今だから知りたい、『脅威インテリジェンス』 シリーズ＃7

第七講：「なぜ、SecurityScorecardが市場から評価されるのか？」

発行日：2021年5月25日

（第一講：「インテリジェンス」とは？　『脅威インテリジェンス』とは？）
（第二講： オシント／シギント／ヒューミント？　どうやって区別するの？）
（第三講：「脅威インテリジェンスを活用するための“サイバー攻撃への理解”」）
（第四講：脅威インテリジェンスを活用するための“サイバー攻撃への理解”（続き））
（第五講：「“セキュリティ リスク レイティング”とは何か？」）
（第六講：「“セキュリティ リスク レイティング”はこうやって活用する。」）

前回のコラムでは、「セキュリティ リスク レイティング」の活用方法を紹介いたしました。

自組織に加えて、自組織“以外”のセキュリティ態勢の把握ができること。それにより、「サプライチェーン リスク マネジメント」への活用ができる点を説明しました。

“SecurityScorecard”が提供する「セキュリティ リスク レイティング」

SecurityScorecardは、「セキュリティ リスク レイティング」の提供企業として、市場から高い評価^(※1)をいただいている企業です。2021年 第一四半期のForrester社の評価で“Leaders”の評価、Gartnerの評価でも“Customer’s Choice”をいただいています。詳細は、こちらの投稿をご覧ください。

では、SecurityScorecard社が提供する「セキュリティ リスク レイティング」は、どのようなソリューションでなぜ市場から高い評価をいただけているのでしょうか。

その理由を、このコラムで、

1)画面の見やすさ
2)確認できるセキュリティ イシューの多さ
3)レイティング スコアと侵害の発生確率の相関関係

という3つのキーワードに絞って説明します。

1)画面の見やすさ

画面の見やすさは、ユーザがセキュリティ運用で利用する上で、ものすごく大切な要素です。

SecurityScorecardが提供するレイティング システムの画面は、非常にシンプルで理解しやすい設計になっています。

SecurityScorecardでレイティング スコアを確認する画面は以下に示します。

ユーザが頻繁に確認する“全体のレイティング スコア”を画面上部に配置、また、その“全体スコア”の構成要素である“セキュリティ カテゴリ毎のレイティング スコア”をその下に表示することで、レイティング スコアを確認している組織の状態が一目でわかる画面構成になっています。

また、各セキュリティ カテゴリのセクションを展開すると、そのセキュリティ カテゴリで確認されたセキュリティ イシューの一覧を確認することが可能です。

2)確認できるセキュリティ イシューの網羅性

次にお伝えしたいポイントは、確認できるセキュリティ イシューの網羅性です。

これまでのコラムで説明してきた通り、 「セキュリティ リスク レイティング」 は、その組織のセキュリティの態勢を定量化するソリューションです。つまり、そのレイティング スコアは、“その組織が、現在、どのようなセキュリティ イシューを抱えているか”を基に算出されます。

「セキュリティ リスク レイティング」 のソリューションとして、確認できるセキュリティ イシューの網羅性が高ければ高いほど、的確にその組織のサイバー攻撃に対するセキュリティの態勢をレイティングすることができます。

SecurityScorecardは、10個のセキュリティカテゴリー、99^(※1)項目に及ぶセキュリティ イシューを対象として、そのレイティングを算出しています。

例えば、

「Network Security」　：　証明書の有効期限が切れていないか、
SSHのプロトコルの種別が脆弱なものではないか

「Application Security」 ： サイトがHTTPSに対応しているか

「Endpoint Security」 ： 利用されているOSやブラウザのバージョンが古くないか

「Patch Cadence」 ： 特定のCVE番号の脆弱性が存在するか

「Information Leak」 ： 情報漏洩が認められていないか

などが挙げられます。

この網羅性は、脆弱性診断ツールや他のソリューションでは実現できないのではないでしょうか。

この網羅性が、次に挙げる“侵害の発生確率と強い相関関係があるレイティングスコア”の算出を実現しています。

3)レイティング スコアと侵害の発生確率の相関関係

今回のコラムで挙げた3点以外にも、SecurityScorecardの「セキュリティ リスク レイティング」 が秀でている点はありますが、私はこの「3)レイティングスコアと侵害の発生確率の相関関係」 が最も大切な要素だと思っています。

それはなぜか。

レイティングによって、定量化したセキュリティの態勢を客観的な数値として捉えることができるようになるからです。

この説明では、抽象的すぎるので、具体的に説明していきます。

レイティング スコアの元となっている事実は、その組織で確認されているセキュリティ イシューです。このセキュリティ イシューは、明らかな事実なので、そこに製品ベンダーの主観的な要素が入り込む余地はほとんどありません。

ここからが大切です。これらのセキュリティ イシューからレイティング スコアを算出していくのですが、その算出ロジックは、製品ベンダー独自のもの。つまり、主観的な要素が入ってきてしまうのです。従って、算出されたレイティング スコアも製品ベンダーの主観的なスコアになります。

これでは、レイティングスコアを基にした公正な判断ができません。

SecurityScorecardのレイティング スコアはこの不公正さを解消するために、ある工夫をしています。

それは、算出されたレイティング スコアと過去の侵害の事案を紐づけるという作業です。どんなことをしているかと言いますと、過去の一定期間に発生したセキュリティ侵害の事案とその時の当該組織のレイティング スコアを照らし合わせます。

そうすると、どのレイティング スコアの際に、どの程度の侵害発生が認められたかが数値として、算出されます。その数値をグラフで表現したものが以下になります。

統計的に見て、セキュリティ レイティング：Fの企業は、セキュリティ レイティング：Aの企業に比べて、7.7倍の侵害発生^(※2)が確認できました。

こうすることで、主観的な算出ロジックで導き出されたレイティング スコアが過去の侵害の事実と紐づいた客観的な数値として、様々な判断に活用できる状態になると思います。

このロジックについては、この資料に詳述されています。

いかがでしょうか。

1)画面の見やすさ
2)確認できるセキュリティ イシューの多さ
3)レイティング スコアと侵害の発生確率の相関関係

これら3点は、「セキュリティ リスク レイティング」というソリューションの中で、“SecurityScorecard”だけが突出しているものだと自負しています。

冒頭で、紹介した Forrester 社や Gartner 社からの高い評価もこれらの要素が背景にあります。

第7回に渡って綴ったコラムも今回が最終回です。読んでいただきましてありがとうございました。

これからも定期的に記事をリリースしていきますので、ご一読、よろしくお願いいたします。

(※1) 2021年5月10日現在
(※2) セキュリティ レイティング：Aの企業でも一定数のセキュリティ侵害が起こっています。

他の人気ブログ

• 【今だから知りたい、『脅威インテリジェンス』 シリーズ＃1】 第一講：「インテリジェンス」とは？　『脅威インテリジェンス』とは？
• 【今だから知りたい、『脅威インテリジェンス』 シリーズ＃2】 第二講：オシント／シギント／ヒューミント？　どうやって区別するの？
• 【今だから知りたい、『脅威インテリジェンス』 シリーズ＃3】 第三講：「脅威インテリジェンスを活用するための“サイバー攻撃への理解”
  
• 【今だから知りたい、『脅威インテリジェンス』 シリーズ＃4】 第四講：脅威インテリジェンスを活用するための“サイバー攻撃への理解”（続き）
• 取引先企業のリスク管理における3つの課題およびその解決方法
• セキュリティ投資の効果測定で検討すべき20の評価基準
• Why SecurityScorecard？ SecurityScorecard はサイバー リスク レイティング マーケットでLeaderとして評価を受けています
• 10項目のセキュリティ リスク マネジメントに関する考慮事項