ssc-main

作業負荷ゼロで、セキュリティリスクを評価
継続的な自動診断で評価コストの削減も可能

SecurityScorecard(セキュリティスコアカード) とは、サプライチェーン攻撃のリスクを自動かつ迅速に評価し、企業のドメインに関連するサイバーセキュリティ上の課題や改善ポイントを可視化するサービスです。自社だけでなく、企業グループやサプライチェーンまで、企業全体のセキュリティ対策状況を把握できます。

Secure SketCH と SecurityScorecard の連携により、セキュリティ担当者は、インターネットの公開情報から生成される SecurityScorecard の評価スコアを Secure SketCH から確認できます。

 

 

自動診断により、社内のセキュリティ担当者視点で実施する ”内部評価” に加えて、インターネット上の大量の公開情報に基づく
”外部評価” の結果を、Secure SketCH 上で統合することで、より高度なセキュリティリスク評価を実現できます。
 
また、自動診断は内部評価とは異なり、担当者の作業負荷なしに継続的かつ自動での評価が可能なため、
セキュリティリスクの評価コスト削減も期待できます。

 

今すぐ資料ダウンロード

セキュリティ評価でよくある課題

企業のセキュリティ担当者がセキュリティリスクを評価する際、複数の課題と向き合うことになります。

trouble-image

  • セキュリティ評価の作業負荷が高く、継続的に評価ができない

 

  • 社外専門家に依頼するコストが高く、客観的なセキュリティ評価を実行できない

 

  • 国内・海外拠点の現地担当者との調整がむずかしく、セキュリティ評価を展開できない

セキュリティ格付けサービス

(Security Rating Service: SRS)とは?

企業のドメイン情報をインプットに、ドメインに紐づくIPアドレス・Webサイト・DNSサーバなどの情報を収集して、

セキュリティ対策状況を自動かつ継続的にスコアリングするサービスです。

 

[参考] NRIセキュア ブログ
DX時代のセキュリティ評価「SRS」とは?| 作業負荷ゼロで効率的にサプライチェーン攻撃へ対策

 

flow-image01

INPUT

flow-image02
企業や組織のドメインに紐づく
セキュリティ情報を
自動で定期的に収集・分析

OUTPUT

flow-image03
5段階のランク、100点満点のスコア、
同業種の平均点、カテゴリ別評価を
客観的に算出

3つの特長

good-icon01

作業負荷なく継続的

大量データの情報収集と評価格付けが自動更新されるため、『作業負荷なく継続的に評価』できる

good-icon02

調整不要かつ迅速

評価対象システムに負荷をかけず、運用にも影響をおよぼすことがないため『関係者への調整不要で迅速に評価』できる

good-icon03

網羅的・客観的な視点

独立した立場の実績を有するセキュリティ格付けサービスとの自動連携で、『網羅的・客観的に評価』できる

自動診断のユースケース

自社の調査

自社の調査

作業負荷がなく、継続的かつ自動化されているため、多忙なセキュリティ担当者が、自社のセキュリティ評価を効率的かつ持続可能な仕組みにできます。

グループセキュリティ調査

グループセキュリティ調査

国内・海外拠点のアンケート回答を補完・代替し、本社のセキュリティ担当者の依頼や集計の負荷も軽減するため、グループ会社のセキュリティ調査を効率化します。

外部委託先選定・監査

外部委託先管理・監査

外部の委託先との新規取引や継続取引の管理・監査を自動化することで、サプライチェーンによる情報流出のリスクを把握し、担当者の業務負荷も軽減(脱Excel)します。

SecurityScorecardによる客観的で信頼性の高い評価

Secure SketCH の自動診断は、SRSのトップベンダーであるSecurityScorecard 社の評価エンジンを利用しています。


[参考] SecurityScorecard 社とのパートナーシップ
Secure SketCH は、SecurityScorecard 社の公式Webサイトで、Service Provider として認知されています。

 

evaluation-image01

SecurityScorecard社について

  • 2013年にサイバーセキュリティ専門家であるAleksandr Yampolskiy氏とSam Kassoumeh氏により設立された、米国ニューヨークに本社を置く、サイバーセキュリティ格付けの分野のリーディングカンパニーの1社です。
  • 創業以来、米国の著名なベンチャーキャピタル(セコイア・キャピタル社など)からの資金調達を成功させ、グローバルで約800社にサービスが採用されるなど、持続的な成長を続けています。
    https://securityscorecard.com/
  • SecurityScorecard社 CEO  Alex Yampolskiy 氏からのコメント
    「セキュリティ侵害の70%がサプライチェーンを通じて直接的または間接的に引き起こされているため、サプライチェーンを通じて企業にもたらされる潜在的なサイバーリスクを包括的に監視することが、これまで以上に重要になっています。これらの課題に対処するため、日本を代表するマネージドセキュリティサービスプロバイダであるNRIセキュアと、日本市場でサービス展開できることを歓迎します。」

  
 [参照]  セキュリティ対策実行支援プラットフォーム「Secure SketCH」に、外部攻撃者の視点でセキュリティ耐性を測る機能を追加
    〜日本で初めて、米国SecurityScorecard社とプラットフォーム連携〜
NRIセキュア ニュース  2019年6月27日

網羅的な評価

10種類の評価カテゴリで網羅的にセキュリティの課題を検出します

IPレピュテーション

IPレピュテーション

社内ネットワーク内でのマルウェアやスパムなどの疑わしい活動の検出

DNSの健全性

DNSの健全性

安全でないDNSの設定と脆弱性の検出

アプリケーションセキュリティ

アプリケーション
セキュリティ

一般的なWebサイトアプリケーションの脆弱性の検出

ソーシャルエンジニアリング

ソーシャル
エンジニアリング

ソーシャルエンジニアリングまたはフィッシング攻撃に対する企業の意識の測定

ネットワークセキュリティ

ネットワークセキュリティ

安全でないネットワーク設定の検出

エンドポイントセキュリティ

エンドポイント
セキュリティ

従業員のワークステーションのセキュリティレベル測定

Cubit スコア

Cubit スコア

一般的なセキュリティのベストプラクティスの実装をチェックする独自のアルゴリズム

ハッカーチャット

ハッカーチャット

ハッカーサイトでのあなたの会社に関するチャットの監視

情報漏えい

情報漏えい

会社機密情報の漏洩の可能性

パッチ適用頻度

パッチ適用頻度

脆弱性またはリスクを含む可能性のある未更新の企業資産

検出された課題の対策を支援

検出された課題の解説・推奨事項・リスクを表示してセキュリティ対策を支援します

アプリケーションセキュリティ
HSTSベストプラクティスが未実装のウェブサイト
解説
support-icon01

HTTP Strict Transport Securityは、暗号化されたHTTPS接続を介してWebサイトにのみ接続するようにクライアント(Webブラウザなど)に指示するHTTPヘッダーです。
このヘッダーを利用するクライアントは自動…

推奨事項
support-icon03

すべてのWebアプリケーション(およびリダイレクト経由でWebサイトに到達するために通過したすべてのURL)は、少なくとも12か月間(31536000秒)有効になるようにHSTSヘッダーを設定する必要があります。…

リスク
support-icon02

WebサイトがHTTPSで保護されていても、ほとんどのブラウザは、明示的に指定されていない限り、HTTPバージョンのWebサイトに最初に接続しようとします。
現時点でWebサイトへの訪問者が訪問しよう…

多言語対応

日本語対応しているセキュリティ格付けサービス(SRS)が少ない中、日本国内の企業利用者様にも、
手軽にご活用頂けるよう日本語対応しております。

icon-lang 対応言語
lang-icon-en 英語
lang-icon-jp 日本語

※今後、中国語の対応を予定しています。

作業負荷ゼロで継続的に自動で評価。セキュリティリスク評価のコスト削減を実現

資料ダウンロード

お問い合わせ

ご利用方法に応じてご案内させて頂くサービスプラン・費用等が異なりますので、
「お問い合わせ内容」にご利用方法を記載してお問い合わせをお願い致します。