セキュリティ

Security Scorecard

セキュリ ティリスク レイティング システム『SecurityScorecard』

SecurityScorecard(セキュリティスコアカード)はサイバー攻撃による侵害の可能性と相関性のあるスコアを定量的に提示するSaaS型サービスです。実際にお客様のシステムに負荷をかけることなくインターネット上から非侵入で収集できる情報に基づき分析します。


『SecurityScorecard』とは?

企業のセキュリティのリスクやセキュリティの状態を点数化・ランク付けするソリューションです。

企業のIT環境において、悪意ある攻撃者からどのように見えているかご存じでしょうか?

「セキュリティ対策状況」と「サイバー攻撃による被害」には、相関関係があり、「セキュリティ対策状況」が低い企業は、約8倍リスクが増加します。

正しくセキュリティ対策状況を把握することで、効率的にセキュリティ対策への投資を行うことができ、「攻撃されにくい環境を維持し続ける」ことが可能です。

まずはセキュリティ対策状況の全体を把握することが重要です。


SecurityScorecardの仕組み


主な特徴

  • 収集した脅威情報を元に、独自のアルゴリズムで10個のカテゴリにおいて、A~D/Fの5段階、100点満点でリスクの状態を定量化。
  • 10個のカテゴリの評価を元に総合評価を算出。業界平均との比較も可能。
  • 検出されたセキュリティIssue(課題)を確認可能。レポートは日本語にて提示。

活用イメージの一部をご紹介します

  • セキュリティリスクのセルフチェック:自社・グループ企業のセキュリティ態勢の確認。効率的にセキュリティ対策への投資が可能
  •  ベンダーリスクマネジメント:取引先のセキュリティリスクを「定期的に」把握し、求めるセキュリティ対策の指針として活用
  •  経営陣向けレポート:外部診断結果をわかりやすい指標で定期的に報告することに活用
  •  買収企業調査:企業買収前のサイバーデューデリジェンスに活用

提供プランと内容


他社サービスのような通信の最大値に対する課金方式と比べ、3か月ごとの平均トラフィックを基準とした安定性を追求することで、これまでの料金体系とは一線を画した明朗でコストパフォーマンスの高いサービスのご提供が可能になりました。

プラン 提供内容
サマリレポート
スコアリングされた評点と10項目のサマリを提供

詳細レポート
10項目の脅威情報の詳細なレポートを提供
※CVE番号、脆弱性の公開日、IPアドレス、ポート番号等
評点の改善目標や対応策を提供

継続モニタリング
詳細レポートに追加して下記を提供
評点の改善目標や対応策を提供
常に最新の状況を提供
重大な脅威情報等により評点が変更されたことを通知

※当社「BLUE Sphere」をご利用の企業様には特別価格にて提供いたします。

SecurityScorecard評価項目の詳細説明(10項目)


評価項目 概要 詳細説明
ネットワーク・セキュリティ セキュアではないネットワーク設定の検出
インターネットからアクセスできるソフトウェアについて、安全性や設定の誤りなどの脆弱性が無いかを検出します。
[ SSL , RDP , SSH , LDAP , FTP 等について]
DNSの正常性 セキュアではないDNS設定と脆弱性有無の検出
DNSの設定や構成について脆弱性が無いかを検出します。
[ SPF 等について]
パッチ適用頻度 適切なパッチ適応有無の検出
OSやアプリケーションに対し適切にパッチを適応しているかや、サポートが切れていないかなどを検出します。
[ CVE , EOS 等について]
エンドポイント・セキュリティ 端末などのセキュリティレベルを検出
端末のIPとUser Agent情報から古いブラウザやプラットフォームを使用していないかなどを検出します。
[ OS , ブラウザ等について]
IPレピュテーション 企業ネットワーク内でのウイルス等による疑わしい活動の検出
独自のシンクホールシステムで、マルウェアの通信を取り込み解析を実施し、通信元IPを解析し、帰属する企業を特定します。
[プロキシ, マルウェア, アドウェア等について]
アプリケーション・セキュリティ Webアプリケーションの脆弱性の検出
WebサイトやCMSなどの設定上の脆弱性を検出します
キュービット・スコア 一般的なベストプラクティスの実装をチェック
SecurityScorecard社独自の方法(キュービットスコアファクター)で、外部から観測した情報を組み合わせて、実際の脅威リスクを判定します。
[ ランサムウェア等について]
ハッカーチャッター ハッカーサイト上で、御社に関する会話ややり取りを検出
一般にはアクセスが困難なアンダーグラウンドのハッカーサイト等をモニタリングし、御社に関する会話や情報のやり取りを検出します。
漏洩された情報 漏洩している可能性のある企業機密情報を検出
インターネット上に漏えいした機密情報から企業を特定し、漏えいした情報から御社が直面するセキュリティインシデントの可能性を検出します。
ソーシャル・エンジニアリング ソーシャルエンジニアリングまたはフィッシング攻撃等で漏えいした可能性のある情報を検出
SNSアカウント、個人金融アカウント、悪用可能なマーケティングリストなどに従業員が企業アカウントを使用するなど、ソーシャルエンジニアリングされるリスクを検出します。