あなたの会社は何点か？ “セキュリティレベル格付け”で狙われやすい企業が一目瞭然：世界を読み解くニュース・サロン（2/3 ページ）

[山田敏弘，ITmedia]

　サイバー攻撃対策のスコアリングとは、簡単に言うと、企業や政府機関、民間団体などのネットワークにある、サイバー犯罪者など攻撃者に狙われかねない脆弱性（セキュリティの穴）や不備などを調べて、自社のネットワークがどれほど安全なのかを点数で示すものだ。

　一般的なサイバーセキュリティのスコアリングは、企業のIPアドレス（インターネット上の住所のような識別番号）からネットワークを調べ、インターネットに公開されている脅威情報を参考にして、自社のサイバーセキュリティの度合いを数値化するシンプルなものである。

IPアドレスをもとに、セキュリティレベルをスコア化するのが一般的（画像：ゲッティイメージズより）

　ところが、この脅威情報が非常に重要になる。なぜなら、地下にあるダーク（闇）ウェブや、犯罪者が開設している通信アプリのチャンネルなど、攻撃者が水面下で共有または売買している攻撃のための全ての情報を収集するのは容易ではないからだ。サイバー攻撃者の目線から見た企業の隙を見つけ出すことがスコアリングの肝となるのである。

　「ハッカーなどの攻撃者たちが地下で共有している情報を探し出すことなんてできるのか？」と思うかもしれないが、最近、そうした攻撃者らの情報をスコアリングに活用している興味深い企業の日本進出をメディアが報じている。

　その企業は、サイバーセキュリティ大国とも呼ばれるイスラエルから日本に進出したばかりのSling社だ。最大の特徴は、同社が地下コミュニティなどから蓄積してきた莫大な情報にアクセスし、企業の安全度と対策レベルをスコアで可視化できる点と言える。

日本上陸を果たしたイスラエルのSling社が話題（画像：Sling社の公式Webサイトより）

　Sling社は「Slingベンダー監視ツール」というスコアリングツールを提供している。このツールは、随時、自社のシステムなどを評価してスコア化する。もちろん、リアルタイムで闇サイトなどの情報を集めており、新たな脅威や脆弱性を発見するとセキュリティのスコアの査定に即座に反映する。

　普通ではアクセスできないような情報ソースなどの情報で構築された独自開発のサイバー犯罪情報を使って、攻撃者のモチベーション、攻撃に使われるツール、彼らのターゲット情報も組み込んでいるという。

　スコアは、自分の組織から検知されたサイバー脅威の数や種類、深刻さ、段階を示して、さらに緊急性と優先度も分かる。しかも、100点満点で「格付け」するだけでなく、同時に、対処法も「To Do リスト」として提示する。

　こうしたスコアリングのソリューションを多くの企業が導入すれば、サプライチェーンのセキュリティリスクも軽減できる可能性が高い。取引先や子会社、関連企業などの間で、ある程度のスコアをクリアしていないとサイバー攻撃被害がサプライチェーンにも広がるかもしれないという意識が共有されれば、企業がセキュリティを強化し合うという相乗効果を生む可能性もある。

　お互いが信頼できるようにするためにも、こうしたスコアリングは非常に有効になるだろう。サプライチェーンを担い、日本の経済を支えている中小企業ほど、ビジネスにおいてこうした「信用」は重要な意味をもつ。

　加えて、企業内でもこうしたスコアが重宝されるという現実がある。海外企業でも、スコアリングがあることで経営陣にセキュリティについて説明がしやすくなるという声が出ているようだ。

　さらに、このようなサイバーセキュリティの「格付け」が非常に必要になる分野がある。サイバー保険だ。