ニュース

ISID、サプライチェーン攻撃のリスクを可視化する「SecurityScorecard」を提供開始

 株式会社電通国際情報サービス(以下、ISID)は5日、サイバーセキュリティの新たな脅威とされる、取引先やグループ企業を経由した「サプライチェーン攻撃」の領域でサービスを提供する米SecurityScorecard(以下、SSC)とリセラー(再販)契約を締結したと発表した。日本企業とのリセラー契約は、ISIDが初となるという。

 ISIDではこの契約に基づき、サイバー攻撃のベンダーリスクを可視化するSSCのクラウドサービス「SecurityScorecard」の提供を開始した。

 サプライチェーン攻撃は、標的となる企業とインターネット上で接触のあるすべての取引先や関連会社が攻撃対象となる可能性があり、その範囲は国内外を問わないため、どこにリスクがあるかを網羅的に把握することが難しく、対策が後手に回っているのが現状だという。

 提供を開始するSecurityScorecardは、こうした企業の課題を解決し、簡単な入力のみでサプライチェーン全体にわたるリスクを可視化できるクラウドサービスとなる。サイバー攻撃につながりうるサーバーの構成情報やマルウェアに関する情報などを、独自の手法でインターネット上から常時収集し、それらと対象企業のドメイン名にひも付く情報を照合して、詳細なリスク分析を実施。クラウド上のウェブページにドメイン名を入力するだけで、ドメインに関連するサーバーや組織内の端末などのうち、どこが危険にさらされる可能性が高いかを知ることができる。

 対象企業のセキュリティリスクは、「アプリケーション」「ネットワーク」「端末」など全10項目に分類し、それぞれ5段階で点数化を行う。現状のリスク対応状況が項目別に定量化されるため、目標設定や対応策が明確になり、対応策が有効であったどうかの検証も容易に行うことができる。

 また、現在行われている脆弱性診断の多くは、診断対象に疑似攻撃を行う手法を用いているため、システム運用者の負担が大きく、容易に行うことができないが、SecurityScorecardは対象システムに負荷をかけず、いつでも診断を実施できる。

 SecurityScorecardの提供価格は、自社および5つのドメインのチェックが可能なライセンスで年間250万円(税別)から。