しかし、経営層やサプライチェーンを構築するグループ会社、委託先・サードパーティに対し、技術的な専門用語の利用を避けて、サイバーリスクを分かりやすく伝え、適切な判断や行動を促すことは容易ではない。
そこで金融機関やグローバル製造業を中心に注目されている製品群として、組織のセキュリティレベルを客観的に評価しスコアリングを行う「セキュリティレーティング」がある。(別名で、セキュリティレーティングサービス(Security Rating Service:SRS)やサイバー・リスクレーティング、セキュリティスコアリング、サイバー防衛力の格付け、などとも呼ばれる)
本記事では、セキュリティレーティングの特徴やメリット、そして企業経営にもたらす価値を分かりやすく説明し、導入時にあらかじめ押さえておきたいポイントについて解説したい。
セキュリティレーティングは「サイバー攻撃者目線で企業のサイバーリスクを定量的に評価するツール」であり、サイバー攻撃者の視点で「どれくらい攻撃を仕掛けやすい組織なのか」をスコアやランク等で評価する。
加えて、具体的なリスク要因の指摘とその改善方法など、リスク低減に関するベストプラクティスを提示するため、「サイバー攻撃を仕掛けられにくくする」ための指針として活用が期待される。
セキュリティレーティングでは、企業のリスク評価に際してサイバー攻撃の「偵察」技術で得られる情報を活用する。
例えば、Whoisの登録情報やSSL/TLSサーバ証明書、DNSレコードなど外部から観測可能な公開情報に加え、使用しているソフトウェアのバージョン、パッチ適用状況、データ漏洩の有無などを幅広く収集・分析し、独自のスコアリングロジックに基づいて評価結果を出力する。
セキュリティレーティングの日本国内における市場規模は、2021年度から2027年度の間に4倍以上の拡大が予測されている[i]。
NRIセキュアにおいても、IPA(情報処理推進機構)の「情報セキュリティ10大脅威(組織編)」にて『サプライチェーンや委託先を狙ったサイバー攻撃』が初めてランクインした2019年から、セキュリティレーティングの導入に関して相談を受ける件数が増えている。
本章では、セキュリティレーティングの利用用途・ユースケースを3つに分けて解説する。
1つ目のユースケースは、自組織やグループ企業のセキュリティ対策の現状を可視化し、リスクや改善点を特定するために活用するケースであり、最も利用目的として多い。
セキュリティレーティングを活用することで、例えば「自組織・グループ企業が見落としていたIT資産やシステムの脆弱性の発見」、「グループ全体の平均スコアと比較し、特にスコアが低い拠点の特定」、「優先的に対策すべきリスクのトリアージと、改善方法の検討」につながるなど、サイバーリスクの実態把握や対策強化に貢献する。
2つ目のユースケースは、委託先やサードパーティのリスクをモニタリングするために活用するケースであり、近年このニーズが高まっている。現代の企業は、ベンダーやクラウドサービス、委託業者など多くのサードパーティと連携しながらビジネスを展開しているが、それらの企業がサイバー攻撃の「弱点」となり、リスクが露呈するケースが後を絶たないためだ。
2024年に公開された「NIST サイバーセキュリティフレームワーク2.0」や「金融分野におけるサイバーセキュリティに関するガイドライン」など最新のセキュリティガイドラインにおいても、委託先・サードパーティのリスクを継続的にモニタリングする必要性が強調されているが、その手段としてセキュリティレーティングの活用が進んでいる。
3つ目のユースケースは、自組織のサイバーリスクレベルをより客観的に評価するため、競合他社や業界のリーディングカンパニーのサイバーリスクスコアをベンチマークとして活用する方法である。また、M&Aによって買収を予定している企業のサイバーリスク管理体制を事前に評価する手段として、セキュリティレーティングが用いられることもある。
これらはいずれも、後段で説明するセキュリティレーティングの特徴である「評価対象やシステムに対する負荷が少なくやさしい診断」によって、個別の依頼や通知を必要とせず、相手に気づかれることなくリスクを把握できるという利点を活かしたものである。
このように、自組織のサプライチェーンの範囲外にある企業に対して評価を行う活用が進む中、本記事をご覧の皆様の組織も、すでにセキュリティレーティングを用いて取引先や競合他社などからリスク対応状況を評価されている可能性がある点をご理解いただきたい。
セキュリティレーティングは、External Attack Surface Managementツール(以下、EASMツール)や脆弱性診断サービス(プラットフォーム診断、アプリケーション診断、デバイス診断など)と類似した要素や機能が多いが、「A:対象の広さ」「B:診断の深度」「C:システム負荷」「D:診断スピード」「E:回数・頻度」の5つの観点で特徴が異なる。
本章では、そのセキュリティレーティング5つの観点から、セキュリティレーティングの強みを3つのポイントで整理する。
一般的な脆弱性診断では、企業・組織が把握し、明示したIT資産を対象に診断を行う。インターネットからのアクセスが可能かどうかに関係なく、特定のサーバやアプリケーションなど、指定された範囲内で診断が実施される。加えて、診断の一環として攻撃コードをWebサイトに仕掛けることや、認証を回避してシステムに侵入を試みるケースもある。
一方で、セキュリティレーティングやEASMツールは、インターネット上に公開されている全てのIT資産を対象としており、意図せず公開されているような、企業・組織が把握していない未管理の資産(いわゆるShadow IT)を探索・発見できる。(※ツールの性能や提供サービスにより、資産の探索能力は異なる)
つまり、自社では認識していないものの、攻撃者が気づいている「セキュリティの盲点」の発見を得意とする。
セキュリティレーティングやEASMツールでは、探索・発見したIT資産に対し”非侵入型(non-intrusive)“の手法で診断を実施しており、具体的な攻撃コードの実行や認証回避などは実施しない。すなわち、脆弱性診断の代替となるツールではない。
またセキュリティレーティングに限って述べると、EASMツールの様に組織内に存在する幅広い脆弱性を網羅的に洗い出すことを目的としておらず、あくまでも「サイバー攻撃者に悪用されやすいポイント」に限定したリスクベースアプローチの観点で診断する。
脆弱性診断は、セキュリティ監視装置でアラートを検出したり、システムダウンを誘発したりするなど、診断が対象システムに大きな影響を及ぼす可能性があるため、診断の実施前には必ず社内関係者との調整を実施し、承認を得る必要がある。
一方、セキュリティレーティングは、スキャンの痕跡がセキュリティ監視装置に検出されることも本番システムに直接影響を与えることもほとんどない。そのため、事前に社内調整が不要で、自由に対象組織を選定し、診断できるメリットがある。
このような仕組みにより、セキュリティレーティングでは、自組織とは異なる第三者の企業(委託先・サードパーティ、競合他社・M&A買収企業など)のリスクを可視化する用途での利用が実現できる。
脆弱性診断は、契約開始から診断、報告までに、数週間から数か月を必要となることが多く、また1年に1回、半期に1回など、ワンショットで診断を実施するケースが多い。
一方、セキュリティレーティングでは、即時から数日で評価結果を得られる。加えて、継続的な診断を目的とした仕組みにより、月次・週次・日次といったタイミングで自動的に結果が更新され続ける(診断の項目によって頻度は異なる)。
これらの診断は完全に自動化されているので、リスク評価や診断に関する専門知識を持つ担当者が不足している企業・組織においても、導入を検討しやすい利点がある。
ここ数年でセキュリティレーティングが注目されている背景には、組織や立場が異なる関係者をまたいだリスクコミュニケーションの重要性と、それを適切に行う難しさがある。
企業を取り巻くサイバーセキュリティの脅威の変化に目を向けると、IPA(情報処理推進機構)が毎年発表している「情報セキュリティ10大脅威(組織編)」からわかるように『サプライチェーンや委託先を狙ったサイバー攻撃』の脅威が年々高まっている。
サイバー攻撃者は、企業単体だけではなくグループ企業や委託先・サードパーティを経由して侵入を試み、目的を達成しようとする手口が増加している。そのため、単独の企業努力だけでは防ぎきれないリスクが顕在化し、サプライチェーン全体でのリスク管理体制の構築が重要になっている。
一方で、NRIセキュアが実施した情報セキュリティ実態調査「NRI Secure Insight 2024[ii]」によると、サプライチェーンに対するセキュリティ統制の意識が高まる中で、対経営層・対協力関係会社とのリスクコミュニケーションに関係する課題が上位にランクインしている。
セキュリティ統括担当者には、サプライチェーン全体のサイバーリスクに関して「経営層/取締役とのリスクコミュニケーション」と「協力関係会社とのリスクコミュニケーション」の両方の実施を担う役割を持つ。さらに近年では、ESG情報開示の潮流を受け「顧客や株主・投資家とのリスクコミュニケーション」が重要視されるケースも増える。
関係者の立場や業務領域の差異により、お互いの疑問や知りたい情報が異なるため、リスクに関する共通の言語・指針を用いて相互の理解を深めることが必要となるが、それは容易ではない。
このような課題がある中、目的や立場の異なる関係者同士、共通の認識を与えるための有効なコミュニケーション手段として、セキュリティレーティングは大きな価値を発揮する。
「サプライチェーン全体でのサイバーリスクはどの程度あるのか?どこの拠点のリスクが高いのか?」「競合他社や業界のリーディングカンパニーと比較して、自組織はどれくらいリスクがあるのか?」
必要な予算や人的リソースを確保するには経営層のコミットメントが不可欠であり、このような疑問に対して、自組織のサイバーリスクを分析し、技術的な専門用語を用いることなく分かりやすく伝え続けることが重要である。
例えば、セキュリティレーティングのスコアを経営層への報告材料として活用し、
このような形で、経営層に対し数値を使って状況を示すことで、リスクが直感的に伝わり、現場と経営層の認識を一致させやすくなる。
またセキュリティレーティングサービス分野のリーディングカンパニーであるSecurityScorecard[iii]は、大量に保有する統計データに基づいて、将来的にサイバー侵害を受ける可能性との相関性を提示している。このような統計情報も活用することで、経営層や取締役の当事者意識をより高められる。
すべての協力関係会社が、十分な予算を確保し、ITやセキュリティに精通した技術者を配置しているとは限らない。そのため、単に発見された脆弱性やセキュリティ要件を押し付けるのではなく、ビジネスの重要度や業務の実態を踏まえながら、適切なリスクコミュニケーションを行い、共にセキュリティレベルを向上させる意識と関係性を築くことが大切である。
例えば、セキュリティレーティングで得られた各協力関係会社のスコアを足掛かりにし、発見した脆弱性とその対応方法、優先度情報などを活用しながら
というように、具体的な数値やデータをもとに丁寧に伝えることで、協力関係会社との建設的な対話を促し、実効性のある改善につなげられる。
近年では、経営層/取締役や協力関係会社とのコミュニケーションだけでなく、顧客や株主・投資家とのリスクコミュニケーションにおいても、セキュリティレーティングを活用する事例が増えている。
例えば、統合報告書や情報セキュリティ報告書などにセキュリティレーティングで得られたスコアを掲載することで、セキュリティに関する非財務情報の積極的な開示を通じて、一般社会に対する信頼性の向上と透明性のアピールにつなげられる。
前章まで、セキュリティレーティングの特徴を説明し、組織をまたぐ各関係者同士の共通認識を深めるためのリスクコミュニケーションツールとして価値を発揮すると述べた。
しかしながら、セキュリティレーティングは優れたツールである一方で決して万能ではなく、いくつか難点もある。
本章では、NRIセキュアが多くの企業に対して導入を支援する中で見えてきた、セキュリティレーティングを導入する前にあらかじめ理解しておきたいポイントを解説する。
セキュリティレーティングでは、診断対象となるドメインやIPアドレスなど資産(製品によっては「デジタルフットプリント」とも呼ばれる)を、Whoisの登録情報やSSL/TLS証明書などの情報を基に収集するが、それら登録状況によっては、一定の確率で誤検出が発生する。
そのため、評価結果を確認する前や、定期的なタイミングで「診断対象に含まれている資産が本当にその組織に関連しているか」を目視で精査することが推奨される。
診断対象となるアセットの管理方法やシステム構成によっては、正しく診断を実施できなかったり、診断のタイミングによって評価結果が変動したりすることがある。
例えば、システムの前段にセキュリティ機器が設置されていると、本当はシステムに存在するはずの問題点が正しく検出されないことがあり、その結果、実際のシステムリスクと評価結果に差異が生じる場合がある。
加えて一部の企業では、例えば各システムやグループ企業の管理を「サブドメイン単位(例: sub.example.com)」や「ディレクトリ単位(例: example.com/service/)」で行っているケースがあるが、セキュリティレーティングでは「サブドメイン単位」や「ディレクトリ単位」で診断対象を細かく制御することが容易ではなく、意図した評価結果が得られない場合があることを予め理解しておきたい。
セキュリティレーティングのスコア算出方法やそのアルゴリズムは複雑であり、利用するサービスによってはブラックボックス化されている。
例えば、以下のような要因によってスコアが変動する場合があるため、スコアの変動を過度に気にしたり、一喜一憂したりするのではなく、継続的なセキュリティリスクの特定と対応に重点を置くことが肝要と言える。
セキュリティレーティングのコンセプトは「サイバー攻撃者目線での攻撃の仕掛けやすさ」に基づいており、組織内部のリスク管理体制そのものは診断項目に含まれない(一部例外あり)。
そのため、指摘された問題点に対してリスクを受容する判断をした場合でも、攻撃者の視点では依然として指摘された問題点は存在し続け、セキュリティレーティングのスコアにも影響し続けることに注意したい。
また、委託元・取引先など外部関係者がこれらの問題点を把握した際に、「その組織のリスク管理体制に問題があるのでは?」と疑念を抱く可能性がある。これは外部の関係者が、その組織内部のリスク管理方針を正確に把握していないため、存在するリスクをネガティブに捉えることがあるためだ。
セキュリティレーティングは、自動診断によって効率的にリスクを可視化できる一方、リスクの軽減に努めるためには、専門的な知識や調整スキルが求められる。
具体的には、評価結果を正しく理解し、技術的な解釈を行う力や、自社の業務実態に応じたリスクのトリアージ(優先順位付け)が必要である。また、必要に応じて現場担当者や協力関係会社と連携し、評価結果を実際のリスク軽減の運用に落とし込む調整力も必要となる。
ここまで、セキュリティレーティングの特徴や企業経営にもたらす価値について解説してきた。セキュリティレーティングを導入する前には、あらかじめ自組織における利用目的を明確にし、サービスの仕様や制限を予め理解しておくことが必要である。
NRIセキュアが提供しているセキュリティ評価サービス「Secure SketCH(セキュアスケッチ)」では、セキュリティレーティングサービスのリーディングカンパニーであるSecurityScorecardの機能を組み込み、お客様に提供している(Secure SketCHの自動診断)。
SecurityScorecardのパートナータイプ(外部ベンダーによる提供方式)には、SecurityScorecardをシンプルに再販する「リセール型」と、ベンダーの付加価値を加えて提供する「MSSP(Managed Security Service Provider)型」の二つがあり、NRIセキュアはMSSPとして日本初のパートナー認定を受けている[iv]。
NRIセキュアでは、SecurityScorecardのリスクレーティング結果をAPI連携し、Secure SketCH上で以下のような独自の付加価値を加えている。
NRIセキュアは、Secure SketCHのセキュリティレーティングを活用して、これまでに累計1000組織以上の評価実績がある。自組織やサプライチェーンのリスク評価と改善活動において、セキュリティレーティングにご興味がある方は、ぜひ一度、Secure SketCHの活用をご検討いただきたい。
[i] https://www.meti.go.jp/meti_lib/report/2022FY/000523.pdf
[ii] https://www.nri-secure.co.jp/download/insight2024-report
[iii] https://securityscorecard.com/
[iv] https://securityscorecard.com/partner-marketplace/#/591727