サプライチェーンをどう守る? アシュアードが新サービス「Assured企業評価」を発表
アシュアードは取引先を含めたサプライチェーンのセキュリティ強化を図る新たなサービス「Assured企業評価」を発表した。第三者評価によって委託元と委託先の両方が抱えるセキュリティ評価における課題の解消を目指す。
この記事は会員限定です。会員登録すると全てご覧いただけます。
アシュアードは2025年6月11日、新サービス記者発表会を開催した。同発表会では、取引先を含めたサプライチェーンのセキュリティ強化を図る新たなサービス「Assured企業評価」の詳細が明らかになった。
サプライチェーン全体のセキュリティを確保する術はあるか?
アシュアードの親会社であるビジョナルで代表取締役社長を務める南 壮一郎氏は発表会冒頭で「サイバーセキュリティを当グループの事業における第2の柱にする」と話す。
(左)ビジョナルの南 壮一郎氏(代表取締役社長)(右)アシュアードの大森厚志氏(代表取締役社長)(アシュアード提供)同氏がそう意気込む背景には、ランサムウェアをはじめとしたサイバー攻撃の激化が関係している。これらの攻撃は大企業ではなく、そのサプライチェーンであるセキュリティ強化が不十分な中小企業を狙うケースも増えており、委託元の機密情報の漏えいやサービス停止につながるなど、経営を揺るがす深刻な被害が発生している。
アシュアードが2025年5月に実施した調査によると、大企業の73%が中小企業をはじめとした取引先企業に対してセキュリティの不安を感じており、これらの企業の64%で取引先経由のセキュリティ被害が発生していることが分かっている。
しかし中小企業におけるセキュリティ強化は進んでいないのが実情だ。情報処理推進機構(IPA)の「2024年度中小企業等実態調査結果」によると、中小企業では約6割がセキュリティ投資をしておらず、約7割がセキュリティ対策が不十分だという。
セキュリティ対策格差が広がる中、委託元の企業は自社のセキュリティだけではなく、取引先まで含めたトータルのセキュリティ管理が求められるようになっている。一方で取引先の数は膨大であり、全ての取引先のセキュリティ対策状況を既存の仕組みで把握することは困難な実態があるという。
煩雑だったサプライチェーンのセキュリティ評価を効率化
これを解消するのが新たに発表されたのがAssured企業評価だ。アシュアードは2019年には脆弱(ぜいじゃく)性管理クラウド「yamory」(ヤモリー)を2022年にはSaaSのセキュリティ評価を提供するプラットフォーム「Assured」を提供してきた。Assured企業評価はこれらの実績を踏まえて、サプライチェーンの委託先のセキュリティ評価を提供するプラットフォームだ。
アシュアードの大森厚志氏(代表取締役社長)は「Assuredを提供してきた中で、委託元の企業から『委託先がサイバー攻撃被害に遭って困っている』という声を多く聞いてきた。委託先のセキュリティ評価は『Microsoft Excel』を使ったチェックシートを個社ごとに配るといったレガシーな運用がいまだに続いている。この運用を改善し、セキュリティ担当者の業務負担を低減するとともに、サプライチェーン全体のセキュリティの底上げを目指すというのが同サービスのコンセプトだ」と語る。
Assured企業評価は委託元の依頼を受けて、ISO27001やNIST SP800-171、個人情報保護法、金融庁ガイドラインをはじめ複数の国内外ガイドラインなどを参考にした同社独自の質問票への回答を基に、セキュリティ専門チームが委託先企業のセキュリティリスクを評価する。委託元企業は信頼できる第三者評価の手によって、委託先のセキュリティの現状を把握できるという仕組みだ。
セキュリティ評価は調査結果レポートとして委託元企業に提供される。レポートではランサムウェアを含むマルウェア対策やシステム監視、リモートアクセス時のセキュリティ対策、インシデント対応計画や手順、オフィスやデータセンターの防犯対策、従業員に対するセキュリティ教育など、200以上の項目を調査する。
委託先からの回答はプラットフォームに掲載・保存されるため、前回調査との比較がしやすく、回答の矛盾や偽りなども把握できる。委託先としても前回と同様の結果については記入の手間が省けるため効率的な回答が可能になる。
大森氏はAssured企業評価によって実現できる価値として以下の3つを挙げた。
- 取引先のセキュリティ対策状況を正確かつ迅速に把握: これまで蓄積してきたノウハウや独自特許技術を生かして、取引先企業の正しいセキュリティ情報を取得する。専門チームによる評価情報をデータベース化することで、最新のセキュリティ情報を迅速に把握できる
- セキュリティ担当者の業務負荷を大幅に軽減: 取引先企業とのやりとりをアシュアードが担うことで、社内外にまたがる煩雑なコミュニケーションを大幅に削減する
- 社会共通のセキュリティ評価指標による、スムーズな取引判断: 各社それぞれのセキュリティ評価指標ではなく、アシュアードが統一した指標を提供することで属人的な判断に頼らず取引先企業の安全性を確認し、取引判断が可能になる。
「今後は同サービスが第三者による客観的な評価指標として機能し、評価結果が取引先に対する信頼獲得の材料になる社会を作っていきたい。これによって社会全体のセキュリティ水準の向上も実現できるはずだ」(大森氏)
Assured企業評価はニッセイ・ウェルス生命保険や伊予銀行といった一部の企業でプレ導入という形で既に利用されている。どちらの企業も導入によって、これまで煩雑だったセキュリティ評価を効率化し、業務負荷の削減につなげている。
関連記事
QilinランサムウェアがFortinet製品の脆弱性を悪用 全世界で攻撃拡大中
脅威グループ「Qilin」が、Fortinet製品の複数の脆弱性を悪用したランサムウェア攻撃を展開していることが分かった。この攻撃キャンペーンは今後、世界中に拡大する可能性がある。
病院のセキュリティ対策を阻む残酷な「カネ」の問題 業界構造から真因を探る
医療業界におけるランサムウェア被害が度々世間を騒がせている。調査報告書では基本的な対策ができていないケースが目立つが、この背景にあるものは何か。本連載は業界構造を深堀し、「カネ」「ヒト」などの観点からその真因を探る。
日本企業にひっそりと入り込む北朝鮮工作員 面接や採用後に見破る方法
ソフォスは北朝鮮の脅威グループ「NICKEL TAPESTRY」が不正なIT労働者として日本企業などに侵入し、情報窃取や恐喝を実行する事例が拡大していると警告した。面接時や採用後に工作員の潜入を見破るにはどうすればいいのか。
これから本格化? アクセスキー不正使用でのランサム事案がついに国内でも発生
クラウドサービスに対するアクセスキーを不正使用してランサムウェア攻撃を仕掛ける手法がついに日本でも確認されました。攻撃が今後本格化する可能性もあるため、アクセスキーを巡る運用のポイントを一緒に再確認しましょう。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
アイティメディアからのお知らせ
人気記事ランキング
- 有料のウイルス対策ソフトを入れる人は“初心者”? マルウェア対策を再考しよう
- ChromeやEdgeに18種類の悪意ある拡張機能 合計230万件以上インストール済み
- トヨタが直面した生成AIの限界 克服目指し業務特化型RAG SaaSを構築
- PuTTYやWinSCP偽装してマルウェア配布 新手の攻撃キャンペーンに注意
- インメモリデータベース「Redis」に深刻な脆弱性 PoC公開済みのため要注意
- メインフレームは「不死鳥」か? 延命を後押しするのは“あの技術”
- Lenovo製PCに潜むAppLocker回避の脆弱性 標準ユーザーでも書き込み可能に
- Google発のAIエージェント間通信プロトコル「A2A」とは Linux Foundationの管理下に
- Amazon倉庫の“ロボット革命”を支える生成AI基盤モデルが誕生
- Chromeに深刻な脆弱性「CVE-2025-6554」 急ぎアップデートを
ITmediaはアイティメディア株式会社の登録商標です。