伊藤忠サイバー&インテリジェンスは7月31日、社内で利用していたツールを基にしたリスクアセスメント(リスクの特定、分析、評価)シートを無償で公開した。「各組織において自組織のリスクアセスメントを実施する際や、グループ会社を多く有する組織におけるガバナンスとしてのリスクアセスメントにぜひご活用ください」(同社)
シートでは、標的型攻撃、ランサム攻撃、メール詐欺の3つを具体的な脅威に想定。それぞれにさらされるリスクを侵入・攻略・復元という3つの観点に分解し、対応策が実施できているか質問する形になっている。質問に答えると、結果を示すシートにどれだけリスクを軽減できているかの評価が表示される仕組みだ。
シートは3つの脅威を全てカバーするバージョンだけでなく、それぞれを抜き出したものも配布。今後は「事務所への物理的な侵入」「無線LANへの侵入」「SaaSやクラウドサービスへの侵入」など、ツールでカバーしきれなかった攻撃にも対応するようアップデートする方針だ。ただし「逐次公開を約束するものではない」としている。
「内部向けに開発したツールだが、標的型攻撃・サイバーランサム・ビジネスメール詐欺の脅威にさらされている多くの組織においても活用可能な汎用的なツールであると認識しており、その社会的有用性を考慮した結果、内部での調整を経て公開版として作り替えたうえで、当ツールを当社グループ外でも活用してもらえるよう公開した」