セキュリティ評価サービス（SRS）とは？概要や種類、事例を解説

セキュリティ評価サービス（Security Rating Services：SRS）は、企業のセキュリティ対策状況を客観的かつ定量的に評価するためのサービスです。

​近年、サイバー攻撃の高度化やサプライチェーン全体のセキュリティリスクが顕在化する中、SRSの重要性が増しています。​本記事では、SRSの概要、必要性、種類、日本国内の導入事例、そして導入を検討する企業が取るべき初歩的なステップについて詳述します。​

はじめに

デジタルトランスフォーメーションの進展やクラウドサービスの普及により、企業のIT環境は複雑化しています。​これに伴い、サイバー攻撃の手法も巧妙化し、企業は自社のみならず、取引先やサプライチェーン全体のセキュリティリスクを管理し、どこにどのようなリスクがあるかを把握する必要性が高まっています。​このような背景から、自社の主観的な視点だけではなく、第三者機関による客観的なセキュリティ評価が求められ、その手段としてSRSが注目されているのです。

セキュリティ評価サービス（SRS）の概要

SRSは、独立したセキュリティ専門会社が、企業のインターネット上に公開されているデジタル資産を評価・分析し、セキュリティ対策状況を「得点」や「ランク」といった定量的な指標で示すサービスです。​これにより、企業は自社のセキュリティ状態を客観的に把握し、必要な改善策を講じることが可能となります。​また、取引先やサプライチェーン全体のセキュリティリスクを評価する際にも有用です。 ​

SRSの意義・必要性

SRSの意義・必要性は以下の点から説明できます。​

・サプライチェーン全体のセキュリティリスク管理：​企業は自社だけでなく、取引先やサプライチェーン全体のセキュリティリスクを管理する責任があります。取引先のセキュリティ対策が不十分である場合、自社への攻撃の踏み台となるリスクが高まります。例えば以下の攻撃事例では、SRSを活用して、取引先のセキュリティ状態を客観的に評価し、リスクの高い取引先に対して適切な対策を講じていれば避けられた可能性もあります。

• トヨタ自動車の生産停止：​2022年3月、トヨタ自動車のサプライヤーがサイバー攻撃を受け、同社の国内全工場（14工場）の稼働が一時停止する事態が発生しました。攻撃者は、セキュリティ対策が不十分な子会社のリモート接続機器の脆弱性を突いてネットワークに侵入し、システムを停止させました。これにより、約13000台の生産ができないなど、大きな影響が生じました。 ​

・客観的な評価による信頼性の向上：​自社のセキュリティ対策を第三者機関によって評価することで、客観性と信頼性が向上します。これにより、取引先や顧客からの信頼を獲得しやすくなります。​

・継続的なセキュリティ対策の改善：​SRSは定期的に評価を行うため、セキュリティ対策の効果を継続的にモニタリングできます。これにより、新たな脅威や脆弱性に迅速に対応し、セキュリティレベルを維持・向上させることが可能です。​

セキュリティ評価サービス（SRS）の種類

SRSにはさまざまな種類が存在し、提供するサービス内容や評価方法が異なります。以下に代表的なサービスを紹介します。​

Bitsight Security Ratings

​インターネット上のデータを収集し、企業のサイバーセキュリティ対策状況を分析・レーティングするSaaS型のサービスです。これにより、グループ会社や取引先を含めたセキュリティリスクの把握や管理を実現します。 ​

Assured（アシュアード）

クラウドサービスのセキュリティ評価を専門とするサービスで、セキュリティの専門家が第三者機関としてリスクを評価します。これにより、評価業務の工数を大幅に削減し、サービス導入の意思決定を早め、ビジネスを加速させます。 ​

Secure SketCH

​NRIセキュアが提供するサービスで、企業のセキュリティ対策状況を可視化し、評価・分析を行います。これにより、セキュリティリスクの把握と適切な対策の実施を支援します。 ​

セキュリティ評価サービス（SRS）の導入事例

日本国内でも、SRSの導入が進んでいます。どのようなセキュリティを導入しているかを公表することはセキュリティリスクを増大させるため、一部に限られますが、以下に具体的な導入事例を紹介します。​

・日本テレビ放送網株式会社：​国内初の民放テレビ局として1953年に開局した日本テレビ放送網株式会社は、24社のグループ会社のセキュリティ評価を実施しました。これにより、グループ全体のセキュリティ対策状況を把握し、リスク管理を強化しています。 ​

・ブラザー工業株式会社：​同社は、グローバル72拠点のセキュリティ対策状況の可視化と多面的評価を実現しました。これにより、監査コストを4分の1に削減することができました。

・住友生命保険相互会社：​同社は、リスクの高い保険加入者の個人情報の受け渡しにクローズド送信機能を活用しました。これにより、誤送信による情報リスクの極小化を達成しています。

SRSの導入を検討する企業は何から始めればいいか

SRSの導入を検討する企業は、まず自社のセキュリティリスクを把握し、どのような評価を必要としているのかを明確にする必要があります。その上で、適切なSRSを選択し、運用するための体制を整えることが重要です。以下に、具体的なステップを示します。

自社のセキュリティリスクを評価する

SRSを導入する前に、企業は自社のセキュリティ状況を把握し、どのような課題があるのかを明確にする必要があります。そのためには、内部のITセキュリティチームやCISO（最高情報セキュリティ責任者）が中心となり、以下のような点を確認します。

・自社のセキュリティ対策の現状（脆弱性スキャンの実施状況、過去のインシデント履歴）

・取引先・サプライチェーンのリスク管理体制

・企業が準拠すべきセキュリティ基準や規制（ISO 27001、NIST、GDPRなど）

・クラウドサービスやSaaSの利用状況とそのリスク

このような事前調査を行うことで、SRSの導入目的が明確になり、適切なサービスを選定しやすくなります。

適切なSRSの選定

SRSには様々な種類があり、それぞれ異なる評価基準や対象範囲を持っています。自社のニーズに合ったSRSを選定するためには、以下のような観点で比較・検討を行います。

・評価対象：自社のみか、グループ会社・取引先も含めるか

・評価の頻度：リアルタイムか、定期的な評価か

・評価基準：どのような指標を用いてスコアリングするか

・運用のしやすさ：セキュリティ担当者が簡単に利用できるか

・コスト：導入費用や運用コストは適切か

例えば、サプライチェーン全体のリスク管理を強化したい企業は、Bitsight Security Ratings のような外部評価型のSRSを選択するのが有効でしょう。一方で、自社のセキュリティ対策の可視化を目的とする場合は、Secure SketCH のようなSRSが適しています。

SRSの導入と運用体制の構築

SRSを選定したら、実際に導入し、運用するための体制を整えます。特に以下の点に注意が必要です。

・社内の関係者の合意形成：SRSの導入には、IT部門やセキュリティチームだけでなく、経営層の理解と支持も必要です。導入の目的や期待される効果を明確に伝え、関係者を巻き込んだ形で進めることが重要です。

・運用ルールの策定：SRSの評価結果をどのように活用するかを明確にし、定期的なモニタリングや改善活動のフローを決めます。

・継続的な改善プロセスの確立：SRSは単に一度評価を受けて終わりではなく、定期的に評価を行い、結果をもとにセキュリティ対策を継続的に改善していくことが重要です。

SRSの結果を活用した具体的な対策の実施

SRSを導入した後は、評価結果をもとに具体的なセキュリティ強化策を講じます。例えば、以下のような対策が考えられます。

・脆弱性の特定と対応：SRSの評価レポートで指摘された脆弱性を修正し、システムの強化を図る

・取引先のリスク管理：取引先やサプライチェーンのセキュリティリスクが高い場合、契約の見直しや追加の対策を求める

・従業員のセキュリティ意識向上：SRSの結果をもとに、社内研修やセキュリティ教育を実施する

このように、SRSの結果を具体的なアクションにつなげることで、企業全体のセキュリティレベルを向上させることができます。

まとめ

SRS（セキュリティ評価サービス）は、企業のセキュリティリスクを可視化し、客観的な評価を提供することで、より強固なセキュリティ対策を実現するための重要なツールです。サプライチェーン全体のリスク管理や、自社のセキュリティ強化を目的として、多くの企業が導入を進めています。これらの事例からも分かるように、SRSは単なる評価ツールではなく、企業のセキュリティ戦略の一環として活用されるべきものです。

SRSの導入を今後検討する企業は、まず自社のセキュリティリスクを評価し、適切なサービスを選定することが重要です。一方で、セキュリティ評価に留まることなく、その後の対策が必要です。導入後は継続的なモニタリングと改善活動を行い、セキュリティ対策の強化を図ることが求められます。

サイバー攻撃の脅威がますます高まる中、企業の情報セキュリティ担当者は、SRSを活用することでより効果的なセキュリティ管理を実現し、ビジネスの安全性を確保することが求められてくるでしょう。