★☆★JNSAメールマガジン 第257号 2023.3.3☆★☆
2023/03/03 (Fri) 15:30
★☆★JNSAメールマガジン 第257号 2023.3.3☆★☆
こんにちは
JNSAメールマガジン 第257号 をお届けします。
メールマガジンはJNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは
SecurityScorecard株式会社 衣川 俊章様にご寄稿いただきました。
【連載リレーコラム】
セキュリティ レーティングとは
SecurityScorecard株式会社 アライアンス担当ディレクター
衣川 俊章
本コラムでは、最近目にすることが多くなってきたセキュリティ レーティング
について説明したいと思います。セキュリティ レーティングは、セキュリティ
スコアリング、セキュリティリスクレーティングやセキュリティ格付けと
呼ばれていることもありますが、今回はセキュリティ レーティングという
言葉に統一して説明したいと思います。
そもそも、レーティングとは何かということですが、この単語を辞書で引くと
このようなことが書いてあります。「対象となる物事に対して、ある基準に
基づき、等級分けや数値化をおこなったもの」(https://www.weblio.jp/content/...)。
これをセキュリティ レーティングに当てはめると「セキュリティ レーティング」
とは、組織に顕在化しているリスクを分析、可視化し、その結果を等級分けや
数値化した形で表すことで、組織のセキュリティレベルを評価するソリューシ
ョンということになるのではないでしょうか。これによって、これまでセキュ
リティという分野では難しいとされてきた、企業のセキュリティリスクを定量
化できるソリューションです。共通の基準に基づいて評価をすることで、自組織
のセキュリティリスクを数値として把握することや他組織のセキュリティ態勢
との定量的な比較を行うことができます。これを実現できれば、社内でセキュ
リティ投資の妥当性を判断する一助にもなりますし、上層部へのセキュリティ
レベル評価の報告をする際にも、非常に有効な情報として活用できます。
実際のセキュリティ レーティングはどのようにして計算されて提供されて
いるのでしょうか。「組織外からアクセスできる情報資産にどのくらいのセキ
ュリティの脆弱なポイントがあるか」という視点でスコアが算出されています。
ダークウェブなどを含めたインターネット上やOSINTを使って、情報資産として
特定されるドメインやIPアドレス情報、そこに内在する既知の脆弱性、設定ミス
などを含めたリスクに値する情報を収集します。その上で、検出された情報資産
とリスクの紐づけをし、特定のアルゴリズムを使ってスコアを算出し、最終的
にはレーティングという形で数値化した結果を提示しています。算出に使用
されているリスク種類は多岐に渡っていますが、全てのレーティングサービス
に共通しているのは、組織外から見える、その組織に存在している脆弱なポイ
ントを見極められるということになります。この「組織外から見える」という
のは、つまり攻撃者が情報収集段階で標的とする組織の状況を把握する状況と
同様であるということになります。ですので、セキュリティ レーティングと
は、「攻撃者から見て、その組織がどの程度狙われやすい状態になっているか
を示す指標」ということになるのではないでしょうか。
では、セキュリティ レーティングはどのような形で利用されているのでしょ
うか。究極的なゴールとしては、スタンダード&プアーズやムーディーズの
企業信用格付けと同等にセキュリティ レーティングが普及し、世界中の組織
が自身のグレードを認知している状況だと考えられています。セキュリティ
レーティングが市場に出始めた時点での利用方法としては、自社 や グルー
プ・関連会社のサイバーリスクの評価をする用途が大多数で、年1回もしくは
2回などの頻度で実施されるセキュリティ評価の一環として、脆弱性診断や
それ以外の評価と共に利用されていました。その後、継続的なセキュリティ
態勢可視化施策のデータとしてセキュリティ レーティングを活用するケース
も見られるようになってきました。
最近では、特に欧米企業においては、サプライチェーン・サードパーティ企業
を対象にしたリスク評価に利用するケースも増えてきています。多くの企業では、
サードパーティ(取引先)のリスク管理や評価は限られたリソースで運営され
ており、負荷が増大しているとともに、従前からのExcelベースの問診票を
使用した限定的な、一部主観的なデータを元にした評価になっています。
この評価方法では、継続的な管理ができないためあくまでもある時点での評価
になってしまいます。また、サードパーティリスク管理の大きな課題の一つと
して、様々なリスクレベルを分類し、リスク要因を特定した上で、効率的な
モニタリング、追跡管理、報告を行うといったプロセスを確立することが難しい
という現状があります。これらの課題解決のデータポイントとしてセキュリティ
レーティングを活用することで、サードパーティリスク管理の自動化、客観的
指標による判断、より効果的なコミュニケーションを実現し、サードバーティ
リスク管理のレベルを向上させることが出来ます。レーティング以外の各種
ソリューションと連携させ、複数のデータセットを活用することで、更に精度
の高いプログラム運用の構築も可能です。サプライチェーン・サードパーティ
のセキュリティリスク管理に関しては、各国で規制を強めていく傾向になって
いて、それに対応するためにも効果的なリスク管理対策の導入は必須になって
きています。規制の1事例としては、ニューヨーク州金融サービス局は情報
セキュリティ規制 (23 NY CRR500)を2017年3月から開始し、規制の対象となる
金融機関において、サプライチェーン全体を対象とし、セキュリティ事故が
発生した場合、重大性に応じて制裁金が科せられる形になっています。これに
対応するためのデータとしてのセキュリティ レーティングの活用も始まって
います。
セキュリティ レーティングの活用は、更に違う形での利用も増えてきています。
M&Aやローン組成におけるデューデリジェンスプロセスにおける、評価データ
の一部としての活用や、保険(サイバー保険に限らず)加入申込時の審査、
審査結果を基にした保険料率への反映、また保険加入者のリスクコントロール
対応への活用などにも広がってきています。冒頭にお伝えしたスタンダード&
プアーズやムーディーズなどの信用格付けの一要素としてセキュリティ レー
ティングを取り入れる検討も始まっているとされています。
欧米ではセキュリティ レーティング利用シーンが広がってきています。当然、
セキュリティ レーティング単体で組織が抱えている課題を全て解決出来る
わけではありませんが、従来のソリューションとは異なる視点でのメリットを
提供することが明解になってきている中での浸透なのではないかと思われます。
また、他のソリューションとの連携も積極的に推進されていくことによって、
今まで以上の効果を提供していくことになると予測されています。
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジンの感想をお寄せください。
https://tinyurl.com/49zat3hr
※googleアンケートフォームを利用しています。
【部会・WGからのお知らせ】
★デジタルアイデンティティWGメンバーが執筆した
「Software Design 今さら聞けない認証・認可」が再編集されて
別冊シリーズで3月6日に発売!
「今さら聞けない暗号技術&認証・認可
―Web系エンジニア必須のセキュリティ基礎力をUP」
https://www.amazon.co.jp/o/ASIN/B0BVVMH7NC/gihyojp-22
★2月22日開催、デジタルアイデンティティWGセミナー
「???とアイデンティティ|第4回IaaSとアイデンティティ」
YouTube JNSAチャンネルにて公開中!!
https://www.youtube.com/playlist?list=PL1nvarmw8MRuJfxf8nrBf-Zv4hqEqUlhm
【事務局からのお知らせ】
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。
お心当たりのある方は最寄りの警察署に御相談下さい!!
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
sec@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <https://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第257号
発信日:2023年3月3日
発 行:JNSA事務局 sec@jnsa.org
*************************************
こんにちは
JNSAメールマガジン 第257号 をお届けします。
メールマガジンはJNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは
SecurityScorecard株式会社 衣川 俊章様にご寄稿いただきました。
【連載リレーコラム】
セキュリティ レーティングとは
SecurityScorecard株式会社 アライアンス担当ディレクター
衣川 俊章
本コラムでは、最近目にすることが多くなってきたセキュリティ レーティング
について説明したいと思います。セキュリティ レーティングは、セキュリティ
スコアリング、セキュリティリスクレーティングやセキュリティ格付けと
呼ばれていることもありますが、今回はセキュリティ レーティングという
言葉に統一して説明したいと思います。
そもそも、レーティングとは何かということですが、この単語を辞書で引くと
このようなことが書いてあります。「対象となる物事に対して、ある基準に
基づき、等級分けや数値化をおこなったもの」(https://www.weblio.jp/content/...)。
これをセキュリティ レーティングに当てはめると「セキュリティ レーティング」
とは、組織に顕在化しているリスクを分析、可視化し、その結果を等級分けや
数値化した形で表すことで、組織のセキュリティレベルを評価するソリューシ
ョンということになるのではないでしょうか。これによって、これまでセキュ
リティという分野では難しいとされてきた、企業のセキュリティリスクを定量
化できるソリューションです。共通の基準に基づいて評価をすることで、自組織
のセキュリティリスクを数値として把握することや他組織のセキュリティ態勢
との定量的な比較を行うことができます。これを実現できれば、社内でセキュ
リティ投資の妥当性を判断する一助にもなりますし、上層部へのセキュリティ
レベル評価の報告をする際にも、非常に有効な情報として活用できます。
実際のセキュリティ レーティングはどのようにして計算されて提供されて
いるのでしょうか。「組織外からアクセスできる情報資産にどのくらいのセキ
ュリティの脆弱なポイントがあるか」という視点でスコアが算出されています。
ダークウェブなどを含めたインターネット上やOSINTを使って、情報資産として
特定されるドメインやIPアドレス情報、そこに内在する既知の脆弱性、設定ミス
などを含めたリスクに値する情報を収集します。その上で、検出された情報資産
とリスクの紐づけをし、特定のアルゴリズムを使ってスコアを算出し、最終的
にはレーティングという形で数値化した結果を提示しています。算出に使用
されているリスク種類は多岐に渡っていますが、全てのレーティングサービス
に共通しているのは、組織外から見える、その組織に存在している脆弱なポイ
ントを見極められるということになります。この「組織外から見える」という
のは、つまり攻撃者が情報収集段階で標的とする組織の状況を把握する状況と
同様であるということになります。ですので、セキュリティ レーティングと
は、「攻撃者から見て、その組織がどの程度狙われやすい状態になっているか
を示す指標」ということになるのではないでしょうか。
では、セキュリティ レーティングはどのような形で利用されているのでしょ
うか。究極的なゴールとしては、スタンダード&プアーズやムーディーズの
企業信用格付けと同等にセキュリティ レーティングが普及し、世界中の組織
が自身のグレードを認知している状況だと考えられています。セキュリティ
レーティングが市場に出始めた時点での利用方法としては、自社 や グルー
プ・関連会社のサイバーリスクの評価をする用途が大多数で、年1回もしくは
2回などの頻度で実施されるセキュリティ評価の一環として、脆弱性診断や
それ以外の評価と共に利用されていました。その後、継続的なセキュリティ
態勢可視化施策のデータとしてセキュリティ レーティングを活用するケース
も見られるようになってきました。
最近では、特に欧米企業においては、サプライチェーン・サードパーティ企業
を対象にしたリスク評価に利用するケースも増えてきています。多くの企業では、
サードパーティ(取引先)のリスク管理や評価は限られたリソースで運営され
ており、負荷が増大しているとともに、従前からのExcelベースの問診票を
使用した限定的な、一部主観的なデータを元にした評価になっています。
この評価方法では、継続的な管理ができないためあくまでもある時点での評価
になってしまいます。また、サードパーティリスク管理の大きな課題の一つと
して、様々なリスクレベルを分類し、リスク要因を特定した上で、効率的な
モニタリング、追跡管理、報告を行うといったプロセスを確立することが難しい
という現状があります。これらの課題解決のデータポイントとしてセキュリティ
レーティングを活用することで、サードパーティリスク管理の自動化、客観的
指標による判断、より効果的なコミュニケーションを実現し、サードバーティ
リスク管理のレベルを向上させることが出来ます。レーティング以外の各種
ソリューションと連携させ、複数のデータセットを活用することで、更に精度
の高いプログラム運用の構築も可能です。サプライチェーン・サードパーティ
のセキュリティリスク管理に関しては、各国で規制を強めていく傾向になって
いて、それに対応するためにも効果的なリスク管理対策の導入は必須になって
きています。規制の1事例としては、ニューヨーク州金融サービス局は情報
セキュリティ規制 (23 NY CRR500)を2017年3月から開始し、規制の対象となる
金融機関において、サプライチェーン全体を対象とし、セキュリティ事故が
発生した場合、重大性に応じて制裁金が科せられる形になっています。これに
対応するためのデータとしてのセキュリティ レーティングの活用も始まって
います。
セキュリティ レーティングの活用は、更に違う形での利用も増えてきています。
M&Aやローン組成におけるデューデリジェンスプロセスにおける、評価データ
の一部としての活用や、保険(サイバー保険に限らず)加入申込時の審査、
審査結果を基にした保険料率への反映、また保険加入者のリスクコントロール
対応への活用などにも広がってきています。冒頭にお伝えしたスタンダード&
プアーズやムーディーズなどの信用格付けの一要素としてセキュリティ レー
ティングを取り入れる検討も始まっているとされています。
欧米ではセキュリティ レーティング利用シーンが広がってきています。当然、
セキュリティ レーティング単体で組織が抱えている課題を全て解決出来る
わけではありませんが、従来のソリューションとは異なる視点でのメリットを
提供することが明解になってきている中での浸透なのではないかと思われます。
また、他のソリューションとの連携も積極的に推進されていくことによって、
今まで以上の効果を提供していくことになると予測されています。
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジンの感想をお寄せください。
https://tinyurl.com/49zat3hr
※googleアンケートフォームを利用しています。
【部会・WGからのお知らせ】
★デジタルアイデンティティWGメンバーが執筆した
「Software Design 今さら聞けない認証・認可」が再編集されて
別冊シリーズで3月6日に発売!
「今さら聞けない暗号技術&認証・認可
―Web系エンジニア必須のセキュリティ基礎力をUP」
https://www.amazon.co.jp/o/ASIN/B0BVVMH7NC/gihyojp-22
★2月22日開催、デジタルアイデンティティWGセミナー
「???とアイデンティティ|第4回IaaSとアイデンティティ」
YouTube JNSAチャンネルにて公開中!!
https://www.youtube.com/playlist?list=PL1nvarmw8MRuJfxf8nrBf-Zv4hqEqUlhm
【事務局からのお知らせ】
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。
お心当たりのある方は最寄りの警察署に御相談下さい!!
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
sec@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <https://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第257号
発信日:2023年3月3日
発 行:JNSA事務局 sec@jnsa.org
*************************************