東京海上日動、「セキュリティ・レーティング・プラットフォーム」の提供を開始

東京海上日動は、東京海上日動リスクコンサルティング株式会社（以下、TRC）を通じて、企業のサイバーセキュリティ状況を可視化するサービスである「SecurityScorecard（セキュリティスコアカード）」の提供を開始した。
1．背景・経緯
近年、日々増大するサイバー攻撃の脅威から情報資産や自社のオペレーションを守ることは重要な経営課題となっている。また、攻撃者が大企業を攻撃するに際し、セキュリティがより脆弱な子会社や取引先等を「踏み台」にする「サプライチェーン攻撃」のリスクに鑑み、自社の対策だけではなく国内外のグループ会社や委託先、サプライヤー等のセキュリティ対策にも関与していくことが急務となっている。
東京海上日動は、2015年に「サイバーリスク保険」を開発し、日本市場で展開するとともに、保険販売のみならずお客様のリスク状況の把握やインシデント対応をサポートするサービスを通じて、お客様のサイバーリスク・マネジメントの支援に取り組んできたが、上記の背景を踏まえ、サプライチェーンのサイバーリスクを効率的に把握し、具体的なアクションに繋げることができる本ソリューションの提供を開始することとした。
本ソリューションの提供にあたっては、TRCがSecurityScorecard社(*)とのリセラー（再販）契約に基づき、同社のプラットフォームである「SecurityScorecard（セキュリティスコアカード）」を通してセキュリティレーティングを提供する。
(*)SecurityScorecard,Inc.（本社：米国・ニューヨーク、CEO：Aleksandr Yampolskiy）
2013年後半に、セキュリティリスクの測定とコミュニケーションの新たな手法の提供を目的として設立された、サイバーセキュリティベンダー。創業以来、同社は大きな成長を遂げており、数百社が顧客として利用、業界のリーディング企業として地位を固めている。また、Sequoia Capital、Google Ventures、NGP、EvolutionEquity Partners,Boldstart Ventures,AXAVenture Partnerssなどトップクラスのベンチャーキャピタリストが同社へ出資している。
2．本ソリューションの概要と特長
（1）概要
ユーザー専用のウェブサイトにて対象企業のドメイン名を入力するだけで、SecurityScorecardが常時収集する膨大なセキュリティ関連情報をもとに、10項目のリスクファクターについて5段階でスコアリングをするとともに、リスクにさらされているIPアドレスや、リスクに対する改善策などの具体的な情報を提供する。また、改善策を行った場合のスコアへの影響度が可視化されるため、改善策の優先順位づけにも活用できる。
（2）特長
①即座に最新の情報が得られる
国内外のグループ会社や委託先、サプライヤーなどについても、当該企業のドメイン名を入力するだけでセキュリティスコアや個々のリスクファクターに関する最新の情報が得られる。
②システムの運用に影響を与えない
ドメインに紐づく情報をもとに外部情報を用いて分析・診断するものであるため、実際に疑似攻撃を仕掛ける脆弱性診断（ペネトレーションテスト）等と異なり、システムに影響を与えることなく使うことができる。
③対策に繋がる具体的な情報が得られる
特定のリスクファクターに関して、具体的にどのIPアドレスが脅威にさらされているか等の具体的な情報が提供されるため、グループ会社や委託先・サプライヤーとの対策の協議などに繋げることができる。
3．今後について
本ソリューションについては、国内外のグループ会社やサプライチェーンのサイバーセキュリティ対策に課題を抱えている企業を中心に提供し、併せてサイバーセキュリティ状況を可視化した後の対策についても、お客様のニーズに応じてTRCにてコンサルティング等の支援を行っていく。
また、東京海上日動においては、本ソリューションをサイバーリスク保険の加入プロセスの迅速化・合理化や、企業のリスク実態に応じた保険料割引に活用していくことを検討中である。引き続きグループ全体でお客様をサイバーリスクから守るために商品・サービスの拡充に取り組み、お客様に”あんしん”を届けていく。