【自分メモ】脆弱性診断とSecurity Risk Ratingの違いとは

※自分メモです。閲覧してくれている方は、自己責任で活用下さい。
#用語整理 #脆弱性診断 #SecurityRiskRating #リスクレイティング #セキュリティ #ネットワーク #とは

# 脆弱性診断とは

診断対象の特定のシステム内に存在する脆弱性を網羅的に見つけ出すものであり、実施する組織の目的は「危険度の高い脆弱性を網羅的に見つけ出し、それらを全て潰し込むこと」であることが多いです。
確認できる脆弱性の量や内容は、診断レベルによって異なります。

<注意点>
必ずしも組織全体を網羅的に診断するものではありません。また検出した脆弱性に対して危険度のSeverityはNVDなどの情報をもとに表示されますが、組織ごとに応じた優先的に対応すべきものを示すようなものでもありません。(サービスベンダによってはコンサルティングサービスオプションやアセスメントサービスオプションとして、優先順位づけを行うようなケースもあります。)

## 脆弱性診断の対象

## 脆弱性診断の方法

## 脆弱性診断の診断レベル (参考１より一部引用)

# Security Risk Rating (SRR)とは

確認できる脆弱性の量や内容は、診断レベルによって異なります。
攻撃者と同じ目線でサプライチェーン全体に対するセキュリティリスクを継続的に判定するものであり、実施する組織の目的は「自社/グループ企業/取引先企業のセキュリティリスクを可視化し、問題点を改善することでサプライチェーン全体でセキュリティリスクの低い状態を維持していくこと」です。
指摘された問題点に対しては、対応すべき優先順位づけが行われることが多い。

<注意点>
SRRは脆弱性診断を包括するものではありません。そのため、指摘される問題点は組織内に存在する脆弱性を網羅的に示すものではなく、あくまで直近で悪用されることの多い重要な問題点を指摘するものです。

## レイティング対象

## レイティング方法

レイティングベンダ(SRR企業)が判定している全ての判定結果をもとにした解析を行い、特定の組織が世の中の組織全体に対してどの程度のセキュリティ対策状況であるのか、どの程度のセキュリティリスクを持っているのかという情報から判定を行います。
情報収集方法は以下のようなものがあります。

## SRRの利用用途

現時点での主要な用途は５つです。

### セルフチェック
自社およびグループ企業のセキュリティリスクを定常的に監視し、改善するために活用する。そのために競合他社の対策状況と比較するなどの利用も行われます。

### ベンダーリスクマネジメント/サプライチェーンリスクマネジメント
取引先企業のセキュリティリスクを定常的に把握し、自社と取引する企業として求める水準を維持できているかを把握するために活用する。日本の企業ではまだまだこのような利用は少ない模様。
※水準を維持できていない場合には、情報提供を行い必要な対策強化を行ってもらうために活用するものであり、会社としての付き合いを切るための判断材料として使われているわけではない。

### 経営陣向けレポート
第三者によるセキュリティ診断のレポートとして、定期的なセキュリティ状況報告書として活用する。

### 買収企業調査
企業買収前のサイバーデューデリジェンスに活用する。

### サイバー保険の指標
サイバー保険料の算出時の指標として活用する。
※海外ではかなり増えてきている模様。日本ではまだ聞かないですね。

Security Risk Ratingと脆弱性診断の違い

ここまでまとめた通り、ターゲットや目的に非常に大きな違いがあります。また、脆弱性診断が比較的長いスパンで定期的に、もしくはスポットで行うものであったのに対して、SRRは定常的な監視を行うものです。

SRRは、日本ではまだまだ新しい市場であり、脆弱性診断に似た部分もあるために混同されることが想定されますが、実際には全然違うものであるということを理解する必要があります。

# 参考情報・参考文献

参考１：脆弱性診断とペネトレーションテストの使い分け─サイバー攻撃から企業を守る

脆弱性診断とペネトレーションテストの使い分け─サイバー攻撃から企業を守る | LAC WATCH