ニュートン・コンサルティングは2022年11月16日、コンサルティングサービス「サプライチェーンセキュリティ360度評価サービス」を提供開始した。グループ企業やパートナーを含めたサプライチェーン全体のサイバーセキュリティの現状を評価し、改善策を提案する。外部環境と内部環境の両軸からの評価から現状を可視化し、レポートを提供する。
企業リスクマネジメント分野のコンサルティング会社であるニュートン・コンサルティングは、「サプライチェーンセキュリティ360度評価サービス」を提供開始した。グループ企業やパートナーを含めたサプライチェーン全体のサイバーセキュリティの現状を評価し、改善策を提案する。
画面1:SecurityScorecardの評価結果イメージ(出典:ニュートン・コンサルティング)拡大画像表示
外部環境と内部環境の両軸からの評価から現状を可視化し、レポートを提供する。外部環境から見たセキュリティ評価では、攻撃者の視点に立って自組織やグループ企業、サプライヤーなどのセキュリティを評価し、将来的にサイバー攻撃を受けるリスクを可視化する。ツールとして、サイバー攻撃に対するセキュリティリスクを分析・評価する「SecurityScorecard」を用いる(画面1)。
内部環境から見たセキュリティ評価では、ニュートン・コンサルティングの知見やノウハウを基に、体制/スキル、ルール/プロセス、技術的対策など内部環境全般の評価を実施する。評価基準として、NIST CSFやNIST SP800-171など国際標準のガイドラインを使う。
同サービスでは、顧客企業のニーズに応じて、以下の3パターンの評価手法を用いてコンサルティングを提供する。
(1)基本パターンとして、SecurityScorecardを用いた外部環境評価と、コンサルタントによる解説のセットを提供する。Security Scorecardの脆弱性スキャンや脅威インテリジェンスの調査結果を基に、どのように改善すればよいかを解説し、改善につなげる。SecurityScorecardのレポートを読み解くには技術的な知識が不可欠であり、コンサルタントが具体的な改善策を解説する。
(2)追加パターンとして、問診票を使った内部環境の簡易評価を提供する。SecurityScorecardの脆弱性スキャンや脅威インテリジェンスは、サイバー空間からの技術的なスキャンであり、対象組織のデータの取り扱いルールや体制などは診断できない。この部分をセキュリティ問診票で確認し、外部+内部の両面から評価して改善につなげる。
(3)追加パターンとして、内部環境の詳細評価(NIST CSFやNIST SP800-171などのガイドラインを使用)を提供する。ニュートン・コンサルティングが元来強みとしている対象組織のセキュリティに関する状況(ルール、体制、スキル、テクノロジー)を評価して改善策を示す。
「攻撃者は弱い部分を狙うのが定石であり、セキュリティが堅牢な大手組織そのものではなく、サプライチェーンの脆弱性を突いて攻撃を仕掛ける。大企業のサプライヤー(取引先や委託先)やグループ企業を標的とするサイバー攻撃が世界各国で頻発しており、日本も例外ではない」(同社)
