SecurityScorecard(セキュリティスコアカード)
サイバー攻撃を仕掛ける攻撃者は、システムの弱い部分を狙うのが定石です。自組織のセキュリティが堅牢であっても、サプライヤ(取引先や委託先)やグループ企業などの脆弱性を突かれる事例は後を絶ちません。サプライチェーンやグループ企業のセキュリティ対策としては、機密保持契約書の締結や調査票でのセキュリティ環境確認が一般的ですが、近年の状況を鑑みると、さらに踏み込んだ対策が必要と言えるでしょう。
SecurityScorecardは、自組織のみならずサプライチェーンやグループ企業まで含めた、一歩進んだセキュリティ対策に役立つツールです。攻撃者の視点で自組織やサプライヤ、グループ企業などのセキュリティをサイバー空間からアクセスすることで外部から評価し、将来的にサイバー攻撃を受けるリスクを可視化します。
なお、対象組織の内部環境(組織体制や技術対策など)評価も行う「サプライチェーンセキュリティ360度評価コンサルティングサービス」についてはこちらをご覧ください。
製品の特長
自組織はもちろん、国内外のグループ企業も取引先企業も瞬時に評価が可能です
URLやグローバルIPアドレス等の情報を入力するだけで対象組織のセキュリティスキャンが可能なため、効率的に自社やグループ企業、サプライチェーン企業等のセキュリティ状況を可視化できます。非侵入型のスキャンのため、対象となるネットワークやシステムの運用に負荷を与えることもありません。スキャン結果は相手に共有し、改善を促すことも可能です。
攻撃者の視点でセキュリティの現状を評価します
スキャンは「脆弱性が外部からどのように見えているか」という視点で実施します。攻撃者が初期偵察で収集するデータを収集/調査/分析/評価することで、現状のセキュリティが攻撃者からどう見えているのかを客観的に把握することができます。常時モニタリング対象として設定することで、変化や異常を自動的に検知し、スコアを通知することも可能です。
各組織のセキュリティを評価し、サイバー攻撃を受けるリスクを可視化し改善方法がわかります
10項目のリスクについて各5段階で評価し、100点満点でスコアを算出します。客観的な事実に基づき、優先的に改善すべき項目や改善方法、目指すべきスコアも提示されるため、効果的なセキュリティ強化が行えます。
※SecurityScorecardについて、さらに詳しい情報はこちらをご覧ください。
レポート(例)
以下の10項目について各5段階で評価できます。
| セキュリティカテゴリ | 概要 | 詳細 |
|---|---|---|
| ネットワーク・セキュリティ | セキュアではないネットワーク設定の検出 | 例としては、オープンアクセスポイント、SSL証明書の安全性や設定の誤りなどの脆弱性、適切なセキュリティ対策の欠如に起因するデータベースの脆弱性やセキュリティホールなどがあります。 |
| DNSの正常性 | セキュアではないDNS設定と脆弱性の検出 | OpenResolver構成など複数のDNS構成設定、DNSSEC / SPF/DKIM / DMARCなどの推奨構成の存在を測定します。 |
| パッチ適用頻度 | 脆弱性とリスクを含む古い資産の検出 | オペレーティングシステム、サービス、アプリケーション、ソフトウェア、及びハードウェアにタイムリーにパッチ適用がされているかを観察します。 |
| エンドポイント・セキュリティ | 従業員の端末、モバイルデバイスのセキュリティレベル測定 | デスクトップ、ラップトップ、モバイルデバイス、及び組織のネットワークにアクセスする全ての従業員のデバイスに関連する保護を指します。 |
| IPレピュテーション | マルウェアやスパムなどによる疑わしい活動の検出 | 独自のシンクホールシステムで、世界中のコマンドアンドコントロール(C2)インフラストラクチャから数百万のマルウェア信号を取り込みます。感染した受信IPアドレスは、IPアトリビューションアルゴリズムを通じて帰属する組織を特定します。 |
| アプリケーション・セキュリティ | 一般的なウェブアプリケーションの脆弱性検出 | 検出された脆弱性の例として、クロスサイトスクリプティング(XSS)やSQLインジェクション攻撃などが含まれます。 |
| キュービット・スコア | 一般的なベストプラクティスの実装を確認する独自のアルゴリズム | キュービット(Qubit)スコアファクターは、公開されている管理ポータルに関する重要なセキュリティと構成の問題のコレクションを測定するSecurityScorecard独自の脅威インジケーターです。 |
| ハッカーチャッター | ハッカーサイトで自社組織に関する会話(チャッター)を監視 | アクセスが困難なフォーラムやプライベートハッカーフォーラムなど、複数のアンダーグラウンドなチャッターのストリームから通信を継続的に収集します。 |
| 漏洩した情報 | 誤って漏洩している可能性がある組織の機密情報 | キーロガー、データベースダンプ、その他の情報リポジトリを介して抜き取られる機密情報を識別。漏洩データまたは関連するメールアカウントを所有する組織を特定し、セキュリティインシデントに直面する可能性を評価します。 |
| ソーシャルエンジニアリング | ソーシャルエンジニアリングまたはフィッシング攻撃に対する従業員の認識を測定 | SNSアカウント、個人金融アカウント、悪用可能なマーケティングリストなどに従業員が組織アカウントを使用するなど、ソーシャルエンジニアリングされるリスクを含む様々な要素を識別します。 |
以下はレポートの一例です。
このようなお客様におすすめします
- 国内外の拠点やグループ企業のセキュリティ状況が気になる組織
- サプライヤのセキュリティ状況の確認について、調査表等ではなく能動的にスキャンすることで確認したい組織
- セキュリティの課題に対し、具体的に何から対応したら良いかわからない組織
