今話題のセキュリティ レーティングとは？

皆様の組織でも、日々高度化するサイバー攻撃に備えるべく、さまざまなセキュリティ対策の導入、検討が行われていることでしょう。従来までは、FWやUTMのような水際での対策を強化することで攻撃者を社内ネットワークに侵入させないための対策が注目されてきました。しかしながら昨今では、EDRやNDRのような攻撃者に侵入されることを前提とした対策の導入が進んでおり、水際で防ぐことができなかった脅威を迅速に検知し、対応できるよう社内の体制を整える組織が増えはじめています。

こうしたセキュリティ対策の変化がある一方で、自社に対するセキュリティ対策だけでは対応が難しいサプライチェーン攻撃による被害がここ数年増加しています。このような変化に伴い、各種ガイドラインでも、組織は自社だけではなくサプライチェーン全体に対して、セキュリティ対策を把握し、備えることの重要性が記されるようになりました。

このサプライチェーン全体に対するセキュリティ対策を考えていく上で今注目されているのがセキュリティ レーティングです。本ブログでは、セキュリティ レーティングがどのようなものか、なぜ今必要なのかということについてまとめていきます。

セキュリティ レーティングとは

セキュリティ レーティングは、サプライチェーンに含まれる各社に対して、攻撃者と同じ目線でセキュリティリスクを継続的に判定するようなツール、サービスです。日本ではセキュリティスコアリングサービス、サイバー防衛力の格付けソリューションなどとも呼ばれています。

従来までのセキュリティ対策との比較をわかりやすく行うために、サイバーキルチェーンに当てはめて考えてみましょう。従来までのセキュリティ対策のうち、FWやUTMのような水際での対策は、攻撃の前期段階と呼ばれる「初期侵入」、「足場確率」、「権限昇格」に対する対策でした。これに対してEDRやNDRのような侵入されることを前提とした対策は、攻撃の後期段階と呼ばれる「内部偵察」、「水平展開」、「持続性確保」に対する対策です。攻撃の前期段階での対策で可能な限り攻撃を防ぎ、それでも防ぎきれない脅威は攻撃の後期段階での対策で検知、対応を行う多段でのセキュリティ対策となっています。

これに対してセキュリティ レーティングはサイバーキルチェーンにおける最初の段階「情報収集(初期偵察)」フェーズに対する対策です。攻撃者視点で組織を見た時に、攻撃に悪用できそうな箇所が少ない、セキュアな組織、サプライチェーンに見えるようにセキュリティリスクの低い状態を維持するために利用するのがセキュリティ レーティングという新しいセキュリティ対策です。

セキュリティ レーティングのポイントは、「従来までのセキュリティ対策製品のような自社に対するセキュリティ対策だけを行うものではない」という点です。自社に加えて、グループ会社や関連企業、子会社、取引先組織といったサプライチェーンに含まれる各社に対するセキュリティリスクの定常的な監視と可視化を実現します。

セキュリティリスクが可視化されることで、攻撃者に狙われる可能性のある箇所の把握が可能です。自社であれば適切な対応を取ることでセキュリティリスクを低減することができます。サプライチェーンに含まれる他社でセキュリティリスクが高い組織があれば、そこから攻撃が行われる可能性を考慮した対策を事前に整えることもできます。それだけではなく、その組織に対してセキュリティリスクが高い状況であることを共有し、一緒にセキュリティリスクを低減するようなアプローチも可能です。

このように、サプライチェーン全体のセキュリティリスクを定常的に把握し、サプライチェーンに含まれる各社が一緒にセキュリティ対策を行うツールとして活用できるのがセキュリティ レーティングです。

セキュリティ レーティングの利用用途

セキュリティ レーティングの利用用途として6つの例を紹介します。

1. セルフチェック

従来までのセキュリティ対策製品同様、自社のセキュリティを向上するべく利用する方法です。自社のセキュリティリスクを継続的に監視、可視化することでセキュリティリスクの軽減や、リスクの低い状態の維持に活用することができます。同業他社や競合他社と比較し、業界を狙う攻撃に対してもセキュリティリスクの低い状態に保つことも可能です。

2. サプライチェーンリスク管理/サードパーティリスク管理(TPRM)

グループ会社や関連企業、子会社、取引先組織といったサプライチェーンに含まれる各社に対し、セキュリティリスクの継続的な監視と可視化を実現します。利用者は、サプライチェーン内においてどの企業が踏み台にされて攻撃を受けるリスクがあるのかを把握できます。また、各社に対してリスク判定の結果を共有し、利用者が求めるセキュリティリスクまで改善するための指針として活用することも可能です。サプライチェーン各社が協力し、サプライチェーン全体でセキュリティ強化を実現するプラットフォームとなります。

3. 経営陣向けレポート

第三者によるセキュリティ評価レポートとして活用できます。セキュリティリスクの可視化や、必要な対応策、業界や他社と比較した結果などをレポート化することで、経営陣が求めるような情報をわかりやすく報告することが可能です。

4. サイバー保険審査

サイバー保険を提供する企業において、サイバー保険加入時の保険料の査定基準として活用されています。

5. 買収企業調査

企業買収前のサイバーデューデリジェンスに活用されます。まだまだ日本国内では浸透していませんが、海外ではこのような活用がされています。

6. 組織の信用格付け

今後、セキュリティ レーティングによる評価結果が、組織の取引可否の指標として利用されていく可能性が高まっています。2022年1月に掲載された日経新聞の記事によると、評価結果が一定の水準を満たしていない「落第点」にある場合に、取引が停止される可能性が出てきているとのことです。

なぜ今セキュリティ レーティングが必要なのか

ここ数年、標的型攻撃やランサムウェアによる被害が急激に増えています。2020年以降では、これらに加えてテレワークや在宅勤務といった働き方の変化を狙った攻撃も増加しました。これらのサイバー脅威が注目されがちな一方で、2019年以降非に比較的多く報告されている脅威が「サプライチェーンの弱点を悪用した攻撃」です。
※サプライチェーン攻撃につきましてはこちらのブログ「急増するサプライチェーン攻撃とは？そのリスクと対策方法」を参照ください。

情報処理推進機構(IPA)が毎年発表している情報セキュリティ10大脅威の最新版(2022年版)によると、組織を狙った脅威の第3位に「サプライチェーンの弱点を悪用した攻撃」がランクインしています。実は2019年から2021年まで3年連続で第4位にランクインしていた、今被害が急増しているサイバー攻撃の１つなのです。

(出典：情報処理推進機構(IPA) 情報セキュリティ10大脅威 2022)

このような状況から、最新のガイドラインにも変化があります。経済産業省による「サイバーセキュリティ経営ガイドライン Ver 2.0」には、「指示9：ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握」と記載があります。すでにサプライチェーンに対する対策が必要である旨が記載されているということです。

(出典：経済産業省「サイバーセキュリティ経営ガイドライン Ver 2.0」)

このように、サプライチェーン攻撃が急速に広まっている現代において、これまでのような自社だけのセキュリティ対策では十分な対策ができているとは言えない状況になってきています。こうした状況を改善すべく、今注目されているセキュリティ対策の一つがセキュリティ レーティングです。

まとめ

サイバー攻撃の高度化により、これまでのような自社のセキュリティ対策だけを考えればよかった時代は終わりつつあります。これからは自社に加えて、グループ会社や取引先組織といったサプライチェーン全体を考慮したセキュリティ対策が重要となります。こうした新たな時代に向けて、今注目されているセキュリティ対策が本ブログでご紹介したセキュリティ レーティングです。

弊社では、セキュリティ レーティングとして「SecurityScorecard」の取り扱いを行っております。興味があればお問い合わせください。