ラック、海外子会社や国内外の業務委託先に対するセキュリティ対策状況を可視化する「サプライチェーンリスク評価サービス」の提供を開始

株式会社ラック（本社：東京都千代田区、代表取締役社長：西本 逸郎、以下 ラック）は、SOMPOリスクマネジメント株式会社（本社：東京都新宿区、代表取締役社長：桜井 淳一、以下 SOMPOリスクマネジメント）と協業し、サプライチェーン全体のセキュリティ対策状況を評価する「サプライチェーンリスク評価サービス」の提供を2020年10月16日より開始しました。

本サービスは、SOMPOリスクマネジメント社が提供するSaaS型のセキュリティリスク評価システムPanoraysを活用し、自社に関係するサプライヤーの情報を共通のシステムに収集することで、サプライチェーン全体のセキュリティ対策状況を把握し、どこに弱点があるか、攻撃を受けやすいポイントがあるかを可視化、一元的に管理することを可能にします。

近年、海外子会社や委託先などビジネス上の密接な関係性を持つサプライチェーン上のセキュリティの弱点を狙ったサイバー攻撃、「サプライチェーン攻撃」が増加しています。今や、企業のビジネスは製品の開発から製造、流通、販売にいたるまでグローバルのサプライチェーンで密接につながっています。たとえ自社が堅牢なセキュリティ対策をしていても、対策の弱い海外子会社や業務委託先などがサイバー攻撃を受け、情報漏えいやシステム停止などの深刻なインシデントが発生することがあります。

また、海外子会社や委託先など小規模組織単位でみるとセキュリティ管理はおろそかになりがちです。例えば海外に拠点を持つ企業の場合、法規制やビジネス習慣の差異によって生まれるセキュリティ対策のギャップが攻撃者の標的とされる場合もあります。このように個々の企業で意識できない問題でもサプライチェーンでとらえると看過できないのです。これらの課題を解決するには、事業に関わるサプライチェーン全体のセキュリティ状況を把握し、リスクを見える化することが重要となります。

本サービスの特長

1. セキュリティ調査票に基づく内部評価

GDPR、NISTガイドライン等に基づいた調査票がテンプレートとしてあらかじめ用意されており、配布・回収・集計を単一プラットフォーム上で一元管理できる「内部評価機能」を搭載しています。また、調査票はユーザー独自の調査項目の取り込みやその重みづけ（スコアリング）のカスタマイズも可能なため、自社に最適な設定で定量評価が可能です。

2. 管理者が把握できていないIT資産とセキュリティ上の弱点を可視化する外部評価

管理下にないインターネット上の資産も含めて情報を探索、収集し、攻撃者視点で見た脆弱性を自動的に評価する「外部評価（脆弱性評価）機能」を搭載。評価対象はいつでも変更でき、何度でも診断可能なため、契約社数内であれば追加コストを気にすることなく脆弱性調査を実施できます。

3. IT管理者への負担軽減と見逃し防止

対象となるIT資産に負荷などを与えることなく脆弱性調査が可能なため、管理者との複雑な調整も不要です。また、共通の管理コンソールを利用できるため、スコアリングされた評価結果や、対応履歴管理なども一元管理可能。管理コンソールは日・英の言語対応のため、海外拠点でも同じシステムを利用することができ、監査のために現地に赴く手間も省けます。また、網羅的に管理でき、対応漏れ等の見逃しも防止できます。

4. ラックのセキュリティコンサルティングのノウハウを反映したセキュリティ調査票を使ってリスク評価が可能

監査のためのチェック項目には、ラックのこれまでの情報セキュリティプランニング（リスクアセスメント）サービスで蓄積されたノウハウを組み込んだセキュリティ調査票を利用できます。この調査票を利用頂くことで、ラックの独自基準に基づいたリスク評価が可能です。