攻撃者視点で“見えないリスク”を定量化せよ!資生堂・NEC・NASAが選んだ新指標
- ありがとうございます!
- いいね!した記事一覧をみる
会員(無料)になると、いいね!でマイページに保存できます。
クラウドの普及で、企業のITはもはや「自社の中」だけでは完結しなくなった。海外拠点のシステム、委託先や取引先が使うクラウドまで含めて、IT資産はサプライチェーン全体に広がっている。問題は、自社がどれだけ対策していても、サプライチェーンのどこか1社の弱点が“侵入口”になることだ。取引先は膨大で、すべてを管理する余力はない。限られた人員と予算で、何をどこまで可視化し、経営や投資家に説明できるガバナンスをどう築くべきか。資生堂・NEC・NASAも導入する攻撃者視点での“見えないリスク”を定量化する方法を考える。
(Photo/Shutterstock.com)
「そのアンケート、意味ありますか?」チェックシートが会社を危険にさらす理由
グローバルな事業展開が当たり前になった現代において、企業のサプライチェーンは複雑化の一途をたどっている。トヨタ自動車では、サプライチェーンに連なる部品製造企業がマルウェア被害を受け、全工場の稼働が停止する深刻な事態に陥った。これは決して他人事ではない。
攻撃者は常にインターネット上から侵入の機会をうかがい、VPN機器の脆弱性や認証情報の不備など、セキュリティホールを突いて侵入を試みる。まるで泥棒が「どこの窓が開いているか」を下見するように、彼らは虎視眈々と弱点を探しているのだ。
企業買収やDX推進によりIT資産は複雑化し、自社ですら把握しきれていない「アタックサーフェス(攻撃対象領域)」が放置されているのが実情である。
こうした状況に対し、多くの企業は従来、取引先に対してアンケート形式のセキュリティチェックを実施してきた。しかし、この手法では回答の妥当性を客観的に検証することが難しく、実効性のあるリスク評価ができているとは言い難い。内部からの視点だけでは、自社や取引先が抱える真のリスクを捉えきれないのである。
求められているのは、攻撃者と同じ“外部からの視点”で自社や取引先のリスクを客観的に評価し、定量化する新たな仕組みの導入だ。では、具体的にどのような指標を用いれば、見えないリスクを可視化できるのだろうか。
攻撃者は常にインターネット上から侵入の機会をうかがい、VPN機器の脆弱性や認証情報の不備など、セキュリティホールを突いて侵入を試みる。まるで泥棒が「どこの窓が開いているか」を下見するように、彼らは虎視眈々と弱点を探しているのだ。
企業買収やDX推進によりIT資産は複雑化し、自社ですら把握しきれていない「アタックサーフェス(攻撃対象領域)」が放置されているのが実情である。
こうした状況に対し、多くの企業は従来、取引先に対してアンケート形式のセキュリティチェックを実施してきた。しかし、この手法では回答の妥当性を客観的に検証することが難しく、実効性のあるリスク評価ができているとは言い難い。内部からの視点だけでは、自社や取引先が抱える真のリスクを捉えきれないのである。
求められているのは、攻撃者と同じ“外部からの視点”で自社や取引先のリスクを客観的に評価し、定量化する新たな仕組みの導入だ。では、具体的にどのような指標を用いれば、見えないリスクを可視化できるのだろうか。
この記事の続き >>
-
・G7諸国と比較して浮き彫りになる日本企業の「弱点」
・守る側の発想だけじゃ詰む…「攻撃者視点」のデータ収集が“最強”な理由
・資生堂・NEC・NASAが「データでリスクを見える化」した方法
今すぐビジネス+IT会員に
ご登録ください。
すべて無料!今日から使える、
仕事に役立つ情報満載!
-
ここでしか見られない
2万本超のオリジナル記事・動画・資料が見放題!
-
完全無料
登録料・月額料なし、完全無料で使い放題!
-
トレンドを聞いて学ぶ
年間1000本超の厳選セミナーに参加し放題!
-
興味関心のみ厳選
トピック(タグ)をフォローして自動収集!
関連タグ
タグをフォローすると最新情報が表示されます
