SecurityScorecard【セキュリティスコアカード】
SecurityScorecardとは?
攻撃者がターゲットを調べるときと同じ視点でインターネット上の情報を収集・分析する。サーバの設定状況やSSL証明書の適切さ、DNSの構成、公開アプリケーションの脆弱性、マルウェア感染の痕跡、ダークウェブへの情報漏洩、従業員の認証情報の流出など、複数の観点からデータを取得する。これらは10のカテゴリに分類・分析され、100点満点、A~D・Fの5段階グレードで総合評価が示される。業界平均との比較も可能で、どの領域に課題があるかを具体的に把握できる構成になっている。
スコアは外部から観測できる情報のみに基づくため、内部の運用体制や未公開の対策までは反映されない。継続的にスキャンが行われるため、新たな問題が発生した際はスコアが変動し、早期に気づける仕組みになっている。従来の質問票や内部調査に頼った手法とは異なり、対象企業の業務を止めることなく最新の状況を常に把握できる点で、実用的な監視手段として機能する。
自社のセキュリティ状況のセルフチェックだけでなく、経営層向けの報告資料の作成、企業買収前のサイバーデューデリジェンス、サイバー保険の料率算定など様々な形で活用されている。定量的なスコアで示されることで、専門知識がなくても状況を把握しやすく、セキュリティ投資の優先順位づけや経営判断の材料としても機能する。
近年では様々な業種でサプライチェーン攻撃が増加しており、自社のセキュリティが堅固でも、取引先やグループ会社の対策が手薄であれば、そこを踏み台にした侵入を受けるリスクがある。SecurityScorecardはサプライチェーン全体のスコアを一括して把握・監視できるため、取引先への改善要請の根拠としても活用されている。経済産業省のサイバーセキュリティ経営ガイドラインでもこうした対応が求められており、組織横断的なリスク管理の手段として注目されている。
共有ボタンをタップ