2021年12月24日 10時00分 公開
PR

“攻撃者の視点”でセキュリティリスクを自動で定量的に可視化サイバー攻撃を受けにくい環境の維持を実現

サイバー攻撃が激化する中で自社のみならず、グループ会社や取引先も含めたサプライチェーンリスク管理の重要性が叫ばれている。“攻撃者の視点”でサイバー攻撃を未然に防ぐ手法として注目されるのが、外部に露出する脆弱性を事前に検出して自動的に攻撃対象になる危険度をスコア化する「SecurityScorecard」だ。

[ITmedia]

 いま「サプライチェーンリスク」への関心が高まっている。ここでいうサプライチェーンとは、自社のビジネスを取り巻く取引先、そして海外拠点などを含む複数の関連組織とのつながりを指しており、ネットワークで各社がつながる現代のセキュリティの鉄則として語られる「鎖の弱い部分が切れる」がごとく、自社以外の外部組織も含めたセキュリティ管理が課題となっている。

 経済産業省が公開している「サイバーセキュリティ経営ガイドライン」では、経営者がCISO(最高情報セキュリティ責任者)などに指示すべき10の重要事項の一つとして、「ビジネスパートナーや委託先などを含めたサプライチェーン全体の対策および状況把握」を明示しており、「日本企業の自社のセキュリティ点検は欧米にやや遅れる程度だが、委託先などへのケアは大幅に遅れている」と指摘している。官公庁、政府からもサプライチェーンにおけるリスクを重視せよという、重要なメッセージが発せられていると考えるべきだろう。

 昨今のインシデントも、目の届かない海外拠点や外部組織の“脆弱(ぜいじゃく)なサーバ”からランサムウェアが侵入するという事例が増えてきている。この状況においては、サイバー世界におけるウの目タカの目――つまり“攻撃者視点”が必要ではないだろうか。

 まさにそう考えたのは、米国ニューヨークで創設されたSecurityScorecardだ。サイバー攻撃が激化するいま、企業組織の防御力を底上げする基礎対策として注目される「攻撃者視点でサイバー攻撃の受けやすさや受けにくさを定量的に可視化する手法」とはどんなものだろうか。

※本稿は、TechFactoryからの転載記事です。


提供:株式会社マクニカ
アイティメディア営業企画/制作:アイティメディア編集局

Copyright © ITmedia, Inc. All Rights Reserved.