よくある質問
- トップページ
- SecurityScorecard
- よくある質問
SecurityScorecard社について
-
どのくらいの企業で導入・利用されている製品・サービスでしょうか。
SecurityScorecardの製品は、世界中の2,000以上の組織で導入、利用されています。また、1,200万社以上を対象としたRatingsによる継続的な診断が行われています。
日本国内での実績としては、200社以上で活用されています。特に2022年1月の日本経済新聞に取り上げられて以降注目が集まっており、サイバーセキュリティ経営ガイドラインの準拠の観点でもトップダウンで導入検討を進める組織が業種、業界問わず増えています。
弊社HP上では、大学共同利用機関法人 自然科学研究機構 岡崎3機関様での導入事例を公開しております。ご興味ある方は参照ください。
https://products.nvc.co.jp/securityscorecard/resource/national-institute-of-natural-sciences-case他にもSecurityScorecard社の英語資料にて、弊社の導入事例も公開されておりますので合わせてこちらも参照ください。
https://securityscorecard.com/wp-content/uploads/2024/01/nvc-case-study.pdf(2023年3月時点)
SecurityScorecard Ratingsについて
-
セキュリティ レーティングと脆弱性診断の違いは何でしょうか。
一般的に脆弱性診断は、診断対象となる「自社の特定のサーバやアプリケーション」に対して「内包する脆弱性を網羅的に発見、リスト化」することを目的とします。年に1回や半年に1回のような「定期的なスポット診断」を行うことが多く、「擬似攻撃を活用した診断」を行うこともあります。
一方でセキュリティ レーティングは、評価対象となる「サプライチェーン各社」のセキュリティリスク評価を目的とします。攻撃者の目線で悪用される可能性の高い「リスクとなっている脆弱性や脆弱な設定を指摘」するものであり、「常時継続した診断」を行うものです。「公開情報を活用し、擬似攻撃を行わない」ことも特徴です。これら二つの対策の違いの詳細については、こちらのブログを参照ください。
脆弱性診断だけじゃ不十分?Security Risk Ratingと徹底比較(2023年3月時点)
-
Ratingsでの評価において、擬似攻撃は行われていないのでしょうか。
Ratingsでは評価対象のシステムに対する擬似攻撃を含む通信は行っていません。
そのため関係会社や取引先企業に対する事前の相談や承諾を得ることなく、Ratingsを活用したサプライチェーンリスク管理を気軽にできるのも特徴の製品です。(2023年3月時点)
-
セキュリティ レーティングとアタックサーフェイス管理の違いは何でしょうか。
アタックサーフェス管理(ASM)は、「自社」のアタックサーフェス(組織の資産のうちインターネット上に公開されているサイバー攻撃を受ける可能性のある領域、資産のあらゆる構成要素)「管理」を目的とする新しいセキュリティ対策です。
これに対してセキュリティ レーティングは、評価対象となる「サプライチェーン各社」のセキュリティリスク「評価」を目的としたセキュリティ対策です。いずれも公開情報から情報を収集するため、同じような情報を収集、確認することができますが、管理目的のツールと評価目的のツールとで利用用途が明確に異なります。
(2023年3月時点)
-
Ratingsによる評価の対象はどのように定義しているのでしょうか。
評価対象の組織のプライマリドメインの情報をもとにWHOISやDNS登録情報、証明書の情報などを参考にし収集した関連するサブドメインやIPアドレスを評価対象としています。
評価対象となっているドメインやIPアドレスの情報はダッシュボード上で確認が可能であり、過不足がある場合には修正も可能です。(2023年3月時点)
-
Ratingsによる評価の頻度はどの程度でしょうか。
評価の結果は日々更新されています。
Ratingsによるセキュリティリスク評価において、総合評価を算出するために現在120ほどの問題点(イシュー)をチェックし、活用しています。この個々の問題点(イシュー)に対するチェック頻度は最短で1日1回チェックが行われているため、総合評価も1日1回更新されています。
(2023年3月時点)
-
Ratingsダッシュボードは日本語表示可能でしょうか。
現時点では英語表記のみであり、日本語表記のダッシュボードは提供されておりません。
日本語のダッシュボードを希望されている既存利用者様の多くは、Google ChromeやMicrosoft Edgeなどのブラウザ翻訳機能を活用されています。
(2023年3月時点)
-
最新の脆弱性が報告されると、Ratingsの評価対象に追加されるのでしょうか。
Ratingsは脆弱性診断ツールではないため必ずしも追加されるとは限りません。
報告された最新の脆弱性が攻撃者に悪用されるリスクの高い脆弱性であり、且つ非侵入型の診断で見つけることが可能な場合には追加されることがあります。実際に追加された例として、Log4jやEternal Blueの脆弱性を発見する評価項目が脆弱性の公開から2週間程度で追加された実績があります。
(2023年3月時点)
-
評価結果のレポートは、どのぐらいの頻度で生成されるのでしょうか。
Ratingsの評価結果のレポートは自動生成されるものではなく、UI上で自社やサプライチェーン各社の評価結果ページにて生成処理を行なったタイミングで生成されます。
つまり、任意のタイミングで自由にレポートを生成いただくことが可能です。(2023年3月時点)
-
評価結果のレポートは日本語で提供されるのでしょうか。
日本語表記のレポートを生成することが可能です。
現在、Ratingsが生成する簡易レポートと詳細レポートに対して英語、日本語、ドイツ語、フランス語、スペイン語、ポルトガル語、中国語に対応しています。
(2023年3月時点)
-
過去の評価結果を遡って確認することは可能でしょうか。
最大12ヶ月前時点まで遡っての確認が可能です。
評価結果だけではなく、評価結果の変動があった時点で何があったのか、例えばどんな問題が見つかったのか、もしくは解決されたのかの証跡、履歴の確認も可能です。
(2023年3月時点)
-
評価結果に対して、他社や業界平均との比較は可能でしょうか。
Ratingsでの評価において、評価結果に対して業種業界の指定が可能です。現在評価されている世界中の1,200万社以上の評価結果の内、同じ業種/業界での評価結果の平均との比較を行うことができます。
※日本企業のみでの比較機能は現在提供されておりません。それ以外にも任意の組織の評価結果を比較するような機能も提供しており、監視対象としている組織の評価結果を容易に比較する事ができます。
(2023年3月時点)
-
Ratingsが指摘する問題点に対して、具体的にどのレベルで指摘されるのでしょうか。
Ratingsによって指摘された問題点(イシュー)に対して、その問題の概要、想定されるリスク、推奨される対応策、見つかった対象の情報としてドメイン/グローバルIPアドレスとポート番号、最後に見つかった日時とその根拠となる情報(レスポンスの情報や具体的なバージョンの情報など)などを評価結果ページや生成したレポートから確認することができます。
(2023年3月時点)
-
Ratingsを利用している企業の担当者から自社の評価結果がすでに見られている可能性がある、ということでしょうか。
ご認識の通りです。
Ratingsは任意の組織を監視可能な製品であるため、他社の担当者の方からすでに監視されている可能性があります。自社が何社から監視されているかの確認を行うことも可能ですが、どの会社から監視されているかまでの情報提供はありません。
(2023年3月時点)
-
関連会社や取引先企業のセキュリティリスク評価には、評価対象の組織に対する事前の確認や承諾が必要なのでしょうか。
必要としておりません。
購入しているRatingsライセンスの範囲で、事前の相談や承諾を必要とせずに任意の組織に対する監視登録及び評価結果の確認が可能です。これはRatingsの評価が擬似攻撃通信は含まず、一般公開されているインターネット上の情報のみを活用するためです。
(2023年3月時点)
-
自社に対する評価結果と、関係会社や取引先企業などのサプライチェーン各社に対する評価結果とで見える情報に差はあるのか。
評価結果については原則として、評価対象の組織との関係性による表示情報の差分はありません。
ただし、一部イシューに漏洩が確認されたメールアドレスを指摘するような項目があり、このような個人情報に該当するものについては他社の評価結果では詳細情報が確認できない場合もあります。(2023年3月時点)
SecurityScorecard Assessmentsについて
-
「Atlas」から名称が変更されたのでしょうか。
ご認識の通りです。
(2023年3月時点)
-
ダッシュボードは日本語表示可能でしょうか。
Ratingsとは別のAssessments専用のダッシュボードにおいては、日本語の表示が可能です。
現在、英語表記と日本語表記を切り替えて活用いただくことができます。
(2023年3月時点)
-
Assessmentsで利用可能な質問票について、そのまま利用可能なテンプレートのようなものの提供があるものでしょうか。
SecurityScorecard社作成の英語表記のテンプレートが標準提供されています。
ただし、Assessmentsの利用ケースとしてはすでに質問票を活用したサプライチェーン管理を行なっている企業の業務効率化のために導入することが多く、既存の質問票をAssessmentsフォーマットの質問票に変換して活用しています。
新たに特定のガイドライン準拠状況のチェックを目的とした質問票によるサプライチェーン管理を行う場合には、提供されているテンプレートを活用いただくことが可能です。また弊社から購入いただいた場合には、弊社が過去に作成した日本語表記の質問票テンプレート提供をベストエフォートなサポートで行っております。
(2023年3月時点)
-
Assessmentsを利用して質問票を送付する場合、送付先の企業に対してRatingsのライセンスを購入してその企業を監視していることが必須条件でしょうか。
Assessmentsのみの購入も可能であり、Ratingsとの併用は必須ではありません。
また、併用しない場合の機能制限もありません。(2023年3月時点)
SecurityScorecard CSMについて
-
CSMを契約することで、日々の運用についての相談や、設定変更の代行依頼などができるのでしょうか。
CSMは定例会ベースの支援サービスです。
定例会の中で情報の提供や利用方法についてのアドバイスを行うものであり、原則として定常的な相談窓口の提供や、運用代行を行うものではありません。(2023年3月時点)
その他サービスについて
- 購入前に評価/PoVを行うことは可能でしょうか。
-
スポットでの診断結果レポート提供サービスのようなものの提供はないでしょうか。
スポット診断によるレポーティングサービスは現在提供しておりません。
セキュリティ レーティングの観点では「定常的な」セキュリティ監視が重要であり、現在弊社ではSecurityScorecard社製品のプラットフォーム販売を行っております。
(2023年3月時点)
- 製品の使い方について日本語での技術支援を受けることは可能でしょうか。
- SecurityScorecard Ratingsが指摘する個々の問題点について、対応方法の相談や支援をいただくことは可能でしょうか。