完全な透明性を実現するため、スコアの算出方法と計算式を文書化し、公開しています。スコアリング手法のホワイトペーパーをご覧ください。
SecurityScorecard では、ペネトレーションテストについて独立した専門家チームにスコアカードサンプルの監査を依頼し、IP およびドメイン帰属の正確性を客観的に判断しています。
目的
私たちは、レイティング手法に透明性を持たせ、それが業界標準とどのように整合しているかについて知見を提供することを目標としています。
セキュリティレイティング企業は、公共および民間の情報源から組織的に収集または購入したデータを組み合わせて使用し、独自のアルゴリズムを適用して、組織のセキュリティの効果性を定量的なスコアで明示します。ここではデータの質、範囲、測定方法とそのソースをご紹介しています。
スコア付けをした企業の数は数百万社にのぼり、比類ない深さと範囲の収集データを持つ弊社のデータを検証する能力は、新しい顧客やフォロワーが増えるたびに高まっています。
数字はリアルタイムで更新され、SecurityScorecard のスコアリングとモニタリングの広範なリーチを示しています。
社レイティング済み
社のユニーク企業フォロー済み
>名のユーザーが本日プラットフォームにログインしています
異議申し立て、訂正依頼および再評価依頼の原則に基づき、レイティングを受けた組織は、レイティングに異議を申し立て、訂正を依頼したり、明確なデータを提供する権利を有するものとします。
企業は、自社のスコアに関連する調査結果について以下の 3 種類の解決方法のいずれかにより反論できます。
異議申し立て
特定されたリスクや調査結果は企業に誤って関連付けられ、企業の記録やスコアから削除されるべき場合。
訂正依頼
外部からの非侵襲的な評価ではわからない代替方式の統制が企業に導入されていて、証拠となるデータを提供できる場合。
再評価依頼
企業がリスクに関する問題を解決している場合。
SecurityScorecard はユーザー企業と協力し、提出された反論については 48 時間以内に解決するよう努めています。このグラフは、直近の毎日の応答時間の 7 日間移動平均を時間単位で示したものです。
SecurityScorecard はユーザー企業と協力し、提出された反論については 48 時間以内に解決するよう努めています。このグラフは、直近の毎日の応答時間の 7 日間移動平均を時間単位で示したものです。
ユーザー企業は、最大の量と質のインテリジェンスにアクセスできます。
SecurityScorecard では、業界最先端の機能でデータを採掘し、インターネット上のシグナルをモニタリングするセンサーのグローバルネットワークに活用しています。
さらに、商用およびオープンソースの情報源でデータを充実させ、79 種類以上のセキュリティ問題を追跡しています。
SecurityScorecard のスコアリングアルゴリズムは、原則的な統計フレームワークに基づいています。
公正なサイバーセキュリティレイティングを提供する点で最大の課題の 1 つは、企業規模を考慮に含めることです。アタックサーフェスは通常、デジタルフットプリントの規模に応じて大きくなり、小企業では 1 個の IP から、大手ハイテク企業では数億の IP に及びます。SecurityScorecard は、比較に公平を期すため、サイバーセキュリティのインシデント発生数(問題発見数)が企業規模によってどのように異なるかを測定し、同程度の規模の組織と比較して評価を行います。
Microsoft RDP(リモートデスクトッププロトコル)サービスで発見された問題点の数と IP 数(デジタルフットプリントの大きさ)の比較。
SecurityScorecard では、何百万社もの企業のサイバーセキュリティ体制をモニタリングしています。問題点のある組織のうち、青色の破線は、平均インシデント数(発見件数)を表しています。たとえば、10 の 6 乗(1,000,000)個の IP が存在する組織では通常、約 10 の 2 乗(100)個の RDP サービスの問題点が発見されています。
青色の各点はスコアリングされた企業を表しています。黄色の部分は平均的なスコアを表します。緑色の部分(問題点が平均より少ない)の企業はスコアが良く、赤色の部分(問題点が平均より多い)の企業はスコアが悪くなっています。
グラフにカーソルを合わせて動かすと、比較可能な規模の組織で問題の分布(灰色の縦帯)が、企業規模によってどのように変化するかを確認できます。
SecurityScorecard は、ユーザー反論に基づく IP 帰属の偽陽性エラー率が低いことを報告しています。グラフは直近データの 7 日移動平均を示しています。
SecurityScorecard は、ユーザー反論に基づくドメイン帰属の偽陽性エラー率が低いことを報告しています。グラフは直近データの 7 日移動平均を示しています。
SecurityScorecard を活用してサプライチェーンに参加する企業のエコシステムのセキュリティ体制は、大幅に改善されていることが観察されています。
通常は、プラットフォームに参加したセキュリティグレードの低い(C、D、F)企業でも 3 か月以内に平均 7 ~ 8 ポイントの改善を示すのに対して、積極的に取り組んでいない企業の同じ期間の平均スコアは相対的に横ばい状態です。
SecurityScorecard では、独自のデータエンジン ThreatMarket で収集した情報と、独自の内部収集活動に基づいて、組織のサイバーセキュリティの健全性を評価しています。ThreatMarket では、データフィード、センサー、ハニーポット、シンクホールなど、複数のソースから情報を収集しています。いずれの方法においても、外部からアクセスでき、公開されているデータを収集しています。つまり、情報を収集するために侵襲的な技術は使われていません。次に、このデータ群を分析し、問題の重大度、業界標準のリスクレベル、類似企業の全体的なパフォーマンスなどの要因を考慮して適切に重み付けされます。
SecurityScorecard では、プラットフォームがアップデートされた場合に大幅な変更について適切な連絡方法により、積極的に顧客に通知しています。通知には、以下のものが含まれます。
- カスタマーサクセス担当者がメールで顧客に最新情報を提供。
- プラットフォームログイン時にポップアップで更新をお知らせ。
- ホワイトペーパーでスコアリング手法を説明。
SecurityScorecard のレイティングは、完全に独立したものであり、商業的なバイアスは一切ありません。サイバーセキュリティリスクの公正で一貫性のある有意義な評価を促進するため、SecurityScorecard では堅牢な統計手法を用いて、同規模の他企業と比較した企業のセキュリティ体制を評価しています。SecurityScorecard では、企業に割り当てられたデジタルアセットの数によって企業規模を判断しています。すべての企業のレイティングを規模に応じて調整することで企業を同列に比較しており、SecurityScorecard との商業上の契約がレイティングに影響を与えないようにしています。
SecurityScorecard では、レイティングを受けた企業であれば、自社のスコアカードを閲覧できる機能を提供しています。関連記事「SecurityScorecard の公正で正確なセキュリティレイティングの原則:異議申し立て、訂正依頼、および再評価依頼に重点を置く」では、企業がレイティングに反論する方法についてのトピックについて詳しくご覧いただけます。
SecurityScorecard のデータは、プラットフォーム情報のアクセスするために、適切に登録したユーザーのみが利用できます。自社のスコアカードの閲覧を希望するユーザーは、正式なユーザーオンボーディングプロセスを経て、そのユーザーが代表する会社の従業員であることを確認できる必要があります。さらに、サービスのライセンスを受ける企業は、情報が他の第三者のシステムに対する不正アクセスに使用されることのないよう、アクセスするベンダーのレイティングの使用を規定する契約上の義務を遵守しなければなりません。