• サポート
  • ログイン
  • お問い合わせ
  • ブログ
  • Japanese
  • English
  • French
  • サポート
  • ログイン
  • お問い合わせ
  • ブログ
SecurityScorecard SecurityScorecard
  • 製品とサービス
    製品
    • Security Ratings (セキュリティレイティング)
      10 種類のリスクファクターにおけるセキュリティの強みを特定します。
    • Security Data (セキュリティデータ)
      実践的で、データに基づいた知見を入手できます。
    • Security Assessments (セキュリティアセスメント)
      セキュリティアンケートの交換を自動化できます。
    • Automatic Vendor Detection (自動ベンダー検出)
      NEW
      サードパーティベンダーおよびフォースパーティベンダーを発見します。
    • Cyber Risk Quantification (サイバーリスク定量化)
      サイバーリスクを金額に換算する
    • Reporting Center (レポーティングセンター)
      サイバーリスクレポーティングを簡素化できます。
    • SecurityScorecard Marketplace
      事前に構築された統合機能を見つけて導入できます。
    サービス
    • Active Security Services
      セキュリティコントロールのテストを行います。
    • Cyber Risk Intelligence
      提携して有意義な脅威インテリジェンスを手に入れましょう。
    • デジタルフォレンジック
      あらゆる脅威に対応する準備ができます。
    • サードパーティリスクマネジメント
      ベンダーエコシステム全体のリスクを低減できます。
    今すぐ購入
    • 無料アカウントを試してみる
      情報に基づく意思決定を自信を持って行えます。
    • エンタープライズ版デモを依頼する
      企業向けプランの機能の導入事例をご覧いただけます。
    icon__SSClogoMark icon__SSClogoMark

    SecurityScorecardでリスクを把握し、低減できます。

    無料アカウントに登録する
  • ソリューション
    ユースケース別
    • コンプライアンス
    • サイバー保険
    • デジタルフォレンジック
    • デューデリジェンス
    • 企業サイバーリスク
     
    • 経営陣向けレポート
    • インシデント対応
    • 各種規制への対応
    • サードパーティリスク
    業種別
    • エンタープライズ又は一般企業
      英語サイトへ
    • 金融サービス
      英語サイトへ<
      企業向けプランの機能の導入事例をご覧いただけます。
    • 政府機関
      英語サイトへ<
    • 保険
      英語サイトへ<
     
    • 小売り業及び消費者向けサービス
    • テクノロジー

    企業のリスク計算をサポート

    無料アカウントに登録する
  • 顧客
    導入顧客
    • 顧客概要
      英語サイトへ
      あらゆる業種、規模の企業から信頼されています。
    • 導入済みのお客様からの評価
      英語サイトへ
      お客様の声をお聞きください。
    成功とサポート
    • カスタマーサクセス
      英語サイトへ
      受賞歴のあるカスタマーサービスを受けられます。
    • サポート
      英語サイトへ
      ご不明な点は専門家に相談できます。
    コミュニティ
    • SecurityScorecard Connect
      Engage in fun, educational, and rewarding activities.
    • ログイン
      お客様専用のセキュリティレイティングプラットフォームへログイン
    icon__SSClogoMark icon__SSClogoMark
    SecurityScorecardでリスクを把握し、低減できます。
    無料アカウントに登録する
  • パートナー

    パートナープログラムの概要

    サイバーセキュリティレイティングのグローバルリーダー、SecurityScorecardと提携し、ソリューションを拡張し、実現する価値を高め、新しいビジネスを獲得しましょう。

    詳細情
    • パートナーを探す
      英語サイトへ
      業界最先端のパートナーネットワークにアクセスできます。
    • テクノロジーアライアンス
      英語サイトへ
      リーディングプロバイダーの革新的なソリューションにアクセスできます。
    • SCORE ポータルログイン
      英語サイトへ
      SCORE パートナープログラムを使用して事業を拡大できます。
    • SecurityScorecard マーケットプレイス
      SecurityScorecard エクスペリエンスを拡張する信頼できるソリューションを探せます。
  • リソース
    リソース
    • リソースセンター
      サイバーセキュリティに関する電子書籍、データシート、ウェビナーなどをご覧いただけます。
    • SecurityScorecard ブログ
      セキュリティ リスク レイティングに関する様々なブログを掲載しています。
    • リサーチおよびインサイトセンター
      新規
      最新の業界トレンドおよびセクター開発に関する調査にアクセスできます。
    • SecurityScorecard アカデミー
      新規
      認定コースを修了し、業界で注目されているバッジを獲得しましょう。
    ツールおよびドキュメント
    • 無料のセキュリティレイティング
      英語サイトへ
      カスタマイズされたセキュリティスコアで無料のレイティングレポートを取得できます。
    • 製品リリースノート
      最新のリリースノートについては、サポートポータルにアクセスしてください。
    • 無料アカウントに登録する
      今すぐサイバーセキュリティ体制のモニタリングを開始しましょう。
    信頼は、透明性から始まります。私たちのレイティングを駆動するデータをのぞいてみませんか。
    詳細情報
  • 企業情報
    • 会社概要
      SecurityScorecard は、セキュリティレイティングでグローバルリーダーとして評価されています。
    • 経営陣
      英語サイトへ
      世界のセキュリティ環境の安全性を高めているチームをご紹介します。
    • プレス
      英語サイトへ
      最新のプレスリリースや報道をご覧いただけます。
    • イベント
      英語サイトへ
      開催予定の業界イベントにご参加ください。
    • 採用情報
      今すぐ応募する
      SecurityScorecard チームに参加しませんか?
    • お問い合わせ
      ご質問、ご不明な点、お気づきの点がございましたら、ご連絡ください。
    • 信頼性ポータル
      私たちのテクノロジーを推進するデータの内側をのぞいてみませんか。
    • ヘルプセンター
      英語サイトへ
      ご不明な点やお困りのことがありましたら、お気軽にご相談ください。
お問い合わせ

プロアクティブにサイバー攻撃の脅威に対応する3つの価値

発行日:2021年8月12日



このブログを読んでくださっている皆様の組織でも、これまでも多くのセキュリティへの投資をされてきたと思います。ネットワークセキュリティ製品・メールセキュリティ製品・エンドポイントセキュリティ製品・脆弱性診断ツール・脅威インテリジェンスサービスなどが挙げられるでしょうか。

皆様の組織で行われたこれらの投資、振り返ってみるとどのような分野への投資が多く、これから強化すべきはどのような分野なのかを改めて考えてみませんか?

セキュリティ投資をカテゴリーに分ける方法は様々ありますが、このブログでは、こんな分け方をして整理をしてみます。



『リアクティブな対応』 vs 『プロアクティブな対応』



『リアクティブな対応』とは

文字通り、“サイバー攻撃が確認されてから、セキュリティ運用担当者はその侵害への対応を開始する”といった対応方法です。攻撃を精査し、攻撃者をネットワークから追い出し、組織への損害度合いが評価され、状態復旧を試みます。


『プロアクティブな対応』とは

“サイバー攻撃の前に何かしらの対応(“対策”といった方が正しいかもしれませんが、あえて“対応”という言葉を利用します。)を行います。おそらく、多くの方が、事前に行う対応の大切さはご理解いただいていると思いますが、実際にどのような観点で対応を行ったらよいかの理解がなかなか進まず、実行に移し切れていないのではないでしょうか。

『プロアクティブな対応』を平易な言葉で置き換えてみます。ズバリ、“予防策”です。この言葉ならば、途端にわかりやすくなると思いますし、「それなら、既にやっている」、「ああ、そういうことか」と思われた方もいらっしゃると思います。

具体例を挙げると、「従業員へのセキュリティトレーニング」、「組織がまだ直面したことがないセキュリティリスクが起きた際の対応手順の策定」、「ペネトレーションテスト や レッドチームテスト などの侵入テスト」などが、“予防策”に当たります。

皆様の組織では、どのような“予防策”を講じてきて、どのような効果を得てきたでしょうか。

もし、そこまで効果が上がったという実感がない方がいらっしゃいましたら、「自組織に合った予防策を吟味して、投資を行ってきたか」と自問自答してみてください。

『プロアクティブな対応』で難しい点は、「やみくもに予防策を講じても、効率的な投資にならない」ということです。自組織の現状に合った予防策を選ぶといった観点を忘れないでください。

自組織の現状に合った予防策を選ぶために必要なことは、「自組織の現状把握」です。「今、御社のセキュリティの状態はどのような状態ですか?」と質問されて、明確な答えを返せる方はあまり多くないのではないでしょうか。

「自組織の現状を正しく理解して、自組織に合ったプロアクティブな対応(予防策)を講じる」

これまでにこのようなアプローチを取られていなかった方、是非、一度、自組織に当てはめたらどのような効果が見込めるか、試してみてください。

このブログの続きでは、改めて、『プロアクティブな対応』を導入した際に、組織が得られる価値、そして、SecurityScorecardををどのように活用できるかについて触れていきます。



『プロアクティブな対応』の3つの価値



1. 潜在的な攻撃に時間的な余裕をもって対策することができる

“リアクティブな対応”だけに頼っていると、どうしてもセキュリティ運用担当の方の時間や工数がひっ迫する事態に陥りがちです。当然のことですが、攻撃者は組織の都合など待ってくれません。ある攻撃に対応している最中に、次の攻撃、さらに次の攻撃が発生する。次々に発生する攻撃の侵害に対して、都度対応を行わなければならなくなります。

『プロアクティブな対応』を行うことで、潜在的な攻撃に対する対策を考える時間をとり、攻撃が発生する前に脅威に対処する計画を立てることが可能です。脅威インテリジェンスの活用も視野に入れることで、『プロアクティブな対応』は加速します。

2. 組織のセキュリティに関する設定/構成の誤りや改善点に自ら気が付くことができる

『プロアクティブな対応』に関して、視点は攻撃者だけにあるわけではありません。セキュリティ態勢を取るべき組織にも向けられます。組織に目を向け、『プロアクティブな対応』を行うことで、攻撃を受ける前に、運用管理者の意図しない設定や構成の誤りに気が付くことができます。例えば、「本来であれば、外部に公開すべきでないサービス(SMBやデータベース)を公開していないか」、「証明書の期限が切れてしまっていないか」、「サポート切れのOSを使っている従業員はいないか」、「HTTP のレスポンスヘッダーでX-Frame-Optionは正しく利用できているか」といった項目です。

設定や構成の誤りは、少なからず存在します。意図をしない誤りのために、気が付くのが非常に困難です。しっかりと、日ごろから組織のセキュリティの状態に目をむけていることが重要です。

3. コンプライアンスへの遵守状況に自ら気が付くことができる

今、様々な機関で多様なコンプライアンスフレームワークが作られています。その内容を遵守することで、組織のセキュリティレベルは一定のレベルに維持することが可能です。ただ、難しいのがこの“維持する”という行為です。

ある一時点で、コンプライアンスフレームワークに遵守できる状況に改善しても、半年も過ぎたら、遵守しているかどうかの判断さえもできなくなってしまったという状況は良く聞く話です。

『プロアクティブな対応』を行うこと、組織の現状を常日頃から確認し、コンプライアンスの準拠を常日頃から意識をしておくことで、仮に、内部環境/外部環境の変化があったとしてもコンプライアンスを遵守できている状態を維持できるような運用体制を敷くことができます。


SecurityScorecard を利用した『プロアクティブな対応』

前述しましたが、『プロアクティブな対応』を行う際に、必ず第一歩目に行っていただきたいことは、「自組織のセキュリティ態勢の現状把握」です。

攻撃者は、ターゲットとする組織の現状のセキュリティ態勢を観察してから攻撃を仕掛けると言われています。つまり、攻撃者視点に立った時に、その組織がどのような状態になっているのかを把握することが、将来起こりうる攻撃に備える第一歩になります。

SecurityScorecard が提供するセキュリティ リスク レイティング プラットフォーム では、組織のセキュリティ態勢を点数化します。利用者は、その点数から組織のセキュリティ態の成熟度を定量的に理解することができます。

では、先ほど挙げた『プロアクティブな対応』の3つの価値に照らし合わせて、SecurityScorecard の機能を詳しく見ていきます。



1. 潜在的な攻撃に時間的な余裕をもって対策することができる

攻撃者は標的とした組織の脆弱な点をついて、攻撃を仕掛けてきます。対抗する組織からすれば、企業の脆弱な点が把握でき、それに対して予め対策を講じることで、『プロアクティブな対応』が可能になるということになります。

SecurityScorecard では、実際の侵害の事案から企業が対応したほうが良い脆弱な点をカテゴリーに分けて示唆、それぞれのカテゴリーにおいて、対応状況を数値化して具体的に表します。


企業はその数値を確認し、ある程度の時間をかけて、カテゴリーごとにセキュリティ態勢の向上を計画することができます。



2. 組織のセキュリティに関する設定/構成の誤りや改善点に自ら気が付くことができる

SecurityScorecardは、カテゴリー毎にそのセキュリティ態勢について、点数化することは上述しました。さらに、そのカテゴリー毎の点数は、当該組織で確認される様々な脆弱な点が加味されて、付けられています。

以下の図の例は、“Network Security”というカテゴリーで加味される脆弱な点を示しています。この中で、「証明書の有効期限が切れている(Certificate is Expired)」、「RDPが外部に公開されている(RDP Service Observed)」などがハイライトされ、確認された数が表示されていることが確認できると思います。

これらの脆弱な点は、管理者の設定/構成の誤りで、その多くは設定を見直すことで短期的に改善することができる項目です。



3. コンプライアンスへの遵守状況に自ら気が付くことができる

上述した通り、SecurityScorecardはその組織で確認されたセキュリティイシューをベースに点数を算出しています。つまり、予め、組織としてコンプライアンスベースで遵守すべきセキュリティイシューの項目を決めておけば、そのセキュリティイシューが確認された場合、つまり、コンプライアンスに抵触する状態になったことをタイムリーに把握でき、対応を行うことができます。

また、SecurityScorecardでは、予め、複数の標準セキュリティフレームワークを組み込み、遵守項目に対応するセキュリティイシューを定義、現在、組織がそのフレームワークに遵守できているか否かの確認をすることが可能です。



“『プロアクティブな対応』が組織にもたらす価値”や“『自組織のセキュリティ態勢の現状把握』から始める一連の対応の流れ”をご理解いただけましたか?

これまで皆様の組織で、『プロアクティブな対応』に対する投資を体系的に考えていらっしゃらなかったら、是非、SecurityScorecardで『自組織のセキュリティ態勢の現状把握』から始めてみませんか?





他の人気ブログ

  • 【事例から知る】 SecurityScorecard の「サプライチェーン リスク マネジメント」への活用
  • 従来の取引先のライフサイクル マネジメントには足りない『サプライチェーン リスク マネジメント』を実現するための要素とは?
  • 取引先企業のリスク管理における3つの課題およびその解決方法
  • セキュリティ投資の効果測定で検討すべき20の評価基準
  • Why SecurityScorecard? SecurityScorecard はサイバー リスク レイティング マーケットでLeaderとして評価を受けています
  • 10項目のセキュリティ リスク マネジメントに関する考慮事項
Join us in making the world a safer place
Join Us
Social-linkedin Social-facebook Twitter Instagram Youtube

SecurityScorecard
Tower 49
12 E 49th St
Suite 15-100
New York, NY 10017

[email protected]

United States: (800) 682-1701
International: +1(646) 809-2166
  • 製品
  • ソリューション
  • 顧客
  • マーケットプレイス
  • パートナー
  • リソース
  • 会社概要
  • 信頼性ポータル
  • セキュリティ レイティング
  • ログイン
  • ブログ
  • お問い合わせ
  • 採用情報
    人材募集
  • 利用規約
  • プライバシーポリシー
  • 特許
  • クッキーの使用について
© 2022 SecurityScorecard