サプライチェーンセキュリティ360度評価コンサルティングサービス
サイバーセキュリティの重要性が叫ばれる昨今、多くの組織がセキュリティに配慮し、様々な対策を講じています。しかし、近年ではいかなる組織であっても自組織のセキュリティを検討するだけでは十分とは言えません。大企業のサプライヤ(取引先や委託先)やグループ企業などを標的とするサイバー攻撃が世界各国で頻発しており、日本も例外ではないからです。
攻撃者は弱い部分を狙うのが定石です。セキュリティが堅牢な大手組織そのものではなく、サプライチェーンの脆弱性を突いて攻撃を仕掛けてきます。従来のサプライチェーンセキュリティ対策としては、機密保持契約書の締結や調査票でのセキュリティ確認などがありますが、もう一歩進んだ対策が求められていると言えます。
本サービスでは、こうしたニーズに応え、サプライチェーンやグループ企業まで含めたサイバーセキュリティの現状について評価し、改善策をご提案いたします。外部環境および内部環境の両軸での評価により、サプライチェーンのサイバーセキュリティの現状を全方位に可視化することが可能です。
サービスの特長
- 1. サプライチェーン全体のサイバーセキュリティについて、全方位に可視化します
- サプライチェーンやグループ企業まで含めたサイバーセキュリティの現状について、以下の2軸での評価を行い、全方位に可視化します。
- ①攻撃者の視点による、外部環境から見たセキュリティ評価
- SecurityScorecardを用いて実施します。攻撃者の視点で自組織やグループ企業、サプライヤなどのセキュリティをサイバー空間から評価し、将来的にサイバー攻撃を受けるリスクを可視化します。SecurityScorecardについての詳細はこちらをご覧ください。
【図:SecurityScorecard 評価結果イメージ】
- ②組織の内部環境全般のセキュリティ評価
- ニュートン・コンサルティングの知見やノウハウを活かし、体制/スキル、ルール/プロセス、技術的対策など内部環境全般の評価を実施します。評価基準として用いるのはNIST CSFやNIST SP800-171など国際標準のガイドラインです。
- 2. ニーズに応じた多様な評価パターンをご用意しています
- お客様のニーズに応じて、以下のパターンのいずれかでの評価が可能です。
- ①SecurityScorecardを用いた外部環境評価+コンサルタントによる解説
- SecurityScorecardの脆弱性スキャンや脅威インテリジェンスの調査結果をもとに、どのように改善すればよいかを解説し、改善につなげていただくサービスです。SecurityScorecardのレポートを読み解くには技術的な知識が不可欠であり、コンサルタントが具体的な改善策を解説します。
- ②①+内部環境の簡易評価(問診票)
- SecurityScorecardの脆弱性スキャンや脅威インテリジェンスはサイバー空間からの技術的なスキャンであり、対象組織のデータ取り扱いルールや体制などまで診ることはできません。その部分をセキュリティ問診票にて確認し、外部+内部の両面から評価し改善につなげるサービスです。
- ③①+内部環境の詳細評価(NIST CSFやNIST SP800-171などのガイドライン)
- SecurityScorecardの脆弱性スキャンや脅威インテリジェンスによるサイバー空間からの技術的なスキャンに加え、本来ニュートンが得意としている対象組織のセキュリティに関する全体最適(ルール、体制、スキル、テクノロジー)を評価し改善策を示すサービスです。
- 3. サイバーセキュリティ研修、演習、アドバイザリなど各種ご支援もオプションとして提供可能です
- 評価結果を受けてのサイバーセキュリティ改善のため、各種ご支援をオプションとしてご提供可能です。サイバーセキュリティに関する従業員向け研修や演習、アドバイザリ契約などをご用意しています。また、SecurityScorecardをツール単体としてご利用いただくこともできます(詳細はこちら)。
このようなお客様におすすめします
- 取引先などサプライチェーンのセキュリティを可視化し、改善を促したいお客様(サプライヤの多い大手企業など)
- グループ企業などのセキュリティを可視化し、改善につなげたいお客様(ホールディングス会社など)
- 自組織のセキュリティを定期的に可視化し、改善につなげたいお客様
成果物(例)
- サプライチェーンセキュリティ360度評価レポート
- SecurityScorecard評価レポート