株式会社ラック

閉じる

企業や組織のセキュリティ事故発生時はこちら

緊急対応窓口:サイバー救急センター®

ご相談は予約不要、24時間対応

電話で相談する
0120-362-119
メールで相談する
サイバー救急センター®のメールアドレス
自分で調べる
「FalconNest」について

セキュリティコンサルティング

サプライチェーンリスク評価サービス(Panorays)

Inspection & Consulting

サプライチェーン全体のセキュリティ対策状況を可視化・一元管理し
サイバーリスクに備える

SOMPOリスクマネジメント社が提供するSaaS型のセキュリティリスク評価システムPanoraysを活用し、自社に関係するサプライヤー情報を共通のシステムに収集。サプライチェーン全体のセキュリティ対策状況を把握し、攻撃を受けやすい箇所を可視化、一元管理します。

サービスの強み

事業に関わるサプライチェーン全体のセキュリティ状況を把握し、
リスクを見える化

国内外のグループ会社や取引先・委託先など、ビジネス上の密接な関係性を持つサプライチェーンを踏み台に、ターゲットとなる企業へサイバー攻撃を行う、「サプライチェーン攻撃」が増加しています。本サービスは、自社に関係のあるサプライチェーンのセキュリティ対策状況を収集し共通のシステムに集約することで、セキュリティ上の問題点を可視化、一元的に管理します。さらに、ラックのセキュリティコンサルティングのノウハウを反映した調査項目が用意されているため、効果的なサプライチェーンリスクの洗い出しが可能となっています。

サプライチェーンリスク評価サービスの全体図

内部評価と外部評価、サプライチェーン企業全体の評価を
同一のセキュリティ基準で徹底管理する

  1. セキュリティ調査票に基づく
    内部評価
    GDPR、NISTガイドライン等に基づいた調査票がテンプレートとしてあらかじめ用意されており、配布・回収・集計を単一プラットフォーム上で一元管理できる「内部評価機能」を搭載しています。また、調査票はカスタマイズも可能なため、自社に最適な設定で定量評価が可能です。
  2. IT資産とセキュリティ上の弱点を
    可視化する外部評価
    自社関連で把握しきれていないインターネット上の資産を自動的に探索・収集し、対象に存在する脆弱性を評価する「外部評価(脆弱性評価)機能」を搭載しています。本機能は、脆弱性診断のように攻撃試行によって脆弱性を特定する仕組みではないため、対象に影響を与えることなく調査が可能です。
  3. IT管理者への負担軽減と見逃し防止
    外部評価については、対象となるIT資産に負荷や影響を与えず脆弱性調査が可能で、管理者との調整も不要です。また、共通の管理コンソールを利用できるため、スコアリングされた評価結果や対応履歴なども一元管理が可能です。対象毎の対応状況が一覧で確認でき、対応漏れ等の見逃しも防止できます。

サービス利用のステップ

  1. アセスメント計画
    ・アセスメント企業(グループ会社、取引先、委託先)を選定し、合意を得る
    ・アセスメント企業が自社へ与える影響などを分類
    ・調査票の準備と調査時期と頻度を決定
  2. プラットフォームの準備
    ・アセスメント企業にヒアリング実施(企業名、ドメインなど)
    ・ヒアリング情報をシステム(Panorays)に登録(外部評価を自動的に実施)
    ・アセスメント企業にシステムと使用方法を共有
  3. アセスメント実施と改善策の検討
    ・アセスメント企業にシステム上で内部調査票を回答してもらう
    ・外部評価および内部評価で数値化されたリスクスコア、改善事項を確認
    ・改善実行に向けた計画を策定
  4. 定期的、継続的なモニタリング実施
    ・外部評価は日次で自動実行、定期的チェックと改善に向けた策の提示
    ・内部評価はステップ1で策定した調査時期、調査頻度で実施
    ・調査の都度、結果のレビューと次の改善計画を策定

内部調査の作業を効率化する機能

サプライチェーンに属する企業へのアセスメントを実施する際に発生する、すべての煩雑な作業をPanoraysの機能で効率化、一元的に管理することができます。

内部調査ステップ 調査を効率化する機能
①質問内容の作成 セキュリティ調査票テンプレート
②関係者会社へメール配布 セキュリティ調査票の送信・通知機能
③関係会社の質問内容の回答 セキュリティ調査票の回答機能
④回答の催促 セキュリティ調査票の送信・通知機能
⑤回答済みの質問票の回収 セキュリティ調査票の結果確認機能
⑥回答済みの質問票のQA コミュニケーション機能
⑦手動で回答の集計・レポート ダッシュボード機能
⑧過去との回答結果を踏まえた分析 履歴管理機能

外部調査の実施内容(一部)

アセスメント対象企業の情報をPanoraysに登録することで、自動的に外部評価が実行されます。外部評価は、アプリケーション、ネットワークとIT、ヒューマンの3つの評価カテゴリーについて行われ、インターネット上の公開情報を元に『攻撃者が組織に侵入するための調査活動(非侵入・非破壊行為)の視点』で行われます。評価結果は72時間後にシステム上に反映され、日次でアップデートされます。

評価カテゴリー アセスメント内容 低評価の場合のリスク
アプリケーション
  • 公開サーバのアプリケーション、ドメイン情報・WEBアプリのバージョン
  • 類似ドメインが部外者に簡単に取得できるか
利用しているアプリケーションの脆弱性を認識していない可能性がある
ネットワークおよびIT
  • サーバやアプリケーションの設定情報
  • DMARCレコードの設定
  • 空いたままのポートが無いか
  • TLS1.0を無効化しているか
設定の管理が、行き届いていない可能性がある
ヒューマン
  • アカウント窃取やソーシャルエンジニアリング
  • 公式のFacebook、TwitterなどのSNSアカウントがあるか
ソーシャルエンジニアリングのなりすましの手口に弱い可能性がある

サイバーリスクレーティングについて

サイバーアセスメント結果の画面サンプル

セキュリティ調査票、サイバーポスチャーレーティング、ビジネスインパクトや他の要素を組み込んだ評価で、サプライヤー企業のセキュリティリスクを5段階で評価します。

サイバーアセスメント結果の画面サンプル

サプライヤー評価画面のサンプル

サプライヤー全体評価画面
サプライヤー全体評価画面
サプライヤー個別評価画面
サプライヤー個別評価画面

価格

お客様のご要望に応じて、個別にお見積もりいたします。お気軽にお問い合わせください。

「サプライチェーンリスク評価サービス(Panorays)」に関するお問い合わせ