マクニカネットワークスは2021年8月4日、サイバー攻撃に対するセキュリティリスクを分析・評価するクラウドサービス「SecurityScorecard」(開発元:米SecurityScorecard)の販売を開始した。パッチ適応頻度や公開Webサービスなど攻撃者が初期段階で集める情報を元に、対象企業のセキュリティリスクを評価する。総合評価と主要10項目について、5段階および100点満点で評価する。
マクニカネットワークスの「SecurityScorecard」は、サイバー攻撃に対するセキュリティリスクを分析・評価するクラウドサービスである。攻撃者が初期段階で集める情報(ネットワークセキュリティ、パッチ適応頻度、公開Webサービスなど)を自動的に収集し、これらの情報を元に、対象企業のセキュリティリスクを分析・評価する(図1)。
図1:SecurityScorecardの概要(出典:マクニカネットワークス)拡大画像表示
SecurityScorecardを用いることによって、従来型の脆弱診断である疑似攻撃を実施することなく、対象企業のセキュリティ脆弱性診断が可能になる。脆弱性の診断結果は、総合評価と主要10項目について、5段階および100点満点で評価する。5段階のグレードは、将来的にサイバー侵害を受ける可能性と相関関係があり、定量的な評価が行える。
マクニカネットワークスは3つのユースケースを挙げている。1つ目は、セルフチェック/ベンダーリスクマネジメントである。取引先を含めた対象企業全体のセキュリティリスクの把握に活用する。非侵入かつ自動で診断して、セキュリティ担当者の工数/コストを削減する。
2つ目は、経営陣向けレポートである。自社やグループ企業/取引先のセキュリティの対策状況を、診断結果からスコアリングする。これにより、セキュリティの専門化ではない経営者に対して、自社/取引先のセキュリティリスクを分かりやすくレポートする。
3つ目は、買収企業調査である。企業買収前のサイバーデューデリジェンスに活用する。従来型の聞き取り型セキュリティ監査では実現できない、第三者目線での監査が可能になる。
サービス提供の背景として同社は、サプライチェーンを起点とした攻撃によるセキュリティ被害が深刻化している状況を挙げる。「企業のセキュリティ担当者は、サプライチェーン攻撃の対象となりえる関連会社、取引先のセキュリティリスクを網羅的に把握する必要がある。しかし、把握すべき対象が広範囲のため、予算面、人的リソースの観点から網羅的に把握することが難しいのが現状である」(同社)
マクニカネットワークス / SecurityScorecard / リスク分析 / サイバー攻撃 / デューデリジェンス
