• サポート
  • ログイン
  • お問い合わせ
  • ブログ
  • Japanese
  • English
  • French
  • サポート
  • ログイン
  • お問い合わせ
  • ブログ
SecurityScorecard SecurityScorecard
  • 製品とサービス
    製品
    • Security Ratings (セキュリティレイティング)
      10 種類のリスクファクターにおけるセキュリティの強みを特定します。
    • Security Data (セキュリティデータ)
      実践的で、データに基づいた知見を入手できます。
    • Security Assessments (セキュリティアセスメント)
      セキュリティアンケートの交換を自動化できます。
    • Automatic Vendor Detection (自動ベンダー検出)
      NEW
      サードパーティベンダーおよびフォースパーティベンダーを発見します。
    • Cyber Risk Quantification (サイバーリスク定量化)
      サイバーリスクを金額に換算する
    • Reporting Center (レポーティングセンター)
      サイバーリスクレポーティングを簡素化できます。
    • SecurityScorecard Marketplace
      事前に構築された統合機能を見つけて導入できます。
    サービス
    • Active Security Services
      セキュリティコントロールのテストを行います。
    • Cyber Risk Intelligence
      提携して有意義な脅威インテリジェンスを手に入れましょう。
    • デジタルフォレンジック
      あらゆる脅威に対応する準備ができます。
    • サードパーティリスクマネジメント
      ベンダーエコシステム全体のリスクを低減できます。
    今すぐ購入
    • 無料アカウントを試してみる
      情報に基づく意思決定を自信を持って行えます。
    • エンタープライズ版デモを依頼する
      企業向けプランの機能の導入事例をご覧いただけます。
    icon__SSClogoMark icon__SSClogoMark

    SecurityScorecardでリスクを把握し、低減できます。

    無料アカウントに登録する
  • ソリューション
    ユースケース別
    • コンプライアンス
    • サイバー保険
    • デジタルフォレンジック
    • デューデリジェンス
    • 企業サイバーリスク
     
    • 経営陣向けレポート
    • インシデント対応
    • 各種規制への対応
    • サードパーティリスク
    業種別
    • エンタープライズ又は一般企業
      英語サイトへ
    • 金融サービス
      英語サイトへ<
      企業向けプランの機能の導入事例をご覧いただけます。
    • 政府機関
      英語サイトへ<
    • 保険
      英語サイトへ<
     
    • 小売り業及び消費者向けサービス
    • テクノロジー

    企業のリスク計算をサポート

    無料アカウントに登録する
  • 顧客
    導入顧客
    • 顧客概要
      英語サイトへ
      あらゆる業種、規模の企業から信頼されています。
    • 導入済みのお客様からの評価
      英語サイトへ
      お客様の声をお聞きください。
    成功とサポート
    • カスタマーサクセス
      英語サイトへ
      受賞歴のあるカスタマーサービスを受けられます。
    • サポート
      英語サイトへ
      ご不明な点は専門家に相談できます。
    コミュニティ
    • SecurityScorecard Connect
      Engage in fun, educational, and rewarding activities.
    • ログイン
      お客様専用のセキュリティレイティングプラットフォームへログイン
    icon__SSClogoMark icon__SSClogoMark
    SecurityScorecardでリスクを把握し、低減できます。
    無料アカウントに登録する
  • パートナー

    パートナープログラムの概要

    サイバーセキュリティレイティングのグローバルリーダー、SecurityScorecardと提携し、ソリューションを拡張し、実現する価値を高め、新しいビジネスを獲得しましょう。

    詳細情
    • パートナーを探す
      英語サイトへ
      業界最先端のパートナーネットワークにアクセスできます。
    • テクノロジーアライアンス
      英語サイトへ
      リーディングプロバイダーの革新的なソリューションにアクセスできます。
    • SCORE ポータルログイン
      英語サイトへ
      SCORE パートナープログラムを使用して事業を拡大できます。
    • SecurityScorecard マーケットプレイス
      SecurityScorecard エクスペリエンスを拡張する信頼できるソリューションを探せます。
  • リソース
    リソース
    • リソースセンター
      サイバーセキュリティに関する電子書籍、データシート、ウェビナーなどをご覧いただけます。
    • SecurityScorecard ブログ
      セキュリティ リスク レイティングに関する様々なブログを掲載しています。
    • リサーチおよびインサイトセンター
      新規
      最新の業界トレンドおよびセクター開発に関する調査にアクセスできます。
    • SecurityScorecard アカデミー
      新規
      認定コースを修了し、業界で注目されているバッジを獲得しましょう。
    ツールおよびドキュメント
    • 無料のセキュリティレイティング
      英語サイトへ
      カスタマイズされたセキュリティスコアで無料のレイティングレポートを取得できます。
    • 製品リリースノート
      最新のリリースノートについては、サポートポータルにアクセスしてください。
    • 無料アカウントに登録する
      今すぐサイバーセキュリティ体制のモニタリングを開始しましょう。
    信頼は、透明性から始まります。私たちのレイティングを駆動するデータをのぞいてみませんか。
    詳細情報
  • 企業情報
    • 会社概要
      SecurityScorecard は、セキュリティレイティングでグローバルリーダーとして評価されています。
    • 経営陣
      英語サイトへ
      世界のセキュリティ環境の安全性を高めているチームをご紹介します。
    • プレス
      英語サイトへ
      最新のプレスリリースや報道をご覧いただけます。
    • イベント
      英語サイトへ
      開催予定の業界イベントにご参加ください。
    • 採用情報
      今すぐ応募する
      SecurityScorecard チームに参加しませんか?
    • お問い合わせ
      ご質問、ご不明な点、お気づきの点がございましたら、ご連絡ください。
    • 信頼性ポータル
      私たちのテクノロジーを推進するデータの内側をのぞいてみませんか。
    • ヘルプセンター
      英語サイトへ
      ご不明な点やお困りのことがありましたら、お気軽にご相談ください。
お問い合わせ

『攻撃のターゲットにならない』ためのセキュリティ投資とは (前編)

発行日:2021年12月1日

『攻撃のターゲットにならない』というタイトルを見て、「そんなソリューションがあれば、とっくに導入している!」という感想を持たれると思います。

これこそが、最高のセキュリティ対策になるはずなのですが、最近までこのようなアプローチのソリューションが広く知れ渡ることはありませんでした。

ここで、予めお伝えしておきたいのは、これから記載する各種ソリューションを導入しても、『攻撃のターゲットにならない』状態を完全に実現することは困難です。しかし、『攻撃のターゲットになりにくい』状態にすることは実現することはできます。

より攻撃のターゲットになりにくい状態が実現可能なセキュリティソリューションは、これまでのものと何が異なるのでしょうか。

最も異なる点は、その“着眼点”です。

セキュリティ対策の“着眼点”とは?

まず、この図をご覧ください。



この図は、Mandiant社が定義しているサイバー攻撃のフローを図示したものです。サイバー攻撃は「情報収集」から始まり、各ステップを経て、「目的達成」で完結すると定義されています。

この図を見て、防御側はどのような考えを持って、セキュリティ対策を考えたらよいでしょうか。

サイバー攻撃が、このフローに沿って行われると仮定すれば、防御側の目的は、このフローのいずれかのステップを断ち切ること。これをセキュリティ対策として実装できれば、攻撃の目的達成を防ぐことが可能です。

既に、このブログをご覧になっている皆様が所属する組織では、様々なセキュリティ製品/サービスをご利用されていると思います。

皆様の組織で導入されているセキュリティ製品/サービスは、この攻撃のフローのどこのステップを断ち切る目的で導入されていますか?

これまでのセキュリティソリューションの“着眼点”

サイバー攻撃のフローの8個のステップを2つに分けて考えます。



攻撃の『前期段階』:“初期侵入”、“足場確立”、“権限昇格”

→ 端末パソコンに侵入し、パソコンの管理者権限を奪取するまでのステップ

攻撃の『後期段階』:“内部偵察”、“水平展開”、“持続性確保”

→ 目的の情報を収集するために浸潤を深めるステップ

このように整理すると、今のセキュリティ製品/サービスの分類や導入意義がもう少し明確になってくるはずです。



例えば、メールセキュリティ製品でしたら、“初期侵入”に利用される攻撃メールを防御/検知しますから、主に、攻撃の前期段階の“初期侵入”のステップのフローを断ち切る目的で導入されます。

例えば、EDR製品でしたら、侵入した端末から他の端末に対して内部偵察するコマンドなどを検知して、対応をする製品なので、主に、攻撃の後期段階の“内部偵察”のステップなどのフローを断ち切る目的で導入されます。

皆様の組織では、どのステップでサイバー攻撃を断ち切る目的で導入されているセキュリティ製品/サービスが多いですか?

これからのセキュリティソリューションの新たな“着眼点”

ここで、改めてサイバー攻撃のフローの図に目を向けてみます。

このフローには、上述した攻撃の『前期段階』/『後期段階』で包含されていないステップがあります。

それは、“情報収集”のステップです。



これから説明するのは、この“情報収集”のステップに着目したセキュリティ対策になります。

実際に、この“情報収集”のステップで、サイバー攻撃のフローを断ち切るというのは、どのような行動を指すのでしょうか。

攻撃者は、この“情報収集”のステップでは、攻撃対象とする組織がどのようなセキュリティ的な脆弱なポイントを外部に晒しているかを詳らかにし、その情報を元に攻撃のシナリオを構築していきます。

つまり、“情報収集”のステップで、攻撃を断ち切ろうとした場合、防御側が取るべきは、「攻撃者が攻撃のシナリオを作成する際に、調査するセキュリティ的な脆弱なポイントを抑え、その対応を行う」という極めてシンプルな行動です。

要するに、「外部に晒しているセキュリティ的な脆弱なポイントを極力排除し、攻撃者に攻撃させなければ良い」のです。

今、実は、この分野へのセキュリティ投資が非常に注目され、導入する組織が多くなっています。

具体的に、“情報収集”のステップで攻撃を断ち切るために有効なソリューションはどのようなものがあるか、次回ブログでは、その点について言及します。


Join us in making the world a safer place
Join Us
Social-linkedin Social-facebook Twitter Instagram Youtube

SecurityScorecard
Tower 49
12 E 49th St
Suite 15-100
New York, NY 10017

[email protected]

United States: (800) 682-1701
International: +1(646) 809-2166
  • 製品
  • ソリューション
  • 顧客
  • マーケットプレイス
  • パートナー
  • リソース
  • 会社概要
  • 信頼性ポータル
  • セキュリティ レイティング
  • ログイン
  • ブログ
  • お問い合わせ
  • 採用情報
    人材募集
  • 利用規約
  • プライバシーポリシー
  • 特許
  • クッキーの使用について
© 2022 SecurityScorecard