バックナンバー

  • 2024/12/16 (Mon) 10:51
    ★☆★JNSAメールマガジン 第302号 2024.12.13☆★☆
  • 2024/12/13 (Fri) 15:30
    ★☆★JNSAメールマガジン 第302号 2024.12.13☆★☆
  • 2024/11/29 (Fri) 15:30
    ★☆★JNSAメールマガジン 第301号 2024.11.29☆★☆
  • 2024/11/15 (Fri) 15:30
    ★☆★JNSAメールマガジン 第300号 2024.11.15☆★☆
  • 2024/11/01 (Fri) 15:30
    ★☆★JNSAメールマガジン 第299号 2024.11.1☆★☆
  • 2024/10/18 (Fri) 15:30
    ★☆★JNSAメールマガジン 第298号 2024.10.18☆★☆
  • 2024/10/04 (Fri) 15:30
    ★☆★JNSAメールマガジン 第297号 2024.10.4☆★☆
  • 2024/09/20 (Fri) 15:30
    ★☆★JNSAメールマガジン 第296号 2024.9.20☆★☆
  • 2024/09/20 (Fri) 12:00
    ★☆★JNSAメールマガジン 臨時号(第295号) ☆★☆
  • 2024/09/05 (Thu) 16:41
    ★☆★JNSAメールマガジン 第294号 2024.8.23☆★☆
  • 2024/08/09 (Fri) 15:30
    ★☆★JNSAメールマガジン 第293号 2024.8.9☆★☆
  • 2024/07/26 (Fri) 15:30
    ★☆★JNSAメールマガジン 第292号 2024.7.26☆★☆
  • 2024/07/12 (Fri) 15:30
    ★☆★JNSAメールマガジン 第291号 2024.7.12☆★☆
  • 2024/06/28 (Fri) 15:30
    ★☆★JNSAメールマガジン 第290号 2024.6.28☆★☆
  • 2024/06/14 (Fri) 15:30
    ★☆★JNSAメールマガジン 第289号 2024.6.14☆★☆
  • 2024/05/31 (Fri) 15:30
    ★☆★JNSAメールマガジン 第288号 2024.5.31☆★☆
  • 2024/05/17 (Fri) 15:30
    ★☆★JNSAメールマガジン 第287号 2024.5.17☆★☆
  • 2024/05/03 (Fri) 15:30
    ★☆★JNSAメールマガジン 第286号 2024.5.3☆★☆
  • 2024/04/19 (Fri) 15:30
    ★☆★JNSAメールマガジン 第285号 2024.4.19☆★☆
  • 2024/04/05 (Fri) 15:30
    ★☆★JNSAメールマガジン 第284号 2024.4.5☆★☆
  • 2024/03/22 (Fri) 15:30
    ★☆★JNSAメールマガジン 臨時号 2024.3.22☆★☆
  • 2024/03/08 (Fri) 15:30
    ★☆★JNSAメールマガジン 第283号 2024.3.8☆★☆
  • 2024/02/23 (Fri) 15:30
    ★☆★JNSAメールマガジン 第282号 2024.2.23☆★☆
  • 2024/02/09 (Fri) 15:30
    ★☆★JNSAメールマガジン 第281号 2024.2.9☆★☆
  • 2024/01/26 (Fri) 15:30
    ★☆★JNSAメールマガジン 第280号 2024.1.26☆★☆
  • 2024/01/12 (Fri) 15:30
    ★☆★JNSAメールマガジン 第279号 2024.1.12☆★☆
  • 2023/12/26 (Tue) 16:00
    ★☆★JNSAメールマガジン 臨時号 2023.12.26☆★☆
  • 2023/12/22 (Fri) 15:30
    ★☆★JNSAメールマガジン 第278号 2023.12.22☆★☆
  • 2023/12/08 (Fri) 15:30
    ★☆★JNSAメールマガジン 第277号 2023.12.8☆★☆
  • 2023/11/24 (Fri) 15:30
    ★☆★JNSAメールマガジン 第276号 2023.11.24☆★☆
  • 2023/11/10 (Fri) 15:30
    ★☆★JNSAメールマガジン 第275号 2023.11.10☆★☆
  • 2023/10/27 (Fri) 15:30
    ★☆★JNSAメールマガジン 第274号 2023.10.27☆★☆
  • 2023/10/13 (Fri) 15:30
    ★☆★JNSAメールマガジン 第273号 2023.10.13☆★☆
  • 2023/09/29 (Fri) 15:30
    ★☆★JNSAメールマガジン 第272号 2023.9.29☆★☆
  • 2023/09/15 (Fri) 15:30
    ★☆★JNSAメールマガジン 第271号 2023.9.15☆★☆
  • 2023/09/01 (Fri) 15:30
    ★☆★JNSAメールマガジン 第270号 2023.9.1☆★☆
  • 2023/08/18 (Fri) 15:30
    ★☆★JNSAメールマガジン 第269号 2023.8.18☆★☆
  • 2023/08/04 (Fri) 15:30
    ★☆★JNSAメールマガジン 第268号 2023.8.4☆★☆
  • 2023/07/21 (Fri) 15:30
    ★☆★JNSAメールマガジン 第267号 2023.7.21☆★☆
  • 2023/07/07 (Fri) 15:30
    ★☆★JNSAメールマガジン 第266号 2023.7.7☆★☆
  • 2023/06/23 (Fri) 15:30
    ★☆★JNSAメールマガジン 第265号 2023.6.23☆★☆
  • 2023/06/09 (Fri) 15:30
    ★☆★JNSAメールマガジン 第264号 2023.6.9☆★☆
  • 2023/05/26 (Fri) 15:30
    ★☆★JNSAメールマガジン 第263号 2023.5.26☆★☆
  • 2023/05/12 (Fri) 15:30
    ★☆★JNSAメールマガジン 第262号 2023.5.12☆★☆
  • 2023/04/28 (Fri) 15:30
    ★☆★JNSAメールマガジン 第261号 2023.4.28☆★☆
  • 2023/04/14 (Fri) 15:30
    ★☆★JNSAメールマガジン 第260号 2023.4.14☆★☆
  • 2023/03/31 (Fri) 15:30
    ★☆★JNSAメールマガジン 第259号 2023.3.31☆★☆
  • 2023/03/17 (Fri) 15:30
    ★☆★JNSAメールマガジン 第258号 2023.3.17☆★☆
  • 2023/03/03 (Fri) 15:30
    ★☆★JNSAメールマガジン 第257号 2023.3.3☆★☆
  • 2023/02/17 (Fri) 15:30
    ★☆★JNSAメールマガジン 第256号 2023.2.17☆★☆
  • 2023/02/03 (Fri) 16:05
    ★☆★JNSAメールマガジン 第255号 2023.2.3☆★☆
  • 2023/01/20 (Fri) 15:30
    ★☆★JNSAメールマガジン 第254号 2023.1.20☆★☆
  • 2023/01/06 (Fri) 17:30
    ★☆★JNSAメールマガジン 第253号 2023.1.6☆★☆
  • 2022/12/23 (Fri) 15:30
    ★☆★JNSAメールマガジン 臨時号 2022.12.23☆★☆
  • 2022/12/16 (Fri) 15:30
    ★☆★JNSAメールマガジン 第252号 2022.12.16☆★☆
  • 2022/12/02 (Fri) 15:30
    ★☆★JNSAメールマガジン 第251号 2022.12.2☆★☆
  • 2022/11/18 (Fri) 15:30
    ★☆★JNSAメールマガジン 第250号 2022.11.18☆★☆
  • 2022/11/04 (Fri) 15:30
    ★☆★JNSAメールマガジン 第249号 2022.11.4☆★☆
  • 2022/10/23 (Sun) 15:00
    ★☆★JNSAメールマガジン 特別号 2022.10.23 ☆★☆
  • 2022/10/21 (Fri) 15:30
    ★☆★JNSAメールマガジン 第248号 2022.10.21☆★☆
  • 2022/10/07 (Fri) 15:30
    ★☆★JNSAメールマガジン 第247号 2022.10.7☆★☆
  • 2022/09/23 (Fri) 15:30
    ★☆★JNSAメールマガジン 第246号 2022.9.23☆★☆
  • 2022/09/09 (Fri) 15:30
    ★☆★JNSAメールマガジン 第245号 2022.9.9☆★☆
  • 2022/08/26 (Fri) 15:30
    ★☆★JNSAメールマガジン 第244号 2022.8.26☆★☆
  • 2022/08/12 (Fri) 15:30
    ★☆★JNSAメールマガジン 第243号 2022.8.12☆★☆
  • 2022/07/29 (Fri) 15:30
    ★☆★JNSAメールマガジン 第242号 2022.7.29☆★☆
  • 2022/07/15 (Fri) 15:30
    ★☆★JNSAメールマガジン 第241号 2022.7.15☆★☆
  • 2022/07/01 (Fri) 15:30
    ★☆★JNSAメールマガジン 第240号 2022.7.1☆★☆
  • 2022/06/17 (Fri) 15:30
    ★☆★JNSAメールマガジン 第239号 2022.6.17☆★☆
  • 2022/06/03 (Fri) 15:30
    ★☆★JNSAメールマガジン 第238号 2022.6.3☆★☆
  • 2022/05/20 (Fri) 15:30
    ★☆★JNSAメールマガジン 第237号 2022.5.20☆★☆
  • 2022/05/06 (Fri) 15:30
    ★☆★JNSAメールマガジン 第236号 2022.5.6☆★☆
  • 2022/04/22 (Fri) 16:00
    ★☆★JNSAメールマガジン 第235号 2022.4.22☆★☆
  • 2022/04/08 (Fri) 15:30
    ★☆★JNSAメールマガジン 第234号 2022.4.8☆★☆
  • 2022/03/25 (Fri) 15:30
    ★☆★JNSAメールマガジン 第233号 2022.3.25☆★☆
  • 2022/03/11 (Fri) 15:30
    ★☆★JNSAメールマガジン 第232号 2022.3.11☆★☆
  • 2022/02/25 (Fri) 15:30
    ★☆★JNSAメールマガジン 第231号 2022.2.25☆★☆
  • 2022/02/11 (Fri) 10:00
    ★☆★JNSAメールマガジン 第230号 2022.2.11☆★☆
  • 2022/01/28 (Fri) 15:30
    ★☆★JNSAメールマガジン 第229号 2022.1.28☆★☆
  • 2022/01/14 (Fri) 16:00
    ★☆★JNSAメールマガジン 第228号 2022.1.14☆★☆
  • 2021/12/24 (Fri) 16:00
    ★☆★JNSAメールマガジン 臨時号 2021.12.24☆★☆
  • 2021/12/24 (Fri) 12:00
    ★☆★JNSAメールマガジン 第227号 2021.12.24☆★☆
  • 2021/12/10 (Fri) 15:30
    ★☆★JNSAメールマガジン 第226号 2021.12.10☆★☆
  • 2021/11/26 (Fri) 15:30
    ★☆★JNSAメールマガジン 第225号 2021.11.26☆★☆
  • 2021/11/12 (Fri) 15:30
    ★☆★JNSAメールマガジン 第224号 2021.11.12☆★☆
  • 2021/10/29 (Fri) 16:00
    ★☆★JNSAメールマガジン 第223号 2021.10.29☆★☆
  • 2021/10/15 (Fri) 15:30
    ★☆★JNSAメールマガジン 第222号 2021.10.15☆★☆
  • 2021/10/01 (Fri) 15:30
    ★☆★JNSAメールマガジン 第221号 2021.10.1☆★☆
  • 2021/09/17 (Fri) 15:30
    ★☆★JNSAメールマガジン 第220号 2021.9.17☆★☆
  • 2021/09/06 (Mon) 14:45
    ★☆★JNSAメールマガジン 第219号 2021.9.6☆★☆
  • 2021/08/20 (Fri) 16:45
    ★☆★JNSAメールマガジン 第218号 2021.8.20☆★☆
  • 2021/08/06 (Fri) 15:00
    ★☆★JNSAメールマガジン 第217号 2021.8.6☆★☆
  • 2021/07/23 (Fri) 15:30
    ★☆★JNSAメールマガジン 第216号 2021.7.23☆★☆
  • 2021/07/09 (Fri) 15:00
    ★☆★JNSAメールマガジン 第215号 2021.7.9☆★☆
  • 2021/06/25 (Fri) 15:30
    ★☆★JNSAメールマガジン 第214号 2021.6.25☆★☆
  • 2021/06/11 (Fri) 15:30
    ★☆★JNSAメールマガジン 第213号 2021.6.11☆★☆
  • 2021/06/04 (Fri) 15:30
    ★☆★JNSAメールマガジン 臨時号 2021.6.4☆★☆
  • 2021/05/28 (Fri) 15:30
    ★☆★JNSAメールマガジン 第212号 2021.5.28☆★☆
  • 2021/05/21 (Fri) 15:30
    ★☆★JNSAメールマガジン 臨時号 2021.5.21☆★☆
  • 2021/05/14 (Fri) 14:30
    ★☆★JNSAメールマガジン 第211号 2021.5.14☆★☆
  • 2021/04/30 (Fri) 12:30
    ★☆★JNSAメールマガジン 第210号 2021.4.30☆★☆
  • 2021/04/16 (Fri) 13:30
    ★☆★JNSAメールマガジン 第209号 2021.4.16☆★☆
  • 2021/04/02 (Fri) 16:30
    ★☆★JNSAメールマガジン 第208号 2021.4.2☆★☆
  • 2021/03/19 (Fri) 15:30
    ★☆★JNSAメールマガジン 第207号 2021.3.19☆★☆
  • 2021/03/05 (Fri) 15:30
    ★☆★JNSAメールマガジン 第206号 2021.3.5☆★☆
  • 2021/02/19 (Fri) 16:00
    ★☆★JNSAメールマガジン 第205号 2021.2.19☆★☆
  • 2021/02/05 (Fri) 15:00
    ★☆★JNSAメールマガジン 第204号 2021.2.5☆★☆
  • 2021/01/22 (Fri) 16:30
    ★☆★JNSAメールマガジン 第203号 2021.1.22☆★☆
  • 2020/12/25 (Fri) 15:30
    ★☆★JNSAメールマガジン 第202号 2020.12.25☆★☆
  • 2020/12/11 (Fri) 16:30
    ★☆★JNSAメールマガジン 第201号 2020.12.11☆★☆
  • 2020/11/27 (Fri) 16:30
    ★☆★JNSAメールマガジン 第200号 2020.11.27☆★☆
  • 2020/11/13 (Fri) 16:00
    ★☆★JNSAメールマガジン 第199号 2020.11.13☆★☆
  • 2020/10/30 (Fri) 16:00
    ★☆★JNSAメールマガジン 第198号 2020.10.30☆★☆
  • 2020/10/16 (Fri) 15:30
    ★☆★JNSAメールマガジン 第197号 2020.10.16☆★☆
  • 2020/10/02 (Fri) 16:30
    ★☆★JNSAメールマガジン 第196号 2020.10.2☆★☆
  • 2020/09/18 (Fri) 16:00
    ★☆★JNSAメールマガジン 第195号 2020.9.18☆★☆
  • 2020/09/04 (Fri) 15:45
    ★☆★JNSAメールマガジン 第194号 2020.9.4☆★☆
  • 2020/08/21 (Fri) 15:30
    ★☆★JNSAメールマガジン 第193号 2020.8.21☆★☆
  • 2020/08/07 (Fri) 15:30
    ★☆★JNSAメールマガジン 第192号 2020.8.7☆★☆
  • 2020/07/10 (Fri) 15:30
    ★☆★JNSAメールマガジン 第191号 2020.7.10☆★☆
  • 2020/06/30 (Tue) 12:14
    ★☆★JNSAメールマガジン 第190号 2020.6.26☆★☆

★☆★JNSAメールマガジン 第257号 2023.3.3☆★☆

2023/03/03 (Fri) 15:30
★☆★JNSAメールマガジン 第257号 2023.3.3☆★☆

こんにちは
JNSAメールマガジン 第257号 をお届けします。

メールマガジンはJNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed

コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。


今回のメールマガジンは

SecurityScorecard株式会社 衣川 俊章様にご寄稿いただきました。

【連載リレーコラム】
セキュリティ レーティングとは
SecurityScorecard株式会社 アライアンス担当ディレクター
衣川 俊章

本コラムでは、最近目にすることが多くなってきたセキュリティ レーティング
について説明したいと思います。セキュリティ レーティングは、セキュリティ
スコアリング、セキュリティリスクレーティングやセキュリティ格付けと
呼ばれていることもありますが、今回はセキュリティ レーティングという
言葉に統一して説明したいと思います。

そもそも、レーティングとは何かということですが、この単語を辞書で引くと
このようなことが書いてあります。「対象となる物事に対して、ある基準に
基づき、等級分けや数値化をおこなったもの」(https://www.weblio.jp/content/...)。
これをセキュリティ レーティングに当てはめると「セキュリティ レーティング」
とは、組織に顕在化しているリスクを分析、可視化し、その結果を等級分けや
数値化した形で表すことで、組織のセキュリティレベルを評価するソリューシ
ョンということになるのではないでしょうか。これによって、これまでセキュ
リティという分野では難しいとされてきた、企業のセキュリティリスクを定量
化できるソリューションです。共通の基準に基づいて評価をすることで、自組織
のセキュリティリスクを数値として把握することや他組織のセキュリティ態勢
との定量的な比較を行うことができます。これを実現できれば、社内でセキュ
リティ投資の妥当性を判断する一助にもなりますし、上層部へのセキュリティ
レベル評価の報告をする際にも、非常に有効な情報として活用できます。

実際のセキュリティ レーティングはどのようにして計算されて提供されて
いるのでしょうか。「組織外からアクセスできる情報資産にどのくらいのセキ
ュリティの脆弱なポイントがあるか」という視点でスコアが算出されています。
ダークウェブなどを含めたインターネット上やOSINTを使って、情報資産として
特定されるドメインやIPアドレス情報、そこに内在する既知の脆弱性、設定ミス
などを含めたリスクに値する情報を収集します。その上で、検出された情報資産
とリスクの紐づけをし、特定のアルゴリズムを使ってスコアを算出し、最終的
にはレーティングという形で数値化した結果を提示しています。算出に使用
されているリスク種類は多岐に渡っていますが、全てのレーティングサービス
に共通しているのは、組織外から見える、その組織に存在している脆弱なポイ
ントを見極められるということになります。この「組織外から見える」という
のは、つまり攻撃者が情報収集段階で標的とする組織の状況を把握する状況と
同様であるということになります。ですので、セキュリティ レーティングと
は、「攻撃者から見て、その組織がどの程度狙われやすい状態になっているか
を示す指標」ということになるのではないでしょうか。

では、セキュリティ レーティングはどのような形で利用されているのでしょ
うか。究極的なゴールとしては、スタンダード&プアーズやムーディーズの
企業信用格付けと同等にセキュリティ レーティングが普及し、世界中の組織
が自身のグレードを認知している状況だと考えられています。セキュリティ
レーティングが市場に出始めた時点での利用方法としては、自社 や グルー
プ・関連会社のサイバーリスクの評価をする用途が大多数で、年1回もしくは
2回などの頻度で実施されるセキュリティ評価の一環として、脆弱性診断や
それ以外の評価と共に利用されていました。その後、継続的なセキュリティ
態勢可視化施策のデータとしてセキュリティ レーティングを活用するケース
も見られるようになってきました。

最近では、特に欧米企業においては、サプライチェーン・サードパーティ企業
を対象にしたリスク評価に利用するケースも増えてきています。多くの企業では、
サードパーティ(取引先)のリスク管理や評価は限られたリソースで運営され
ており、負荷が増大しているとともに、従前からのExcelベースの問診票を
使用した限定的な、一部主観的なデータを元にした評価になっています。
この評価方法では、継続的な管理ができないためあくまでもある時点での評価
になってしまいます。また、サードパーティリスク管理の大きな課題の一つと
して、様々なリスクレベルを分類し、リスク要因を特定した上で、効率的な
モニタリング、追跡管理、報告を行うといったプロセスを確立することが難しい
という現状があります。これらの課題解決のデータポイントとしてセキュリティ
レーティングを活用することで、サードパーティリスク管理の自動化、客観的
指標による判断、より効果的なコミュニケーションを実現し、サードバーティ
リスク管理のレベルを向上させることが出来ます。レーティング以外の各種
ソリューションと連携させ、複数のデータセットを活用することで、更に精度
の高いプログラム運用の構築も可能です。サプライチェーン・サードパーティ
のセキュリティリスク管理に関しては、各国で規制を強めていく傾向になって
いて、それに対応するためにも効果的なリスク管理対策の導入は必須になって
きています。規制の1事例としては、ニューヨーク州金融サービス局は情報
セキュリティ規制 (23 NY CRR500)を2017年3月から開始し、規制の対象となる
金融機関において、サプライチェーン全体を対象とし、セキュリティ事故が
発生した場合、重大性に応じて制裁金が科せられる形になっています。これに
対応するためのデータとしてのセキュリティ レーティングの活用も始まって
います。

セキュリティ レーティングの活用は、更に違う形での利用も増えてきています。
M&Aやローン組成におけるデューデリジェンスプロセスにおける、評価データ
の一部としての活用や、保険(サイバー保険に限らず)加入申込時の審査、
審査結果を基にした保険料率への反映、また保険加入者のリスクコントロール
対応への活用などにも広がってきています。冒頭にお伝えしたスタンダード&
プアーズやムーディーズなどの信用格付けの一要素としてセキュリティ レー
ティングを取り入れる検討も始まっているとされています。

欧米ではセキュリティ レーティング利用シーンが広がってきています。当然、
セキュリティ レーティング単体で組織が抱えている課題を全て解決出来る
わけではありませんが、従来のソリューションとは異なる視点でのメリットを
提供することが明解になってきている中での浸透なのではないかと思われます。
また、他のソリューションとの連携も積極的に推進されていくことによって、
今まで以上の効果を提供していくことになると予測されています。

#連載リレーコラム、ここまで

<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。

<ワンクリックアンケートお願い>
今回のメールマガジンの感想をお寄せください。
 https://tinyurl.com/49zat3hr
※googleアンケートフォームを利用しています。

【部会・WGからのお知らせ】
★デジタルアイデンティティWGメンバーが執筆した
「Software Design 今さら聞けない認証・認可」が再編集されて
 別冊シリーズで3月6日に発売!
「今さら聞けない暗号技術&認証・認可
 ―Web系エンジニア必須のセキュリティ基礎力をUP」
 https://www.amazon.co.jp/o/ASIN/B0BVVMH7NC/gihyojp-22
★2月22日開催、デジタルアイデンティティWGセミナー
 「???とアイデンティティ|第4回IaaSとアイデンティティ」
 YouTube JNSAチャンネルにて公開中!!
 https://www.youtube.com/playlist?list=PL1nvarmw8MRuJfxf8nrBf-Zv4hqEqUlhm
【事務局からのお知らせ】
★JNSA事務局を騙った詐欺事件が発生しています。
 当協会から個人の方へ金銭のご請求を行うことはございません。
 お心当たりのある方は最寄りの警察署に御相談下さい!!
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
 https://www.jnsa.org/telework_support/telework_security/index.html

☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
 sec@jnsa.org

☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <https://www.jnsa.org/aboutus/ml.html>

*************************************
JNSAメールマガジン 第257号
発信日:2023年3月3日
発 行:JNSA事務局 sec@jnsa.org
*************************************