近年、企業のサイバーセキュリティ対策は、自社だけではなく取引先を含めたサプライチェーン全体で考える必要性が高まっています。2019年1月には、独立行政法人情報通信処理機構(IPA)が公表した「情報セキュリティ10大脅威2019」において、「サプライチェーン攻撃」が組織部門で4位にランクインするなど、その脅威は深刻化していると言えるでしょう。
こうした背景のもと、電通国際情報サービス(ISID)は、2019年6月5日より、米国のスタートアップ企業であるセキュリティ・スコアカード(SecurityScorecard: SSC)と提携し、自社や取引先のシステムに対するサイバー攻撃のリスクを診断する新サービスを日本企業向けに開始いたしました。このサービスは、企業間のネットワークやシステム連携を悪用して侵入を図るサプライチェーン攻撃の拡大に対応する、画期的なソリューションとなります。
🚀SSCの革新的な診断手法とサービスの特長
ISIDが日本での再販売契約を締結したSSCの診断サービスは、クラウドを通じて提供されます。診断したい企業のインターネット上の住所にあたるドメイン名を入力するだけで、そのドメインに関連するサーバーや組織内の端末といったデジタル資産のうち、サイバー攻撃にさらされる危険性のある部分を特定できます。
SSCの大きな特長は、一般的な脆弱性診断ソフトのように、調査対象のシステムに疑似的な攻撃を仕掛けるのではなく、インターネット上から常にサイバー攻撃につながる可能性があるサーバー情報やマルウェア(不正ソフト)の情報を収集・分析し、そのビッグデータに基づいて企業のリスクを推定する点にあります。この手法により、システムへの負荷をかけずに診断が実施できるだけでなく、自社のみならず、他社のセキュリティ上の弱点も調査可能となります。
診断結果は、「アプリケーション」「ネットワーク」「端末」など10項目ごとに5段階評価で分かりやすく点数化されます。これにより、企業のセキュリティ対策状況を定量的に把握できるため、「どこに、どれくらいの対策が必要か」が一目で理解できるでしょう。また、対策を実施した後の効果を再度診断によって検証できるほか、チャート図で同じ業界内のセキュリティ水準と比較することも容易です。
SSCのサービスは、米国の大手ベンチャーキャピタル(VC)であるセコイア・キャピタルなどが出資しており、すでに世界800社で利用されている実績があります。ISIDはこの実績あるサービスと連携し、日本市場でのセキュリティリスク対策の普及を目指しています。
💡ISIDのセキュリティ戦略と編集者の見解
今回の新サービスは、企業がデジタル化を進め、IoT(Internet of Things)技術が広がる中で、外部システムを経由するサイバー攻撃のリスクが高まるという現代的な課題に正面から対応するものです。
ISIDの石川豊プロジェクトディレクターは、「サイバーリスクは、企業の信用調査や評価における重要な指標となりつつあり、取引先を含めたリスク管理が不可欠」と指摘しています。これは、セキュリティ体制の不備が、ビジネス継続性や企業価値に直結する時代になったことを示唆していると言えるでしょう。
利用料金は、自社を含め6社のシステムを診断する場合で年間250万円からとなっており、診断企業数に応じて変動する体系です。ISIDは、初年度で15社程度の導入を見込み、脆弱性の発見後のコンサルティング事業やセキュリティソフトの販売も合わせて、2022年にはセキュリティ事業全体で30億円の売上高を目指す強気な計画を打ち出しています。
企業が抱えるサイバーリスクは、もはや情報システム部門だけの問題ではありません。取引先の信頼性確保や、あらゆるモノがネットでつながるデジタル社会を支えるための、経営課題の一つとして捉えるべきです。このISIDとSSCによる新しいリスク診断サービスは、サプライチェーン全体のセキュリティレベル向上を後押しする強力な武器となるでしょう。筆者も、リスクを「見える化」し、対策の優先順位を明確にできるこのサービスは、企業の未来を守るための賢明な投資になると確信しています。
このニュースに対し、SNS上では「取引先のセキュリティ体制まで把握できるのは助かる」「サプライチェーン攻撃対策が急務なので導入を検討したい」といった、サービスへの期待や関心の高さを示す声が多く寄せられています。この動きは、企業のセキュリティ意識が一段と高まっている証拠だと言えるのではないでしょうか。
コメント