|
日経 2022/01/08 サイバー攻撃への防衛力を格付けするサービスを導入する企業が増えている。欧米企業が先行し、日本でも資生堂などがグループ会社のチェックに使い始めた。取引先の状況を検証し、「落第点」なら取引停止を検討する例も出ている。各社でばらつきのあるサイバー防衛力を客観評価することが重要になっており、信用格付けのように普及する可能性もある。 脆弱性をチェック 検知に使われたのは、米スタートアップのセキュリティ・スコアカード(SSC)のツールだ。ソフトに頻繁に修正プログラム(パッチ)を当てているかや、サイトが真正かを示す「SSLサーバー証明書」の有無、社内にマルウエア(悪意のあるプログラム)はないかなどをチェックする。その企業の機密が、ハッカーなどが情報交換する闇ウェブ上に流れていないかも分析する。 これらの分析のうえで対策レベルをA~Fで格付けする。SSCによると、最低のF評価を受けた企業のサイバー攻撃の被害リスクは、A評価より7.8倍高いという。対象企業の調査協力は必要ないため、気づかないうちに調査されている企業も多い。21年だけで1000万社以上が調査対象になったという。 SSCによると、仏アクサやフィンランドのノキアなどが同ツールを利用。決済サービスの英モジュアは取引先を調べ「低評価なら取引の打ち切りも検討する」としている。 グループ会社も調査対象 サイバー防衛力の「格付け」には、老舗の信用格付け会社も関心を強める。21年4月には米フィッチ・レーティングスがSSCへの出資を表明。米ムーディーズ・インベスターズ・サービスは9月、別のサイバー評価大手の米ビットサイト・テクノロジーズに2億5000万ドル(約290億円)を出資して業務提携すると発表した。 従来は取引先のセキュリティー対策を評価する手法として、チェックリストに記入してもらうなどの自己申告型が主流だった。ただ、こうした「性善説」に基づく調査は信頼性が乏しいとされる。デロイトトーマツグループの佐藤功陛パートナーは「日本企業はグループ内ですら海外拠点の方が力関係が上になりがち。外部の供給網全体の状態を把握するのは困難だ」と指摘する。 |
