ご契約様専用ページ

ID / パスワードをお忘れの方は こちら
※メーラが立ち上がります

※メーラが自動で立ち上がらない方は、
g-security@dentsusoken.com 宛てに
契約中のソリューション名(SecurityScorecard/KnowBe4)と
お客様情報をご連絡お願いいたします。

外部からの攻撃リスク度合いを客観的に点数で分かりやすく把握する
自社と取引先のセキュリティリスクを可視化し対策状況を把握する

SecurityScorecard

こんな事にお困りではないですか?

  • サプライチェーンリスクに対して危機感を感じている。

  • 自社だけでなく、グループ会社、海外法人、取引先のセキュリティ対策状況が把握できていない。

  • セキュリティの課題が見つかっても、どこまで対処したらよいかわからない。

最新のセキュリティ課題

サプライチェーンリスクを可視化するニーズの高まり

  • 引用:IPA(情報セキュリティ10大脅威2021)

  • 業務委託先にも適切なセキュリティ管理を要求

    • 原材料や部品の調達、製造、在庫管理、物流、販売、業務委託先などの一連の商流(サプライチェーン)において、セキュリティ対策が甘い組織が攻撃の足がかりとして狙われる
    • 一部業務を委託している外部委託先組織から情報が漏えい

自組織のみがセキュリィ対策を講じても⽳ができる

サプライチェーンの弱点を悪用した攻撃の高まり

自組織のみがセキュリティ対策を講じても⽳ができ、甚⼤な被害が

  • (現状) 攻撃者はサプライチェーン全体を偵察し、「弱点」をついてきます。
  • 「攻撃者の視点」に立ち、客観的に弱点を知る事が重要

サイバーキルチェーンの流れ

サイバーキルチェーン(Cyber Kill Chain)とは、標的型攻撃における攻撃者の⾏動(攻撃の手順)を構造化したフレームワーク。アメリカの大手軍需企業であるロッキード・マーチン社により提唱されたもの。

偵察フェーズでサプライチェーン全体の弱点を探し、
その後、いくつかの手法を組み合わせ、段階的に重要情報にリーチする

「攻撃者の視点」に立ち、客観的・継続的に弱点を知る事が重要

これまでの対策方法

  • 契約で縛る

    • 業務委託範囲の明確化、違反時の罰則明記、セキュリティ要件明記
    • あくまで机上の話。実際にどのくらいリスクがあるかは別問題。
  • 脆弱性診断実施

    • システムの脆弱性有無をチェック
    • システム負荷(疑似攻撃)があるため、簡単にできない。
    • 各システム担当者の負担大。各社やり方が異なる

サプライチェーン全体の弱点を
手早く、継続的に、
把握する事が難しい。

が解決します!

SecurityScorecardとは…

サイバー攻撃のサプライチェーンリスクを可視化する
「セキュリティ・リスク・スコアリングシステム」

重要なポイントをサンプリングし、全体的な管理状況をすばやく推定する

攻撃者目線

セキュリティ・リスク・スコアリングシステムの役割

  • 自社のリスクを点数化し
    セキュリティ対策状況が瞬時にわかる

    • 外部ハッカーからの視点で点数化し、どこに問題があるか視覚化
    • 目標到達点を設定することにより、わかりやすい改善計画作成
  • 相手のリスクを点数化

    • 相手に対して⽬標点を設定し、要件を明確化
    • 相手のリスクを見える化・点数化することに自社のリスクを権限

SecurityScorecard 特徴

  • システムに負荷をあたえずに素早くチェックが可能

    • Internet上から得られる情報をもとにチェック
    • C&Cサーバへの通信の疑いがある企業情報や、ハニーポット等から独⾃に情報収集

    ※SecurityScorecard社は常時調査し情報収集実施

  • 多くの実績があるスコアリングシステム

    • 全世界 1,100社以上(スコアリング調査済み企業数は500万社以上)の実績あり
  • スコアリングの流れ

    1. データ収集(※常時情報収集実施)

      Internet上の公開情報やハニーポット、マルウェア解析情報など収集

    2. スコアリングシステムにより調査対象のドメインを入力

      調査対象のドメイン名をもとに、
      SSC社の持つ「データ収集」により得た情報を解析

    3. 10の検査項⽬によりスコアリング実施

    4. 全体スコアリングの実施

      AからFまでの分かりやすい指標でスコア化

  • 特長

    ▶ 脆弱性診断ツールではなく、リスク管理のツールに最適

    • ● スコア F の企業はスコア A の企業に比べ、7.7の可能性で侵害が発生することが判明
    • ● スコアをいい状態に維持することが、攻撃されにくい環境の維持に繋がる

    他社にはない膨大な
    データベース量のなせる業

  • 活用パターン

    1. 1. ベンダーリスクマネジント

      サイバーリスクはいまや企業の信用調査や評価に際しても重要な指標となっており、取引先等を含めたリスク管理(ベンダーリスクマネジメント)状況を重視する傾向が強まっています。 従来の財政的なチェックのみに加え、セキュリティ対策状況の指針として活用

    2. 2. セルフチェック

      従来はチェックが難しかった小規模なグループ会社や海外グループ会社へ活用

    3. 3. 企業の評価基準

      • ・損保会社様向けサイバー保険用企業信用チェック
      • ・企業買収前のチェック
  • レポートイメージ

    サマリレポートの他に、詳細レポートなどの各種レポートを作成可能。
    ⽬標の点数に到達させるために、解決すべき課題や脆弱性対処⽅法なども確認することが可能

    全体のスコアを表示

    全部で10つのカテゴリーでそれぞれのスコアを表示

    調査対象の企業が所属する産業のなかの平均に対して、どのくらいの位置づけなのか視覚化

    見つかった脆弱性の件数とカテゴリーを記載

    ※レポートは日本語、英語、ドイツ語、フランス語に対応しております

  • 機能補足

    • ⽬標スコアの設定
    • ⽬標を決めると、推奨タスクの提⽰
    • 問題点も⼀⽬で詳細把握可能
    • レポートを相手と共有し、
      問題改善を促す
      レポートを相手と共有し、問題改善を促す

      レポートの共有先(相手)を設定。いつ(30日)までにスコア(A)にしてほしいと簡単な要求もラジオボタンで可能。

      レポートを相手と共有し、問題改善を促す

      共有先の相手には、Mailで通知がいきます。届いたら、自分でSecurityScorecardプラットフォームにアクセスする為のアカウントを作成し、セキュアな状態でレポートを確認可能。画面上で確認できるため、各課題に対して解決済み等のフラグを直接設定できます。

      レポートの共有先(相手)を設定。いつ(30日)までにスコア(A)にしてほしいと簡単な要求もラジオボタンで可能。

      共有先の相手には、Mailで通知がいきます。届いたら、自分でSecurityScorecardプラットフォームにアクセスする為のアカウントを作成し、セキュアな状態でレポートを確認可能。画面上で確認できるため、各課題に対して解決済み等のフラグを直接設定できます。

導入効果

導入いただいたお客様(日本)からの声

  • 脆弱性診断やアンケート調査と違いリスクを定量的にリアルタイムで把握できるのでリスク管理ツールとして最適。
  • 点数で指標が示されるので、誰の立場から見ても分かりやすい。経営者、取引先ともコミュニケーションが取りやすい。
  • 無償トライアルを実施する事により使い勝手などの不安を払拭して早期に導入及び運用する事が出来た。
  • アラート通知でスコアの変動にすぐに気付けることも非常に役立つ。必要な対処がとれる。
  • まずは関連会社に対してのリスク管理を行っているが、今後は取引先にも使っていきたい。調査対象を簡単に変更できるので柔軟性が高い。
  • 自分たちで気付いていないデジタルアセット(資産)を見つけられた。

SecurityScorecard 会社概要

所在地ニューヨーク州ニューヨーク
設⽴年2013年6⽉
創設者

Aleksandr Yampolskiy、Sam Kassoumeh

  • Yampolskiy⽒は、ニューヨーク⼤学で数学とコンピュータサイエンスの学⼠号を、エール⼤学で暗号学の修⼠号と博⼠号を取得。 Goldman Sachs, Oracle, Microsoftなどに勤務後、Gilt社のセキュリティとコンプライアンス担当。
  • Sam Kassoumeh⽒は、ミシガン⼤学卒業後、Gilt社でセキュリティ部⾨に従事
顧客数1,000社 以上
調査済み企業数500万社 以上
※最新状況は SecurityScorecard社のホームページ
 (https://trust.securityscorecard.com/
 をご参照ください。

SecurityScorecardの評価

サイバーセキュリティ・リスク評価ソリューションにおいて、#1の評価獲得

フォレスター社における第三者評価にて全10項目中以下6項目において差別化できていると高評価を頂きました。

  1. ①データ精度
  2. ②プロセスの透明性
  3. ③過誤検知の申告
  1. ④他ソリューションとの連携・統合
  2. ⑤ユースケースの幅広さ
  3. ⑥戦略

※「Forrester New Wave™: Cybersecurity Risk Ratings, Q1 2021」日本語版の完全レポートを入手されたい方は、

フォレスター社 日本語版 完全レポート 申込み

から「資料請求」にてお申込みをお願いいたします。

※リンク先の「資料請求」ボタンをクリックするとメーラが立ち上がります
※メーラが自動で立ち上がらない方は、
g-security@group.isid.co.jp宛てに
「フォレスター社 日本語版完全レポート希望」を明記の上、
お客様情報をご連絡お願いいたします。

電通総研の取り組み

経験豊富なスタッフによる各種ドキュメントや
トライアルメニューをご用意しております
お客様のご要望に合わせた導入から
運用まで手厚くサポートいたします

紹介動画

【日本語字幕】ISIDがお届けするSecurityScorecard紹介ビデオ
サプライチェーン攻撃へのリスクを瞬時に点数化し、改善すべきポイントを可視化するスコアリングサービスです。
自社だけでなく、サプライチェーン全体のセキュリティ対策状況を把握することができます。




【日本語字幕】SecurityScorecard顧客事例_どのように取引ベンダーを管理するか
取引ベンダーのリスク管理をするうえで、なぜSecurityScorecardを採用しようと思ったか、背景と効果などについて、米Virgin Pulse社の生の声をお聞きください。
国内でも導入が進んでいるSecurityScorecardですが、まずは自社及び関連会社のセキュリティ管理を目的に導入し、ゆくゆくはスコアリング対象を取引ベンダーへ広げていきたいというお客様が多くいらっしゃいます。この動画が少しでもヒントになれば幸いです。




▶▶より具体的な資料・動画は、「各種情報」にございます◀◀

各種情報

導入事例・取材記事

メーカー資料

  • SecurityScorecard「先進的なサイバーリスクマネジメントチームを構築するための5つのステップ2020年」

    取引先も含めたサプライチェーン全体のリスクをどのように管理すればよいか?を5つのステップに分けて解説しています。海外で先行している手法について、SecurityScorecard社のホワイトペーパーを翻訳しております。
    ※クリックすると概要を確認できます(資料請求も可能)

第三者評価レポート

  • Forrester New Wave レポート日本語版

    Forrester社によるサイバーセキュリティリスクレーティングの新興市場における主要7社の評価レポート(日本語版)です。資料ご請求の際は、SecurityScorecard社から日本語版レポートを送付させて頂きます。

メーカー Blogなど

×

資料サンプル表示

続きをご希望の方は「資料請求」よりご連絡ください。
(メーラーが立ち上がります)

資料請求
×

資料サンプル表示

続きをご希望の方は「資料請求」よりご連絡ください。
(メーラーが立ち上がります)

資料請求
×

資料サンプル表示

続きをご希望の方は「資料請求」よりご連絡ください。
(メーラーが立ち上がります)

資料請求
×

資料サンプル表示

続きをご希望の方は「資料請求」よりご連絡ください。
(メーラーが立ち上がります)

資料請求

関連コラム

お問い合わせ 無料トライアル