RiskRecon™️ by Mastercard
– サードパーティ・サイバーリスク評価 –
RiskRecon™(リスクリコン) は サードパーティ※ に関するサイバー環境及び脆弱性リスクを可視化するサードパーティリスク管理(TPRM)ソリューションです。世界中のインターネットに公開されているシステムを独自の手法で発見し、精度の高い機械学習モデルを活用することで、あらゆるシステムのモニタリング及びサイバーリスク評価を可能としています。RiskReconの活用により、サードパーティにおけるサイバー環境のリスク評価及び管理を効率的に行うことが可能となります。
※ サードパーティ : グループ企業の内外を問わず、ビジネスにおける関係もしくは契約がある組織のこと。一例としてパートナー企業、業務委託先企業、調達先企業、ITベンダー、クラウドサービス事業者などが該当。
RiskReconの導入効果
サードパーティリスク管理(TPRM)は、現代のビジネス環境において極めて重要です。企業は事業活動を行う上で、多くのサードパーティと関係を持ち、中には機密性の高いデータや業務を委託している場合もあります。近年、企業は直接的ではなく、サードパーティを介した間接的なサイバー攻撃を受けることもあるため、サードパーティ起因の様々なリスクにもさらされていると言えます。リスクを低減させるためには、サードパーティのサイバー環境を可視化し、潜在的なリスクを検知して未然に対処することが求められます。
サードパーティのリスク管理を行う場合、統一的なリスク管理が難しく、情報収集にも多大な労力が必要となり対応コストも増加しますが、RiskReconを導入することでサードパーティリスク管理において以下のような効果が期待されます。
◎
リスク評価のタイミングで常に最新のシステム情報や脆弱性に関する情報を活用し、潜在的な問題を特定。
◎
検知されたリスクが自動的に優先順位付けされ、迅速な対応が求められる項目の早期改善を実現。
◎
セキュリティ専門家による客観的な評価を活用することで、リスク評価の精度を向上。
◎
専門的かつ時間を要するシステムや脆弱性に関する情報収集を自動化し、労力を削減。
◎
優先順位付けされたリスクやその詳細情報の提供により、調査及び精査にかかる時間を短縮。
◎
リスク改善対応や報告時に必要なアクションプランや評価レポートをワンクリック生成し、負担を軽減。
ご利用イメージ
企業が多くのサードパーティとの関係を構築する中で、サイバー環境におけるリスク評価及び管理はますます重要なものとなります。ここでは、RiskReconのご利用シーン及びご活用方法の一例をご紹介します。
ご利用シーン
ご活用方法
取引先管理
機密情報のやり取りを行う複数の取引先のサイバー環境を統一的に評価し、継続的かつ効率的なリスク管理を行いたい。
機密情報を共有する取引先システムの継続的なモニタリングを行い、統一的なリスク評価及びセキュリティパフォーマンスに関する情報を提供します。ユーザーは、これらの情報を活用することで継続的かつ効率的なリスク管理が可能です。
サプライチェーンリスク管理
サプライチェーンを可視化し、関連性のあるサードパーティを識別して潜在的なサイバーリスクを検知したい。
企業のサプライチェーンのサイバー環境を分析し、関連性のあるサードパーティやシステムの可視化及びリスクを検知します。ユーザーは、サプライチェーンの視認性を獲得し、潜在的なリスクへの対処が可能となります。
顧客オンボーディング
取引顧客としてオンボーディングする前に、相手先のサイバー環境に関して、客観的及び的確なリスク評価を行いたい。
第三者視点から相手先のサイバー環境を評価し、最新のリスク情報を提供しています。ユーザーは、顧客をオンボーディングする前にこのデータを活用し、相手先のサイバー環境を考慮した上でオンボーディングの判断を行うことが可能です。
自社/関連会社のモニタリング
自社及び関連会社のサイバー環境を継続的にモニタリングし、保有するシステム情報の把握や各システムに潜在するサイバーリスクを検知して対処したい。
自社及び関連会社を継続的にモニタリングしており、シャドーITを含む企業が保有するシステム情報や検知されたサイバーリスク情報を提供します。ユーザーは容易にサイバー環境における状況を把握することができ、リスクに対する改善施策を推進することが可能です。
RiskReconの仕組み
RiskReconではインターネットに公開されているシステムを独自の手法で発見し、機械学習モデルを活用して継続的にシステムをモニタリング及び評価します。
インターネット上に存在するシステム情報の収集
オープンソースを元に法人名称やプライマリドメインなどから企業が所有するシステムの情報を収集します。対象のネットワークとドメインをアルゴリズムを用いて検索し、該当するシステムを検出します。
◆ インターネットに接続しているシステムの自動検出
DNSクエリの転送と逆引き検索エンジンAPI / ホスト推測等
◆ ホストやドメイン、ネットワークに対する詳細なITプロファイリング
セキュリティプロファイリングの実施
検出されたシステムを精査し、セキュリティ対策などの有効性を検証します。
◆ 数千の観点を検証しての評価
ソフトウェアのパッチ適用 / アプリケーションのセキュリティ / ウェブ暗号化等
◆ 多重的に発生する脅威イベント情報の適用
60以上の脅威インテリジェンスソース / ポートスキャンデータ等
◆ データ侵害に関するレポートでの補足
自動化されたシステムの評価
検証された情報に基づき、対象となるシステムのリスクを自動的に評価します。
リスク情報やアクションプランの提供
各システムの評価を総合し、対象となる企業のサイバーリスクをダッシュボード上に表示します。
◆ 評価内容及び想定されるリスクの詳細
◆ 改善に向けたアクションプラン
利用可能な主要機能
ダッシュボード機能
取引先ポートフォリオ管理
経営層向け要約レポート
IT資産データ
重点的モニタリング
脆弱性の詳細データ
侵害イベントデータ
コンプライアンス指標
アクションプランの共有
詳細及びカスタムレポート
分析データ詳細検索
リスクの優先順位付け
RiskReconが選ばれる理由
データ精度の正確性
誤検知が存在するとサイバーリスクの評価が困難となり、ユーザー側の対応コストも増大してしまいます。よってデータの正確性はRiskReconのようなソリューションにとって、とても重要な要素となります。RiskReconのデータ精度は外部のセキュリティ機関により「99.1%」と検証されており、最高レベルの水準となります。
膨大なエンティティデータ
RiskReconでは数千万を超える企業の情報を独自の手法で収集しており、システム、ソフトウェア、ITインフラ、ホスティングプロバイダー、ドメイン等の発見された全ての情報資産における詳細なプロファイル及びリスク情報を提供します。ユーザーはこれらを活用することでサイバーリスクを容易に把握することができます。
リスクの優先順位付け
RiskReconでは、各システムが保有する資産の重要度や脆弱性の重大度に基づいて、リスクを自動で評価します。また、ユーザーのリスク許容度に基づいたカスタマイズも可能です。これにより、ユーザーにとって重要な問題を即座に識別し、優先的に対処することで、リソース管理を効率化することができます。
自動化されたワークフロー
検知された全てのサイバーリスクを確認できるだけでなく、特定の脆弱性を検知もしくは予め設定されたリスクの閾値を超えた際の自動アラート機能が提供されています。リスクや改善状況に関するレポート、アクションプラン等を共有することもできるため、手動プロセスを大幅に削減することが可能です。
導入プロセス
弊社ではRiskReconに関わるお問い合わせからご契約後のサポートまで包括的なサービスを提供しています。まずは「RiskReconのお問い合わせフォーム」よりお気軽にご連絡ください。製品に関する詳細説明やデモなどを、対面もしくはオンラインでの打ち合わせ等ご希望の形式にて実施させていただきます。(※ なお、本製品のご提供先は法人様限定となっております。)
RiskRecon社について
MastercardのRiskReconは企業とサプライチェーン上のシステムに関して正確なサイバーセキュリティ評価と分析結果を提供します。これらの情報を元にリスクの可視化及び優先順位付けを行い、より優先されるリスクを元にアクションプランを提供します。利用者のニーズに合わせ、対処するリスクの優先順位をカスタマイズすることも可能です。RiskReconの詳細については、www.riskrecon.comをご覧ください。
RiskRecon by Mastercardに関するお問い合わせ
以下のEメール宛てもしくは「お問い合わせはこちら」よりお気軽にご連絡ください。
Contact Email : finsolution-sales@dts.co.jp