三井住友海上、あいおいニッセイ同和損保、MS&ADインターリスク総研、「MS&ADサイバーリスクファインダー 取引先診断サービス」の提供開始

三井住友海上、あいおいニッセイ同和損保、およびMS&ADインターリスク総研は、大企業の関係会社や取引先などに潜むサイバーリスクを一括診断できる「MS&ADサイバーリスクファインダー 取引先診断サービス」を開発した。３社は、本サービスの提供を通じて、危険性が高まるサプライチェーン攻撃に対する企業の対策強化を図るとともに、リスクソリューションのプラットフォーマーとして提供価値を変革していく。
企業や組織を狙うサイバー攻撃が社会問題となる中、対策が手薄とされる大企業の関係会社や取引先の中小企業を狙った攻撃による被害が相次いでいる。経済産業省・独立行政法人情報処理推進機構（IPA）は、2023年３月にサイバーセキュリティ経営ガイドラインを改訂するなど、サプライチェーン全体での対策を求めている。一方で、多くの関係会社や取引先を含むサプライチェーン全体のサイバーリスク管理は、手間がかかる上、リスクを客観的に把握しにくい実態があった。
このような中、３社が中小企業 向けに提供するサイバーリスク診断サービスの技術を応用することで、関係会社や取引先のサイバーリスクを一括に診断し、サプライチェーン全体の傾向把握や継続的なモニタリング、緊急時の脆弱性を通知する大企業向けのサービスを開発した。
●サービス概要
（1）特長
・米国立標準技術研究所（NIST）の民間パートナーとしても知られる米サイバー保険会社Coalitionと共同開発したアタックサーフェスマネジメント（ASM）※1を活用することで、数十～数百社にのぼる大企業の関係会社や取引先を一括で診断し、サイバーリスクを客観的に可視化する。
・月次や四半期ごとの頻度で対象企業を診断し、全体の傾向値や過去の推移を含めた診断結果を提供する。
・対策が難しいとされる「ゼロデイ攻撃※２」につながるシステムの欠陥を検知・都度通知することで、緊急性の高いシステムの欠陥を適時適切に把握できる。
※１：「攻撃者視点」で攻撃対象領域（アタックサーフェス）を把握し、セキュリティを強化する技術
※２：OSやアプリケーションの脆弱性に対応するパッチがソフトウェアの開発企業等から提供される前に、その脆弱性を悪用して行われる攻撃の総称
○サービス提供開始日等
・提供開始日
三井住友海上：３月１８日
あいおいニッセイ同和損保：５月２日
・提供対象：主に大企業（関係会社、海外現地法人、業務委託先、取引先のサイバーセキュリティ対策の強化を目指す企業）
※保険契約の有無にかかわらず利用可能
・費用：「診断頻度」「診断企業数（診断ドメイン数）」「診断方法（詳細診断・簡易診断）」の要素により、個別に見積る
今後、３社は、サプライチェーン全体のサイバーセキュリティ向上に貢献するとともに、本サービスと中小企業向けサービスを組み合わせることで、企業が優先して対策を取るべきリスクに対して適切なソリューションを提供していく。
さらに、三井住友海上やあいおいニッセイ同和損保の保険代理店のセキュリティ状況の確認にも、本サービスの活用を予定している。