ラックは2020年10月16日、サプライチェーンのセキュリティ対策状況を評価する「サプライチェーンリスク評価サービス」を提供開始した。自社に関係性のあるサプライチェーン企業に調査票を送って回答してもらうことで、どこに弱点があるか、攻撃を受けやすいポイントがあるかを可視化する。
サプライチェーンリスク評価サービスは、サプライチェーンのセキュリティ対策状況を評価するサービスである(図1)。自社に関係性のあるサプライチェーン企業にセキュリティ調査票を送って回答してもらう「内部評価機能」を備える。さらに、インターネット上の公開情報を元にした「外部評価(脆弱性評価)機能」を備える。これらにより、対象となるIT資産に負荷を与えることなく脆弱性を評価する。どこに弱点があるか、攻撃を受けやすいポイントがあるかを可視化する。
図1:「サプライチェーンリスク評価サービス」の概要(出典:ラック、SOMPOリスクマネジメント)拡大画像表示
リスク評価の基盤として、SOMPOリスクマネジメントが提供するSaaS型のセキュリティリスク評価サービス「Panorays」を使う。Panoraysは、内部調査を効率化する機能群を一通り備えている。セキュリティ調査票のテンプレートを備えるほか、調査票の送信・通知機能、回答者とのコミュニケーション機能、回答を集計・レポートするダッシュボード機能、――などを提供する。
外部評価は、インターネット上の公開情報を元に、攻撃者が組織に侵入するための調査活動(非侵入・非破壊行為)の視点で評価する。アプリケーション、ネットワークとIT、ヒューマンの3つのカテゴリで評価する。アセスメント対象企業の情報をPanoraysに登録すると、自動的に外部評価が始まる。評価結果は72時間後にシステム上に反映し、日次で更新する。
サービス利用のステップは、以下の通り。
- アセスメント対象企業(グループ会社、取引先、委託先)を選定して合意を得る。アセスメント企業が自社へ与える影響などを分類する。調査票を準備し、調査時期と頻度を決定する
- アセスメント企業に企業名やドメインなどをヒアリングし、システム(Panorays)に登録する(外部評価を自動的に実施)
- アセスメント企業にシステム上で内部調査票を回答してもらい、リスクや改善事項を確認する
- 定期的・継続的に監視する。外部評価は日次で自動実行、内部評価は、あらかじめ定めた調査時期/頻度で実施する
