NRIセキュアテクノロジーズは2019年6月27日、Web上で自社のセキュリティ対策状況に関する約80の設問に回答するだけで評価結果を表示するサービス「Secure SketCH」を強化したと発表した。新たに、サイバー攻撃者視点で企業のセキュリティ対策状況をスコア化する「外部セキュリティスコア自動算出機能」を追加した新機能は2019年8月から提供する。
Secure SketCHは、Webサイト上で自社のセキュリティ対策状況に関する約80の設問に回答するだけで、セキュリティ対策状況の評価が得られるサービスである(関連記事:NRIセキュア、簡易セキュリティ評価サービスSecure SketCHを強化、ガイドライン準拠を確認)。
Secure SketCHでは、国内を中心とする1800社以上の統計データと比べた評価結果を表示する。これにより、他社と比べた自社のセキュリティ対策状況が分かる。さらに、対策を実行する際の要点や優先度など、NRIセキュアテクノロジーズからのアドバイスが得られる。
今回の強化では、サイバー攻撃者の視点で企業のセキュリティ対策状況をスコア化する機能を追加した。担当者が設問に回答する必要はなく、サイバー攻撃者の視点での評価をスコアとして自動的に算出し、毎日更新する。スコア化の要素技術として、米SecurityScorecard(SSC)が提供しているサイバーセキュリティ格付けサービスを利用する(図1)。
図1:Secure SketCHとSSCのサイバーセキュリティ格付けプラットフォームとの連携イメージ(出典:NRIセキュアテクノロジーズ)拡大画像表示
サイバー攻撃者の視点で収集・分析したセキュリティリスクを、全10項目、5段階でスコア化する(画面1)。評価対象とするシステムの稼働に影響を与えることなく算出できる。情報収集と分析を自動的かつ継続的に行えるので、セキュリティリスクと対策状況の時系列での変化が分かる。
画面1:新機能「外部セキュリティスコア自動算出機能」の画面イメージ(出典:NRIセキュアテクノロジーズ)拡大画像表示
企業が自社のシステムに関して、セキュリティ対策の状況を測定する方法には、社内の従業員視点による内部評価と、社外の攻撃者の視点で実施する外部評価の2通りがある。2つの視点が揃うことで、企業は正確かつ網羅的に自社の状況を把握できる。今回の機能強化により、内部評価に加えて、外部評価の結果を同一画面で随時確認できるようになる。
