risk Ratingの利用用途として5つの例を紹介します。

1. セルフチェック

従来までのセキュリティ対策製品同様、自社のセキュリティを向上するべく利用する方法です。自社のセキュリティリスクを継続的に監視、可視化することでセキュリティリスクの軽減や、低い状態の維持に活用することができます。同業他社や競合他社と比較し、業界内でもセキュリティリスクを低い状態に保つことも可能です。

2. サプライチェーンリスクマネジメント

グループ会社や関連企業、子会社、取引先組織といったサプライチェーンに含まれる各社に対し、セキュリティリスクの継続的な監視と可視化を実現します。利用者は、サプライチェーン内においてどの企業が踏み台にされて攻撃を受けるリスクがあるのかを把握できます。また、各社に対してレポートを共有し、利用者が求めるセキュリティリスクまで改善するための指針として活用することも可能です。

3. 経営陣向けレポート

第三者によるセキュリティ評価レポートとして活用できます。セキュリティリスクの可視化や、必要な対応策、他社と比較した結果などをレポート化することで、経営陣向けにもわかりやすい形での報告に活用することが可能です。

4. サイバー保険審査

サイバー保険を利用する際の保険料の査定基準として活用されます。これはまだまだ日本のサイバー保険を提供する企業の中では浸透していないものではありますが、海外ではSecurity Risk Ratingによるセキュリティ査定の結果が、サイバー保険の保険料の査定基準として活用されています。

5. 買収企業調査

企業買収前のサイバーデューデリジェンスに活用されます。こちらもまだまだ日本国内では浸透していませんが、海外ではこのような活用がされ始めています。

なぜ今Security Risk Ratingが必要なのか

ここ数年、標的型攻撃やランサムウェアによる被害が急激に増えています。2020年以降では、これらに加えてテレワークや在宅勤務といった働き方の変化を狙った攻撃も増加しました。これらのサイバー脅威が注目されがちの一方で、2019年以降非常に増えている脅威が「サプライチェーンの弱点を悪用した攻撃」です。
※サプライチェーン攻撃につきましてはこちらのブログを参照ください。

「IPA 情報セキュリティ10大脅威 2021」を見てみても組織を狙った脅威の第4位となっています。実はこの結果は今年だけではありません。2020、2019でも第4位であり、3年連続で上位にランクインしている今被害が急増しているサイバー攻撃の1つです。

今話題のSecurity Risk Ratingとは?-2

(出典:IPA 情報セキュリティ10大脅威 2021)

このような状況から、最新のガイドラインにも変化があります。経済産業省による「サイバーセキュリティ経営ガイドライン Ver 2.0」には、「指示9:ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握」と記載があります。すでにサプライチェーンに対する対策が必要である旨が記載されているということです。

今話題のSecurity Risk Ratingとは?-3

(出典:経済産業省 サイバーセキュリティ経営ガイドライン Ver 2.0)

このように、サプライチェーン攻撃が急速に広まっている現代において、これまでのような自社だけのセキュリティ対策では十分な対策ができているとは言えない状況になってきています。こうした状況を改善すべく、今注目されているセキュリティ対策製品の一つがSecurity Risk Ratingです。

まとめ

サイバー攻撃の高度化により、これまでのような自社のセキュリティ対策だけを考えればよかった時代は終わりつつあります。これからは自社に加えて、グループ会社や取引先組織といったサプライチェーン全体を考慮したセキュリティ対策が重要となります。こうした新たな時代に向けて、今注目されているセキュリティ対策が本ブログでご紹介したSecurity Risk Ratingです。

弊社では、Security Risk Ratingとして「SecurityScorecard」の取り扱いを行っております。興味があればお問い合わせください。

CTA

RECENT POST「コラム」の最新記事


コラム

急増するサプライチェーン攻撃とは?そのリスクと対策方法

コラム

MITRE ATT&CKとは?他のフレームワークとの違いや活用方法も解説

今話題のSecurity Risk Ratingとは?

RANKING人気資料ランキング

SUBSCRIBEお知らせを受け取る

RANKING人気記事ランキング

RECENT POST 最新記事

TOPIC トピック一覧