企業の信頼を守るべくリスクマネジメントやセキュリティ対応をされている中で、「管理のための管理」に
追われ、本来の目的である「リスクへの対応や分析」「進捗管理」「モニタリング(可視化)」といった観点に
手が回っていないなどといったお悩みはございませんでしょうか?
本ブログ記事ではこのようなお声を解決するために弊社にて開発をいたしました、
全社的リスクマネジメント管理を支援する「Enterprise Risk MT」・外部委託先のリスク管理を支援する「Supplier Risk MT」・CSIRTやSOCの運営を支援する「CSIRT MT.mss」・脆弱性情報日次配信サービスの「脆弱性TODAY」について解説します。ご担当者様に有益な情報をお届けできたらと思います。
ご一読いただけますと光栄です。
第1章:全社的リスク管理を「経営の武器」へ Enterprise Risk MT
Enterprise Rist MTはリスクマネジメントの国際ガイドラインISO31000に準拠した、
全社的リスクマネジメント(ERM)を支援するクラウドアプリケーションです。
リスクの特定・評価・対応・モニタリングを一元管理し、ダッシュボードでの可視化により、
迅速な経営判断をサポートします。
[製品ページ]
https://www.grcs.co.jp/products/ermt
1.1 リスクアセスメント機能とリスク対応管理機能を実装
リスクの特定、分析、評価を行う「リスクアセスメント機能」とリスクの対応策実施のモニタリングを行う
「リスク対応管理機能」を実装することに加え、全社的リスクマネジメントのERMのライフサイクルに
沿って、重要リスクに対する取り組みを支援します。
●リスクアセスメント機能
・組織の目的や目標に影響すると考えられるリスク要因を特定し、それぞれの重要度を評価
●リスク対応管理機能(対応策)
・組織として特に対策が必要なリスク要因を選択し、責任者と担当者が対応策を実施
1.2 リスクマネジメントの階層化・分掌化
分析方法としてはリスクマトリックスを標準装備していて、管理するリスクの領域や細かさ
(拠点ごとに別管理する)などリスクマネジメントの階層化・分掌化が可能です。
他にもリスクマップやクロス集計など、多角的な観点で分析ができるようになることに加え
これまで複雑になりがちであった部署別や拠点別のリスク一覧などの表示をすることで、リスクの分析を
行うことができます。
システム上に「いつ・誰が・何を・どう変更したのか」すべて自動的に保存され、監査時に必要なログを抽出
できるため、監査対応の工数を大幅に削減できます。またガバナンスの強化といった面でも有効です。
[Enterprise Risk MTの簡易デモ]
https://app.storylane.io/share/rnea6d7jtizl
第2章:サードパーティーのセキュリティリスク管理を徹底的にSupplier Risk MT
Supplier Risk MTはサプライヤーや委託先に関するセキュリティ・コンプライアンス・契約情報などを
一元管理するクラウドアプリケーションです。
「委託先ごとでバラバラに管理されている」「Excelやメール中心でのやり取りで管理が煩雑化している」
「どの委託先が優先度高めの委託先なのかが俯瞰的にわからない」 などといった課題を支援するための
ツールです。なおアンケート(チェックシート)の未回収の会社がどこなのか把握しきれない・回答内容に不備がある場合、不備を指摘するやり取りが何往復も続く といった状況では、サプライチェーン攻撃の脅威から
自社を守ることは不可能です。これらのような課題を全社横断的に統合し、リスクを見える化するのを支援するのがSupplier Risk MTです。
[製品ページ]
https://www.grcs.co.jp/products/srmt
2.1 主な機能効果
●リスク評価・可視化
・アンケート(チェックシート)による自己点検
・リスクスコアの算出、優先順位付け
・ダッシュボード、ツリー表示などによる可視化機能
アンケート(チェックシート)の回答内容に基づき、予め設定した標準でリスクレベルを判定します。
ツリー表示では再委託関連までツリー構造を用いて、重要な委託先やリスク集中箇所を把握することが
できます。
数千社との委託先があっても、リスクの高い企業をシステムがフラグを立てることで、
担当者は本当にリスクの高い企業への「重点的なヒアリングと指導」に注力できるようになります。
●SecurityScorecardとの連携
・SRMTを通してSecurityScorecardのリアルタイムなセキュリティスコアやリスク評価を
シームレスに取得
・SRMTの機能を利用して外部委託先管理における第三者的なリスク評価と委託情報の
一元管理
・蓄積したデータの分析、スコア変動の通知を受け取る
重要な委託先のスコアのモニタリングが可能となることに加え、リスクベースでの可視化や分析が可能となり、俯瞰的に管理することができます。
●委託先へのリマインド通知
アンケート(チェックシート)への未回答の委託先への催促(リマインド)を手作業で行っていて、担当者の
負担が大きいとよくお聞きするのですが、SRMTでは設定した期日などをもとにシステムから自動でリマインドメールを送信できます。それによって担当者が個別に電話やメールで催促する手間を大幅に削減し、
回収の遅れや抜け漏れを未然に防ぎます。
●レポート・リスクの可視化
経営層や監査向けに報告をする資料を作成するのに時間をかなり要しているとよくお聞きするのですが、
蓄積されたデータベースをもとに期間・金額・リスクスコアなど、任意の条件を組み合わせることで
即座にレポートやグラフが作成されます。これにより集計作業の手間をなくし、高リスクな委託先の特定や
報告業務を効率化させます。
2.3 柔軟なカスタマイズ性と日本企業の習慣にフィット
・既存の自社独自のチェックシートをそのまま取り込んだり、組織に合わせて評価項目を柔軟に変更できたり
するため、カスタマイズ性には優れています。
・海外製のGRCツールは多機能である一方で弊社Supplier Risk MT(SRMT)は外部委託先のリスク管理
に特化したクラウド型アプリケーションとなるため、そこが他社製品との差異/差別化となります。
また日本固有なWF申請などもございますのでお客様のWF申請に寄り添った形での提案も可能となります。
セキュリティリスク管理は一度やって終わりではなく、担当者が変わっても継続できる仕組み、体制を
作ることがとても重要となります。
[簡易デモ]
https://app.storylane.io/share/rxges57jlkqp
3.CSIRTやSOCの運営を支援するCSIRT MT.mss
セキュリティ管理を熟知されている組織ほど、優れた個人の方のスキルによってインシデント対応が成立して
いるのも少なからずあるかと思います。しかしその「スキルの高さ」が仇となり、下記のような課題が放置
されていませんでしょうか?CSIRTやSOCなどセキュリティ担当の方の運用を低減するべく、企業や組織内における CSIRT のインシデント対応と脆弱性対応およびその評価と改善を実現するためのクラウドアプリケーションCSIRT Mt.mssを下記に紹介します。
[製品ページ]
https://www.grcs.co.jp/products/csirtmt
3.1 課題定義
●対応の属人化・担当者の経験則に頼った判断により、その担当者が不在の際または担当者が変わった際、
同じ精度で対応できていない
●情報の散乱・Slack、Teams、メール、Excelなどに情報が散乱していて、情報の相関関係が追えない
・どの情報が最新なのかわからない
●報告書作成の苦労・インシデント対応などは終わっているのに、経営層やグループ各社への報告レポート作成に時間を要している
現状、大きなインシデント事故などが起きていないから大丈夫 というのは、「対応の質が人」に依存している
とも言えるのではないでしょうか?
またCSIRTやSOCなどのセキュリティ担当者の役割は、有事の際は迅速に対応することはもちろんのこと、
被害を最小限に抑えることが重要となります。そのためには「迅速な対応」や「対応フローの継続的な改善」が不可欠になる一方ですべて「人」のみでの対応では限界があるのではないでしょうか?
それのみではなく、対応の遅れや品質のバラつきを招くことは組織においても課題になってくるのではない
でしょうか?
上記記載の課題を解決するためのCSIRT MT.mssの新オプションとして、下記にインシデント発生時の
初動対応から事後のレポート作成までをAIで支援する機能を紹介します。
3.2 CSIRT MT.mss AI機能でできること
●チェックリスト(プレイブック)機能 インシデント内容を解析し、過去の対応に基づいて「何をすべきか」という具体的なアクションプランを
自動生成します。
これにより、属人化の解消としてベテラン社員の記憶に頼らずに、組織全体や他部署のナレッジを誰もが
即座に活用できるようになり、対応品質が均質化(標準化)され、「誰でも対応できる」といった
体制構築をすることにつながります。また担当者が手作業で過去のやりとりや対応方法を漁るということが
なくなり、初動対応の時間を低減することにつながります。
●インシデントの要約レポートを自動生成する機能 Agentforceを活用し、コメント、メール、ログ、添付ファイル等の散在する情報を横断的に収集・集約し
経営層向けの報告書サマリーや時系列の対応履歴、再発防止策を含む詳細なレポート案を作成することで、
手作業の集計といった工数を削減できます。
[参照元URL]
https://www.grcs.co.jp/staff-blog/20260226
3.3 CSIRT MT.mssツールの特徴とは
上記記載のAI機能に加え、CSIRT MT.mssツールの特徴を下記に記載します。
●マルチテナントによる「統制の効率化」 グループ会社や海外拠点など、個別に管理しつつリスクを俯瞰できることに加え、
権限分離があるため、「このインシデント内容は別の組織に知られたくない」などの
制御をかけることができます。
●脆弱性TODAYとの自動連携 自社の資産情報とマッチする脆弱性情報を自動で検知し、数多くある配信される
脆弱性情報を精査するといった担当者の工数を削減することができます。
[脆弱性TODAYサービス情報]
https://www.grcs.co.jp/products/z-todayインシデント対応履歴の本来あるべき姿としては「次なる投資やリスク予測」に活かすべきナレッジであると
思います。
手作業や個人の能力に頼ることからDX化することで担当者の負担を低減することだけではなく、
組織のレジリエンスを証明することにつながるのではないでしょうか?
4.脆弱性TODAY活用方法
脆弱性TODAYは国内外の脆弱性情報を毎日収集・翻訳・整理をし、午後に配信をする日次情報サービスです。
[特徴]
●速報性・当日朝6時までの情報を配信
●網羅性・30以上のWebサイトを巡回し収集
・ベンダー・CISA・JPCERT等の情報があり、脆弱性情報を見落としなくカバー
●実用性・日本語に翻訳され即活用可能
・CVE・CVSS・攻撃条件をワンストップで提供し、CSV・API形式でシステム連携も可能
下記により詳しい活用のポイントなどを解説いたします。
[製品ページ]
https://www.grcs.co.jp/products/z-today4.1CVSSだけでは判断できない
[CVSSだけで判断した場合の問題点の例]
スコアが高くても自社システムに無関係な脆弱性が多数混在することもあれば、スコアが低くても実際に悪用
されているものが存在していることもある。そのことで対応リソースを誤った優先度に投入してしまうリスク
がある。
よって「リスクベース」のトリアージが必要となります。
具体的には「即時」の時は限りなく早く対応を。「緊急」の時は通常の定期メンテナンスよりも早く対応を。
「リスクが許容範囲内」の時は記録のみなど、対応のバランスをリスクベールで判断することが重要と
なります。
4.2優先順位を決めるためのロジックStep1:自社資産との照合
・製品名やバージョンを自社の資産台帳と照合し、該当製品が存在するのかを確認
Step2:CVSSスコアを確認
・緊急度を初期判断する際に必要
Step3:緊急性の加味
・緊急性の判断材料を確認し、必要に応じてスコアを修正
Step4:対応アクションの決定
・Step1~3の総合的な判断によって、システムごとに対応方針を確定
4.3CSIRT MT.mssとの連携によりできること
このようにCSIRT MT.mssと連携をすることで「対応時間を短縮する」ことや、「見落としや対応漏れを
防ぐ」ことに加え、証跡などといった「ガバナンス強化」にも繋がります。
5.まとめ
これまで全社的リスクマネジメント・外部委託先のリスク管理・CSIRT・SOCの運用を支援するために
必要な内容を記載してきましたが、Enterprise Risk MTで全社的なリスクを俯瞰し、Supplier Risk MTで
委託先・再委託先のセキュリティ統制の標準化・自動化をし、CSIRT MT.mssで高度化するといった観点で
DX化し、「点」の対応から「面」のガバナンスへ考えをシフトしてみませんか?
少しでもご興味を持たれた方やお問い合わせがある方はお気軽にお申し出いただけますと幸いです。
[お問い合わせフォーム]
https://www.grcs.co.jp/contact-all-form