外部組織も含めたセキュリティ管理が課題となる一方、官公庁や政府からは委託先などへのケアの遅れが指摘されているという現実がある。これを打破するために必要な視点とは何か、米国セキュリティ企業の提案を基に考察する。
いま「サプライチェーンリスク」への関心が高まっている。ここでいうサプライチェーンとは、自社のビジネスを取り巻く取引先、そして海外拠点などを含む複数の関連組織とのつながりを指しており、ネットワークで各社がつながる現代のセキュリティの鉄則として語られる「鎖の弱い部分が切れる」がごとく、自社以外の外部組織も含めたセキュリティ管理が課題となっている。
経済産業省が公開している「サイバーセキュリティ経営ガイドライン」では、経営者がCISO(最高情報セキュリティ責任者)などに指示すべき10の重要事項の一つとして、「ビジネスパートナーや委託先などを含めたサプライチェーン全体の対策および状況把握」を明示しており、「日本企業の自社のセキュリティ点検は欧米にやや遅れる程度だが、委託先などへのケアは大幅に遅れている」と指摘している。官公庁、政府からもサプライチェーンにおけるリスクを重視せよという、重要なメッセージが発せられていると考えるべきだろう。
昨今のインシデントも、目の届かない海外拠点や外部組織の“脆弱(ぜいじゃく)なサーバ”からランサムウェアが侵入するという事例が増えてきている。この状況においては、サイバー世界におけるウの目タカの目――つまり“攻撃者視点”が必要ではないだろうか。
まさにそう考えたのは、米国ニューヨークで創設されたSecurityScorecardだ。サイバー攻撃が激化するいま、企業組織の防御力を底上げする基礎対策として注目される「攻撃者視点でサイバー攻撃の受けやすさや受けにくさを定量的に可視化する手法」とはどんなものだろうか。
※本稿は、TechFactoryからの転載記事です。
提供:株式会社マクニカ
アイティメディア営業企画/制作:アイティメディア編集局
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。