クラウドセキュリティ

第三者リスク評価ツールとは?マイナス評価される前に対策を!

第三者リスク評価ツールとは?マイナス評価される前に対策を!

目 次


第三者リスク評価ツールとはどういったツールなのかご存じでしょうか?国内でも導入する企業が増えているこのツール。知らないうちに取引先企業からこのツールでのスキャンを受けて、自社でも気づいていなかったサイバーセキュリティ上の対策漏れを指摘されてしまうかもしれません。場合によっては、自社と取引するために必要なセキュリティ対策水準に達していないと、取引停止になってしまう恐れも。そのような事態になる前に、対策を行っておきましょう。
そこで本記事では、第三者リスク評価ツールとはどういったツールで、どんなことが分かるのかを実例を交えてご説明します。

サイバーリスク健康診断
攻撃者目線で自社のサイバーリスクを診断

サイバーリスク健康診断サービスは、攻撃者の視点で自社のセキュリティリスクを可視化し、適切な対策をサポートします。Panoraysを利用し、迅速かつ効率的にリスクを洗い出し、優先順位を定めることが可能です。

詳細を確認する

第三者リスク評価ツールとは?

エムオーテックスでは、第三者リスク評価ツールとして「サプライチェーンリスク評価サービス Panorays (パノレイズ)」をご提供しています。調査したい企業のドメイン情報を登録するだけで、インターネット上に公開されているIT資産情報(Webサーバーやメールサーバー、VPN機器など)を特定。対象となるIT資産に負荷や影響を与えずに、攻撃者目線でのサイバーリスクを可視化できます。
なかなかイメージが付きにくいと思いますので、実際のスキャン画面を例としてご説明していきます。

▼Panoraysに調査したい企業のドメイン名を登録すると3ステップでリスクを発見

まず調査したい対象の企業のドメイン名をPanoraysに登録します。エムオーテックスであれば、弊社HPのアドレス(https://www.motex.co.jp/)のドメイン部分(motex.co.jp)を登録します。するとPanoraysが、このドメイン名に紐づくその企業の「外部公開IT資産」の情報を、インターネットをスキャンすることで発見します。そしてその発見した資産に対して、サイバーリスクに関する独自のデータベースの情報や、ダークウェブ上で犯罪者が公開している漏えい済みの情報などと突き合わせることで、その企業のサイバーセキュリティ上の課題(リスク)をレポート画面で客観的に把握できます。

▼Panoraysのレポート画面、対象企業のリスク状況をスコアで表示

「外部公開IT資産」というと難しく聞こえるかもしれませんが、簡単に言うと、例えば企業の管理するサーバーなどのうち、インターネットからだれでもアクセスできるものということになります。
例えばエムオーテックスであれば、コーポレートサイトのドメインである「motex.co.jp」をPanoraysに登録することで、このドメインのWebサイトを管理しているWebサーバーが外部公開資産として発見されます。また、自社プロダクト・サービスのブランドであるLANSCOPEのプロダクトサイトのために「lanscope.co.jp」のドメインも保有しています。こういった異なるドメインの情報であっても関連するものとして情報収集が可能です。

こうして発見したIT資産に対して、サイバー攻撃を受けるリスクがないかを検査します。Webサーバーであれば、例えばサーバーのアプリケーションに脆弱性があることや、以下の画像の例のように、本来はインターネットからアクセスされないように非公開になっているべきデータベースが公開の状態になっているなどのリスクを発見できます。「そんなことがあるの?」と思われるかもしれませんが、過去にはマイクロソフトがサーバーの設定ミスにより、2日間にわたって2億5000万件以上のカスタマーサービスとサポートの情報が保存されているデータベースがインターネットに公開されていたことが大きなニュースとなりました※。こういった事案は国内でも発生しています。

参考:Yahooニュース2020年1月24日「マイクロソフト、2億5千万件のカスタマサポート記録を誤って公開。修正後ブログで謝罪。」


Panoraysのスキャンでは、「外部IT公開資産」としてWebサーバー以外にも、リモートワーク等のために利用しているVPN機器についても情報取得できる場合があります。警察庁の調べによると、ランサムウェアの感染経路は8割がVPN・RDPのリモート接続機器です※。VPN機器については、脆弱性のある古いバージョンを利用しているとハッカーに攻撃されるリスクが高いです。こういったこともPanoraysのスキャンで把握が可能です。

※警察庁「令和5年におけるサイバー空間をめぐる脅威の情勢等について」、図表は同出典をもとにMOTEXにて作成

その他にも、情シスの管理外で従業員が設置していたサーバー(野良サーバー)が設定ミスで社外公開されている、よく攻撃者に悪用されるポートが解放されているなどなど、様々なリスクを発見することができます。
実際にサイバー攻撃を行う犯罪者も、攻撃のスタートはインターネットです。つまり第三者リスク評価ツールを使うことで、攻撃者目線でその企業の “弱点“ を発見することができるということです。このように、インターネットからスキャンをすることで、その企業のサイバーセキュリティ上のリスクを客観的に把握できるのが第三者リスク評価ツールです。

取引先からマイナス評価をされる前にできる対策とは

取引先や業務委託先が受けたサイバー攻撃の影響が自社にまで広まり、情報漏えいや営業休止のなどの被害を受ける事件・事故が多く発生しており、「サプライチェーンリスク」がサイバーセキュリティ対策の注目キーワードとなっています。こういった背景から、サイバーセキュリティに関するガイドラインなどで自社の取引先のサイバーセキュリティ対策状況を把握することを求める項目が含まれるようになり、第三者リスク評価ツールの活用も注目されています。
もし取引先から第三者リスク評価ツールのスキャンを受けたら、リスクが発見されないと自信を持って言えるでしょうか?自社でも気づいていなかったサイバーセキュリティ上の対策漏れを指摘されてしまうかもしれません。場合によっては、自社と取引するために必要なセキュリティ対策水準に達していないと、取引停止になってしまう恐れもあります。
そのような事態にならないために、事前に対策を行っておきましょう。

対策1.チェックシートでセキュリティ対策の現状把握をして対応漏れを見つける

まずは基本的なサイバーセキュリティ対策ができているかの自己点検を行い、対策漏れや対策不足を改善しましょう。自社で定める情報セキュリティ関連規程をもとに、規程で定めたルールが守られているかを確認することももちろん必要ですが、それとは別に、第三者が作成したチェックシートを活用して自社の対策を振り返ることで、客観的な実施状況を把握することがおすすめです。

エムオーテックスでは「経済産業省 サイバー・フィジカル・セキュリティ対策フレームワーク」 や「IPA 中小企業の情報セキュリティ対策ガイドライン」「IPA 情報セキュリティ対策ベンチマーク」などをもとに、すべての企業が実施するべきサイバーセキュリティ対策のチェックシートを、「ガイドライン対応サポートアカデミー」でご提供しています。
チェックシートの他にも、コンサルタントによる動画解説や、各種セキュリティ関連規程のひな形もご提供。困ったときにはコンサルタントに個別相談もできます。チェックシートはコンサルタントによる添削やカウンセリングのサービスもご用意しており、第三者の専門家の目線を入れることで、今まで気づけなかった課題が発見でき、対策の精度向上につながります。

ガイドライン対応サポートアカデミー

専門家の目で強化するサイバーセキュリティ
企業・団体向けのサイバーセキュリティ対策支援コンサルティングパッケージ。チェックシートと専門家の助言で自己点検と課題発見を行い、対策の精度を向上させます。

詳細を確認する

対策2.試しに第三者リスク評価ツールのスキャンを受けてみる

取引先からスキャンをされる前に、自社に対して第三者評価ツールのスキャンをかけることも有効な対策となります。【対策①】の自己点検では見つけきれなかったリスクを発見できる可能性があります。
ただし、そのためだけに高価なツールを導入することは難しいというケースもあるでしょう。エムオーテックスでは第三者リスク評価ツールとして、「サプライチェーンリスク評価サービス Panorays (パノレイズ)」をご提供していますが、ツールとしてのご提供の他、まずはお試しで自社のリスク評価ができるスポットの診断パッケージもご提供しております。自社のセキュリティ対策の現状を客観的に把握できる機会として検討してみてはいかがでしょうか。

サイバーリスク健康診断
攻撃者目線で自社のサイバーリスクを診断

サイバーリスク健康診断サービスは、攻撃者の視点で自社のセキュリティリスクを可視化し、適切な対策をサポートします。Panoraysを利用し、迅速かつ効率的にリスクを洗い出し、優先順位を定めることが可能です。

詳細を確認する

まとめ

インターネットからスキャンをすることで、その企業のサイバーセキュリティ上のリスクを客観的に把握できる、第三者リスク評価ツールを活用することで、攻撃者目線でその企業の “弱点“ を発見することができます。
サプライチェーンリスクの対策として導入する企業が増えており、知らないうちに取引先企業からこのツールでのスキャンを受けて、自社でも気づいていなかったサイバーセキュリティ上の対策漏れを指摘されてしまうかもしれません。取引先からの信頼を失わないためにも、サイバーセキュリティ対策の強化に取り組みましょう。

サイバーセキュリティ対策の強化に取り組むことは、自社をサイバー攻撃から守ることだけでなく、ビジネスチャンスを広げるための武器として活用できます。関連情報をブログ記事として公開しておりますので、ぜひこちらもチェックしてみてください。

関連ページ

セキュリティをビジネスの武器に!取引先の信頼にこたえるためにするべきこととは?