SecurityScorecard
セキュリティスコアカード
SecurityScorecardは、攻撃者視点で、自社及びサプライチェーン全体(委託先、グループ会社、投資先などの取引先管理)の脆弱性が外部からどのように見えているかを把握し、継続的にモニタリングすることで、その結果「攻撃されにくい環境を維持し続ける」ことを可能にするソリューションです。
SecurityScorecardは、攻撃者視点で、自社及びサプライチェーン全体(委託先、グループ会社、投資先などの取引先管理)の脆弱性が外部からどのように見えているかを把握し、継続的にモニタリングすることで、その結果「攻撃されにくい環境を維持し続ける」ことを可能にするソリューションです。
現在の課題
取引先のセキュリティ管理における課題
年に一回調査票に回答してもらうだけの 外部委託先調査で本当に信頼できる?
それぞれのサプライチェーンのセキュリティは、本当に安全レベルなのか?
サプライチェーンリスクマネジメントを、
SecurityScorecardによるセキュリティリスクレイティングという切り口で実現
サプライチェーン全体のサイバーリスクを評価する
- 一部の大企業
- 導入/運用のための予算を確保でき、高度なセキュリティソリューションを使いこなすための人材も確保できており、ある程度十分な対策を実施することが可能。
- サプライチェーンを構成する中堅/中小企業
- 導入/運用のための予算を確保することができず、高度なセキュリティソリューションを使いこなすための人材も確保しづらい。また、診断を強制することは困難で十分なセキュリティ対策を実施、把握することが困難な場合が多い。
SecurityScorecardの主な利用用途
| 一部の大企業 | 自社の国内/海外拠点やグループ企業全体の状況把握に活用 |
|
サプライチェーンリスク ベンダーリスクマネジメント |
取引先に求めるセキュリティ対策の指針として活用 |
| 経営陣向けレポート | 外部診断結果をわかりやすい指標で定期的に報告することに活用 |
| サイバー保険 | 保険料算出時のロジック組み込みでの活用 |
| 買収企業調査 | 企業買収前のリスク評価に活用 |
| サービスプロバイダー | マネージドサービスのツールの一部や組み込みデータとして活用 |
- 総合評価
- リスクファクター毎の評価
- 紐づけ/調査/分析
- データ収集
「攻撃者からどう見えているのか」を知ることができる。
SecurityScorecardの検知ポイント
- “情報収集”段階に着目して、攻撃者が収集しうる情報を収集
- サイバー攻撃では、ほとんどの場合、成果が上がりやすいターゲットを探す「調査活動」が行われます。 これと同種の調査を、自動で定期的に実施することができます。
SecurityScorecardの検知ポイント
「攻撃者からの狙われやすさ」を定量化するソリューション
-
収集した脅威情報を元に、独自のアルゴリズムでネットワークやDNS、パッチ管理など「外部から調べることができる」計10個のカテゴリにおいて評価
-
各項目100点満点のスコアリングを行い、A~Fの5段階でリスクを定量化
-
業界平均との比較が可能
-
インターネット上から非侵入で収集できる情報に基づき、攻撃者視点で詳細な分析結果を提供。C&Cサーバへの通信の疑いがある端末情報等を元にスコア化
スコアの特徴
『サイバー攻撃による侵害の可能性との相関性』のあるスコア
SSCのスコアがAの企業を1とした場合にFは7.7倍の侵害発生の可能性を統計および独自のスコアロジックで計算、ランサムウェアに感染した企業との相関も分析可能です。https://trust.securityscorecard.comで、スコア算出方法だけでなく、各種統計情報も公開
GSXサービスと単体運用との違い
SSC利用
GSXサービス
トライアル利用
まずは自社でのPoCや重要グループで試したい!というお客様向け
実施内容
- 3ドメインに関する詳細レポート
- 対応に関する追加報告書
(GSXオリジナル) - 1か月間の対応サポート(メール)
※評価検証、取得項目確認 - ※各社1回限りのサービスとなりま す。
スポット診断
サービスBasic
重要委託先やグループ企業に対して年に一度など断続的実施したいお客様向け
実施内容
- 指定ドメインに関する詳細レポート (3ドメイン~
- 対応に関する追加報告書 (GSXオリジナル)
- 1か月間の対応サポート (メール)
継続診断サービス
定期的な診断および監査体制の確立を考えているお客様向け
実施内容
- ご指定ドメイン数に関する 年間監視支援
- 対応に関する追加報告書 (GSXオリジナル)
- スコア変動におけるアラート サポート、追加報告書支援
- メールによるQA対応
- 脆弱性診断のようなツールのスキャンと何が異なりますか?
-
Security Risk Ratingはサプライチェーンリスク管理を行う製品です。そのため、診断対象となるのは自社だけではなく、委託先、グループ会社、投資先企業といったサプライチェーンに含まれるあらゆる組織をセキュリティリスク判定対象とします。攻撃を含む診断を行なっていないため、他社に対する監視、診断を行えるのも特徴の一つです。脆弱性診断の詳細は以下URL参照ください。
https://www.gsx.co.jp/services/findrisk/webapplication.html
- 実施するには何の情報が必要ですか?
- ドメイン情報のみとなります。サブドメインも対象となり、ドメイン情報から取得できるIPや関連するドメインをデジタルフットプリントとして識別しその情報に関しての結果が出力されます。
お問い合わせ
ご質問・ご相談・お見積りなど、お気軽にお問い合わせください。
導入事例
愛生館グループ様
「高度な脅威に対する検知力、未知の脅威に対する抑止力、端末に負荷が掛からない等の観点から検討しましたが、何より導入コストやGSXのサービス体制の盤石さから導入を決定しました。」
サワイグループホールディングス株式会社様
サワイグループホールディングス株式会社様は、情報セキュリティ対策に関する運用負荷の増大を改善するため、自動的に怪しい行動を検知し、情報漏洩リスクの極小化や不正アクセス対策の強化などを実現する次世代SIEMプラットフォームExabeamを導入されました。
マクセル株式会社様
マクセル株式会社様は、自社を主軸とした運用体制で、マクセル株式会社様及びマクセルグループは4,400台のエンドポイントを保護すべく、CrowdStrike Falcon / アラート解析サービスを導入されました。
セミナー・イベント
【GSX主催ウェビナー】
事業を止めない!有事に備えるIT-BCPとは? ~IT-BCP文書雛形で素早く整備~
開催日時:2024年3月5日(火)15時00分~15時50分
【GSX主催ウェビナー】
<< ウェビナー参加者様への特典をご用意 >> 自工会/部工会・サイバーセキュリティガイドライン対応 抑えておくポイントと対策とは?
開催日時:2024年3月4日(月)11時00分~11時50分
【GSX主催ウェビナー】