SecurityScorecard がなぜ自らを ASM 製品であると喧伝しないのかずっと記者は不思議に思っていたが、今回日本法人の代表取締役社長 藤本 大(ふじもと だい)に直接話を聞く機会を得て、それなりに手応えのあるインタビューができた感触を持ったので、ここに記事として書いておきたい。
SecurityScorecard はニューヨークで 2013 年に設立された。グローバルで従業員は約 500 名、64 カ国 5 万社超のユーザーを持ち、計 1,200 万社以上の企業のセキュリティレーティングを行っている。たしか 2015 年前後の Interop Tokyo のブースで動態展示を見たのが記者が SecurityScorecard の管理画面を見た最初だったと思う。どこか有名某社のドメインを入れてみると証明書切れのサイトなどの情報が出るわ出るわ。大フィーバーだった。楽しい思い出である。
公開情報を収集してリスク評価を行う SecurityScorecard の機能を同社は「セキュリティレーティング」と呼ぶ。ここで「セキュリティレーティング」とは、サイバーキルチェーンの初期偵察段階で攻撃側が行う情報収集の活動にフォーカスして、IPv4 空間全域をスキャン(非侵入的かつ非破壊的方法に限る)して、攻撃を行う側の視点で評価し、A B C D F の 5 段階(E 評価はない)および 100 点満点でスコアを算出する。
ちなみに SecurityScorecard 株式会社 代表取締役社長の藤本は、ScanNetSecurity の取材を受けるにあたって、頼んでもいねえのにご丁寧に本誌の現オーナー企業である株式会社イードのレーティング結果のレポートを携えてインタビューを行う会議室に堂々と姿を現しやがった。本誌がどんな媒体かよくわかっている小癪(こしゃく)な人物である。同じことを日経だのコンデナストのようなメディアに試みたら、あるいは洒落にならない空気が流れるかもしれないが、本誌はこの行動を大いに気に入った。営業というよりは、ウェイクアップコールと感じた。
付記しておくがレーティング結果は予想通り良いものではなかった。編集長の上野がまた顔を曇らせそうである。だが、せっかくいただいた藤本からの志であると受け取って、この記事の末尾に 5 段階評価のうちいずれであったかを、株式会社イードの情報システム部リーダーのY岡さんが激怒する可能性があることを承知したうえで勇気を持って記載することにしよう。
日本での SecurityScorecard の導入実績は、取材実施時点で約 500 社の SaaS 型サービス(ライセンス再販モデルと同社では呼称する)のユーザーが存在する。ユーザー企業の産業比率などに特に傾向はないという。また、NRIセキュアの Secure SketCH と SecurityScorecard を組み合わせた「自動診断」や、NTTコミュニケーションズの WideAngle と SecurityScorecard を連携した「リスクスコアリング」のようなマネージドセキュリティサービスによる提供も行われている。
いったいどういう理由で SecurityScorecard は「ワイは ASM や」と名乗りをあげないんですか、その方が絶対売れるでしょうに、と以前から疑問に思っていた質問を記者が投げかけると、藤本は SecurityScorecard と ASM の共通点と違いについて簡潔に説明してくれた。
藤本によれば記者が思った通り SecurityScorecard は、経産省の ASM 導入ガイダンスが求める機能をほぼ全て満たしているという。これが共通点。
一方で異なっている点は、約 200 の SecurityScorecard のスキャン項目は、決して公開情報を棚卸的・網羅的に洗いざらい見るのではなく、あくまで過去実際に攻撃被害をこうむった企業が特徴的に持っていた脆弱性や設定などにチェック範囲をあえて限定している(それが約 200 項目)。この仕様が世に言う ASM(Attack Surface Management)と異なるという。
藤本曰く、いま日本で ASM と呼ばれる製品は、主に自社一社の公開資産を網羅的にチェックするものであるが、一方 SecurityScorecard は一社ではなく、子会社やグループ会社や合併予定会社、取引先等々、その企業のサプライチェーン全体のリスクモニタリングを行うことにフォーカスするサービスであることが存在意義なのだという。
抽象的なお題目のようにも聞こえるが藤本の次の言葉を引用すればイメージがハッキリするだろう。
「SecurityScorecard はサプライチェーンに属するそれぞれのステークホルダー同士の(編集部補足:生産的なコミュニケーションをとるための)共通言語になることを目指している(藤本)」
現在のところサプライチェーン全体のリスク管理を行おうとすれば、ガイドラインやルールを策定・周知し、それが実行されているかどうかアンケートを配布回収して確認するのが主要な方法のひとつだ。しかし、回答する子会社や発注先に負荷がかかる点で、やればやるほどお互いがお互いを嫌いになるエンジンがビルトインされた非生産的手法でもある。頻度を上げることなどままならない。また、アンケートの回答内容を「信じるしかない」という、そもそもの脆さもある。実施していれば善管注意義務を果たしていたアリバイとしては機能するかもしれないが、いざインシデントが起こったら株主は許してなどくれない。
SecurityScorecard には、ある会社がサプライチェーン全体に対してレーティングを実施して、何らかのリスクが見つかった子会社等があった場合、その子会社が当該リスクの解消に取り組み、本当に解決できたかどうかのチェックを SecurityScorecard を無料で使って自ら行える機能を提供している。
一部の機能を無料で提供するデジタルサービスは山ほどあるが、そのほとんど全ては「無料ですよ、無料で使ってはまって我々に永遠に金を払い続けてください」というドス黒い腹が見え隠れするものであるが、SecurityScorecard のこの無料機能は「わが社一社だけでなくサプライチェーン全体の安全向上」「リスクに関する情報をステークホルダー間で生産的に共有できる共通言語になりたい」という製品設計思想を具現化したものと感じた。
Security Information Wants To Be Shared. 「セキュリティ情報は共有されることを欲する」とは、本誌の最も重要な編集方針のひとつである。脅威や脆弱性に関する情報は共有されてはじめて意味を持つ。
「サプライチェーンに属するステークホルダー間でリスクを語る際の共通言語や尺度になりたい」この目的を聞いたとき SecurityScorecard があえて ASM を標榜しない理由が理解できた気がした。むしろ「彼らと同じ範疇に入れてくれるな」そんな気持ちすら多少はあるのかもしれない。
経産省ガイドラインが出て以降、日本は ASM 需要のビッグウェーブ到来である。攻撃者視点によるチェック自体はすごく良いもので、年金機構直後のメール訓練のときのように、有象無象のしょうもない会社が参入してはいないのでとても良いことだが、この波にあえて乗らない SecurityScorecard には明確なポリシーを感じる(まあ第 2 版あたりで METI がガイドラインに載せそうな気もするが)。
最後に、SecurityScorecard 社は継続的に、世界で発生したサイバーセキュリティ侵害のうち「サードパーティ侵害」と彼らが呼ぶサイバー攻撃の調査と情報収集、統計データ化を行っている。この結果はもちろんスコアリングの根拠データとしても活用される。
サードパーティ侵害とは「ある会社が攻撃された場合、真の目的がその企業ではなく、親会社や取引先が最終標的であった攻撃」と定義される。例えば完成品メーカーを狙って、その完成品の部品メーカーが攻撃されたら、それはサードパーティ侵害の定義に合致する。SecurityScorecard によれば、世界のサイバー攻撃の実に 29 %がサードパーティ侵害と考えられるという。
この調査は定期的にレポートとして一般公開されてもいる。SecurityScorecard 株式会社は 2024 年末『日本におけるサードパーティリスクの現状』と題した特別調査レポートを公開している。17 ページ 4.5 MB の PDF ファイルで、要登録だが無料でダウンロードできる。
このレポートは、日本がグローバルと比較してサードパーティ侵害の比率が突出して高いことに注意を促す目的で公開されたものだ。
世界のサードパーティ侵害平均が 29 % であるのに対して、日本は 41 % と約 1.4 倍の高い水準になっている。藤本によれば、下請法などがある風土の日本企業は、海外グループ会社へのセキュリティ要請に対して言いたいことが言えず苦慮しているケースをよく見かけるという。ちなみに、反対にサードパーティ侵害が顕著に低い国はイギリスだ。さすが ISO などの標準化ノウハウと植民地支配の歴史を持つ国である
このレポート『日本におけるサードパーティサイバーリスクの現状』の各ページの見出しとなるキーワードを拾って、目次風に順に挙げていくと下記の通りになる。
・日本の個別統計を公開した理由
・エグゼクティブサマリー
・スコアリング手法
・サードパーティの侵害とサードパーティのタイプ
・日本での侵害の原因となったサードパーティとの関係
・テクノロジー製品とサービス
・子会社、海外支店買収先
・業種別の違い
・業界別の侵害におけるサードパーティ報告の割合
・脅威集団アトリビューション
・サードパーティリスク管理での優先順位の決定
・業界別の知見
なお上記は、記事見出しや内容、要点などを本誌が勝手に文字化したものである。
注目すべきは 10 ページ目にある「業界別に見る侵害の分布:全般的な侵害とサードパーティ侵害」の棒グラフで、一見に値する。全般的な侵害よりもサードパーティ侵害が顕著に多い業界や、逆に全般的な侵害は多いもののサードパーティ侵害が極端に少ない業界が可視化されている。自社環境だけを見ていたら決して見えてこない数字だ。
そしてこれが本当の最後になるが、SecurityScorecard による ScanNetSecurity の現時点でのオーナー企業のレーティングは堂々のFランクでした。ぜひ 2025 年は「Fランセキュリティメディア」と呼んでいただければ幸いです。
こういうことを書くとGMOイエラエの福森さんとか、MBSD の東内さん、はてはハッカー協会の杉浦さん等々のグローバルで活躍するハンターの方々が親切心から攻撃できるところを本気で探しかねないのでちょっと怖いのですが(そして JPCERT/CC 経由で連絡が来る)、しかし本誌は Security Information Wants To Be Shared. が理念でもありこうして記すことにしました。
不吉な初夢ならぬレポートを見た気分です。もちろん夢ではなく現実です。
