企業格付けにおいて、サイバーセキュリティ対策度を盛り込む動きが広がる 29
ストーリー by nagazou
新商売 部門より
新商売 部門より
ugoo 曰く、
欧米企業では取引先のサイバーセキュリティ対策度を、外部機関に調査して「格付け」してもらい、対策度によって取引継続を判断する動きが出ている(日経)。
ある日本メーカーでも取引先から、「御社の海外拠点のシステムに重大な脆弱性を発見した。すぐに是正しないと取引は続けられない」などとの通告を受けた事例があるという。格付けに使われているのはセキュリティ・スコアカード社のツールであり、「攻撃者からの狙われやすさ」を数値化し、A~Fで格付けする。
従来の企業格付け大手「ムーディーズ」などは、サイバー格付けを実施する同様の事業者と業務提携を発表した。日本でも東京海上日動が、サイバー保険の保険料算定に使い始めた。
何の役に立つの? (スコア:0)
サブプライム債にAAAを付けてた格付け会社は全部解体しとけよ
Re: (スコア:0)
勝手格付審査でも契約格付審査でも、被格付審査団体はサイバーセキュリティ対策は万全と主張するに決まっている。
Re: (スコア:0)
生き残ってるってことは需要があるってことでしょ。何の資格もいらないんだし、代わりを作っても誰も文句は言わない。
Re: (スコア:0)
AAAがついてるから絶対安全とは限らないが、その格付けすら取れない場合は明らかになんかヤバいわけだ。
Re: (スコア:0)
ITパスポートすら取れない場合は明らかになんかヤバいもんな。
Re: (スコア:0)
ブラのカップで判断するようなヤツが痛い目に遭っただけじゃん
Re: (スコア:0)
サブプライムへの投資割合が少ない商品ならば当然格付は高くなる&償還利率は高くなる
当時は人気商品だったよ
でも債権は一回でもデフォルトすると即全返還
商品には当然保険かけられていたが、その保険会社が支払不能に陥り倒産した
あとはバタバタと
格付会社が悪い、というのは直接的ではないな
Re: (スコア:0)
当時は金融工学自体にサブプライム債の危険性を正しく評価出来てなかったから仕方ないよ。
事後的になら「リスク自体は低いが、破綻が連鎖する」みたいな分析がされたけど。要はSPOF。
とはいっても当時も危険視されてたけどね。
WBSで加熱した米不動産市場の特集をリーマンショックのいくらか前に見た記憶がある。サブプライムの話もしてたかも。
普通にヤバそうだったしそう言われてた。
今後ならテスラが破綻したり、民間宇宙会社が事業的には成り立たないと暴落したり、Appleの株価は過剰評価だとされたり、そういうことはあるだろうな。
みずほ銀行 (スコア:0)
攻撃されなくてもシステムが自滅する企業はアウトやで
Re: (スコア:0)
ランダムな口座に一億万円入金するミスをしてくれる可能性があるんやで。
格付けNo1間違いなし。
Re:みずほ銀行 (スコア:1)
ランダムな口座に一億万円入金するミスをしてくれる可能性
それ顧客にはメリットでも、格付けする投資家側にはデメリットでしかないよ??
Re: (スコア:0)
投資家の口座に入金される可能性もあるので
Re: (スコア:0)
下からナンバーワン間違いなしってことでしょ。
格付け担当者は接待でウハウハってことでしょ。
消費者向けのサービスも頼む (スコア:0)
金融機関のくせに初期パスワードずっと覚えてるとことか
未だに二要素認証入れてないところとか
アホみたいな秘密の質問してくるところとか
電話かけて生年月日言えば本人確認になっちゃうとことか
プライバシーマークとかあやふやなのじゃなくて、そういう具体的なポイントでどんどん格付けして欲しい
デジタル庁とか消費者庁あたりがしっかりしてくんないと困る
Re: (スコア:0)
3要素認証でもっと安心!とか、不安全な秘密の質問を自動検出!とか変な方向に進みそう。
外圧 (スコア:0)
いつものように外圧がくるまで変われないんですねえ。
Re: (スコア:0)
内憂外患が絶えない。
Re: (スコア:0)
ただの日経の宣伝記事を外圧とは
#こんなの採用すんなよ
Re: (スコア:0)
経済紙なんて、うわべだけなぞって海外は進んでいる日本は遅れているとかそんな記事ばかりだもんね。
ビジネス誌も成功者同士でかっこつけた写真載せて、いいね!しあってるだけだからな。
Re: (スコア:0)
マネジメント的には「ウチの部門は頑張ってます」じゃなく「スコアいくつを目指します」と、ベンチマーク指標が必要。
「スコアこのぐらいを目指すので、予算このぐらい付けてくれ」と交渉材料にもなる。
サラリーマンにとっては嫌な話題ですけどね。気楽にやりながら給料を貰うのが一番。
Re: (スコア:0)
特定のエネルギーがブラウンかグリーンかめぐる基準争いみたいに、自分から基準を作って守ろうという気迫が日本社会には乏しいですからね。
Re: (スコア:0)
外圧がないとコストかけてくれないアホが経営してるようなところであれば交渉材料として有効に使わせてもらえばよいだけの話。
馬鹿「も」挟「も」使いようだよ。
評価基準は? (スコア:0)
やってる感を評価するなら、各種のプライバシーやセキュリティ関係の認証をとったり、
有名セキュリティベンダーの製品・サービスを使ったり、
従業員にプライバシーやセキュリティ関係の資格をとらせればいい
実際にやってるかどうかの評価は、評価が難しい
Re: (スコア:0)
クレカ取扱向けのPCI DSSとどれだけ評価基準が違うのかが気になりますね
情シス担当の考えるセキュリティ対策 (スコア:0)
これが恐ろしいことに20年以上前から全く進歩していなくて、たとえばパスワードポリシーにしても
・パスワードは複雑にさせる(英数大文字小文字記号を含む8文字必須)
・パスワードマネージャは使用禁止(わざわざ「組織のポリシー」で禁止してる)
・パスワードは1ヵ月に1回変更強制。過去使ったものは使わせない
・強度の低いパスワード監査のため、復号可能な状態で保存
とかとか、「ウチはセキュリティには厳しいので」と豪語してる大企業で罷り通ってる有様。
で、当然の如く付箋貼ったりする奴が出てくるので「付箋で貼ることは禁止」と別途通達出して、
今度はデスクトップに「パスワード.xlsx」とか作られて、それが漏洩して大事故。
しかも漏洩経路不明。PCに監視ソフト入れてるくせにログ調べても追跡できないとか言ってる。
脆弱性とか論じる以前の段階なので、何がセキュリティなんだかもうわけが分からん。
Re: (スコア:0)
× 情シス担当の考えるセキュリティ対策
○ ボクの会社の情シス担当の考えるセキュリティ対策
Re: (スコア:0)
昨年、情報漏洩やマルウェア被害が新聞で何度も報道された。
うちの会社もテレワークでアクセスする際は2要素認証必須になった。
今、20年前のポリシーを使っている企業は情シス部門というより社長がのんき?ヤバい?と思う。
Re: (スコア:0)
めんどくさくする方向のセキュリティには熱心なのでMFAは当然入れてる。
が、Authenticatorアプリで承認するとか簡素にする方向のセキュリティは禁止。SMS認証に拘ってる。
社長はのんきというより興味ないと思う。めんどくさいこと増やして対策してる風に見せてれば満足するので。
Re: (スコア:0)
今時そんな大企業あるわけないじゃん。
あるなら名前だしてみろっての。
改善の第一歩かもよ?