ラックはSOMPOリスクマネジメント(SOMPOリスク)と協業し、サプライチェーン全体のセキュリティ対策状況を評価する「サプライチェーンリスク評価サービス」の提供を開始した。
同サービスは、SOMPOリスクが提供するSaaS(Software as a Service)型のセキュリティリスク評価システムを活用し、自社に関係するサプライヤーの情報を共通のシステムに収集する。これにより、サプライチェーン全体のセキュリティ対策状況を把握する。さらに、対策のどこに弱点があるか、攻撃を受けやすいポイントがあるかを可視化/一元管理する。
サービスの全体図(出典:ラック)
近年、自社が堅固なセキュリティ対策をしていても、対策の弱い海外子会社や業務委託先などがサイバー攻撃を受け、情報漏えいやシステム停止などの深刻なインシデントが発生することがある、とラックは指摘する。また、海外に拠点を持つ企業の場合、法規制やビジネス習慣の差異によって生まれるセキュリティ対策のギャップが攻撃者の標的とされることもあるという。
同サービスでは、「セキュリティ調査票に基づく内部評価」「IT資産とセキュリティ上の弱点を可視化する外部評価」を行う。
内部評価では、GDPR(EU一般データ保護規則)、NIST(アメリカ国立標準技術研究所)ガイドラインなどに基づいた調査票がテンプレートとしてあらかじめ用意されており、配布/回収/集計を単一プラットフォーム上で一元管理できる「内部評価機能」を搭載している。また、調査票はユーザー独自の調査項目の取り込みやその重みづけ(スコアリング)のカスタマイズも可能なため、自社に最適な設定で定量評価ができる。
外部評価では、管理下にないインターネット上の資産も含めて情報を探索/収集し、攻撃者視点で見た脆弱性を自動的に評価する「外部評価(脆弱性評価)機能」を搭載している。評価対象はいつでも変更でき、何度でも診断可能なため、契約社数内であれば追加コストを気にすることなく脆弱性調査を実施できる。
こうした機能により、対象となるIT資産に負荷などを与えることなく脆弱性調査が可能なため、管理者との複雑な調整も不要となる。また、共通の管理コンソールを利用できるため、スコアリングされた評価結果や、対応履歴管理なども一元管理が可能だ。管理コンソールは日/英の言語対応のため、海外拠点でも同じシステムを利用することができ、監査のために現地に赴く手間も省ける。
また監査のためのチェック項目には、ラックのこれまでの情報セキュリティプランニング(リスクアセスメント)サービスで蓄積されたノウハウを組み込んだセキュリティ調査票を利用できる。