セキュリティコンサルティング
サプライチェーンリスク評価サービス(Panorays)
本サービスは、SOMPOリスクマネジメント社が提供するSaaS型のセキュリティリスク評価システムPanoraysを活用し、自社に関係するサプライヤーの情報を共通のシステムに収集することで、サプライチェーン全体のセキュリティ対策状況を把握し、どこに弱点があるか、攻撃を受けやすいポイントがあるかを可視化、一元的に管理することを可能にします。

サプライチェーン攻撃のリスクを可視化
近年、海外子会社や委託先などビジネス上の密接な関係性を持つサプライチェーン上のセキュリティの弱点を狙ったサイバー攻撃、「サプライチェーン攻撃」が増加しています。今や、企業のビジネスは製品の開発から製造、流通、販売にいたるまでグローバルのサプライチェーンで密接につながっています。たとえ自社が堅牢なセキュリティ対策をしていても、対策の弱い海外子会社や業務委託先などがサイバー攻撃を受け、情報漏えいやシステム停止などの深刻なインシデントが発生することがあります。
特に海外に拠点を持つ企業の場合、法規制やビジネス習慣の差異によって生まれるセキュリティ対策のギャップが攻撃者の標的とされる場合もあります。このように個々の企業で意識できない問題でもサプライチェーンでとらえると看過できないリスクもあります。
サプライチェーンリスク管理の課題
- サプライヤー管理方法がわからない
- セキュリティ診断にコストがかかる
- セキュリティ人材が不足
- ヒアリングに労力がかかり過ぎる
このサービスでは、SaaS型のセキュリティリスク評価システムPanoraysを使用し、自社に関係性のあるサプライチェーン企業の情報を共通のシステムに収集することで、全体のセキュリティ対策状況を把握し、どこに弱点があるか、攻撃を受けやすいポイントがあるかを可視化、一元的に管理します。
サプライチェーンに潜むセキュリティ上のリスクを効率的に把握し、サイバー攻撃被害や、情報セキュリティ事故の発生を防ぐことが可能となります。
本サービスの特長
1. セキュリティ調査票に基づく内部評価

GDPR、NISTガイドライン等に基づいた調査票がテンプレートとしてあらかじめ用意されており、配布・回収・集計を単一プラットフォーム上で一元管理できる「内部評価機能」を搭載しています。また、調査票はユーザー独自の調査項目の取り込みやその重みづけ(スコアリング)のカスタマイズも可能なため、自社に最適な設定で定量評価が可能です。
2. 管理者が把握できていないIT資産とセキュリティ上の弱点を可視化する外部評価

管理下にないインターネット上の資産も含めて情報を探索、収集し、攻撃者視点で見た脆弱性を自動的に評価する「外部評価(脆弱性評価)機能」を搭載。評価対象はいつでも変更でき、何度でも診断可能なため、契約社数内であれば追加コストを気にすることなく脆弱性調査を実施できます。
3. IT管理者への負担軽減と見逃し防止

対象となるIT資産に負荷などを与えることなく脆弱性調査が可能なため、管理者との複雑な調整も不要です。また、共通の管理コンソールを利用できるため、スコアリングされた評価結果や、対応履歴管理なども一元管理可能。管理コンソールは日・英の言語対応のため、海外拠点でも同じシステムを利用することができ、監査のために現地に赴く手間も省けます。また、網羅的に管理でき、対応漏れ等の見逃しも防止できます。
4. ラックのセキュリティコンサルティングのノウハウを反映したセキュリティ調査票を使ってリスク評価が可能

監査のためのチェック項目には、ラックのこれまでの情報セキュリティプランニング(リスクアセスメント)サービスで蓄積されたノウハウを組み込んだセキュリティ調査票を利用できます。この調査票を利用頂くことで、ラックの独自基準に基づいたリスク評価が可能です。
サービス利用のステップ
ステップ1 アセスメント計画 |
|
---|---|
ステップ2 プラットフォームの準備 |
|
ステップ3 アセスメント実施と改善策の検討 |
|
ステップ4 定期的、継続的なモニタリング実施 |
|
内部調査の作業を効率化する機能
サプライチェーンに属する企業へのアセスメントを実施する際に発生する、すべての煩雑な作業をPanoraysの機能で効率化、一元的に管理することができます。
内部調査ステップ | 調査を効率化する機能 |
---|---|
①質問内容の作成 | セキュリティ調査票テンプレート |
②関係者会社へメール配布 | セキュリティ調査票の送信・通知機能 |
③関係会社の質問内容の回答 | セキュリティ調査票の回答機能 |
④回答の催促 | セキュリティ調査票の送信・通知機能 |
⑤回答済みの質問票の回収 | セキュリティ調査票の結果確認機能 |
⑥回答済みの質問票のQA | コミュニケーション機能 |
⑦手動で回答の集計・レポート | ダッシュボード機能 |
⑧過去との回答結果を踏まえた分析 | 履歴管理機能 |
外部調査の実施内容(一部)
アセスメント対象企業の情報をPanoraysに登録することで、自動的に外部評価が実行されます。外部評価は、アプリケーション、ネットワークとIT、ヒューマンの3つの評価カテゴリーについて行われ、インターネット上の公開情報を元に『攻撃者が組織に侵入するための調査活動(非侵入・非破壊行為)の視点』で行われます。評価結果は72時間後にシステム上に反映され、日次でアップデートされます。
評価カテゴリー | アセスメント内容 | 低評価の場合のリスク |
---|---|---|
アプリケーション |
|
利用しているアプリケーションの脆弱性を認識していない可能性がある |
ネットワークおよびIT |
|
設定の管理が、行き届いていない可能性がある |
ヒューマン |
|
ソーシャルエンジニアリングのなりすましの手口に弱い可能性がある |
サイバーリスクレーティングについて
サイバーアセスメント結果の画面サンプル
セキュリティ調査票、サイバーポスチャーレーティング、ビジネスインパクトや他の要素を組み込んだ評価で、サプライヤー企業のセキュリティリスクを5段階で評価します。

サプライヤー評価画面のサンプル

