パスワードを忘れた? アカウント作成
15537133 story
ビジネス

企業格付けにおいて、サイバーセキュリティ対策度を盛り込む動きが広がる 29

ストーリー by nagazou
新商売 部門より
ugoo 曰く、

欧米企業では取引先のサイバーセキュリティ対策度を、外部機関に調査して「格付け」してもらい、対策度によって取引継続を判断する動きが出ている(日経)。

ある日本メーカーでも取引先から、「御社の海外拠点のシステムに重大な脆弱性を発見した。すぐに是正しないと取引は続けられない」などとの通告を受けた事例があるという。格付けに使われているのはセキュリティ・スコアカード社のツールであり、「攻撃者からの狙われやすさ」を数値化し、A~Fで格付けする。

従来の企業格付け大手「ムーディーズ」などは、サイバー格付けを実施する同様の事業者と業務提携を発表した。日本でも東京海上日動が、サイバー保険の保険料算定に使い始めた。

  • by Anonymous Coward on 2022年01月11日 18時08分 (#4182747)

    サブプライム債にAAAを付けてた格付け会社は全部解体しとけよ

    ここに返信
    • by Anonymous Coward

      勝手格付審査でも契約格付審査でも、被格付審査団体はサイバーセキュリティ対策は万全と主張するに決まっている。

    • by Anonymous Coward

      生き残ってるってことは需要があるってことでしょ。何の資格もいらないんだし、代わりを作っても誰も文句は言わない。

    • by Anonymous Coward

      AAAがついてるから絶対安全とは限らないが、その格付けすら取れない場合は明らかになんかヤバいわけだ。

      • by Anonymous Coward

        ITパスポートすら取れない場合は明らかになんかヤバいもんな。

    • by Anonymous Coward

      ブラのカップで判断するようなヤツが痛い目に遭っただけじゃん

    • by Anonymous Coward

      サブプライムへの投資割合が少ない商品ならば当然格付は高くなる&償還利率は高くなる
      当時は人気商品だったよ

      でも債権は一回でもデフォルトすると即全返還
      商品には当然保険かけられていたが、その保険会社が支払不能に陥り倒産した
      あとはバタバタと

      格付会社が悪い、というのは直接的ではないな

    • by Anonymous Coward

      当時は金融工学自体にサブプライム債の危険性を正しく評価出来てなかったから仕方ないよ。
      事後的になら「リスク自体は低いが、破綻が連鎖する」みたいな分析がされたけど。要はSPOF。

      とはいっても当時も危険視されてたけどね。
      WBSで加熱した米不動産市場の特集をリーマンショックのいくらか前に見た記憶がある。サブプライムの話もしてたかも。
      普通にヤバそうだったしそう言われてた。
      今後ならテスラが破綻したり、民間宇宙会社が事業的には成り立たないと暴落したり、Appleの株価は過剰評価だとされたり、そういうことはあるだろうな。

  • by Anonymous Coward on 2022年01月11日 18時16分 (#4182755)

    攻撃されなくてもシステムが自滅する企業はアウトやで

    ここに返信
    • by Anonymous Coward

      ランダムな口座に一億万円入金するミスをしてくれる可能性があるんやで。
      格付けNo1間違いなし。

      • by Suzuno (48093) on 2022年01月11日 19時28分 (#4182802) 日記

        ランダムな口座に一億万円入金するミスをしてくれる可能性

        それ顧客にはメリットでも、格付けする投資家側にはデメリットでしかないよ??

        • by Anonymous Coward

          投資家の口座に入金される可能性もあるので

          • by Anonymous Coward

            下からナンバーワン間違いなしってことでしょ。
            格付け担当者は接待でウハウハってことでしょ。

  • by Anonymous Coward on 2022年01月11日 19時07分 (#4182791)

    金融機関のくせに初期パスワードずっと覚えてるとことか
    未だに二要素認証入れてないところとか
    アホみたいな秘密の質問してくるところとか
    電話かけて生年月日言えば本人確認になっちゃうとことか

    プライバシーマークとかあやふやなのじゃなくて、そういう具体的なポイントでどんどん格付けして欲しい
    デジタル庁とか消費者庁あたりがしっかりしてくんないと困る

    ここに返信
    • by Anonymous Coward

      3要素認証でもっと安心!とか、不安全な秘密の質問を自動検出!とか変な方向に進みそう。

  • by Anonymous Coward on 2022年01月11日 20時46分 (#4182854)

    いつものように外圧がくるまで変われないんですねえ。

    ここに返信
    • by Anonymous Coward

      内憂外患が絶えない。

    • by Anonymous Coward

      ただの日経の宣伝記事を外圧とは
      #こんなの採用すんなよ

      • by Anonymous Coward

        経済紙なんて、うわべだけなぞって海外は進んでいる日本は遅れているとかそんな記事ばかりだもんね。
        ビジネス誌も成功者同士でかっこつけた写真載せて、いいね!しあってるだけだからな。

    • by Anonymous Coward

      マネジメント的には「ウチの部門は頑張ってます」じゃなく「スコアいくつを目指します」と、ベンチマーク指標が必要。
      「スコアこのぐらいを目指すので、予算このぐらい付けてくれ」と交渉材料にもなる。

      サラリーマンにとっては嫌な話題ですけどね。気楽にやりながら給料を貰うのが一番。

    • by Anonymous Coward

      特定のエネルギーがブラウンかグリーンかめぐる基準争いみたいに、自分から基準を作って守ろうという気迫が日本社会には乏しいですからね。

    • by Anonymous Coward

      外圧がないとコストかけてくれないアホが経営してるようなところであれば交渉材料として有効に使わせてもらえばよいだけの話。

      馬鹿「も」挟「も」使いようだよ。

  • by Anonymous Coward on 2022年01月11日 21時13分 (#4182867)

    やってる感を評価するなら、各種のプライバシーやセキュリティ関係の認証をとったり、
    有名セキュリティベンダーの製品・サービスを使ったり、
    従業員にプライバシーやセキュリティ関係の資格をとらせればいい

    実際にやってるかどうかの評価は、評価が難しい

    ここに返信
    • by Anonymous Coward

      クレカ取扱向けのPCI DSSとどれだけ評価基準が違うのかが気になりますね

  • by Anonymous Coward on 2022年01月12日 11時29分 (#4183091)

    これが恐ろしいことに20年以上前から全く進歩していなくて、たとえばパスワードポリシーにしても
    ・パスワードは複雑にさせる(英数大文字小文字記号を含む8文字必須)
    ・パスワードマネージャは使用禁止(わざわざ「組織のポリシー」で禁止してる)
    ・パスワードは1ヵ月に1回変更強制。過去使ったものは使わせない
    ・強度の低いパスワード監査のため、復号可能な状態で保存
    とかとか、「ウチはセキュリティには厳しいので」と豪語してる大企業で罷り通ってる有様。

    で、当然の如く付箋貼ったりする奴が出てくるので「付箋で貼ることは禁止」と別途通達出して、
    今度はデスクトップに「パスワード.xlsx」とか作られて、それが漏洩して大事故。
    しかも漏洩経路不明。PCに監視ソフト入れてるくせにログ調べても追跡できないとか言ってる。

    脆弱性とか論じる以前の段階なので、何がセキュリティなんだかもうわけが分からん。

    ここに返信
    • by Anonymous Coward

      × 情シス担当の考えるセキュリティ対策
      ○ ボクの会社の情シス担当の考えるセキュリティ対策

    • by Anonymous Coward

      昨年、情報漏洩やマルウェア被害が新聞で何度も報道された。
      うちの会社もテレワークでアクセスする際は2要素認証必須になった。
      今、20年前のポリシーを使っている企業は情シス部門というより社長がのんき?ヤバい?と思う。

      • by Anonymous Coward

        めんどくさくする方向のセキュリティには熱心なのでMFAは当然入れてる。
        が、Authenticatorアプリで承認するとか簡素にする方向のセキュリティは禁止。SMS認証に拘ってる。

        社長はのんきというより興味ないと思う。めんどくさいこと増やして対策してる風に見せてれば満足するので。

    • by Anonymous Coward

      今時そんな大企業あるわけないじゃん。
      あるなら名前だしてみろっての。
      改善の第一歩かもよ?

typodupeerror

ソースを見ろ -- ある4桁UID

読み込み中...