【事例から知る】 SecurityScorecard の「サプライチェーン リスク マネジメント」への活用 その2
発行日:2022年5月12日
以前、サプライチェーン リスク マネジメントに“セキュリティ リスク レイティング”を取り入れている企業について、ブログで紹介させていただきました。今回は、新たに2つの企業での活用事例を紹介します。
▼サプライチェーン リスク マネジメント を実現する“セキュリティ リスク レイティング”
事例の紹介をする前に、改めて、“セキュリティ リスク レイティング”とはどのようなソリューションかという点に簡単に触れさせていただきます。
以前書いたブログで、SecurityScorecardが提供する“セキュリティ リスク レイティング”は、「サプライチェーン リスク マネジメント」を実現するソリューションの選択肢の1つだという説明をさせていただいてきました。
自社だけなく、関連企業や取引先企業まで含め、セキュリティをマネジメントするために必要なことは、『サプライチェーン全体のセキュリティ態勢の可視化/現状把握』です。
それらに対するSecurityScorecardの提供価値は、以下の2点がまず挙げられます。
1. 利用者は、各組織のドメイン名を入れるだけで他組織のセキュリティの態勢が数値化して把握できる点
2. 複数の組織を比較したい場合には、横並びでセキュリティ態勢の比較が可能な点
これらの2点の特長は、これまで企業がサプライチェーン リスク マネジメントを導入する際にハードルになっていた課題を解決できる提供価値です。
実際に、今回紹介する2つの企業も、“セキュリティ リスク レイティング” を導入することで、 サプライチェーン リスク マネジメントを実践する際に感じていた課題を解決することができています。
事例①と②はこちらを参照してください。
事例 その③
まず、紹介するのが、「Healthwise社」。全世界で健康管理情報/患者への教育プログラムをケアマネジメント企業などに提供するプロバイダーの事例です。
(弊社コーポレートサイトの事例紹介ページはこちら)
<背景>
Healthwise社は、その事業を拡大する中で、PHI(保護対象保険情報)を自社の提供データと組み合わせて提供するサービスを開始するなど、新たなビジネスの局面を迎えるにあたり、セキュリティ運用についても、変化が求められるようになってきました。具体的には、まさに、取引先のセキュリティ態勢の把握/管理がビジネス上の必須条件となりました。
また、ビジネスが変化するにつれて、外部ホスティングサービスの利用を開始、製品配送などの重要なサービスにもサードパーティを使用し始め、自組織で行っているセキュリティ対策と同等のセキュリティ対策を取引先組織に求めるようになっていきました。
<SecurityScorecard導入前の課題感>
ただ、Healthwise社のその当時の「サプライチェーン リスク マネジメント」の運用は、ワンショットのセキュリティ評価と取引先へのアンケート送付を組み合わせて、取引先のセキュリティ状態を把握するという運用。これらの方法では、取引先のセキュリティ体制を継続的に監視することが難しく、また、取引先の主観的な評価に基づいて判断をしないとならない現状があり、課題と感じていました。
<SecurityScorecardの提供価値>
Healthwise社は、SecurityScorecard の以下の提供価値をうまく活用しました。
取引先のセキュリティ態勢がレイティング プラットフォームにアクセスすれば把握できる点
特定のイベント(レイティング グレードが下がったなど)をきっかけに、メールで通知する仕組みを構築できる点
<SecurityScorecard導入後>
SecurityScorecardでは、客観的な事実に基づいたレイティングスコアが把握できるため、独自の判断基準による取引先の評価が不要になりました。また、スコアグレード“B”を下回った場合、アラートを発報する機能を使い、継続的な取引先のセキュリティ態勢の確認や、セキュリティ態勢の低下にタイムリーに気づく仕組みも作り上げました。
事例 その④
次は、通信業界の「Truphone社」の事例です。
(弊社コーポレートサイトの事例紹介ページはこちら)
<背景/SecurityScorecard導入前の課題感>
Truphone社は、SecurityScorecardを導入する以前は、セキュリティ担当者が、セキュリティのパフォーマンスレポートを手動で作成し、経営層に提示していました。ただ、セキュリティ担当者は、それらのデータは主観性が強く、可能であれば、自組織のセキュリティの態勢が、外部の視点からどのように見られているか、客観性のあるデータに基づき、理解する必要があると考えていました。
また、クライアント名、電子メール、財務情報、通話記録などの機密情報を保持しており、その保護を非常に重要だと考えており、そのため、取引先の組織に関しても、そのセキュリティ態勢を正確に把握することが必須と捉えていました。ただ、実際は、その把握に3〜4か月掛かっていました。
<SecurityScorecardの提供価値>
Truphone社は、SecurityScorecard の以下の提供価値をうまく活用しました。
対象となる組織に関連するIPアドレス/ドメイン名をシステム的に自動収集してくれる点
外部組織のセキュリティ態勢も客観的な情報に基づき、即時に、継続的に確認できる点
<SecurityScorecard導入後>
SecurityScorecardを導入することで、“自社のセキュリティ態勢の把握”の観点では、独自の外部脆弱性スキャンを実行していたが、対象が約200のIPアドレスに限られていたために、全容を把握することができていませんでした。SecurityScorecardを利用することで、担当者自身も把握していなかった17,000を超えるデジタルアセットを対象にすることができ、より正確なセキュリティ態勢の把握が可能になり、それら資産に紐づくセキュリティイシューの把握も可能になりました。
また、“ベンダー リスク マネジメント”の観点では、取引先のリスクを、アンケートを定期的にとることで評価していました。ただ、この方法では、一度評価を行うと、次の評価までの間に場合によっては数か月の時間的なギャップが生じてしまい、インシデントが発生した場合に、その原因の特定を行うことが困難でした。SecurityScorecardを利用することで、取引先の組織が抱えるリスクを即時に、また、継続的に可視化することができるようになり、インシデント発生時の原因特定をより精緻に行うことができるようになりました。
組織によって、事情は異なると思いますが、SecurityScorecardの活用方法としては非常に参考にしていただける事例だと思います。
もし、このブログを読んでいただいている方で、「ベンダーリスクマネジメントに課題を抱えている」方がいらっしゃいましたら、是非一度、SecurityScorecardをご検討ください。