サイバーセキュリティー対策において組織がリスクアセスメントを実施することの重要性が語られており、サイバーセキュリティーのマネジメントは、リスクコントロールそのものであると言っても過言ではありません。 しかしながら、関連する資料を参考にしても、曖昧な内容に終始して判断に迷ったり、実施者の知識と経験が求められる部分が多かったり、その効果的な実施に各担当者が苦労している現実があります。 実効性のあるリスクアセスメントを実施するにはどうしたらよいか、伊藤忠商事・ITCCERT・伊藤忠サイバー&インテリジェンスでは長年その課題に取り組んできました。 それらの取り組みの中で、特に我々が三大脅威として定義している「標的型攻撃」「サイバーランサム」「ビジネスメール詐欺/BEC(ビーイーシー : Business E-mail Compromise)」に特化して、組織間での共通のリスク可視化を目的としたツールを作成しました。 当ツールは、元々は内部でのアセスメントツールに端を発しています。そして、その取り組みを三大脅威ベースに変更し、担当者がより判断しやすい内容で、かつ、結果を見やすくすることを目的にして作り上げたものです。
当社は「ブルーチームのイノベーターとして社会のサイバーセキュリティー強化に貢献する」というMissionを掲げております。 このツールは、内部向けに開発したツールですが、標的型攻撃・サイバーランサム・ビジネスメール詐欺の脅威に晒されている多くの組織においても活用可能な汎用的なツールであると認識しており、その社会的有用性を考慮した結果、内部での調整を経て公開版として作り替えたうえで、当ツールを当社グループ外でも活用していただけるよう公開することにしました。 各組織において自組織のリスクアセスメントを実施する際や、グループ会社を多く有する組織におけるガバナンスとしてのリスクアセスメントにぜひご活用ください。