今だから知りたい、『脅威インテリジェンス』 シリーズ＃6

第六講：「“セキュリティ リスク レイティング”はこうやって活用する。」

発行日：2021年5月18日

（第一講：「インテリジェンス」とは？　『脅威インテリジェンス』とは？）
（第二講： オシント／シギント／ヒューミント？　どうやって区別するの？）
（第三講：「脅威インテリジェンスを活用するための“サイバー攻撃への理解”」）
（第四講：脅威インテリジェンスを活用するための“サイバー攻撃への理解”（続き））
（第五講：「“セキュリティ リスク レイティング”とは何か？」）

前回のコラムでは、「“セキュリティ リスク レイティング”とは何か？」というテーマで話を進め、その中で、

『組織のセキュリティ態勢が攻撃者から見た時にどのように映っているのか。』を知ることができる脅威インテリジェンス

という説明をしました。

「セキュリティ リスク レイティング」を利用することで、その組織のセキュリティ態勢を以下のように一目瞭然に判断することができます。

ここまで分かれば、この後どのような対応を行えばよいのか、判断することが容易になります。

こんな判断を促すことができる脅威インテリジェンスが、「セキュリティ リスク レイティング」です。

「セキュリティ リスク レイティング」 はどのように活用できるのか？

では、この「セキュリティ リスク レイティング」というソリューションですが、どのような活用方法があるのでしょうか。

パッと、思いつく利用方法は、自組織のセキュリティ態勢を定量化して判断するという利用方法ではないでしょうか。

自組織のセキュリティ態勢を定量的に把握し、もし、何かしらの対応という判断をされたら、レイティングシステム上で確認できるセキュリティイシューを対応していく。

例） SecurityScorecardで確認されるセキュリティイシュー

このような活用方法、セキュリティ運用への取り込み方があります。

ただ、実は「セキュリティ リスク レイティング」の利用方法の本質はこれ以外にあります。

それは、自組織“以外”のセキュリティ態勢も手軽に把握できるという点です。

「自組織“以外”のセキュリティ態勢を把握する」と何ができるのか？

海外ではこの観点での活用がかなり進んでいて、こんな活用のされ方をしています。

1) サイバー保険の料率計算

2) サプライチェーン リスク マネジメント^(※1)

「1) サイバー保険の料率計算」の利用方法は、想像しやすいのではないでしょうか。

サイバー保険は、「サイバー攻撃に起因する賠償損害を補償する保険」です。つまり、保険会社としては、サイバー攻撃の被害を受ける可能性が高い企業の方には、低い企業に比べて、保険の掛け金を高く設定したいはずです。

ただ、これまでは、その“サイバー攻撃の被害を受ける可能性”の算出根拠を作ることが困難でした。

そこで、「セキュリティ リスク レイティング」を利用します。そのレイティングは、サイバー攻撃の被害の受けやすさを示しているので、前回のコラムで例示した組織だと、レイティング「F：19」の組織に、保険の掛け金を高く設定できます。

これが、「セキュリティ リスク マネジメント」の「1) サイバー保険の料率計算」への活用方法です。

「サプライチェーン リスク マネジメント」に活用する

では、「2)サプライチェーン リスク マネジメント」では、どのように利用するのでしょうか。

ここで、「サプライチェーン リスク マネジメント」という概念を少しだけ振り返ってみます。

この単語ですが、最近では、経済産業省^(※1)(※2)やIPA（独立行政法人 情報処理推進機構）^(※3)(※4)の発表資料で使われることが多くなったので、耳なじみのある方もいらっしゃるのではないでしょうか。

「自組織だけでなく、取引先/関連企業を含めて、1つのサプライチェーンとして捉え、そのサプライチェーン全体でセキュリティの態勢を強くしていく」

これが「サプライチェーン リスク マネジメント」の概念です。

国内でも様々な組織が、既に、この観点での取り組みを始めています。

ただ、“サプライチェーン リスク マネジメント”を実装しようとした際に、最も困難な点の1つが自組織“以外”のセキュリティ態勢の現状把握”ではないでしょうか。

これまで、自組織“以外”のセキュリティ態勢を把握するために、多くの企業で、セキュリティに関する質問票を送付、その回答から、セキュリティの態勢を判断するということが行われてきました。

ただ、この手法の欠点は、回答企業の主観が入ってしまうこと。

この欠点を補うことができるのが、「セキュリティ リスク レイティングを利用した自組織“以外”のセキュリティ態勢の把握」です。

“セキュリティ リスク レイティング”の特長の1つは、外部から見た場合、その組織のセキュリティ態勢がどのようになっているか客観的な事実を基に数値で示してくれることです。

なので、例えば、取引先/関連企業の7つの組織のセキュリティ態勢を知ろうと思ったら、一定の軸でそのセキュリティ態勢を数値化して、このように横並び比較が可能です。

この比較から、皆様だったら、どんな判断をされますか？

「組織⑦がサプライチェーンの弱点だから、セキュリティ態勢の強化をリクエストしよう」

「組織④、⑤、⑥も気になるから、これまでよりもセキュリティ態勢を確認する頻度を多くして、これ以上、レイティングが悪くなるようだったら、コミュニケーションを行おう」

色々な判断をできるようになると思います。

こんな“判断”を、「セキュリティ リスク レイティング」を「サプライチェーン リスク マネジメント」に活用することで可能になります。

どうでしょうか？　これまで、導入するハードルが高かった「サプライチェーン リスク マネジメント」が少し身近になってきたのではないでしょうか。

次回のコラムでは、SecurityScorecardが提供する「セキュリティ リスク レイティング」の特長を説明します。

(※1) “サプライチェーン リスク マネジメント”は、“ベンダー リスク マネジメント”という単語で代用されることもあります。
(※2)サイバーセキュリティ経営ガイドラインVer 2.0 (3.4 サプライチェーンセキュリティ対策)
(※3)サプライチェーン・サイバーセキュリティ・コンソーシアムについて
(※4) ITシステム・サービスにおける サプライチェーン リスク マネジメント
(※5) 情報セキュリティ10大脅威 2021 (4位 サプライチェーンの弱点を悪用した攻撃)

他の人気ブログ

• 【今だから知りたい、『脅威インテリジェンス』 シリーズ＃1】 第一講：「インテリジェンス」とは？　『脅威インテリジェンス』とは？
• 【今だから知りたい、『脅威インテリジェンス』 シリーズ＃2】 第二講：オシント／シギント／ヒューミント？　どうやって区別するの？
• 【今だから知りたい、『脅威インテリジェンス』 シリーズ＃3】 第三講：「脅威インテリジェンスを活用するための“サイバー攻撃への理解”
  
• 【今だから知りたい、『脅威インテリジェンス』 シリーズ＃4】 第四講：脅威インテリジェンスを活用するための“サイバー攻撃への理解”（続き）
• 取引先企業のリスク管理における3つの課題およびその解決方法
• セキュリティ投資の効果測定で検討すべき20の評価基準
• Why SecurityScorecard？ SecurityScorecard はサイバー リスク レイティング マーケットでLeaderとして評価を受けています
• 10項目のセキュリティ リスク マネジメントに関する考慮事項