よくある質問

SecurityScorecardの製品は、世界中の25,000以上の組織で導入、利用されています。また、1,200万組織以上を対象としたRatingsによる継続的な評価が行われています。

日本国内では、特に2022年1月の日本経済新聞に取り上げられて以降注目が集まっており、サイバーセキュリティ経営ガイドラインの準拠の観点でもトップダウンで導入検討を進める組織が業種、業界問わず増えています。

弊社HP上では、大学共同利用機関法人 自然科学研究機構 岡崎3機関様での導入事例を公開しております。ご興味ある方は参照ください。
https://products.nvc.co.jp/securityscorecard/resource/national-institute-of-natural-sciences-case

他にもSecurityScorecard社の英語サイトにて、弊社の導入事例も公開されておりますので合わせてこちらも参照ください。
https://securityscorecard.com/resources/case-study-network-value-components-nvc

（2024年9月時点）

弊社の解釈としては、ASM導入ガイダンスへの準拠が可能なソリューションと判断しております。

「ASM導入ガイダンス」の詳細や、どのような理由でRatingsによって準拠可能であるかの理由について、以下のWPにまとめておりますので、興味がある方は参照ください。
https://products.nvc.co.jp/securityscorecard/resource/implement-asm-process-securityscorecard

（2024年9月時点）

一般的に脆弱性診断は、診断対象となる「自組織の特定のサーバやアプリケーション」に対して「内包する脆弱性を網羅的に発見、リスト化」することを目的とします。年に1回や半年に1回のような「定期的なスポット診断」を行うことが多く、「擬似攻撃を活用した診断」を行うこともあります。
一方でセキュリティ レーティングは、評価対象となる「サプライチェーン内の各組織」へのセキュリティリスク評価を目的とします。攻撃者の目線で悪用される可能性の高い「リスクとなっている脆弱性や脆弱な設定を指摘」するものであり、「常時継続した診断」を行うものです。「公開情報を活用し、擬似攻撃を行わない」ことも特徴です。

これら二つの対策の違いの詳細については、こちらのブログを参照ください。
脆弱性診断だけじゃ不十分？セキュリティ レーティングと徹底比較

（2024年9月時点）

Ratingsでは、評価対象となる公開IT資産に対する擬似攻撃を含む通信は行っていません。

そのため、関係組織や取引先の担当者に対して事前の相談や承諾を得ることなく、Ratingsを活用したサードパーティリスク管理（TPRM）を容易に実現できることも特徴のソリューションです。

（2024年9月時点）

アタックサーフェス管理（ASM）は、「自組織」のアタックサーフェス（組織の資産のうちインターネット上に公開されているサイバー攻撃を受ける可能性のある領域、資産のあらゆる構成要素）に対する「管理」を目的とするセキュリティ対策の１つです。
これに対してセキュリティ レーティングは、評価対象となる「サプライチェーン内の各組織」への「セキュリティリスク評価」を目的とするセキュリティ対策です。

いずれのソリューションを活用する場合でも、インターネット上に公開された情報を情報源とし、不適切な設定や脆弱性の発見をこなうことができるため、同じような情報を確認することはできますが、評価の対象範囲と目的の違いから利用用途が明確に異なります。最近では併用するようなケースも増えています。

これら二つの対策の違いの詳細については、こちらのブログを参照ください。

（2024年9月時点）

Ratingsによる評価は、組織の有するプライマリドメインをベースに生成される「Scorecard」単位で実施されています。

「Scorecard」では、プライマリドメインの情報をもとにWHOISやDNS登録情報、証明書の情報などから、評価対象組織のものであると判断される関連するサブドメインやIPアドレスを一覧管理します。この一覧に記載されている公開IT資産に対して情報収集を行い、「Scorecard」単位でのセキュリティリスク評価が実施されます。

なおドメインやIPアドレスの一覧情報はダッシュボード上で確認が可能であり、過不足がある場合には修正も可能です。複数のプライマリドメインを有する場合には、原則としてプライマリドメインごとに個別の「Scorecard」が生成されますが、１つの「Scorecard」の中に複数のプライマリドメインを登録・管理することも可能です。

（2024年9月時点）

「Scorecard」ごとのセキュリティリスク評価の結果は日々更新されています。

Ratingsによるセキュリティリスク評価において、総合評価を算出するために現在170ほどの問題点(イシュー)をチェックし、活用しています。この個々の問題点(イシュー)に対するチェックは週次で行われていますが、そのタイミングは公開IT資産ごとにランダマイズ設定がされており、総合評価は1日1回更新されます。

（2024年9月時点）

現時点では英語表記のみであり、日本語表記のダッシュボードは提供されておりません。

日本語のダッシュボードを希望されている既存利用者様の多くは、Google ChromeやMicrosoft Edgeなどのブラウザ翻訳機能を活用されています。

（2024年9月時点）

Ratingsは脆弱性診断ツールではないため必ずしも追加されるとは限りません。
報告された最新の脆弱性が攻撃者に悪用されるリスクの高い脆弱性であり、且つ非侵入型の診断で見つけることが可能な場合には追加されることがあります。

実際に追加された例として、Log4jやEternal Blueの脆弱性を発見する評価項目が脆弱性の公開から２週間程度で追加された実績があります。

（2024年9月時点）

任意のタイミングで監視対象Scorecardの評価結果レポートを生成いただくことが可能です。

（2024年9月時点）

日本語表記のレポートを生成することが可能です。

現在、Ratingsが生成する簡易レポートと詳細レポートに対して英語、日本語、ドイツ語、フランス語、スペイン語、ポルトガル語、イタリア語、チェコ後、オランダ語、アルバニア語、ルーマニア語、韓国語、中国語に対応しています。

（2024年9月時点）

最大12ヶ月前時点まで遡っての確認が可能です。

評価の結果だけではなく、評価結果の変動があった時点で何があったのか、例えばどのような問題が見つかったのか、もしくは解決されたのかの証跡、履歴の確認も可能です。

（2024年9月時点）

Ratingsでの評価において、評価結果に対して業種業界の指定が可能です。現在評価されている世界中の1,200万社以上の評価結果の内、同じ業種/業界での評価結果の平均との比較を行うことができます。
※日本企業のみでの比較機能は現在提供されておりません。

それ以外にも任意の組織の評価結果を比較するような機能も提供しており、監視対象としている組織の評価結果を容易に比較する事ができます。

（2024年9月時点）

Ratingsによって指摘された問題点(イシュー)に対して、その問題の概要、想定されるリスク、推奨される対応策、見つかった対象の情報としてドメイン/グローバルIPアドレスとポート番号、最後に見つかった日時とその根拠となる情報(レスポンスの情報や具体的なバージョンの情報など)などを評価結果ページや生成したレポートから確認することができます。

なお、指摘された脆弱性に対しては、SecurityScorecard社が別途提供するCVEdetailsを通してより詳細な情報の確認も可能です。

（2024年9月時点）

Ratingsは任意の組織に対するセキュリティリスクの評価、監視が可能なソリューションであるため、Ratingsの利用の有無に関わらず監視されている可能性があります。

なお、自組織のScorecardがど何組織から監視されているかの確認を行うことが可能です。どの組織から監視されているのかの確認はできません。

（2024年9月時点）

必要としておりません。

購入しているRatingsライセンスの範囲で、事前の相談や承諾を必要とせずに任意の組織に対する監視登録及び評価結果の確認が可能です。これはRatingsの評価が擬似攻撃通信は含まず、一般公開されているインターネット上の情報のみを活用するためです。

（2024年9月時点）

原則として、差分はありません。

ただし、一部イシューの中には漏洩が確認されたメールアドレスを指摘するような項目があり、このような個人情報に該当する場合には当該組織以外には非表示となるような配慮がされています。

（2024年9月時点）

Ratingsと同様のプラットフォーム上で機能提供されているため、現状は英語表示のみの状態です。

ただし、現在でもQusetionnaires専用の旧Atlasプラットフォームが利用可能であり、英語表記と日本語表記を切り替えて活用いただくことができます。

（2024年9月時点）

SecurityScorecard社作成の英語表記のテンプレートが標準提供されています。

ただし、Questionnairesの利用ケースとしてはすでに質問票を活用したサードパーティリスク管理（TPRM）を行なっている組織に対して、業務効率化のために導入することが多く、既存の質問票をQuestionnairesフォーマットの質問票に変換して活用しています。

新たに特定のガイドライン準拠状況のチェックを目的とした質問票によるサードパーティリスク管理（TPRM）を行う場合には、提供されているテンプレートを活用いただくことが可能です。

また弊社から購入いただいた場合には、弊社が過去に作成した日本語表記の質問票テンプレート提供をベストエフォートで行うことはあります。

（2024年9月時点）

Questionnairesのみの購入も可能であり、Ratingsとの併用は必須ではありません。
また、併用しない場合の機能制限もありません。

（2024年9月時点）

CSMは定例会による支援サービスです。
定例会の中で情報の提供や利用方法についてのアドバイスを行うものであり、原則として定常的な相談窓口の提供や、運用代行を行うものではありません。

（2024年9月時点）

希望される場合には、製品評価を実施いただくことが可能です。

ただし、製品理解のための製品評価の提供は行っておりません。

（2024年9月時点）

スポット診断によるレポーティングサービスは現在提供しておりません。

セキュリティ レーティングの観点では「定常的な」セキュリティ監視が重要であり、現在弊社ではSecurityScorecard社ソリューションのプラットフォーム販売を行っております。

（2024年9月時点）

可能です。

弊社提供の技術支援サービスは、日本語でのサービス提供を行っております。

技術支援サービスの詳細につきましては以下を参照ください。
https://products.nvc.co.jp/securityscorecard/resource/video-introducing-ssc-nvc-service

（2024年9月時点）

可能です。

弊社提供のSSCアドバンスドサポートサービスをご活用いただくことで、指摘された問題点（イシュー）に対する相談支援を行なっております。

SSCアドバンスドサポートサービスの詳細につきましては以下を参照ください。
https://products.nvc.co.jp/securityscorecard/resource/video-introducing-ssc-nvc-service

（2024年9月時点）