脆弱性診断サービス 第三者の目線で脆弱性有無をチェックいたします
自社と取引先のセキュリティリスクを可視化し対策状況を把握する

SecurityScorecard

こんな事にお困りではないですか?

  • サプライチェーンリスクに対して危機感を感じている。

  • 自社だけでなく、グループ会社、海外法人、取引先のセキュリティ対策状況が把握できていない。

  • セキュリティの課題が見つかっても、どこまで対処したらよいかわからない。

最新のセキュリティ課題

サプライチェーンリスクを可視化するニーズの高まり

  • 引用:IPA(情報セキュリティ10大脅威2019)

  • 業務委託先にも適切なセキュリティ管理を要求

    • 原材料や部品の調達、製造、在庫管理、物流、販売、業務委託先などの一連の商流(サプライチェーン)において、セキュリティ対策が甘い組織が攻撃の足がかりとして狙われる
    • 一部業務を委託している外部委託先組織から情報が漏えい

自組織のみがセキュリィ対策を講じても⽳ができる

サプライチェーンの弱点を悪用した攻撃の高まり

自組織のみがセキュリティ対策を講じても⽳ができ、甚⼤な被害が

  • (現状) 攻撃者はサプライチェーン全体を偵察し、「弱点」をついてきます。
  • 「攻撃者の視点」に立ち、客観的に弱点を知る事が重要

サイバーキルチェーンの流れ

サイバーキルチェーン(Cyber Kill Chain)とは、標的型攻撃における攻撃者の⾏動(攻撃の手順)を構造化したフレームワーク。アメリカの大手軍需企業であるロッキード・マーチン社により提唱されたもの。

偵察フェーズでサプライチェーン全体の弱点を探し、
その後、いくつかの手法を組み合わせ、段階的に重要情報にリーチする

「攻撃者の視点」に立ち、客観的・継続的に弱点を知る事が重要

これまでの対策方法

  • 契約で縛る

    • 業務委託範囲の明確化、違反時の罰則明記、セキュリティ要件明記
    • あくまで机上の話。実際にどのくらいリスクがあるかは別問題。
  • 脆弱性診断実施

    • システムの脆弱性有無をチェック
    • システム負荷(疑似攻撃)があるため、簡単にできない。
    • 各システム担当者の負担大。各社やり方が異なる

サプライチェーン全体の弱点を
手早く、継続的に、
把握する事が難しい。

が解決します!

SecurityScorecardとは…

サイバー攻撃のサプライチェーンリスクを可視化する
「セキュリティ・リスク・スコアリングシステム」

セキュリティ・リスク・スコアリングシステムの役割

  • 自社のリスクを点数化し
    セキュリティ対策状況が瞬時にわかる

    • 外部ハッカーからの視点で点数化し、どこに問題があるか視覚化
    • 目標到達点を設定することにより、わかりやすい改善計画作成
  • 相手のリスクを点数化

    • 相手に対して⽬標点を設定し、要件を明確化
    • 相手のリスクを見える化・点数化することに自社のリスクを権限

SecurityScorecard 特徴

  • システムに負荷をあたえずに素早くチェックが可能

    • Internet上から得られる情報をもとにチェック
    • C&Cサーバへの通信の疑いがある企業情報や、ハニーポット等から独⾃に情報収集

    ※SecurityScorecard社は常時調査し情報収集実施

  • 多くの実績があるスコアリングシステム

    • 全世界800顧客(企業数は100万以上)の実績あり
  • スコアリングの流れ

    1. データ収集(※常時情報収集実施)

      Internet上の公開情報やハニーポット、マルウェア解析情報など収集

    2. スコアリングシステムにより調査対象のドメインを入力

      調査対象のドメイン名をもとに、
      SSC社の持つ「データ収集」により得た情報を解析

    3. 10の検査項⽬によりスコアリング実施

    4. 全体スコアリングの実施

      AからFまでの分かりやすい指標でスコア化

  • 活用パターン

    1. 1. ベンダーリスクマネジント

      サイバーリスクはいまや企業の信用調査や評価に際しても重要な指標となっており、取引先等を含めたリスク管理(ベンダーリスクマネジメント)状況を重視する傾向が強まっています。 従来の財政的なチェックのみに加え、セキュリティ対策状況の指針として活用

    2. 2. セルフチェック

      従来はチェックが難しかった小規模なグループ会社や海外グループ会社へ活用

    3. 3. 企業の評価基準

      • ・損保会社様向けサイバー保険用企業信用チェック
      • ・企業買収前のチェック
  • レポートイメージ

    サマリレポートの他に、詳細レポートなどの各種レポートを作成可能。
    ⽬標の点数に到達させるために、解決すべき課題や脆弱性対処⽅法なども確認することが可能

    全体のスコアを表示

    全部で10つのカテゴリーでそれぞれのスコアを表示

    調査対象の企業が所属する産業のなかの平均に対して、どのくらいの位置づけなのか視覚化

    見つかった脆弱性の件数とカテゴリーを記載

    ※レポートは日本語、英語、ドイツ語、フランス語に対応しております

  • 機能補足

    • ⽬標スコアの設定
    • ⽬標を決めると、推奨タスクの提⽰
    • 問題点も⼀⽬で詳細把握可能
    • レポートを相手と共有し、
      問題改善を促す
      レポートを相手と共有し、問題改善を促す

      レポートの共有先(相手)を設定。いつ(30日)までにスコア(A)にしてほしいと簡単な要求もラジオボタンで可能。

      レポートを相手と共有し、問題改善を促す

      共有先の相手には、Mailで通知がいきます。届いたら、自分でSecurityScorecardプラットフォームにアクセスする為のアカウントを作成し、セキュアな状態でレポートを確認可能。画面上で確認できるため、各課題に対して解決済み等のフラグを直接設定できます。

      レポートの共有先(相手)を設定。いつ(30日)までにスコア(A)にしてほしいと簡単な要求もラジオボタンで可能。

      共有先の相手には、Mailで通知がいきます。届いたら、自分でSecurityScorecardプラットフォームにアクセスする為のアカウントを作成し、セキュアな状態でレポートを確認可能。画面上で確認できるため、各課題に対して解決済み等のフラグを直接設定できます。

SecurityScorecard 会社概要

所在地ニューヨーク州ニューヨーク
設⽴年2013年6⽉
創設者

Aleksandr Yampolskiy、Sam Kassoumeh

  • Yampolskiy⽒は、ニューヨーク⼤学で数学とコンピュータサイエンスの学⼠号を、エール⼤学で暗号学の修⼠号と博⼠号を取得。 Goldman Sachs, Oracle, Microsoftなどに勤務後、Gilt社のセキュリティとコンプライアンス担当。
  • Sam Kassoumeh⽒は、ミシガン⼤学卒業後、Gilt社でセキュリティ部⾨に従事
総資⾦額6220万ドル
投資家Evolution Equity Partners、Sequoia Capital、GVおよびNGP Capital
顧客数全世界800顧客(企業数は100万社)

SecurityScorecardの評価

サイバーセキュリティ・リスク評価ソリューションにおいて、#1の評価獲得

紹介動画

【日本語字幕】ISIDがお届けするSecurityScorecard紹介ビデオ
サプライチェーン攻撃へのリスクを瞬時に点数化し、改善すべきポイントを可視化するスコアリングサービスです。
自社だけでなく、サプライチェーン全体のセキュリティ対策状況を把握することができます。




【日本語字幕】SecurityScorecard顧客事例_どのように取引ベンダーを管理するか
取引ベンダーのリスク管理をするうえで、なぜSecurityScorecardを採用しようと思ったか、背景と効果などについて、米Virgin Pulse社の生の声をお聞きください。
国内でも導入が進んでいるSecurityScorecardですが、まずは自社及び関連会社のセキュリティ管理を目的に導入し、ゆくゆくはスコアリング対象を取引ベンダーへ広げていきたいというお客様が多くいらっしゃいます。この動画が少しでもヒントになれば幸いです。

▶▶より具体的な資料・動画は、「各種情報」にございます◀◀

関連ソリューション

特定フェーズから復旧フェーズまで幅広く
お客様を支援するISIDのセキュリティサービス

  • セキュリティ・リスク・
    スコアリング・サービス

    自社と取引先のセキュリティリスクを可視化し対策状況を把握

  • 脆弱性診断サービス
    (プラットフォーム・Webアプリケーション診断サービス)

    対象システムに対してセキュリティホールの有無をセキュリティエンジニアがチェック

  • セキュリティ・
    アセスメントサービス

    サイバーセキュリティ経営ガイドライン等の各種フレームワークを用いて、現状のセキュリティ対策状況を分析を行う。結果を基に数年先のセキュリティ対策計画を立案。

  • CSIRT体制構築・改善

    サイバー攻撃が発生した際の検知/通知/判断の仕組みをシステム及び体制含め構築

  • セキュリティ・
    アドバイザリサービス

    セキュリティアナリストのリモートサポートによるセキュリティ対応支援サービス

各種情報

×

資料サンプル表示

続きをご希望の方は「資料請求」よりご連絡ください。
(メーラーが立ち上がります)

資料請求
×

資料サンプル表示

続きをご希望の方は「資料請求」よりご連絡ください。
(メーラーが立ち上がります)

資料請求
×

資料サンプル表示

続きをご希望の方は「資料請求」よりご連絡ください。
(メーラーが立ち上がります)

資料請求
お問い合わせ 無料トライアル