ソリューション

BitSight Security Ratings

更新
BitSight Technologies社

BitSight Security Ratingsは、最新のセキュリティ情報に基づき、インターネット上のデータを収集し、企業のサイバーセキュリティ対策状況を分析・レーティングするSaaS型のサービスで、グループ会社や取引先を含めてセキュリティリスクの把握や管理を実現します。

グループ会社や取引先を含めたサイバーセキュリティ対策状況を可視化

BitSight Security Ratingsは、最新のセキュリティ情報に基づき、インターネット上のデータを収集し、企業のサイバーセキュリティ対策状況を分析・レーティングするSaaS型のサービスで、グループ会社や取引先を含めてセキュリティリスクの把握や管理を実現します。

BitSight Security Ratings

サプライチェーンとサードパーティリスク

昨今、企業のデジタルトランスフォーメーションの取り組みやグローバル化に伴い、新規テクノロジーの活用や新規分野の開拓に向けて、様々な企業との連携が進んでいます。今後更にデータ保護の規制が強化される中、連携先企業のサイバーリスク、いわゆるサードパーティリスクの管理が課題となっています。

情報セキュリティに関する主な規制と日本の動向

海外では、自社だけでなく子会社や取引先を含めたサプライチェーン全体を対象とした情報セキュリティに関する法的規制が既に始まっており、日本においてもサプライチェーン全体を対象とした情報セキュリティ対策への取り組みが求められ始めています。

アメリカ(NY):2017

ニューヨーク州金融サービス局(NY DFS) は情報セキュリティ規制(23 NY CRR500)をから開始。規制の対象となる金融機関において、サプライチェーン全体を対象とし、セキュリティ事故が発生した場合、重大性に応じて制裁金が科される。

シンガポール:2018

シンガポール当局(CSA)は情報セキュリティ規制(Cybersecurity Act)をから開始。サプライチェーン全体を対象とし、セキュリティ事故の重大性に応じて、最大10万シンガポールドルの制裁金と2年以内の懲役が科される。

欧州連合(EU):2018

欧州連合(EU)は一般データ保護規則(GDPR)をから開始。サプライチェーン全体を対象とし、セキュリティ事故の重大性に応じて最大2千万ユーロまたは企業の売上げに対する4%の制裁金が科される。

日本:2019

規制化はされていないものの、経済産業省は「サイバーセキュリティ経営ガイドライン」の中で、サプライチェーン全体の情報セキュリティ対策への取り組みについて明記しており、情報セキュリティリスクに対する注目が高まってきている。

情報セキュリティ 10大脅威 2019

IPA(情報処理推進機構)の「情報セキュリティ10大脅威」によると、国内においては標的型攻撃やメールフィッシング、ランサムウェアなどの従来からの自社・子会社に関するリスクが依然として上位を占めています。

情報セキュリティ10大脅威」の4位に新しくランキングした脅威は、サプライチェーン全体のうち、取引先でのセキュリティ事故による自社への脅威です。これがサードパーティリスクです。

自社・子会社リスクとサードパーティリスク

攻撃者は子会社やサードパーティを含めたサプライチェーン全体に攻撃をしかけてきます。自社・子会社がセキュリティ事故を起こした場合、グループ全体に損害や風評被害が発生します。サードパーティがセキュリティ事故を起こした場合、自社にも損害が発生するケースがあります。特に自社顧客の個人情報が漏洩した場合、莫大な損害が発生します。

情報セキュリティリスク管理の課題と解決策

サプライチェーン全体のセキュリティ対策状況を、継続的に管理し、弱点をいち早く知る事が重要です。しかし、主な対策であるアンケートやセキュリティ監査には、いくつかの課題があります。

分類 情報セキュリティリスク管理の課題 解決策
信頼性
  • アンケートは、回答側の主観的な答えになるため、信頼性に乏しい。
  • セキュリティ監査は、実施時点の状況確認のため、現時点の新しい脅威には対応できない。
  • 第三者による、客観的な評価結果を確認する。
  • 新しい脅威に対応した信頼性の高い評価結果を確認する。
継続性
  • アンケートを頻繁に実施する事ができないので、セキュリティ対策状況を継続的に観察することができない。
  • 日々の評価結果を継続的に確認する。
コスト
  • セキュリティ監査は、マルウェア感染状況やサポート切れOSの利用状況を確認する事もできるが、高頻度で実施するには多くのコストと負担を要す。
  • セキュリティ監査より安価に、外部から自動的にマルウェア感染状況やサポート切れOSの利用状況を日々観測する。
他社との比較
  • 他社とセキュリティ対策状況を比較したい場合、アンケートやセキュリティ監査では、定量的・客観的に比較することができない。
  • 第三者による、自社と他社、他社と他社を定量的な指標・客観的な評価結果で比較する。

これらの解決策をBitSight Security Ratingsが提供します。

BitSight Security Ratingsの6つの特長

BitSight Security Ratingsサービスは複雑な情報セキュリティリスクを可視化します。

  1. セキュリティ対策状況やマルウェア感染状況などを外部から観測してリスクを可視化
  2. 外部からの分析により、セキュリティ対策状況を評価して250~900点のスコアでレーティング
  3. 毎日分析と評価を実施し、情報セキュリティリスクの変化を継続的にモニタリング
  4. スコアの悪化をアラート発報
  5. セキュリティ対策状況の評価結果などをレポート出力
  6. サービスはSaaSプラットフォームで提供されるため、初期導入が容易(WebブラウザやAPIでアクセス可能)

サービス種別

BitSight Security Ratingsは2種類のサービスを提供します。

自社・子会社リスクの管理 SPMサービス(Security Performance Management)

想定される利用部門

情報システム部門など、自社や子会社のセキュリティ対策状況を管理する部門

主な用途

  • 自社や子会社のセキュリティ対策状況を継続的にモニタリング
  • 情報セキュリティリスクを早期に発見し、迅速な改善を実施
  • セキュリティ対策状況を競合他社と比較
  • セキュリティ対策状況をレポーティング

サードパーティリスクの管理 TPRMサービス(Third Party Risk Management)

想定される利用部門

取引先管理部門など、サードパーティのセキュリティ対策状況を管理する部門

主な用途

  • サードパーティのセキュリティ対策状況を継続的にモニタリング
  • どのサードパーティにリスクがあるのかを可視化し、セキュリティ対策の改善を依頼
  • セキュリティ対策状況や他社との比較による、取引先の選定や評価

仕組み

BitSight Security Ratingsは、外部からアクセスが可能なWebサイトなど、インターネット上からデータを収集し、マルウェアや攻撃に関する最新のセキュリティ情報と合わせて、企業のサイバーセキュリティの対策状況を分析・レーティングするSaaS型サービスです。なりすましメールの対策やマルウェアの感染など23項目の評価を実施します。対象企業に負荷を与えることなく毎日評価するため、取引先やパートナー企業のセキュリティ対策の状況をタイムリーに把握することができ、対応に移ることができます。

ご利用開始までの流れ

ご利用開始までの流れ(期間)は、概ね以下のとおりです。無償トライアルでBitSight Security Ratingsサービスの評価を実施いただくことができます。

サポートサービス

BitSight Security Ratingsには2つのサポートサービスをご用意しています。

BitSightナレッジベース

  • BitSightの操作方法やFAQをお客様ご自身でWeb検索できるサービス(英語のみ)

CTCサポートサービス

  • BitSightの操作方法をメールで問い合わせできるサービス(日本語)

実績と事例

実績(2020年1月現在)

  • グローバルで1,800社以上の企業が利用
  • グローバルの投資銀行トップ5社のうち4社が利用
  • グローバルの4大会計事務所すべてが利用
  • 米国のFortune500のうち100社以上が利用
  • 米国のサイバー保険トップ10社のうち5社が利用
  • 3ヶ国40以上の政府機関・規制当局が利用

事例

  • 取引先審査におけるITリスクチェック
  • 自社機密情報を扱う取引先のリスクモニタリング
  • ベンチャー投資会社における投資先チェック
  • サイバー保険会社における保険審査
  • 自社のセキュリティ状況のチェック
  • 子会社のセキュリティ状況のチェック
  • このページについてツイッターでツイート(新しいウィンドウで開く)
  • このページをフェイスブックでシェア(新しいウィンドウで開く)

▼ページを選ぶ

このソリューションに関するお問い合わせはこちら

※記載内容は掲載当時のものであり、変更されている場合がございます。