検索
特集

セキュリティの“ダメ企業”をあぶりだすサービスが爆誕

ある企業のセキュリティ担当者は、取引先企業や子会社の監査業務に頭を抱えていた。そこで紹介されたのが、企業のセキュリティスコアをあぶりだす「あるサービス」だ。セキュリティ業界ではサプライチェーン攻撃対策の有効な一手になると大きな期待を集める一方で、“諸刃の剣”とも捉えられる。どのようなサービスなのだろうか。

PC用表示 関連情報
Share
Tweet
LINE
Hatena

 釣りをしたいという子供の要望を受け、昔のコネをたどって釣り好きの知り合いにコンタクトを取り、早朝からアジを釣りに東京湾へ出掛けた。

 金沢八景から釣り船に乗り、ライトタックルと呼ばれる仕掛けでアジを狙う。前後左右の揺れをうまく乗りこなしながら、子供のためにイソメを針につけ、コマセカゴに餌を入れる。

 初めての経験で手際が悪く、自分の竿(さお)を下ろす時間がなかなか確保できないものの、なんとか海底から2mほどでコマセをまき、アジからの当たりを待つ。何度もコマセカゴにまき餌を補充しながら、子供の世話で大忙しだった。

 見えない海の中で、アジがコマセに寄ってきている姿をイメージするだけでも楽しいものだ。もちろん釣果があることに越したことはないが、釣りに「はまりそうな」予感がしている。

 結果、2人で10匹ほどの釣果だった。まあ初めてのアジ釣りとしては十分だろう。

企業のセキュリティスコアを無慈悲にあぶりだす魔のサービス爆誕

 見えない世界はコントロールできないため、少しでも可視化して制御しようという試みがセキュリティ業界で話題を呼んでいる。ある企業のセキュリティ担当者は、取引先企業や子会社の監査業務にかかる労力に頭を抱えていた。そこで紹介されたのが、企業のセキュリティスコアをあぶりだす「あるサービス」だ。サプライチェーン攻撃対策の有効な一手になると大きな期待を集める一方で、“もろ刃の剣”とも捉えられる性質を持つ。どのようなサービスなのだろうか。

 サプライチェーンの脆弱(ぜいじゃく)性を狙った攻撃への対処は多くの企業を悩ませる問題だ。独立行政法人情報処理推進機構(IPA)は2023年の「情報セキュリティ10大脅威」で、「サプライチェーンの弱点を悪用した攻撃」を2位に挙げた。

 サプライチェーン攻撃が厄介なのは、自社だけでは対策を完結できないことだ。管理対象外の関係会社や海外子会社をはじめ、部品を調達するサプライヤーなどを通じて自社に魔の手が伸びることがある。自社のセキュリティ対策だけでも大変なのに、サプライチェーン全体にその範囲を広げなければならないのだ。

 サプライチェーンに関わる企業に対して、定期的に監査を実施し、セキュリティレベルの維持と向上に努めることが求められる。ただし、セキュリティ監査について現場担当者のモチベーションはなかなか上がらない。

 ある企業のセキュリティ担当者は、「有事にはマイナスの評価を受け、平時には評価されない。セキュリティ担当者は報われないものなんです」と本音を吐露する。できるだけセキュリティ担当者に負担がかからない方法でセキュリティ監査を進められる仕組みが必要だ。

 セキュリティ監査においては、自社のセキュリティポリシーに沿って関係各所にアンケートを実施して、回収した結果からセキュリティレベルを詳細に把握した後、問題点を改善する必要がある。ここがセキュリティ担当者を特に苦しめるプロセスだ。

 「期日までに回答してくれない企業も多く、何度も『Microsoft Excel』添付のメールをやりとりせざるを得ない。いまだにFAXしか対応していない企業もあるので、とにかく状況把握に時間がかかりすぎる」とのこと。

 その担当者がベンダーから紹介を受けたのが、セキュリティレベルを容易に可視化できるレーティングサービスだ。攻撃のされやすさを統一的な基準で数値化するサービスで、外部機関がその監査を実施する。レーティング時は、脆弱性スキャンなどの侵入型の調査は行わず、ドメイン情報に関連した外部公開サービスなどを洗い出す。既存システムには影響を与えない方法でセキュリティのスコアを数値化できるという優れものだ。

 ドメイン情報さえ分かれば、自社はもちろん、海外子会社や取引先のセキュリティレベルも数値化できる。自社のセキュリティレベルが他者からも把握できてしまう。

 つまり、株主などのステークホルダーが自社のセキュリティレベルを把握することもできるし、他社と比較してセキュリティレベルが問題視される可能性だってあるわけだ。ある日突然、「お宅、セキュリティレベルが低いので、今後取引できないよ」なんて言われてしまうことも覚悟しておく必要がある。

 実は、フランスなどでは一部企業にサイバースコアの開示が義務付けられるなど、レーティングサービスの利用が法的に義務化される気配も漂っている。レーティングサービスは今後、注目のジャンルになりそうな予感がする。

弘法は筆を選ばず、手際の良さが勝敗の分かれ目か

 さて、冒頭の釣りだが、同行したメンバーも子供と2人で参戦しており、彼らはオコゼやクロダイ含めて26匹ほどの釣果だった。イソメをつけたり釣ったアジを針から器用に外したりする際の手際の良さが大きく影響しているような気がする。

 もちろん、電動リールなど道具の差もあるのだろうと思っていたら、隣に座って1人で釣りを楽しんでいた釣り師を見ると、手巻きのリールを駆使して30匹を超える釣果を上げている。弘法は筆を選ばず、ということか。

 まあ、10匹とはいえ、プリプリのアジフライと塩焼き、みそとネギをあえたなめろうなど、いろいろな料理を楽しむことができた。何よりも、子供に満足してもらえたことが今回一番の釣果となったのは言うまでもない。


読めば会社で話したくなる! ITこぼれ話

 キーマンズネット取材班が発表会や企業取材などなどで見聞きした面白くて為になる話を紹介します。最新の業界動向や驚きの事例、仕事で役立つ豆知識に会議で話せる小ネタまで「読めば会社で話したくなる!」をテーマに記事を掲載。


Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る