セキュリティ規制・制裁の強化と第三者によるリスク評価
2022.08.31
アスピレイション株式会社セキュリティチームです。
世界各国でサイバーセキュリティに関して政府からの規制が厳しくなる中で、益々第三者によるセキュリティリスクの管理ということが重要性を増しています。
今回はその一例をご紹介いたします。
2022年7月8日、米司法省はロケットエンジンメーカーのAerojet Rocketdyneが、連邦政府との契約でサイバーセキュリティ要件を順守していると偽って伝えていた件により、900万ドルを支払うことに合意したと発表しました。
裁判所への提出書類によると、2013 年 7 月から 2015 年 9 月までの間に、Aerojet社 は、「米国の国防および航空宇宙プログラムの不可欠な要素である」国防総省と米国航空宇宙局 (NASA) の契約を「サイバーセキュリティ規制に準拠していると偽って表明」し、「不正に調達」することにより、26 億ドル以上の政府資金を受け取ったということです。
このAerojet社の事例は氷山の一角と思われ、今後このように誤って伝えてしまったセキュリティ対策への罰則や制裁の事例が増えてくることが予想されます。
その根本原因として、日本を含め政府系機関や防衛関連、大手企業などが調達、仕入れを行う際のセキュリティ基準の厳格化が挙げられます。企業側はビジネスの成立のため悪意を持って、または意図せずして、そのセキュリティ基準を満たしていないまま、誤った報告を行ってしまっているケースが発生することが起こりえます。
そして、さらに問題はそれを適切に検証することが難しい点も挙げられます。現状では取引先対象となる組織へのセキュリティ評価は、書類やインタビューなどによる、いわゆる「アンケート」的な情報が中心となり、本当にその組織が然るべきセキュリティレベルに達しているかの客観的評価が難しいことがあります。しかし、膨大な取引祭に対して、個別に非常に踏み込んだセキュリティ診断や侵入テストなどの実施を行っていくことも、工数などの点から現実的ではありません。
このような課題を解決するための手段の一つとして、近年グローバルで注目されているのがOSINT(Open-Source Intelligence)手法を用いた第三者によるサードパーティ・リスクマネジメントとなります。公開情報やオンライン上のデータソースを中心に、対象組織のセキュリティリスクを外部から適切に評価分析を行うことにより、その組織がサイバー攻撃や情報漏えい等のリスクに対しどれだけ脆弱であるかを客観的に判断することが可能となります。
特に、膨大なデータ量を収集、分析する必要がある同手法ではAIを用いた自動化、リアルタイム化ということが非常に重要となります。最新のデータをいかに迅速に、かつ正確に分析し、その組織のサイバーリスクを評価することが、今後の企業リスク管理に求められてくるポイントとなります。
アスピレイションでは、最新のAI技術を用いたOSINT手法により、サプライチェーンのセキュリティリスクを外部から評価することが可能なイスラエル発のOSINTリスク評価システムを提供しています。
サプライヤーやグループ会社などの関連企業について、組織内部のシステムに影響を与えることなく、リアルタイムにセキュリティリスクの評価、モニタリングを行うことが可能となり、セキュリティ先進国のイスラエルにおいても、国家サイバー総局(INCD)が国内重要組織のセキュリティリスクを監視する際に利用するなど、信頼されたシステムとなっております。
対象としては、オンラインに接続されたサーバーなど会社システムの脆弱性、なりすましなどに利用される可能性のある送信メールサーバーの設定、ウェブサイトのSSL証明書の有効性、Eメールアドレスや機密書類の外部漏えい、外部との不審な通信など多くの項目に関するセキュリティリスクを評価することが可能です。
ご興味をお持ちのお客様へはシステムのデモやサンプルレポートのご提供等のご相談も承っておりますので、ご遠慮無くお申し付けください。
お問い合わせはこちらまで。