リスク管理Navi
リスク管理Naviは、リスクマネジメント(Risk Management)に関しての情報サイトです。
サイバー攻撃を仕掛ける攻撃者は、システムの弱い部分を狙うのが定石です。自組織のセキュリティが堅牢であっても、サプライヤ(取引先や委託先)やグループ企業などの脆弱性を突かれる事例は後を絶ちません。サプライチェーンやグループ企業のセキュリティ対策としては、機密保持契約書の締結や調査票でのセキュリティ環境確認が一般的ですが、近年の状況を鑑みると、さらに踏み込んだ対策が必要と言えるでしょう。
SecurityScorecardは、自組織のみならずサプライチェーンやグループ企業まで含めた、一歩進んだセキュリティ対策に役立つツールです。攻撃者の視点で自組織やサプライヤ、グループ企業などのセキュリティをサイバー空間からアクセスすることで外部から評価し、将来的にサイバー攻撃を受けるリスクを可視化します。
なお、対象組織の内部環境(組織体制や技術対策など)評価も行う「サプライチェーンセキュリティ360度評価コンサルティングサービス」についてはこちらをご覧ください。
以下の10項目について各5段階で評価できます。
セキュリティカテゴリ | 概要 | 詳細 |
---|---|---|
ネットワーク・セキュリティ | セキュアではないネットワーク設定の検出 | 例としては、オープンアクセスポイント、SSL証明書の安全性や設定の誤りなどの脆弱性、適切なセキュリティ対策の欠如に起因するデータベースの脆弱性やセキュリティホールなどがあります。 |
DNSの正常性 | セキュアではないDNS設定と脆弱性の検出 | OpenResolver構成など複数のDNS構成設定、DNSSEC / SPF/DKIM / DMARCなどの推奨構成の存在を測定します。 |
パッチ適用頻度 | 脆弱性とリスクを含む古い資産の検出 | オペレーティングシステム、サービス、アプリケーション、ソフトウェア、及びハードウェアにタイムリーにパッチ適用がされているかを観察します。 |
エンドポイント・セキュリティ | 従業員の端末、モバイルデバイスのセキュリティレベル測定 | デスクトップ、ラップトップ、モバイルデバイス、及び組織のネットワークにアクセスする全ての従業員のデバイスに関連する保護を指します。 |
IPレピュテーション | マルウェアやスパムなどによる疑わしい活動の検出 | 独自のシンクホールシステムで、世界中のコマンドアンドコントロール(C2)インフラストラクチャから数百万のマルウェア信号を取り込みます。感染した受信IPアドレスは、IPアトリビューションアルゴリズムを通じて帰属する組織を特定します。 |
アプリケーション・セキュリティ | 一般的なウェブアプリケーションの脆弱性検出 | 検出された脆弱性の例として、クロスサイトスクリプティング(XSS)やSQLインジェクション攻撃などが含まれます。 |
キュービット・スコア | 一般的なベストプラクティスの実装を確認する独自のアルゴリズム | キュービット(Qubit)スコアファクターは、公開されている管理ポータルに関する重要なセキュリティと構成の問題のコレクションを測定するSecurityScorecard独自の脅威インジケーターです。 |
ハッカーチャッター | ハッカーサイトで自社組織に関する会話(チャッター)を監視 | アクセスが困難なフォーラムやプライベートハッカーフォーラムなど、複数のアンダーグラウンドなチャッターのストリームから通信を継続的に収集します。 |
漏洩した情報 | 誤って漏洩している可能性がある組織の機密情報 | キーロガー、データベースダンプ、その他の情報リポジトリを介して抜き取られる機密情報を識別。漏洩データまたは関連するメールアカウントを所有する組織を特定し、セキュリティインシデントに直面する可能性を評価します。 |
ソーシャルエンジニアリング | ソーシャルエンジニアリングまたはフィッシング攻撃に対する従業員の認識を測定 | SNSアカウント、個人金融アカウント、悪用可能なマーケティングリストなどに従業員が組織アカウントを使用するなど、ソーシャルエンジニアリングされるリスクを含む様々な要素を識別します。 |
以下はレポートの一例です。
概要 | 自組織やサプライヤ、グループ企業などの各組織について、セキュリティの現状を評価し、サイバー攻撃を受けるリスクを可視化するツールです |
---|---|
価格 | ・簡易レポート:100,000円(税抜) ・詳細レポート:350,000円(税抜) ・詳細レポート(ニュートン解説付):600,000円(税抜) |
日本発の内視鏡AIを世界へ。NIST CSF適用でセキュリティ強化
CSIRT構築をきっかけに高まった、経営層のリスク意識
商船三井グループ全対応、重大ICTインシデント対応体制を構築
経営陣が一堂に会し、その場で意思決定する、実践に即したサイバー演習
標的型メール訓練で初動対応強化。全社のリアルな動きをチェック
金融庁と財務局合同、共通の意識確認を促すサイバーセキュリティ研修
ISMS起点での標的型メール訓練。今後の改善ポイントを洗い出し