-
お知らせ
-
セミナー
-
イベント
SecurityScorecard「定期WEBセミナー」開催のお知らせ
・開催日:2021/2/9(火)・3/9(火)・4/8(木) -
お知らせ
SecurityScorecardの各種情報に[ホワイトペーパー]
【サプライチェーンにおけるリスク管理とスコアリングサービスの応用】を追加しました。 -
お知らせ
SecurityScorecardの各種情報に[メーカー資料]
【先進的なサイバーリスクマネジメントチームを構築するための5つのステップ2020年】を追加しました。 -
イベント
SecurityScorecard「定期WEBセミナー」開催のお知らせ
・開催日:2020/9/24(木)・11/5(木)・12/15(火)
SecurityScorecard
こんな事にお困りではないですか?
-
サプライチェーンリスクに対して危機感を感じている。
-
自社だけでなく、グループ会社、海外法人、取引先のセキュリティ対策状況が把握できていない。
-
セキュリティの課題が見つかっても、どこまで対処したらよいかわからない。
最新のセキュリティ課題
サプライチェーンリスクを可視化するニーズの高まり
-
引用:IPA(情報セキュリティ10大脅威2019)
-
業務委託先にも適切なセキュリティ管理を要求
- 原材料や部品の調達、製造、在庫管理、物流、販売、業務委託先などの一連の商流(サプライチェーン)において、セキュリティ対策が甘い組織が攻撃の足がかりとして狙われる
- 一部業務を委託している外部委託先組織から情報が漏えい
自組織のみがセキュリィ対策を講じても⽳ができる
サプライチェーンの弱点を悪用した攻撃の高まり
自組織のみがセキュリティ対策を講じても⽳ができ、甚⼤な被害が
- (現状) 攻撃者はサプライチェーン全体を偵察し、「弱点」をついてきます。
- 「攻撃者の視点」に立ち、客観的に弱点を知る事が重要
サイバーキルチェーンの流れ
※サイバーキルチェーン(Cyber Kill Chain)とは、標的型攻撃における攻撃者の⾏動(攻撃の手順)を構造化したフレームワーク。アメリカの大手軍需企業であるロッキード・マーチン社により提唱されたもの。
偵察フェーズでサプライチェーン全体の弱点を探し、
その後、いくつかの手法を組み合わせ、段階的に重要情報にリーチする
「攻撃者の視点」に立ち、客観的・継続的に弱点を知る事が重要
これまでの対策方法
-
契約で縛る
- 業務委託範囲の明確化、違反時の罰則明記、セキュリティ要件明記
- あくまで机上の話。実際にどのくらいリスクがあるかは別問題。
-
脆弱性診断実施
- システムの脆弱性有無をチェック
- システム負荷(疑似攻撃)があるため、簡単にできない。
- 各システム担当者の負担大。各社やり方が異なる

サプライチェーン全体の弱点を
手早く、継続的に、
把握する事が難しい。
が解決します!
SecurityScorecardとは…
サイバー攻撃のサプライチェーンリスクを可視化する
「セキュリティ・リスク・スコアリングシステム」
セキュリティ・リスク・スコアリングシステムの役割
-
自社のリスクを点数化し
セキュリティ対策状況が瞬時にわかる- 外部ハッカーからの視点で点数化し、どこに問題があるか視覚化
- 目標到達点を設定することにより、わかりやすい改善計画作成
-
相手のリスクを点数化
- 相手に対して⽬標点を設定し、要件を明確化
- 相手のリスクを見える化・点数化することに自社のリスクを権限
SecurityScorecard 特徴
-
システムに負荷をあたえずに素早くチェックが可能
- Internet上から得られる情報をもとにチェック
- C&Cサーバへの通信の疑いがある企業情報や、ハニーポット等から独⾃に情報収集
※SecurityScorecard社は常時調査し情報収集実施
-
多くの実績があるスコアリングシステム
- 全世界800顧客(企業数は100万以上)の実績あり
-
スコアリングの流れ
-
データ収集(※常時情報収集実施)
Internet上の公開情報やハニーポット、マルウェア解析情報など収集
-
スコアリングシステムにより調査対象のドメインを入力
調査対象のドメイン名をもとに、
SSC社の持つ「データ収集」により得た情報を解析 -
10の検査項⽬によりスコアリング実施
-
全体スコアリングの実施
AからFまでの分かりやすい指標でスコア化
-
-
活用パターン
-
1. ベンダーリスクマネジント
サイバーリスクはいまや企業の信用調査や評価に際しても重要な指標となっており、取引先等を含めたリスク管理(ベンダーリスクマネジメント)状況を重視する傾向が強まっています。 従来の財政的なチェックのみに加え、セキュリティ対策状況の指針として活用
-
2. セルフチェック
従来はチェックが難しかった小規模なグループ会社や海外グループ会社へ活用
-
3. 企業の評価基準
- ・損保会社様向けサイバー保険用企業信用チェック
- ・企業買収前のチェック
-
-
レポートイメージ
サマリレポートの他に、詳細レポートなどの各種レポートを作成可能。
⽬標の点数に到達させるために、解決すべき課題や脆弱性対処⽅法なども確認することが可能全体のスコアを表示
全部で10つのカテゴリーでそれぞれのスコアを表示
調査対象の企業が所属する産業のなかの平均に対して、どのくらいの位置づけなのか視覚化
見つかった脆弱性の件数とカテゴリーを記載
※レポートは日本語、英語、ドイツ語、フランス語に対応しております
-
機能補足
-
⽬標スコアの設定
-
⽬標を決めると、推奨タスクの提⽰
-
問題点も⼀⽬で詳細把握可能
-
レポートを相手と共有し、
問題改善を促すレポートの共有先(相手)を設定。いつ(30日)までにスコア(A)にしてほしいと簡単な要求もラジオボタンで可能。
共有先の相手には、Mailで通知がいきます。届いたら、自分でSecurityScorecardプラットフォームにアクセスする為のアカウントを作成し、セキュアな状態でレポートを確認可能。画面上で確認できるため、各課題に対して解決済み等のフラグを直接設定できます。
レポートの共有先(相手)を設定。いつ(30日)までにスコア(A)にしてほしいと簡単な要求もラジオボタンで可能。
共有先の相手には、Mailで通知がいきます。届いたら、自分でSecurityScorecardプラットフォームにアクセスする為のアカウントを作成し、セキュアな状態でレポートを確認可能。画面上で確認できるため、各課題に対して解決済み等のフラグを直接設定できます。
-
SecurityScorecard 会社概要

所在地 | ニューヨーク州ニューヨーク |
---|---|
設⽴年 | 2013年6⽉ |
創設者 |
Aleksandr Yampolskiy、Sam Kassoumeh
|
総資⾦額 | 6220万ドル |
投資家 | Evolution Equity Partners、Sequoia Capital、GVおよびNGP Capital |
顧客数 | 全世界800顧客(企業数は100万社) |
SecurityScorecardの評価
サイバーセキュリティ・リスク評価ソリューションにおいて、#1の評価獲得

関連ソリューション
特定フェーズから復旧フェーズまで幅広く
お客様を支援するISIDのセキュリティサービス
-
セキュリティ・リスク・
スコアリング・サービス自社と取引先のセキュリティリスクを可視化し対策状況を把握
-
脆弱性診断サービス
(プラットフォーム・Webアプリケーション診断サービス)対象システムに対してセキュリティホールの有無をセキュリティエンジニアがチェック
-
セキュリティ・
アセスメントサービスサイバーセキュリティ経営ガイドライン等の各種フレームワークを用いて、現状のセキュリティ対策状況を分析を行う。結果を基に数年先のセキュリティ対策計画を立案。
-
CSIRT体制構築・改善
サイバー攻撃が発生した際の検知/通知/判断の仕組みをシステム及び体制含め構築
-
セキュリティ・
アドバイザリサービスセキュリティアナリストのリモートサポートによるセキュリティ対応支援サービス
紹介動画
【日本語字幕】ISIDがお届けするSecurityScorecard紹介ビデオ
サプライチェーン攻撃へのリスクを瞬時に点数化し、改善すべきポイントを可視化するスコアリングサービスです。
自社だけでなく、サプライチェーン全体のセキュリティ対策状況を把握することができます。
【日本語字幕】SecurityScorecard顧客事例_どのように取引ベンダーを管理するか
取引ベンダーのリスク管理をするうえで、なぜSecurityScorecardを採用しようと思ったか、背景と効果などについて、米Virgin Pulse社の生の声をお聞きください。
国内でも導入が進んでいるSecurityScorecardですが、まずは自社及び関連会社のセキュリティ管理を目的に導入し、ゆくゆくはスコアリング対象を取引ベンダーへ広げていきたいというお客様が多くいらっしゃいます。この動画が少しでもヒントになれば幸いです。
各種情報
紹介動画解説
サービス紹介・ホワイトペーパー
-
ビジネスとサイバーリスクを考える【過去セミナー動画公開】
「サイバーリスク」の内容や管理についての基本を再度整理すると同時に、サプライチェーンを含めたリスク管理の運用について考えます。
※本動画は、2020年11月に開催された”ISID X(クロス) Innovation フォーラム 2020”のセッション動画となります。 -
サプライチェーンにおけるリスク管理とスコアリングサービスの応用
※クリックすると全ページ確認できます。
-
SecurityScorecard関連データ
当ソリューションが採用しているアクティブおよびパッシブ収集方法やシグナルタイプについて詳しく説明しております。
-
SecurityScorecardで検出される問題
ネットワークセキュリティ、DNSのヘルスチェック、エンドポイントセキュリティなど、検出される問題について解説しております。
導入事例・取材記事
-
【IPAの10大脅威に急浮上、「サプライチェーン攻撃」対策に現実解はあるか】
-
Cadence Bancorporation導入事例
Cadence Bancorporationは米国テキサス州ヒューストンに本拠地を置く地方銀行。ベンダーのリスク評価と対処のため導入を決定。
メーカー資料
-
SecurityScorecard「先進的なサイバーリスクマネジメントチームを構築するための5つのステップ2020年」
取引先も含めたサプライチェーン全体のリスクをどのように管理すればよいか?を5つのステップに分けて解説しています。海外で先行している手法について、SecurityScorecard社のホワイトペーパーを翻訳しております。
※クリックすると概要を確認できます(資料請求も可能)