ラック、SOMPOリスクマネジメントと協業--業務委託先などのセキュリティ対策を可視化

NO BUDGET

2020-10-20 11:16

 ラックはSOMPOリスクマネジメント(SOMPOリスク)と協業し、サプライチェーン全体のセキュリティ対策状況を評価する「サプライチェーンリスク評価サービス」の提供を開始した。

 同サービスは、SOMPOリスクが提供するSaaS(Software as a Service)型のセキュリティリスク評価システムを活用し、自社に関係するサプライヤーの情報を共通のシステムに収集する。これにより、サプライチェーン全体のセキュリティ対策状況を把握する。さらに、対策のどこに弱点があるか、攻撃を受けやすいポイントがあるかを可視化/一元管理する。

サービスの全体図(出典:ラック)
サービスの全体図(出典:ラック)

 近年、自社が堅固なセキュリティ対策をしていても、対策の弱い海外子会社や業務委託先などがサイバー攻撃を受け、情報漏えいやシステム停止などの深刻なインシデントが発生することがある、とラックは指摘する。また、海外に拠点を持つ企業の場合、法規制やビジネス習慣の差異によって生まれるセキュリティ対策のギャップが攻撃者の標的とされることもあるという。

 同サービスでは、「セキュリティ調査票に基づく内部評価」「IT資産とセキュリティ上の弱点を可視化する外部評価」を行う。

 内部評価では、GDPR(EU一般データ保護規則)、NIST(アメリカ国立標準技術研究所)ガイドラインなどに基づいた調査票がテンプレートとしてあらかじめ用意されており、配布/回収/集計を単一プラットフォーム上で一元管理できる「内部評価機能」を搭載している。また、調査票はユーザー独自の調査項目の取り込みやその重みづけ(スコアリング)のカスタマイズも可能なため、自社に最適な設定で定量評価ができる。

 外部評価では、管理下にないインターネット上の資産も含めて情報を探索/収集し、攻撃者視点で見た脆弱性を自動的に評価する「外部評価(脆弱性評価)機能」を搭載している。評価対象はいつでも変更でき、何度でも診断可能なため、契約社数内であれば追加コストを気にすることなく脆弱性調査を実施できる。

 こうした機能により、対象となるIT資産に負荷などを与えることなく脆弱性調査が可能なため、管理者との複雑な調整も不要となる。また、共通の管理コンソールを利用できるため、スコアリングされた評価結果や、対応履歴管理なども一元管理が可能だ。管理コンソールは日/英の言語対応のため、海外拠点でも同じシステムを利用することができ、監査のために現地に赴く手間も省ける。

 また監査のためのチェック項目には、ラックのこれまでの情報セキュリティプランニング(リスクアセスメント)サービスで蓄積されたノウハウを組み込んだセキュリティ調査票を利用できる。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]