ICIリスクアセスメントツール公開
-サイバーセキュリティリスクの可視化ツール-

ICIリスクアセスメントツール公開にあたって


サイバーセキュリティー対策において組織がリスクアセスメントを実施することの重要性が語られており、サイバーセキュリティーのマネジメントは、リスクコントロールそのものであると言っても過言ではありません。 しかしながら、関連する資料を参考にしても、曖昧な内容に終始して判断に迷ったり、実施者の知識と経験が求められる部分が多かったり、その効果的な実施に各担当者が苦労している現実があります。 実効性のあるリスクアセスメントを実施するにはどうしたらよいか、伊藤忠商事・ITCCERT・伊藤忠サイバー&インテリジェンスでは長年その課題に取り組んできました。 それらの取り組みの中で、特に我々が三大脅威として定義している「標的型攻撃」「サイバーランサム」「ビジネスメール詐欺/BEC(ビーイーシー : Business E-mail Compromise)」に特化して、組織間での共通のリスク可視化を目的としたツールを作成しました。 当ツールは、元々は内部でのアセスメントツールに端を発しています。そして、その取り組みを三大脅威ベースに変更し、担当者がより判断しやすい内容で、かつ、結果を見やすくすることを目的にして作り上げたものです。


当社は「ブルーチームのイノベーターとして社会のサイバーセキュリティー強化に貢献する」というMissionを掲げております。 このツールは、内部向けに開発したツールですが、標的型攻撃・サイバーランサム・ビジネスメール詐欺の脅威に晒されている多くの組織においても活用可能な汎用的なツールであると認識しており、その社会的有用性を考慮した結果、内部での調整を経て公開版として作り替えたうえで、当ツールを当社グループ外でも活用していただけるよう公開することにしました。 各組織において自組織のリスクアセスメントを実施する際や、グループ会社を多く有する組織におけるガバナンスとしてのリスクアセスメントにぜひご活用ください。

ICIリスクアセスメントツールの基本説明


【脅威】
以下の脅威を対象としています。ただし、手法的に共通性の強い標的型攻撃とサイバーランサムの質問項目はほぼ同内容です。
  • 標的型攻撃
    国家を背景としたサイバー攻撃者。情報を狙ったサイバー攻撃が主。
  • サイバーランサム
    システムに侵入し、情報を窃取して公開すると脅迫したり、システムを暗号化して復元の鍵の代金を脅迫したりするサイバー攻撃者。脆弱なシステムを有する主体が攻撃対象となる。
  • ビジネスメール詐欺/BEC(ビーイーシー : Business E-mail Compromise)
    Webメールへのログインアカウントをフィッシング等で窃取し、取引関係にある組織間のメールを盗み見て、なりすましメールによって取引での決済で詐欺を働く攻撃者。 振り込みに関わる行為に対する攻撃が主で、経営層への成りすましメールや、社員として給与口座を変更するなりすましメールなども含まれる。

【シート構成】
結果シート:アセスメント結果を表示する。総合結果シート及び詳細結果シートがあります。
回答シート:三大脅威に晒されるリスクを“侵入”、“攻略”、“復元”の3つの観点から、それぞれ推奨管理策が実施できているかを問う質問で構成されています。

【使い方 (結果の確認方法)】
すべてのシートの回答が完了すると、総合結果シートに、自動的に結果が反映されます。

【管理策のカテゴリについて】
脅威が狙う個所は他にもあると認識しています(無線LANやクラウド環境など)。これらのカテゴリについては、今後アップデートを行う予定ですが、逐次公開を約束するものではありません。

【管理策内の値について】
推奨管理策の策定にあたっては、以下のすべてを満たすことに留意しました。
  • 具体的にする
  • "など"を減らす
  • 実際に設定可能な項目とする。(設定可能な製品・装置がある事を確認する)
これらの対応において、当社独自の基準値を設定しました(定期実施の間隔等)。そのため、この基準値については参考値として取り扱いください。

【管理策の追加依頼について】
個別の修正依頼や追加依頼には応じておりません。ご諒承ください。

ダウンロードはこちら

三大脅威を全てカバーする統合版ファイルと、脅威別に分割した個別ファイルを用意しております。リスクアセスメントを実施する脅威に合わせて必要なファイルをダウンロードください。
【統合版】
  • ICIリスクアセスメントツール_2024年7月版_三大脅威統合
    リンク
【脅威別分割版】
  • ICIリスクアセスメントツール_2024年7月版_標的型攻撃
    リンク
  • ICIリスクアセスメントツール_2024年7月版_サイバーランサム
    リンク
  • ICIリスクアセスメントツール_2024年7月版_BEC
    リンク

©︎ITOCHU Cyber & Intelligence Inc.


プライバシーポリシー