【第1回】「OWASP Top 10とは?アプリケーションセキュリティの基本を押さえよう」

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

近年、Webアプリケーションを狙ったサイバー攻撃が急増しており、企業にとってWebアプリケーションのセキュリティ強化は欠かせない課題となっています。その中で、世界中のセキュリティ専門家が指標として活用しているのが「OWASP Top 10」です。

今回は、Webアプリケーションの代表的な脆弱性をまとめた「OWASP Top 10」を通じて、基本的なセキュリティ知識を深め、企業での対策に活かすことを目的とし、背景から各脆弱性カテゴリの説明、実例、対策方法までを全3回のシリーズに分けて解説します。

OWASPとは

OWASP(Open Worldwide Application Security Project)は、ソフトウェアのセキュリティ向上を目的とした国際的な非営利団体です。開発者やセキュリティ専門家によって構成されており、セキュリティに関するツールやドキュメントなどを無償で提供しています。OWASPは中立かつオープンな立場から情報を発信しており、多くの企業や政府機関がそのガイドラインを信頼し、採用しています。

OWASP Top 10とは

OWASP Top 10は、Webアプリケーションにおける代表的なセキュリティリスクをランキング形式でまとめたもので、最も重要な10の脆弱性カテゴリを示しています。このリストはおよそ3年ごとに更新されており、業界の最新動向や実際の脅威傾向を反映しています。このTop 10は、アプリケーション開発やセキュリティ教育、脆弱性診断の指針として世界中で活用されており、情報システム部門にとってはセキュリティの共通言語ともいえる存在です。

OWASP Top 10:2021概要

OWASP Top 10:2021で挙げられているリスクとその概要について、SQAT.jpでは以下の記事でも取り上げています。あわせてぜひご覧ください。
OWASP Top 10―世界が注目するWebアプリケーションの重大リスクを知る―

以下は、2021年に発表された最新版のOWASP Top 10のリストです。

項目番号リスク名概要
A01Broken Access Control
(アクセス制御の不備)
アクセス制御の不備により、本来アクセスできない情報や機能へアクセスされるリスク
A02Cryptographic Failures
(暗号化の不備)
暗号化の不備による機密情報の漏洩や改ざん
A03Injection
(インジェクション)
SQLインジェクションなど、外部から不正なコードを注入されるリスク
A04Insecure Design
(セキュアでない設計)
セキュリティを考慮しない設計により生じる構造的リスク
A05Security Misconfiguration
(セキュリティ設定のミス)
設定ミスや不要な機能の有効化に起因する脆弱性
A06Vulnerable and Outdated Components(脆弱かつ古いコンポーネントの使用)脆弱性を含む古いライブラリやフレームワークの使用
A07Identification and Authentication Failures(識別と認証の不備)認証処理の不備により、なりすましや権限昇格が発生する
A08Software and Data Integrity Failures(ソフトウェアとデータの整合性の不備)ソフトウェア更新やCI/CDの不備により改ざんを許すリスク
A09Security Logging and Monitoring Failures(セキュリティログとモニタリングの不備)侵害の検知・追跡ができないログ監視体制の欠如
A10Server-Side Request Forgery (SSRF)(サーバサイドリクエストフォージェリ)サーバが内部リソースにアクセスしてしまうリスク
出典:OWASP Top 10:2021より弊社和訳

各リスク項目の代表的な脅威事例

項目番号実例企業・事例概要
A01Facebook (2019)他人の公開プロフィールがIDの推測とAPI操作により取得可能だった*8
A02Turkish Citizenship Leak(2016)暗号化されていなかったデータベースから約5,000万人の個人情報が流出*9
A03Heartland Payment Systems (2008)SQLインジェクションにより1億件以上のクレジットカード情報が漏洩*10
A04パスワードリセットの仕様不備(複数事例)多くの中小サイトで、トークンなしにメールアドレス入力のみでリセット可能な設計が確認されている
A05Kubernetes Dashboard誤設定事件(Tesla 2018)管理用インターフェースが公開状態になっており、社内クラウドで仮想通貨マイニングに悪用された*11
A06Equifax (2017)古いApache Strutsの脆弱性(CVE-2017-5638)を放置していたことで1.4億件以上の個人情報が漏洩*12
A07GitHub (2012)認証処理の不備により、セッションを乗っ取られる脆弱性が悪用され、一時的にユーザが他人のリポジトリにアクセス可能に
A08SolarWinds サプライチェーン攻撃(2020)正規のソフトウェアアップデートにマルウェアが仕込まれ、多数の政府機関や企業を含めた組織に影響を与えた
A09Capital One (2019)AWS環境の不適切なログ監視により、Web Application Firewallの設定ミスから約1億600万人分の情報が流出*13
A10Capital One (同上)SSRF攻撃によりAWSメタデータサービスへリクエストが可能となり、内部資格情報を窃取された*14

企業はOWASP Top 10をどう活用すべきか

OWASP Top 10は、単なる「参考資料」ではなく、企業が自社のセキュリティ対策を体系的に見直すための実践的な指針として活用できます。以下に、企業の情報システム部門担当者等が実際に取り入れるべき活用方法を紹介します。

開発プロセスへの組み込み(セキュア開発)

アプリケーション開発において、設計段階からOWASP Top 10を参考にすることで、設計段階から脆弱性を防ぐ「セキュア・バイ・デザイン(Secure by Design)」の思想を組み込むことが可能です。とくにA04「Insecure Design」などはアプリケーション開発の初期段階での対策が鍵となります。

脆弱性診断の評価基準として

外部のセキュリティ診断会社や自社診断の基準としてOWASP Top 10を採用することで、リスクの見落としを防ぎつつ、業界標準の診断を実現できます。

セキュリティ教育・啓発資料として

企業の社員のセキュリティリテラシーを高めるため、開発者・インフラ管理者・経営層を含めたセキュリティ教育プログラムにOWASP Top 10を取り入れることも有効です。定期的な研修やハンズオン形式での演習と組み合わせることで、具体的な攻撃手法や防御策を理解しやすいため、セキュリティ意識の向上につながります。

OWASP Top 10はセキュリティ対策の出発点

OWASP Top 10は、Webアプリケーションの開発やセキュリティ対策に取り組む企業にとって、最も基本かつ重要な指標です。サイバー攻撃の多くは、実はこうした「基本的な脆弱性」から発生しており、OWASP Top 10で挙げられているリスクを理解することがリスク低減の第一歩になります。特に情報システム部門や開発チームは、OWASP Top 10を設計・開発・テスト・運用の各フェーズに取り入れ、継続的なセキュリティ対策を行う必要があります。また、社員へのセキュリティ教育や脆弱性診断サービスの評価基準としても有効活用することで、より実効性の高いセキュリティ体制を構築できるでしょう。

第2回では、API特有の脅威にフォーカスした「OWASP API Security Top 10」をご紹介します。APIを活用している企業にとって、見逃せない内容となっていますので、ぜひあわせてご覧ください。


―第2回「OWASP API Security Top 10とは?APIの脅威と対策を知ろう」へ続く―

【連載一覧】

―第2回「OWASP API Security Top 10とは?APIの脅威と対策を知ろう」―
―第3回「Non-Human Identities Top 10とは?自動化時代に求められる新しいセキュリティ視点」―

Security NEWS TOPに戻る
バックナンバー TOPに戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像

企業のためのデジタルフォレンジック入門
第3回:デジタルフォレンジックは誰に任せるべきか?

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

デジタルフォレンジック調査の質は「誰に任せるか」によって大きく左右されます。調査を依頼する際は、必要なスキルや資格を有する信頼できる専門家を見極めることが重要です。「企業のためのデジタルフォレンジック入門」シリーズ第3回目となる今回は、デジタルフォレンジック調査に求められるスキルや、信頼できる調査パートナーを選ぶためのポイントについて解説します。

デジタルフォレンジック調査に求められるスキル

デジタルフォレンジック調査は、単なる技術的作業にとどまらず、法的対応や組織内のコミュニケーションなど、多岐にわたるスキルが求められる高度な専門分野です。調査の正確性と法的証拠能力を確保するためには、以下のようなスキルが求められます。

1.技術的スキル
フォレンジック調査では、コンピュータやモバイルデバイス、ネットワーク機器など、さまざまなデジタルデバイスから証拠を収集・分析する高度な技術が不可欠です。具体的には、ログ解析、マルウェア解析、ネットワークトラフィックの分析、暗号化データの復号、クラウド環境やIoTデバイスからのデータ抽出など、多岐にわたる技術的知識と経験が求められます。

2.法的知識
デジタルフォレンジックの調査結果は、訴訟や内部処分などの法的対応に利用されるケースが多くあります。そのため、証拠保全の適切な手続きや電子データの証拠能力を担保する方法についての理解は欠かせません。調査の過程で収集したデータが、法的に無効とならないよう慎重に取り扱うことが求められます。

3.分析力と問題解決能力
フォレンジック調査では、大量のデータの中から関連性のある情報を特定し、攻撃の手口や経路を明らかにする必要があります。そのため、データの相関関係を見抜く分析力や、複雑な問題に対して柔軟に対応する問題解決能力が重要です。

またフォレンジック調査は、調査担当者だけで完結するものではありません。調査を円滑に進めるためには、IT部門や法務部門、経営層との連携が不可欠です。専門的な調査結果を、非技術部門にもわかりやすく説明し、経営判断や法的対応に必要な情報を正確に伝える力も重要です。これらのスキルをバランスよく備えた人材が、企業のインシデント対応力を大きく高める鍵となります。調査を依頼する際は、こうしたスキルセットを有する専門家に依頼することが、調査の精度と効果を高めるための重要なポイントです。

デジタルフォレンジック関連の資格

デジタルフォレンジック調査は高度な専門知識と技術が求められる分野であり、調査を担当する人材のスキルによって調査結果の正確性や証拠能力が大きく左右されます。そのため、調査を依頼する際は、担当者がどのような資格や専門性を持っているかを必ず確認することが重要です。以下に、代表的な資格とその特徴を紹介します。

GCFA(GIAC Certified Forensic Analyst)

GCFAはSANS Instituteが提供するGIAC認定資格の一つで、デジタルフォレンジック調査に特化した国際資格です。データ侵害の調査、インシデント対応、脅威ハンティングなど、実践的なスキルを証明します。

CDFP(Certified Digital Forensics Professional)

デジタル・フォレンジック研究会が実施する資格で、基礎資格(CDFP-B)、実務者資格(CDFP-P)、管理者資格(CDFP-M)の3段階があります。日本国内でのデジタルフォレンジックに特化した資格として注目されています。

CHFI(Computer Hacking Forensic Investigator)

EC-Councilが提供する資格で、サイバー攻撃の痕跡を特定し、必要な証拠を適切に収集・分析するスキルを習得することを目的としています。

またクレジットカード業界の情報漏えい事故を調査する資格にQSA(Qualified Security Assessor)があります。特に、カード情報を扱う企業にとっては、QSAの資格を持つ専門家によるフォレンジック調査が重要な意味を持ちます。

これらの資格は単なる知識だけでなく、実務経験や倫理的な判断能力を備えていることの証明にもなります。調査を依頼する際は、「どの資格を保有しているか」「過去にどのような調査実績があるか」を確認し、信頼できる専門家に依頼することが重要です。

インシデント対応としてのフォレンジックの重要性

サイバー攻撃や内部不正などのインシデントが発生した際、企業に求められるのは迅速かつ的確な対応です。その中で、デジタルフォレンジック調査は、被害の拡大を防ぎ、再発防止策を講じるうえで極めて重要な役割を果たします。

フォレンジック調査を適切に実施することで、攻撃者の侵入経路や攻撃手法、被害範囲を正確に特定できます。これにより、攻撃の拡大を防ぐために必要な対策を即座に講じることが可能となり、被害の最小化につながります。また、攻撃の原因を突き止め、脆弱性の修正や運用体制の見直しを行うことで、同様の被害が再び発生するリスクを大幅に低減できます。
しかし、こうした迅速な対応を実現するには、事前の備えが不可欠です。経営層や管理部門は、平時からインシデント発生時の対応体制を整えておく必要があります。具体的には、以下のような準備が求められます。

  • インシデント対応ポリシーの策定:どのような事象をインシデントと定義し、発生時にどの部門がどのように対応するかを明確化します。
  • 証拠保全体制の整備:調査に必要なログやデータを適切に保存し、改ざんや消失を防ぐ体制を構築します。
  • 外部専門家との連携準備:緊急時にすぐに相談・調査を依頼できるよう、フォレンジック調査会社との連絡ルートや契約手続きを整えておきます。
  • 社内教育・訓練の実施:情報システム部門や関係者に対して、インシデント対応手順や証拠保全の重要性について定期的な教育を行います。

インシデントは、いつ発生してもおかしくありません。被害拡大を防ぎ、企業の信用を守るためには、フォレンジック調査を中心とした実効性のあるインシデント対応体制の構築が不可欠です。経営層がリスクマネジメントの一環としてこの重要性を認識し、積極的に体制整備に取り組むことが、企業の持続的な成長と信頼維持につながります。

【関連サービス】
インシデント初動対応準備支援はこちら

信頼できる調査会社・専門家の選び方

デジタルフォレンジック調査を依頼する際には、調査会社や専門家の信頼性と対応力を慎重に見極めることが不可欠です。

1.過去の調査実績・公開事例の有無
調査会社や専門家を選ぶ際は、まず過去の調査実績や公開事例の有無を確認しましょう。実績が豊富な会社は、さまざまな業種や企業規模のインシデントに対応した経験を持っており、適切な調査手法と迅速な対応力を備えています。また、可能であれば、同業他社での対応事例や解決までのプロセスを確認することで、自社の課題に対する対応力を具体的にイメージできます。

2.調査体制(緊急対応可能か、社内対応チームの有無)
サイバーインシデントは突発的に発生します。万が一の際に備え、24時間365日対応可能な緊急体制を整えているかを確認することが重要です。また、外部委託だけでなく、社内に専門の調査チームを有している企業は、ノウハウの蓄積や迅速な意思決定が可能であり、調査の品質も高い傾向にあります。緊急時の連絡手段や初動対応までの所要時間も事前に確認しておくと安心です。

3.事前相談・見積もり段階での対応姿勢
調査を依頼する前段階の事前相談や見積もり時の対応姿勢も、信頼できる調査会社かどうかを見極めるポイントです。質問に対する回答が的確かつ分かりやすいか、専門用語をかみ砕いて説明してくれるかなど、コミュニケーションの質を重視しましょう。また、調査内容や費用の内訳について明確に説明がない場合は、後から想定外の追加費用が発生するリスクもあるため、しっかりと確認しましょう。

このように、実績・体制・対応姿勢の3点をバランスよく確認することで、信頼できるパートナーを選定することができます。インシデント発生時に慌てることがないよう、平時から調査会社の候補をリストアップし、必要に応じて事前相談を行っておくことが理想的です。

まとめ:リスクに備える最善の準備とは

サイバー攻撃や情報漏えいといったインシデントは、今やどの企業にとっても現実的なリスクとなっています。そのリスクにどう向き合い、どのように被害を最小限に抑えるかは、企業の信頼性と持続的成長を左右する重要な課題です。本シリーズでは、デジタルフォレンジック調査の基礎知識から、調査の流れや費用、そして信頼できる調査パートナーの選び方まで、実務に役立つ情報を解説してきました。これらの内容は、単にインシデント発生時の対応策としてだけではなく、経営層や管理部門が平時から備えておくべきリスクマネジメントの一環です。企業がこれから取り組むべきは、「万が一ではなく、いつ起きてもおかしくない」という前提で、適切な体制を整えておくこと」です。必要な情報を正しく理解し、信頼できる専門家とのネットワークを構築しておくことで、万が一の事態にも冷静かつ的確に対応できる企業体制を実現できるでしょう。本記事が、皆様のリスク対策とインシデント対応体制の強化に少しでも貢献できれば幸いです。

緊急時の対応にお困りですか?
24時間365日対応可能な専門チームが、迅速にサポートいたします。
今すぐ相談する

サイバーセキュリティ緊急対応電話受付ボタン

サイバー攻撃や情報漏えいのリスクは、企業規模を問わず現実のものとなっています。万が一の事態に備え、信頼できるパートナーと連携し、迅速かつ適切な対応体制を整えておくことが重要です。株式会社ブロードバンドセキュリティ(BBSec)では緊急対応支援サービスを提供しています。突然の大規模攻撃や情報漏えいの懸念等、緊急事態もしくはその可能性が発生した場合は、BBSecにご相談ください。セキュリティのスペシャリストが、御社システムの状況把握、防御、そして事後対策をトータルにサポートさせていただきます。詳細はこちら。

SQAT緊急対応バナー

【連載一覧】

―第1回「デジタルフォレンジック調査とは?企業が知っておくべき基本情報」―
―第2回「デジタルフォレンジック調査の流れと費用とは?」―

Security NEWS TOPに戻る
バックナンバー TOPに戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。


Security Serviceへのリンクバナー画像

BBsecコーポレートサイトへのリンクバナー画像

セキュリティ緊急対応のバナー画像

企業のためのデジタルフォレンジック入門
第2回:デジタルフォレンジック調査の流れと費用とは?

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

サイバー攻撃や情報漏えいなどのインシデント発生時には、重要な役割を果たすデジタルフォレンジック調査ですが、「実際にどのような手順で進むのか」「どのくらいの費用がかかるのか」という点が気になる方も多いのではないでしょうか。

「企業のためのデジタルフォレンジック入門」シリーズ第2回目となる今回は、デジタルフォレンジック調査の一般的な進め方と費用の目安、そして調査を依頼する際に押さえておくべきポイントについて解説します。

デジタルフォレンジックの調査フロー

デジタルフォレンジック調査は以下のような流れで進められるのが一般的です。

初動対応(証拠保全と状況把握)

インシデント発生時、最初に行うべきなのは証拠の保全です。ログやデジタルデータは非常に消失・改ざんされやすいため、調査開始前に対象端末の隔離やデータのバックアップを速やかに実施します。誤ってシステムの再起動や操作を行うと、重要な証拠が失われるリスクがあるため注意が必要です。

調査準備(対象範囲の確認と調査計画の立案)

次に、調査の対象となるシステムや端末、ネットワーク環境を明確にし、どのような調査を行うかの計画を立てます。この段階で社内のIT部門との連携や、必要に応じた外部の専門業者への調査依頼を検討します。

技術調査(詳細なデータ解析)

具体的な調査段階では、ログ解析、端末解析、ネットワーク通信の分析、メール履歴の調査などを通じて、インシデントの発生時期、侵入経路、攻撃手法、被害範囲を特定します。調査結果は、法的手続きに耐えうる形で証拠として整理されます。

調査報告(結果の報告と被害状況の説明)

調査の結果をもとに、被害状況や攻撃経路、原因の詳細をまとめた報告書が作成されます。この報告書は、経営層への説明や取引先への対応、法的措置を講じる際の重要な資料となります。

改善提案(再発防止策の提示)

最後に、調査を通じて得られた知見をもとに、今後のセキュリティ強化策や体制の見直しに関する改善提案が行われます。再発防止のためのシステム設定の見直しや運用ルールの強化など、実行可能な具体策が提示されます。

この一連の流れを円滑に進めるためには、事前に社内で緊急対応体制を整えておくことが重要です。

サイバーインシデント緊急対応

サイバーセキュリティ緊急対応電話受付ボタン
SQAT緊急対応バナー

デジタルフォレンジック調査の費用相場とその要素

デジタルフォレンジック調査の費用は、調査の規模や対象範囲、緊急性によって大きく変動します。一般的に、初動対応から最終的な報告書提出までに数十万円から数百万円規模の費用がかかるケースが多く、場合によっては1,000万円を超えることもあります。調査費用は、主に以下の項目で構成されます。

調査項目 費用相場(目安) 算定要素
初動対応・証拠保全 10~30万円 緊急度、作業時間、対象機器数
ログ解析 30~100万円 調査範囲、ログの量と保存状況
端末解析 50~150万円 対象端末数、データ量、調査内容
ネットワーク解析 50~200万円 通信量、解析対象ネットワーク範囲
メール調査 30~100万円 メール数、攻撃手法の特定難易度
報告書作成・改善提案 20~50万円 被害規模、報告書の詳細度

調査費用は対応スピードの要求度や調査範囲の広さによって大きく異なります。調査を依頼する前には、事前に必要な調査項目を整理し、見積もりの内訳をしっかり確認することが重要です。

企業が予算計画に組み込むべき事項

サイバー攻撃による被害は、いつ発生するかわかりません。万が一に備え、デジタルフォレンジック調査費用をあらかじめ予算計画に組み込んでおくことは、リスクマネジメントの観点から重要な取り組みです。

まずは、フォレンジック調査に必要となるリソースの把握が必要です。どのシステムやデータが事業の中核を担っているのかを洗い出し、万が一被害を受けた場合に調査が必要となる範囲を想定しておきましょう。特に、重要な顧客情報や機密情報を扱うシステムは、調査対象として優先度が高くなります。

次に、過去のインシデント事例や業界の平均的な調査費用を参考に、初動対応費用、技術調査費用、報告書作成費用などを項目ごとに見積もり、予算化しておくことが重要です。必要に応じて、外部の専門業者から概算費用の情報を収集し、自社の規模に応じた現実的な予算を策定します。また、平時からのログ管理や証拠保全体制の整備は、調査範囲の縮小や工数削減に直結し、結果的に調査費用の抑制につながります。このような準備に必要なリソースやコストも、予算計画の中に含めておくと良いでしょう。

不測の事態に備え、フォレンジック調査の費用を計画的に確保しておくことが、経営リスクを最小限に抑える有効な手段です。

「かかりつけ」のセキュリティ企業を持つ

平時の備えがインシデントを防止し、いざインシデントが起きたときの対応力を高めてくれます。さらにもう1つ有効な取り組みとしてお伝えしたいのが、頼りになるセキュリティ企業との関係構築です。あなたの会社の業務やシステムのことを知っている、かかりつけ医のようなセキュリティ企業は、何かあったときのための備えのひとつになります。

それまで取引が一度もなかったセキュリティ企業に、事故が発生した際に初めて調査や対応を依頼したとしたらどうでしょう。社内のネットワーク構成、稼働するサービス、重要情報がどこにどれだけあるのか、関係会社や取引先の情報などについて、わずかな時間も惜しまれるインシデント対応の現場で、いちから説明しなければならなくなります。

セキュリティ対策などの実施でセキュリティ企業に依頼を行う際は、信頼できる企業かどうか、いざというときにサポートしてくれるかどうか等、診断以外のサービス体制も幅広く調べたうえで、長期的な観点から利用を検討することをおすすめします。

まとめ:納得できる調査のために

サイバー攻撃などのインシデント発生時、企業は迅速かつ的確な対応を求められます。デジタルフォレンジック調査は、その過程で被害状況を正しく把握し、再発防止策を講じるために不可欠な手段です。しかし、調査は高額になりがちで、調査範囲や依頼内容を誤ると不要なコストが発生する恐れもあります。納得できる調査を実現するためには、事前に調査の流れを理解し、必要な費用感を把握したうえで、適切な調査計画を立てることが重要です。そして、もう一つ重要なのは「誰に調査を依頼するか」という視点です。

デジタルフォレンジック調査の結果は、調査を行う専門家の知識とスキルに大きく左右されます。調査の質を高めるためには、どのような専門家に依頼すべきか、その見極めが重要です。次回、第3回の記事では、信頼できる調査パートナーの選び方や、調査に必要とされる資格・スキルについて解説します。

―第3回「デジタルフォレンジックは誰に任せるべきか?」へ続く―

【連載一覧】

―第1回「デジタルフォレンジック調査とは?企業が知っておくべき基本情報」―
―第3回「デジタルフォレンジックは誰に任せるべきか?」―

Security NEWS TOPに戻る
バックナンバー TOPに戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像

「脆弱性(ぜいじゃくせい)」とは?意味・読み方・活用方法を解説

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

「脆弱性(ぜいじゃくせい)」という言葉を見かけても、正確な読み方や意味を知らない方も多いかもしれません。特にITやセキュリティの分野ではよく使われる専門用語ですが、近年では一般的なニュースや記事でも登場するようになってきました。この記事では、「脆弱性 読み方」をはじめ、「脆弱性」の意味、使い方、ビジネスやセキュリティでの重要性について、わかりやすく解説します。

「脆弱性」の読み方は?

「脆弱性」は「ぜいじゃくせい」と読みます。

「脆」(ぜい):もろい、こわれやすいという意味
「弱」(じゃく):よわい、力が足りないという意味
「性」(せい):性質や特徴を示します

つまり、「脆弱性」とは「もろくて弱い性質」という意味を持ちます。

「脆弱性」の意味とは?

脆弱性は英語で「Vulnerability」(「攻撃を受けやすいこと」の意)といいます。脆弱性とは、不正アクセスやコンピュータウイルスなどの攻撃により、その機能や性能を損なう原因となり得るセキュリティ上の問題箇所のことです。

IT分野では、システムやソフトウェアに存在するセキュリティ上の弱点を意味します。たとえば、プログラムの不備や設定ミスなどにより、外部から不正アクセスを許してしまうような状態が「脆弱性」です。

脆弱性の多くは、「プログラムの設計ミスやコーディングミスなどによるバグ」になります。バグが存在せず正しく動作するプログラムやWebアプリケーションであっても、設計者が想定しないやり方で機能が悪用され、 結果としてサイバー攻撃が成立する場合には、その「悪用されうる機能設計」が脆弱性とみなされます。

脆弱性を悪用した攻撃の事例とその後の企業の対応について

脆弱性への対応を怠り社長が辞任に追い込まれたケースも

脆弱性への対応を誤ることは、しばしば事業の運営に甚大な影響をもたらします。典型的な事例をご紹介しましょう。2017年、クレジットカード等の与信に関わるアメリカの大手消費者情報調査会社がサイバー攻撃を受け、自社で保有していた4億件の個人の信用情報の約3分の1にあたる、1億4,000万件もの情報が盗まれました。この攻撃は、Webアプリケーションの開発フレームワークであるApache Strutsの脆弱性を、脆弱性情報とパッチの公開後速やかに修正できなかったことに起因するものです。

攻撃の端緒となった脆弱性に対しては、2017年3月にパッチや対策方法が公開されました。会社側では公開を受けて修正を図ったものの、組織体制の不備等もあいまって修正は不完全な形となり、結果、システムへの不正アクセスを許すことになりました。さらに、攻撃は同年5月から確認されていたにもかかわらず同社が事件を公表したのは9月。4か月もの間事態が公表されなかったことが大きな批判を浴び、CEOなど一部の幹部は辞任に追い込まれ、格付けも引き下げられたのです。脆弱性が引き金となり、このように甚大な影響がもたらされることは少なくないのです。

脆弱性を悪用したセキュリティ事故は日々発生しています。
SQAT.jpでは以下の記事でも取り上げていますので、ぜひあわせてご参考ください。

● 「定期的な脆弱性診断でシステムを守ろう!-放置された脆弱性のリスクと対処方法-
● 「備えあれば憂いなし!サイバー保険の利活用

脆弱性情報はWebサイトでチェックできる

脆弱性は、さまざまなソフトウェアやプラットフォームで日々発見されています。そうした情報は、多くの場合、ソフトウェアやプラットフォーム提供元のWebサイトに掲載されます。
少なくとも、自組織で利用している主要なプラットフォームに関しては、緊急性が高い脆弱性が出現していないかどうかを、提供元のWebサイトで定期的にチェックするとよいでしょう。

JVNを利用した脆弱性情報の正確な情報収集と活用法

一般社団法人JPCERTコーディネーションセンターとIPA(独立行政法人情報処理推進機構)では、公表された脆弱性情報を収集して公開するサービス「JVN(Japan Vulnerability Notes)」を共同運営しています。日本で利用されている大半のソフトウェアの脆弱性の情報は、このサイトでチェックできます。

脆弱性情報ソースと活用

インシデントやゼロデイの発生情報については、セキュリティ専門のニュースサイト、セキュリティエバンジェリストのSNSなどからも情報をキャッチできます。

情報の裏取りとして、セキュリティベンダからの発表やtechブログ等を参照することもと重要となります。攻撃の影響範囲や危険度を確認するには、Exploitの有無を技術者のPoC検証ブログやNVD等で確認することも有効です。

「脆弱性」はサイバー攻撃の端緒となる

サイバー攻撃の数は年々増加し続けており、その手口は高度化・巧妙化しています。このため、あらゆる企業・組織がサイバー攻撃の脅威にさらされています。そして、そして残念ながら、多くのWebアプリケーションやシステムには脆弱性が存在している可能性があります。情報漏えいなどの被害をもたらすサイバー攻撃の多くは、この「脆弱性」を悪用して行われます。脆弱性の放置は、サイバー攻撃を誘発し、事業活動に甚大な影響を及ぼしかねません。

脆弱性を突かれた場合のリスク

悪意のある第三者によって脆弱性を突かれてしまった場合、問題箇所の悪用、コンピュータ内部データ(情報)の盗取・改竄・削除、また他のコンピュータへの同様の悪事が可能になります。その結果、不正アクセスや自動的に動作させるウイルスやボットに感染する恐れもあります。また、システムやサービス全体という視点からは、設定に関して何らかの誤りがある場合など、設定ミスが脆弱性とみなされます。たとえば、ポートの開放に関する設定、権限管理、AWSをはじめとするクラウドサービスの設定ミスがセキュリティ事故を招いた例は枚挙に暇がありません。

「脆弱性が多い」と言われるソフトウェアの傾向

脆弱性が数多く報告されているのは、一体どんなソフトウェアでしょう。ひとつ共通することは「ユーザが多い」ということです。たとえば、皆さんがこのサイトをご覧になっているWebブラウザ、そのWebブラウザが動作するMicrosoft WindowsなどのOS、ビジネスでよく使われるPDFファイルを扱うAdobe Acrobat、WebサーバソフトのApache、データベースアプリケーションのMySQLなどです。いずれも、全世界に膨大な数のユーザを持つソフトウェアであり、規模のインパクトという点から、攻撃者にとって極めて魅力的、いわば人気があるのです。かつ、このようなソフトウェアでは、開発元において、脆弱性を早期に発見し、修正プログラムの公開、所定機関への報告を迅速に行う必要性が高いことから、報告件数が当然ながら多くなる傾向がみられます。

わかりやすい例としては、オンライン会議ソフトのZoomがあります。Zoomでは、2020年になって脆弱性が次々と発見されていますが、そこには、新型コロナウイルス対策の一環でテレワーク化が進み、Zoom利用者が爆発的に増えたという背景があります。攻撃者の格好のターゲットになったことと、Zoomの脆弱性の増加は、連動した現象なのです。

ここまでの説明でお気づきかもしれませんが、「脆弱性が多く報告されている」ことは必ずしも「品質が悪い」ことを意味するのではありません。脆弱性が存在してもそのことが報告・公表されていなければ、「脆弱性がある」とは認知されないわけです。

なぜ「脆弱性対策」が重要なのか?

現代の企業活動において、ITシステムは欠かせない存在です。そのため、システムの脆弱性を放置することは、情報漏えいやサービス停止といった重大なリスクにつながります。サイバー攻撃の多くは、脆弱性を狙って行われます。つまり、脆弱性を特定・対処することが、企業の情報資産を守る第一歩なのです。

脆弱性対策の基本と企業での実践方法

脆弱性対策の基本的な考え方としては、システムの欠陥をつぶし、脆弱性を無くすこと(「攻撃の的」を無くすこと)が最も重要です。企業での実践方法としては以下の項目があげられます。

修正パッチの適用

衣服等の破れを補修する「継ぎ当て」や傷口に貼る「絆創膏」のことを英語で「パッチ(patch)」と言いますが、脆弱性を修正するプログラムも「パッチ」と呼ばれます。修正プログラムを適用することは「パッチをあてる」と言われたりします。パッチをあてることにより、システムに影響が及ぶ場合があります。適用にあたっては事前に調査を行い、必要に応じて十分な検証を実施してください。なお、自組織で開発したシステムに関しては、必ずテスト環境を用意し、パッチ適用による整合性チェックを行いましょう。

ソフトウェアやOSの定期的なアップデート

アップデートされた最新バージョンでは既知の脆弱性や不具合が修正されていますので、後回しにせずに更新を行うようにしてください。

セキュアプログラミングで脆弱性を作りこまない体制に

自組織で開発したソフトウェアやWebアプリケーション等の場合は、サービスが稼働する前の上流工程(開発段階)から、そもそも脆弱性を作り込まない体制を構築することが大切です。

また、テレワーク環境では、以上の項目に加え、クライアントサイドでのパッチ適用が適切に行われているかをチェックする体制を構築することも重要です。また、シャドーITの状況把握も厳格に実施する必要があります。

「IT部門が知らないサービスを勝手に利用され、結果として脆弱性の有無について未検証のクライアントソフトやブラウザプラグインが使われていた」という事態は防がねばなりません。

ツールを使って脆弱性を見つける

脆弱性を発見するためのソフトウェアは「チェックツール」「スキャンツール」「スキャナ」などと呼ばれます。以下に、代表的なものをご紹介しましょう。有償、無償のさまざまなツールが提供されていますので、機能や特徴を知り、ニーズに合致するものを試してみてはいかがでしょうか。

  有償ツール 無償ツール
Webアプリケーション向け AppScan、Burp Suite、WebInspect など OWASP ZAP など
サーバ、ネットワーク向け Nessus(一部無償)、nmap など Nirvana改弐、Vuls など

「脆弱性診断」サービスで自組織のソフトウェアの脆弱性を見つける

上記でご紹介したツールを使えば、脆弱性のチェックを自組織で行うことが可能です。しかし、前述の通り、「脆弱性が存在するのに報告されていない」ために情報がツールに実装されていないソフトウェアも数多くあります。また、一般に広く利用されているソフトウェアであれば次々に脆弱性が発見、公開されますが、自組織で開発したWebアプリケーションの場合は、外部に頼れる脆弱性ソースはありません。さらに、実施にあたっては相応の技術的知識が求められます。そこで検討したいのが脆弱性診断サービスの利用です。脆弱性の有無を確認するには、脆弱性診断が最も有効な手段です。

脆弱性診断サービスでは、システムを構成する多様なソフトウェアやWebアプリケーション、API、スマホアプリケーション、ネットワークなどに関し、広範な知識を持つ担当者が、セキュリティ上のベストプラクティス、システム独自の要件などを総合的に分析し、対象システムの脆弱性を評価します。組織からの依頼に応じて、「自組織で気付けていない脆弱性がないかどうか」を調べる目的のほか、「脆弱性に対して施した対策が充分に機能しているか」を検証する目的で実施することもできます。

対策が正常に機能しているかの検証を含めた確認には専門家の目線をいれることをおすすめしています。予防的にコントロールをするといった観点も含め、よりシステムを堅牢かしていくために脆弱性診断をご検討ください。

脆弱性との共存(?)を図るケースもある

最後に、診断で発見された脆弱性にパッチをあてることができないときの対処法をご紹介しましょう。

まず、「パッチを適用することで、現在稼働している重要なアプリケーションに不具合が起こることが事前検証の結果判明した」場合です。このようなケースでは、システムの安定稼働を優先し、あえてパッチをあてずに、その脆弱性への攻撃をブロックするセキュリティ機器を導入することで攻撃を防ぎます。セキュリティ機器によって「仮想的なパッチをあてる」という対策になるため、「バーチャルパッチ」とも呼ばれます。

また、脆弱性が発見されたのがミッションクリティカルなシステムではなく、ほとんど使われていない業務アプリであった場合は、脆弱性を修正するのではなく、そのアプリ自体の使用を停止することを検討できるでしょう。これは、運用によってリスクを回避する方法といえます。

なお、前項でご紹介した脆弱性診断サービスの利用は、脆弱性に対して以上のような回避策をとる場合にも、メリットがあるといえます。発見された脆弱性について、深刻度、悪用される危険性、システム全体への影響度といった、専門サービスならではのより詳細な分析結果にもとづいて、対処の意思決定を行えるためです。

まとめ

・サイバー攻撃の端緒となる脆弱性はプログラムの設計ミスなどによって生まれます。
・海外では脆弱性への対応を怠ったことで発生した情報漏えい事故で社長が辞任に追い込まれた事例もあります。
・脆弱性情報はベンダのWebサイトやJVNなどで公開されています。
・自組織のネットワークやソフトウェアなどの棚卸しを行い、それぞれのバージョンを把握しましょう。
・利用者が多いソフトウェアほど脆弱性が発見されます。必ずしも「脆弱性の報告数が多い=品質が低い」というわけではありません。
・脆弱性診断サービスは、自組織で開発したWebアプリケーションなどの脆弱性を発見するのに有効です。

Webアプリケーション脆弱性診断バナー

関連情報


脆弱性診断の必要性とは?ツールなど調査手法と進め方


2019年下半期 カテゴリ別脆弱性検出状況


Security NEWS TOPに戻る
バックナンバー TOPに戻る

資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像

サイバー攻撃とは?攻撃者の種類と目的、代表的な手法を解説

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

サイバー攻撃とは、コンピュータやネットワーク、Webアプリケーションの脆弱性を悪用し、情報窃取やデータ改ざん、業務妨害などを行う行為です。多様な攻撃方法が存在しますが、「誰が」「なぜ」攻撃するのかを理解することで、より効果的なセキュリティ対策を考えることが可能です。この記事では、サイバー攻撃を行う5つの主体とその目的について詳しく解説します。それぞれの攻撃者の特徴を理解することで、効果的なセキュリティ対策のヒントが得られます。

コラム
「サイバー攻撃」「サイバーテロ」「サイバー保険」などにつく、”サイバー”という接頭辞はIT関連の言葉に用いられます。
由来はアメリカの数学者ノーバート・ウィーナーが提唱した「サイバネティクス(Cybernetics)」という学問にあります。

サイバー攻撃とは何か

サイバー攻撃(サイバーアタック)とは、コンピュータやネットワーク、Webアプリケーションの脆弱性を悪用し、情報の窃取、データの改ざん、業務の妨害などを行う行為を指します。
これらの攻撃は、個人や組織、国家など多様な主体によって行われ、その目的もさまざまです。サイバー攻撃の手法は年々高度化・巧妙化しており、被害を防ぐためには攻撃者の特徴や目的を理解することが重要です。

サイバー攻撃を行う5つの主な攻撃者

サイバー攻撃は誰が行うのでしょうか。いろいろな考え方や分け方がありますが、以下では、大きく5つに分けて解説します。

1.愉快犯や悪意のある個人

このグループに分類される攻撃主体の特徴は攻撃に継続性がないことです。「愉快犯」とは、「標的型攻撃とは?」で解説したとおり、趣味や知的好奇心、技術検証など、悪意の伴わない迷惑行為が特徴です。多くは個人の趣味や研究の延長として行われます。「悪意のある個人」とは、同僚のメールを盗み読む、有名人のTwitterアカウントを乗っ取るなど、明確な悪意をもったサイバー攻撃者を指します。「愉快犯」も「悪意を持った個人」も、個別の差はあるものの攻撃の継続性や技術力・資金力に限界があるといっていいでしょう。

2.ハクティビスト

「アクティビスト(社会活動家)」という言葉と「ハッカー」を合わせた言葉である「ハクティビスト」は、サイバー攻撃を通じて社会的・政治的メッセージを表明します。

3.産業スパイ

企業が保有する各種開発情報や未登録特許など、さまざまな知的財産を盗むためにサイバー産業スパイが世界で暗躍しています。新薬研究や航空エンジン設計など、莫大な開発費を要する産業領域で先んじることが主な目的です。企業を超えたより大きな組織の支援を受けている場合には、豊富な資金を背景とした高い技術力を持ち、継続的に攻撃を行うことがあります。

4.国家支援型組織(ステートスポンサード)

国家が金銭面で下支えをしている攻撃グループを指します。主にAPT(Advanced Persistent Threat:高度で持続的な脅威)攻撃を行い、諜報活動や破壊活動を行うことが特徴です。3.の産業スパイ活動を行うこともあります。

5.サイバー犯罪組織

個人情報やクレジットカード情報などを盗み、その情報をマネタイズすることで資金を得るタイプの組織を指します。2018年のある調査では、世界全体でのサイバー犯罪による被害総額を約60兆円と見積もっています。一大「産業」となったサイバー犯罪には、多数の犯罪者が関わり、彼らは組織化・訓練され、高い技術力と豊富な資金力を持っています。「標的型攻撃」のほとんどは、国家支援型組織とサイバー犯罪組織によって行われていると考えられています。

ただし、たとえば愉快犯的なハクティビスト、知財窃取を受託する犯罪組織なども存在し、以上5つの主体は必ずしも明確に分けられるものではありません。

サイバー攻撃の主な目的

サイバー攻撃が行われる目的は、以下のように5つにまとめることができます。

1.知的好奇心や技術検証

愉快犯が行うサイバー攻撃は、知的好奇心を満足させる、技術や理論の検証を行う等の目的で行われます。

2.金銭的利益

産業スパイや犯罪組織が行うサイバー攻撃は金銭を目的に行われます。彼らの活動も我々と同じく、経済合理性に基づいています。

3.政治・社会的メッセージの発信

2010年、暴露サイトとして有名なウィキリークスの寄付受付の決済手段を提供していた決済サービス会社が、政治的判断でウィキリークスへのサービス提供を取り止めた際、決済サービス会社に対して、「アノニマス」と呼ばれるハクティビスト集団がDDoS攻撃を仕掛けました。このように、ハクティビストは、彼らが理想と考える正義を社会に対してもたらすことを目的にサイバー攻撃を行います。

4.知的財産の窃取

産業スパイは、企業が保有するさまざまな営業秘密や開発情報、知的財産の窃取を目的にサイバー攻撃を行います。盗んだ知財をもとに事業活動等を行い、最終的に金銭的利益を得るわけです。なお、知財を目的としたサイバー攻撃は、一定期間、特定の産業を重点的に狙うなどの傾向があります。

5.諜報活動

いわゆる諜報活動のために個人情報(通信履歴や渡航履歴を含む)を収集するなどの活動もあります。敵対関係にあるターゲットを標的とした破壊活動のほか、ときに自国の産業保護を目的として産業スパイ活動が行われることもあります。

これらの目的は前項の5つの主体と同様、相互に関連し合い、はっきりと区分できるものではありません。攻撃者や手法によって異なるケースが存在します。たとえば、知的好奇心で始めた攻撃が金銭目的に転じることもあります。また、犯罪組織の中には、「病院を攻撃しない」と表明することで医療従事者へのリスペクトを社会的に発信するような組織も存在します。

サイバー攻撃対策には「攻撃者」と「目的」の理解がカギ

『サイバー攻撃』と検索すると、多種多様な攻撃手法が解説されています。例えば、自宅の窓が割られた場合、その石の種類よりも『誰が』『なぜ』投げたのかが気になるでしょう。サイバー攻撃も同様です。よく耳にするサイバー攻撃としては以下のようなものがあります。

APT攻撃 様々な攻撃手法を用いて、高度かつ継続的に侵入を試み、目的を達成するサイバー攻撃
サプライチェーン攻撃 様々な攻撃手法を用いて、サプライチェーンの中の弱点を狙って、サプライチェーンの内部に侵入することを目的とする攻撃
最終的にAPT攻撃に発展することや、ランサムウェア攻撃に発展することも
ランサムウェア あらゆるサイバー攻撃手法を用いてデータを暗号化し、身代金を要求する攻撃
APT攻撃やサプライチェーン攻撃の目的としての破壊活動につながる可能性もある
ビジネスメール詐欺 巧妙ななりすまし、メールアドレス乗っ取りなどを中心とした各種のサイバー攻撃
フィッシング攻撃 偽のメールやサイトで個人情報を盗む攻撃
DDoS攻撃 サーバーに大量のアクセスを送り、業務妨害する攻撃

表で解説!代表的なサイバー攻撃手法

最後に、代表的なサイバー攻撃手法を取り上げ、それぞれの攻撃でどのような手法が用いられ、どのような対象がターゲットになるのかを、表形式で見てみましょう。

具体的な攻撃手法の例 ターゲット
Webアプリケーションの
脆弱性を悪用する攻撃
・バッファオーバーフロー
・SQLインジェクション
・ディレクトリトラバーサル
・クロスサイトスクリプティング
 (XSS)
Webアプリケーション
不正アクセス・
不正ログイン
・Brute-Force攻撃
・パスワードリスト型攻撃
・パスワードスプレー攻撃
・内部不正
・有効なアカウントの
 窃取・売買・悪用
各種アプリケーションやシステム、ネットワーク
フィッシング ・フィッシングメール
・スミッシング(フィッシングSMS)
・フィッシングサイト
・個人
・法人内個人
DoS攻撃・DDoS攻撃 ・フラッド攻撃
・脆弱性を利用した攻撃
・ボットネット悪用
・組織・企業
・国家
・社会・重要インフラ
・個人
のWebサービスなど
ゼロデイ攻撃 修正プログラムが公開されていない
脆弱性に対する攻撃
・組織・企業
・国家
DNS攻撃 ・DoS攻撃
・DNSキャッシュポイズニング
・カミンスキー攻撃
・DNSハイジャック
 (ドメイン名ハイジャック)
・企業・組織
・国家
・個人
のWebサービスなど
ソーシャル
エンジニアリング
・会話等によるクレデンシャル
 情報等の窃取
組織・企業内の個人

サイバー攻撃から組織を守るための対策

サイバー攻撃から自組織を守るためには以下のような対策例を実施することが求められます。

セキュリティポリシーの策定と徹底:組織全体でのセキュリティ意識を高め、明確なルールを設けることが重要です。
最新のセキュリティソフトの導入:ウイルス対策ソフトやファイアウォール、WAFなどを活用し、システムを防御します。
定期的なシステムのアップデート:OSやアプリケーションの脆弱性を修正するため、常に最新の状態を保ちます。
従業員へのセキュリティ教育:フィッシングメールの見分け方や、安全なパスワードの設定方法などを教育します。
アクセス権限の適切な管理:必要最小限の権限を付与し、情報漏洩のリスクを低減します。

ここで挙げられた攻撃手法のうち特に注意が必要なものは、SQAT.jpで随時解説記事を公開中です。今後も更新情報をご覧いただき、ぜひチェックいただければと思います。

・「Dos攻撃とは?DDos攻撃との違い、すぐにできる3つの基本的な対策
・「サイバー攻撃とは何か -サイバー攻撃への対策1-
・「フィッシングとは?巧妙化する手口とその対策
・「ランサムウェアとは何か-ランサムウェアあれこれ 1-
・「標的型攻撃とは?事例や見分け方、対策をわかりやすく解説

まとめ

・サイバー攻撃とは、Webアプリケーションの脆弱性などを悪用し、情報窃取や業務妨害を行う行為です
・効果的なセキュリティ対策には、攻撃の種類だけでなく、「誰が」「なぜ」攻撃するのかを理解することが重要です
・攻撃主体は「愉快犯」「ハクティビスト」「産業スパイ」「国家支援型組織」「サイバー犯罪組織」の5つに分類できます
・サイバー攻撃の目的はサイバー攻撃の目的は「趣味や知的好奇心」「金銭」「政治・社会的メッセージの発信」「知的財産」「諜報」の5つに整理できます

Webアプリケーション脆弱性診断バナー

Security NEWS TOPに戻る
バックナンバー TOPに戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像

企業のためのデジタルフォレンジック入門
第1回:デジタルフォレンジック調査とは?企業が知っておくべき基本情報

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

サイバー攻撃や情報漏えいが発生した際、企業が最初に取るべき行動は、被害の拡大を防ぎ、原因を迅速に特定することです。この初動対応において重要なのが「デジタルフォレンジック調査」です。企業がサイバー攻撃に遭ってしまった場合に再発防止策を講じるためにも、デジタルフォレンジックの役割は非常に重要です。

今回は「デジタルフォレンジック」を全3回にわたって取り扱います。シリーズ第1回目となる本記事では、デジタルフォレンジック調査とは何か、その基本的な概要と企業が知っておくべき基本情報を解説します。

デジタルフォレンジックとは?

デジタルフォレンジックとは、サイバー攻撃や情報漏えい、不正アクセスなどのインシデントが発生した際に、関係するデジタル機器やシステムのデータを解析し、事実関係を明らかにする調査手法です。英語の「forensic(法医学的)」という言葉が示す通り、調査結果は裁判などの法的手続きにも利用されることがあります。

デジタルフォレンジック調査とは、単なる技術調査ではなく、証拠の保全・改ざん防止、攻撃経路や被害範囲の特定、さらには再発防止のための分析までを含む手法です。調査には高度な専門知識と技術が求められ、ログ解析(アクセス履歴や操作記録の確認)、端末解析(PCやスマートフォン内のデータ確認)、ネットワーク解析(通信記録の追跡)など、複数の調査対象に対して総合的に分析を行います。これにより、インシデントの真相を明らかにし、企業の信頼回復と再発防止に貢献します。

企業でのデジタルフォレンジック調査が必要になる場面とは?

企業が直面するセキュリティインシデントは様々ですが、その中でもデジタルフォレンジックの実施が必要となるのは、被害の全容を把握し、適切な対応を行う必要がある場合です。

たとえば、外部からの不正アクセスにより社内システムに侵入された可能性があるときや、顧客情報が漏えいしていると通報を受けたときには、早急な事実確認が求められます。また、従業員による機密データの持ち出しや不正なファイル操作が疑われるケースでは、客観的な証拠に基づいた調査が不可欠です。近年では、特定の企業を狙う標的型攻撃も増加しており、攻撃の手口が巧妙化・長期化する傾向にあります。こうした背景から、フォレンジック調査は単なるトラブル対応にとどまらず、経営判断や法的対応にも直結する手法として、多くの企業が重要視しています。

デジタルフォレンジック調査の対象例

デジタルフォレンジック調査の対象は事案の内容により異なりますが、主に以下のようなデータに分類されます。

調査対象 内容・例 主な目的・得られる情報
アクセスログ
(ログ解析)
サーバやシステムの操作・認証履歴 不正アクセスの有無、アクセス日時・端末・ユーザーの特定
端末内部のデータ
(端末解析)
PCやスマートフォンのストレージ内の情報 削除ファイルの復元、USB接続履歴、操作の痕跡分析
ネットワーク通信
(ネットワーク解析)
通信ログ、送受信先IP、パケットデータ 異常通信の把握、外部へのデータ送信の確認
電子メール
(メール分析)
送受信履歴、添付ファイル、リンククリック記録 フィッシングや標的型攻撃メールの特定、なりすましの検出
クラウドサービスのログ Microsoft 365、Google Workspaceなどの操作記録 クラウド上での不正アクセスやデータの共有・編集履歴の確認

デジタルフォレンジックの調査フロー

社内では、平時からのログ保存体制の整備や、緊急時の連絡フロー構築が不可欠です。また、関係部門の責任範囲や判断フローも事前に明確にしておくことで、インシデント発生時の混乱を最小限に抑えられます。

まとめ:企業対応に不可欠な「証拠を残す力」

サイバー攻撃に対して企業が取るべき対応は、ただ防御策を実施するだけでは不十分です。被害が発生した後、何が起きたのかを正しく究明し、再発を防ぐための対策を講じることが、将来的な企業の信頼性維持と経営層の判断基準につながります。デジタルフォレンジック調査は、証拠を明らかにし、被害の全容を把握するための手法です。調査の効果を最大化するには、「どのように進めるか」「誰に任せるか」が重要な鍵となります。次回第2回の記事では、フォレンジック調査の進め方と費用の目安について解説します。

第2回「デジタルフォレンジック調査の流れと費用とは?」へ続く―

【連載一覧】

―第2回「デジタルフォレンジック調査の流れと費用とは?」―
―第3回「デジタルフォレンジックは誰に任せるべきか?」―

Security NEWS TOPに戻る
バックナンバー TOPに戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。


Security Serviceへのリンクバナー画像

BBsecコーポレートサイトへのリンクバナー画像

セキュリティ緊急対応のバナー画像

IoTセキュリティのリスクと対策 -安全な運用のための5つのポイント-

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

急速に普及が進むIoT(モノのインターネット)は、私たちの生活やビジネスに大きな利便性をもたらしています。一方で、サイバー攻撃や情報漏えいなど、IoT特有のセキュリティリスクも急増しています。本記事では、IoTセキュリティの基本的な考え方から、総務省・経産省が示すガイドラインに基づく5つの対策ポイントまでを解説。安全なIoT活用のために、今押さえておくべきポイントを整理します。

IoTとは

IoT(アイオーティー)とは「Internet
of Things」の略称で「モノのインターネット」という意味です。これまでインターネットは、コンピュータやサーバ同士を接続するためのものでしたが、IoTでは、工場の制御システム、各種社会インフラ、医療機器、自動車、住宅、情報家電など、さまざまな「モノ」同士がインターネットを介して情報のやりとりを行うことで、新たな付加価値を創造します。また、IoTはAIなどと同様、デジタルトランスフォーメーションの核となる技術領域のひとつとして期待されています。

IoTの活用事例

現在研究が進んでいる、5Gネットワークを活用した自動運転車は、IoT技術をクルマに活用した例です。その他にもIoTのセンサーを設置することで水道管の漏水や工場設備の故障を検知したり、ネットワークカメラでペットの様子を確認したりなど、私たちの周囲にも徐々にIoT機器・サービスが登場しはじめています。

IoTのセキュリティリスク

IoTの利便性の裏で、セキュリティ対策が後回しにされがちである点が大きな課題です。IoT機器が増えるほど、サイバー攻撃のリスクも高まり、IoTセキュリティの重要性は急速に高まっています。

IoT機器の多くはインターネットに常時接続されており、不適切な管理や設定によってサイバー攻撃の標的になりやすいという特性を持っています。加えて、IoT機器は小型・低コストであるがゆえに、セキュリティ対策が十分に施されていないまま市場に出回るケースも少なくありません。

特に企業においては、IoTデバイスが業務システムや重要データと連携している場合も多く、
ひとたびセキュリティ侵害が発生すれば、企業全体の業務停止や情報漏えいといった重大な被害につながる恐れがあります。このため、IoTセキュリティは単なる機器保護の枠を超えて、組織全体のリスクマネジメントとして取り組むべき重要課題なのです。

ITと異なるIoT特有のセキュリティリスク

IoTデバイスには、IT機器とは異なる脅威が存在します。例えば、長期運用を前提とした機器が多く、更新やパッチの適用が困難であること、また、処理性能や記憶領域が限られているため、従来のセキュリティソフトを導入できないケースもあります。さらに、ネットワーク経由で接続されるため、第三者による不正アクセスや悪用の可能性も高まります。

2016年7月に総務省・経済産業省・IoT推進コンソーシアムによって公開された『IoTセキュリティガイドライン』によれば、セキュリティを確保しながらIoTを利活用するには、下記のような「IoT特有の性質」を理解して対策を講じることが重要です。

1.脅威の影響範囲・影響度合いが大きい

2.IoT機器のライフサイクルが長い

3.IoT機器に対する監視が行き届きにくい

4.IoT機器側とネットワーク側の環境や特性の相互理解が不十分である

5.IoT機器の機能・性能が限られている

6. あらゆるIoT機器が通信機能を持つため、開発者が想定していなかった接続が行われる可能性がある

IoTを狙ったサイバー攻撃の実例と脅威

IoT機器・サービスを狙ったサイバー攻撃はその急速な普及を背景に増加の一途をたどり、潜在するリスクも続々と報告されています。上記に挙げたようなIoT特有の性質から、ひとたび攻撃や悪用が起こると、その影響範囲はこれまでと比較にならないほど大きくなる恐れがあります。

有名な事例の一つに、IoTマルウェア「Mirai」の登場があります。MiraiはネットワークカメラやルーターなどのIoT機器に感染し、それらを踏み台にして大規模なDDoS攻撃を引き起こしました。

また、2019年には、アメリカで、防犯・監視カメラに攻撃者がアクセスし、子供や寝ている人に話しかけるという事件*4が起きました。同じメーカーが提供する玄関チャイムに、接続されているWi-Fiのパスワードが盗聴により漏えいする脆弱性があったことも報告*5されています。2020年には、音声アシスタントサービスを提供するAmazon Alexaに、音声履歴や個人情報等を盗み出せる脆弱性*6が存在することがイスラエルのセキュリティ企業の研究部門によって明らかになりました。

上記はいずれも家庭で使用されているIoT機器の例ですが、このような攻撃により、個人だけでなく企業やインフラ全体が深刻な影響を受ける可能性があります。IoTセキュリティは、社会的インフラの防衛にも直結する課題です。

総務省・経産省が提示するIoTセキュリティガイドライン:5つの基本方針

前掲の『IoTセキュリティガイドライン』では、IoT機器やIoTを使ったサービスを手掛ける事業者に対して、下記「IoTセキュリティ対策の5指針」に沿った対策を講じるように促しています。

1.IoTの性質を考慮した基本方針を定める

2.IoTのリスクを認識する

3.守るべきものを守る設計を考える

4.ネットワーク上での対策を考える

5.安全安心な状態を維持し、情報発信・共有を行う

IoT機器・サービスを手掛ける事業者は、IoT機器のライフサイクルを踏まえながら、上記指針に沿って設計や製造、サービス提供のあり方を見直し、必要な措置をとることが求められます。

実装すべきセキュリティ機能を『IoTセキュリティチェックリスト』で把握

押さえておきたいリソースとして、もう1つ、セキュリティ専門機関である一般社団法人JPCERTコーディネーションセンターが2019年に公開した『IoTセキュリティチェックリスト』をご紹介しましょう。これは、IoT機器の開発や製造、IoTサービス提供に関わる事業者を対象にしたもので、IoTデバイスを安全に運用するために実装しておきたいセキュリティ機能がチェックリスト形式でまとめられています。

リストには、「ユーザ管理」「ソフトウェア管理」「セキュリティ管理」「アクセス制御」「不正な接続」「暗号化」「システム設定」「通知」の8つのカテゴリに分類された39の機能が記載されています。さらに、それぞれの機能が、Sensor(センサー)、Aggregator(センサーからのデータを集約する機能)、Communication Channel(通信チャネル)といった、IoTシステムを構成する基本単位のいずれに対応するのかも一目でわかるようになっており、自組織のIoTセキュリティ対策に取り組むうえでぜひ活用することをお勧めします。

IoTセキュリティの落とし穴

なお、IoTのセキュリティでは、自組織で対策を講じるだけでは十分ではありません。IoTサービスにおいては、IoT機器を開発製造する企業、それを活用したサービスを設計する企業、サービスを提供するためのアプリケーションを開発する企業、サービスの運用を行う企業など、複数の当事者が存在、相互に依存しあっており、それぞれの当事者にリスクが存在します。つまり、複数の企業間で、共通した同水準のセキュリティレベルを維持することが求められるのです。これは、従来のITサービスの場合に比べても決して楽なことではなく、最もセキュリティ対策の手薄な企業がいわば「弱い鎖」となって、攻撃を許すことにもなりかねません。

また、自社で対応が難しい場合は、第三者機関による脆弱性診断の実施やセキュリティコンサルティングの活用も検討すべきです。IoT診断を通じて、IoTデバイスのセキュリティリスクを複数の当事者が理解し、適切な対策を講じることで、サイバー攻撃のリスクを最小化することができます。

さらに、国や地域によって異なる法規制への対応が必要になることもあります。IoTによって企業間のつながりが特定の地域を超える可能性があるためです。例えば、日本国内での販売やサービス提供はOKでも、ヨーロッパではGDPR(EU一般データ保護規則)、アメリカではCCPA(カリフォルニア州消費者プライバシー法)等のプライバシー関連法規に抵触するケースなどもありえます。日本の個人情報保護法もグローバルな動きの影響を受け今後変更される可能性もあります。法規制対応に関する注意も怠ってはなりません。

IoTセキュリティ診断、相場料金の現状は?

IoTは、Webアプリケーションやイントラネットのようないわば均質化した診断対象とは異なり、その利用用途がスマート家電から工場、社会インフラまで実に幅広いという特徴があります。OSやファームウェア、ASIC、FPGA、各種モジュール、アプリケーションの組み合わせはほぼ無限です。この点が、IoTのセキュリティ診断とその他のセキュリティ診断を分かつ最大の違いといえます。例えば、Webアプリケーション診断のように「1リクエストいくら」といった形で料金が提示されることはめったにありません。

IoTのセキュリティ診断を実施するにあたっては、実施の都度、対象の機器、システムの構成を踏まえたうえで、目的や予算、期間を考慮して診断内容を決定することが求められます。専門業者の診断サービスを利用する場合には、「さまざまな診断手法を熟知しているか」、「十分な診断実績はあるか」、といった点を判断指標に選定することをお勧めします。

IoTセキュリティ対策の第一歩は「見える化」から

多くの企業で問題となっているのは、現状のIoT機器の稼働状況やリスクが把握できていない点です。まずは社内で使用されているIoTデバイスを洗い出し、ネットワークのどこに、どのような機器が接続されているのかを「見える化」することが、対策の出発点となります。現状を可視化することで、どこに脅威があるのかが明確になり、優先順位をつけたセキュリティ対策が可能になります。

IoTセキュリティ診断サービスバナー

まとめ

  • IoTとは、「モノのインターネット」のことです。クルマや家電などのモノがインターネットに接続され、情報をやり取りすることで、生活やビジネスに新たな価値をもたらします。
  • IoT機器はライフサイクルが長く、インシデント発生時の影響も大きいため、IT機器とは異なる視点でセキュリティ対策を講じる必要があります。
  • マルウェア感染や家庭用監視カメラへの不正アクセス、産業用機器への攻撃など、IoTを狙ったサイバー攻撃が多発しています。
  • IoTセキュリティには、機器の設計・製造から運用まで、関係者それぞれが責任を持って対策を進めることが求められます。
  • IoTのセキュリティ診断は、OSやファームウェアなど構成が多様なため、目的・予算・期間を事前に明確にして実施する必要があります。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

  • 2025年4月30日(水)13:00~13:30
    CVSSとSSVCで実践する次世代脆弱性管理:サイバー攻撃対策セミナー2024
  • 2025年5月14日(水)14:00~15:00
    クラウド利用の落とし穴と対策とは?今こそ見直すべきクラウドセキュリティ対策-セキュリティ設定診断の活用方法をご紹介-
  • 2025年5月21日(水)14:00~15:00
    Webサイト改ざん攻撃の手口と防御策とは?リアルタイム検知で守るセキュリティ
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    脆弱性診断の効果を最大化するポイント解説 – やりっぱなしを防ぐサイバー保険による脆弱性管理と診断サイクルの作り方

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    2025年3月13日「脆弱性診断、やりっぱなしになっていませんか?高精度診断と充実サポートでリスクを最小化〜サイバー保険で安心 診断から守るまでを徹底解説〜」というセミナーを開催しました。今回はその講演内容のポイントについてご紹介します。

    登壇者:株式会社ブロードバンドセキュリティのセキュリティサービス本部 サービス支援部 支援課 課長代理 木下祐希

    サイバー攻撃の実態と脆弱性管理の重要性

    まず脆弱性診断を実施する背景として、近年のサイバー攻撃の実態について理解する必要があります。かつては愉快犯も少なくなかったサイバー攻撃は、現在では金銭目的や企業・個人に対する悪意を持った攻撃が主流となっており、その手口も高度化・巧妙化しています。こうした環境において脆弱性とは何か、そしてなぜ脆弱性管理が重要なのかを把握することが対策の第一歩となります。

    サイバー攻撃の変化は明確です。以前は「愉快犯」と呼ばれる、いたずら目的のハッカーやクラッカーも少なからずおり、DDoS攻撃で嫌いな企業のサーバーを落としたり、不特定多数にフィッシングメールを送りつけたりするような行為が中心でした。しかし現在は、より直接的な、個人情報や機密情報を盗み出して金銭化することを目的とした攻撃者が増えています。

    ダークウェブの出現により、盗んだ情報を売却する市場ができました。攻撃者にとっては明確な金銭的利益を得る手段となり、より悪質で深刻な攻撃が増えているのです。

    脆弱性の検出実態についても驚くべき数字が示されました。ブロードバンドセキュリティによる脆弱性診断を受けた企業の統計では、Webアプリケーションでは約90%、ネットワークでは約55%の企業で何らかの脆弱性が検出されています。さらに深刻なのは、リスクレベルが「高」以上の重大な脆弱性がWebアプリケーションで16.7%、ネットワークで21.6%も検出されているという事実です。

    これは一度も診断を受けたことがない企業だけではなく、定期的に脆弱性診断を実施している企業も含めた数字です。攻撃手法は日進月歩で進化していますので、定期的な診断が必須なのです。

    脆弱性とは、不正アクセスやコンピュータウイルスなどの攻撃により、システムの機能や性能を損なう原因となり得るセキュリティ上の問題箇所のことです。脆弱性が悪用されると、内部データの盗取や改ざん、削除、さらには他のコンピュータへの攻撃の踏み台にされるなど様々な被害が発生します。

    「無知は最大の脆弱性」という言葉があるように、まず自社のシステムの状態を知り、必要な対策を講じることが何よりも重要です。脆弱性診断により、日々変化する脅威に対する自システムのセキュリティ状態を確認できるため、適時・適切な対策が可能になります。

    脆弱性診断のやり方と診断実施時の課題

    次に脆弱性診断の具体的なやり方と、企業が診断を実施する際に直面する課題について解説します。

    脆弱性診断を住宅に例えると、ネットワーク脆弱性診断は土地や地盤の検査、Webアプリケーション脆弱性診断は建物自体の検査に相当します。企業が脆弱性診断を実施する際には、コスト面や専門知識の必要性など様々な課題がありますが、これらを適切に解決することが重要です。

    脆弱性診断とは、窓のひび割れや水道管の老朽化など、故障・欠陥箇所を探すことに似ています。ネットワーク脆弱性診断は地盤や土壌など土地に関する検査、Webアプリケーション脆弱性診断は土地の上に建っている家を検査するイメージです。

    この二つの診断タイプには共通する項目もありますが、視点が異なります。ネットワーク脆弱性診断は宅外から宅内に入るまでの故障・欠陥箇所を見つけるのに対し、Webアプリケーション脆弱性診断は宅内の方から見た観点での指摘となります。

    企業が脆弱性診断を実施する際に直面する主な課題として、以下の4点が挙げられます。

    1. コストの問題:脆弱性診断は専門的な技術とツールを要するため、実施コストが高くなりがちです。
    2. 専門知識の必要性:診断結果を適切に解釈し、対策を講じるには専門的な知識が不可欠です。セキュリティの専門家が不足している企業では対応が遅れがちになります。
    3. 診断後のサポート不足:診断後に必要な修正や対策を行うためのサポートが不十分な場合が多く、結果的に脆弱性が放置されるリスクが高まります。
    4. 手動診断と自動診断のバランス:手動診断は時間とコストがかかる一方、自動診断は検出精度に限界があるため、両者の適切なバランスが求められます。

    これらの課題に対処するため、「かかりつけ医」のような存在としてセキュリティベンダーとの関係構築が推奨されます。いざという時だけでなく、日頃からかかりつけ医のような存在としてセキュリティベンダーとの関係を構築することで、結果的に自社のセキュリティレベルの向上と維持が図れます。

    「かかりつけ医」のメリットとしては、まず、病歴や体質(システム環境や脆弱性の状況)を把握しており、素早く適切に対応できること。そして、気軽に相談できるので、問題が早期発見しやすいこと。結果として、必要に応じて他の専門医(専門的なセキュリティサービス)への連携もスムーズになることも含め、メリットは多々あると言えます。

    高精度な脆弱性診断とサイバー保険を含む継続的なサポート体制

    脆弱性診断を効果的に行うためには、精度の高い診断と充実したサポート体制が不可欠です。高品質な脆弱性診断サービスには、有資格者による手動検査、網羅性の高い診断内容、わかりやすい報告書の提供、診断後のサポートなどの特徴があります。特に重要なのは、診断結果に基づいた対策の実施と、定期的な診断による継続的な脆弱性管理サイクルの確立です。

    ブロードバンドセキュリティのSQAT®(Software Quality Analysis Team)脆弱性診断サービスを例に、効果的な脆弱性診断の要素が説明されました。まず「Quality(品質)」として、情報処理安全確保支援士やCISSP、CEH等の有資格者による手動/ツール検査を実施していること、OWASP TOP10やNIST SP 800シリーズ、IPAの「安全なWebサイトの作り方」などの標準を踏襲した網羅性の高い診断内容を提供していることが特徴です。

    次に「Communication(コミュニケーション)」の観点では、診断実施部門だけでなく報告書のレビューを専門とする部門やツール開発部門が各役割に集中する体制を整え、専用ポータルサイトを通じた効率的な情報共有を実現しています。

    さらに「Support(サポート)」面では、診断結果に関する問い合わせを診断実施後も受け付け、報告書納品日から3ヶ月間は再診断を無償で提供するなど、継続的なサポート体制を整えている点が強調できます。

    付け加えると、同社の脆弱性診断サービスの特徴として、豊富な診断シグネチャ(検査パターン)、スピーディな報告(診断終了後4営業日以内の報告書納品)、情報収集力に裏打ちされた分析、多彩なオプションメニューなどが挙げられます。

    手動診断とツール診断のそれぞれの特徴と使い分けについても説明します。

    手動診断は網羅性、検査の深度、精度が高い一方でコストも高くなります。一方、ツール診断は低コストで実施できますが、検出できない項目もあります。両者の適切な組み合わせとして、「リリース時や年に一度は手動診断、日常的な監視はツール診断」といった使い分けが効果的です。

    特に注目すべき点として、ブロードバンドセキュリティは三井住友海上火災保険株式会社との提携により、「サイバー保険付帯の脆弱性診断サービス」を提供しています。このサービスは、脆弱性診断契約日から1年間、情報漏えいやサイバー攻撃に起因する賠償損害および事故発生時に対策を講じた場合の費用損害を最大1,000万円まで補償するものです。

    実際の初動対応には平均して1,000万円程度必要であると想定されています。この補償は脆弱性診断サービスにオプションとして付けるのではなく、対象となる診断サービスを受けると自動的に付帯します。

    脆弱性診断を活かす継続的なセキュリティ対策

    最後に、脆弱性診断を単発で終わらせるのではなく、継続的なセキュリティ対策として活用するためのポイントを紹介します。脆弱性は日々増加し、攻撃手法も進化し続けるため、一度の診断だけでは十分な対策とは言えません。診断対象の特徴や検査目的に合わせた適切な診断手法の選定と、定期的な脆弱性の洗い出しと棚卸が重要です。

    脆弱性診断は一度実施したらそれで終わりというものではありません。脆弱性は日々新たな手法や種類が増加し続けるため、診断実施後に適切なセキュリティ対策を行っていたとしても、形を変えて再び脆弱性が生じる可能性は十分にあります。

    継続的なセキュリティ対策のサイクルとして、以下のステップが推奨されています。

    1. 脆弱性診断の実施
    2. セキュリティ対策の実施
    3. 新たな脆弱性・攻撃手法の登場に注意
    4. 自組織の環境やシステム特性に適した診断の選定

    このサイクルを繰り返すことで、持続的にセキュリティレベルを向上させることができます。また、診断対象の特徴や検査目的に応じて、手動診断とツール診断を適切に組み合わせることも重要です。

    まとめ:効果的な脆弱性管理で高まるセキュリティ体制

    脆弱性診断を「やりっぱなし」にせず、継続的な脆弱性管理の一環として活用することが、組織のセキュリティ体制強化には不可欠です。サイバー攻撃が高度化・巧妙化する現代においては、脆弱性診断の実施、診断結果に基づく対策の実施、新たな脆弱性への対応という一連のサイクルを確立することが重要です。自社の環境やシステム特性に合わせた適切な診断手法を選定し、定期的な診断を通じて継続的にセキュリティレベルを向上させていきましょう。

    脆弱性をなくすこと(攻撃の的をなくすこと)が最も重要です。攻撃者は実際の攻撃行動に移る前に、クローリングツールなどを使って脆弱性をスキャンします。脆弱性の少ないシステムは攻撃者にとって「コストパフォーマンスが悪い」ターゲットとなり、結果的に攻撃を受けにくくなります。

    サイバー保険も含めた総合的な脆弱性対策を構築することで、万が一の事態にも備えることができます。ブロードバンドセキュリティのように、高精度な診断と充実したサポート体制を持つセキュリティベンダーと連携することで、より効果的な脆弱性管理が可能になります。

    脆弱性管理は単なるコスト要素ではなく、企業の競争力維持やリスク管理のための重要な投資です。サイバー保険の付帯のある脆弱性診断サービスを受けていても、被害があったときかかってしまう損害額を考えると費用対効果は決して悪くないと言えます。

    最終的に、脆弱性診断を含む継続的なセキュリティ対策サイクルの確立は、お客様に安心して自社サービスを利用し続けてもらうための基盤となるのです。これからのデジタル時代において、適切な脆弱性管理は企業の信頼性と持続可能性を支える重要な要素であると言えるでしょう。

    Webアプリケーション脆弱性診断バナー

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ウェビナー開催のお知らせ

  • 2025年4月23日(水)14:00~15:00
    今知るべき!サポート切れのソフトウェアへのセキュリティ対策ガイド
  • 2025年4月30日(水)13:00~13:30
    CVSSとSSVCで実践する次世代脆弱性管理:サイバー攻撃対策セミナー2024
  • 2025年5月14日(水)14:00~15:00
    クラウド利用の落とし穴と対策とは?今こそ見直すべきクラウドセキュリティ対策-セキュリティ設定診断の活用方法をご紹介-
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。


    Security Serviceへのリンクバナー画像

    BBsecコーポレートサイトへのリンクバナー画像

    セキュリティ緊急対応のバナー画像

    2025年春のAI最新動向第3回:
    生成AIの未来と安全な活用法 -私たちはAIをどう使うべきか?-

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    本記事では全3回のシリーズを通して、2025年春時点でのAIをめぐる様々な事象をまとめています。連載第3回目となる今回は、生成AIを私たちはどのように活用すべきか、今後の展望について解説します。

    OWASP Top 10でみる生成AIのセキュリティリスク

    AIをめぐるセキュリティリスクを簡便にまとめた情報がOWASP Top 10 for LLM Applications 2025として公開されています。2024年11月に公開された2025年版では、以下の10項目がトップ10に挙げられています。

    • LLM01:2025 プロンプトインジェクション
      概要:ユーザーが入力したプロンプトが、意図しない形で LLM の挙動や出力に影響を与える脆弱性
    • LLM02:2025 センシティブ情報漏洩
      概要:LLMとそのアプリケーションのコンテキストにおいて、個人情報、金融情報、機密ビジネスデータ、セキュリティ認証情報などのセンシティブな情報が漏洩するリスク
    • LLM03:2025 サプライチェーン
      概要:LLMのサプライチェーンにおける脆弱性が、トレーニングデータ、モデル、デプロイメントプラットフォームの完全性に影響を与え、バイアスのある出力やセキュリティ侵害を引き起こすリスク
    • LLM04: データとモデルの汚染
      概要:事前学習、ファインチューニング、または埋め込みデータが操作され、脆弱性、バックドア、またはバイアスが導入されることによって、モデルのセキュリティ、パフォーマンス、または倫理的行動が損なわれるリスク
    • LLM05:2025 不適切な出力処理
      概要:LLMによって生成されたコンテンツの検証、サニタイズ、および処理が不十分なまま、他のコンポーネントやシステムに渡されることによって生じる脆弱性
    • LLM06:2025 過剰な代理権
      概要:LLMベースのシステムが、プロンプトに応答してアクションを実行するために、他のシステムと連携する機能を与えられることによるリスク
    • LLM07:2025 システムプロンプトリーク
      概要:LLMアプリケーションのシステムプロンプトが漏洩することにより、攻撃者がアプリケーションの内部動作を理解し、悪用するリスク
    • LLM08:2025 過度な信頼
      概要:LLMの出力の正確さや適切さに対する過度な依存によって生じるリスク。ユーザーがLLMの出力を効果的に評価できない場合、誤情報や不適切なアドバイスを受け入れる可能性が高まる
    • LLM09:2025 誤情報の生成
      概要:LLMが誤った情報や偏った情報を生成・拡散するリスク
    • LLM10:2025 無制限の消費
      概要:LLMが入力クエリまたはプロンプトに基づいて出力を生成するプロセスにおいて、リソース管理が不適切であることによって生じるリスク。モデルの窃取やシャドウモデルの作成につながる可能性もある

    Top10には実際にジェイルブレイクの手法として用いられるものも含まれています。また、AIによるサービスを提供する側がガードレールによって回避すべき問題も多く含みますが、LLM08:2025 過度な信頼のようにユーザ側の問題も含まれています。

    生成AIの利用用途 -私たちはAIをどう使うべきか?-

    生成AIサービスであり基盤モデルでもある「Claude」を提供するAnthropic社が、2025年2月10日、「The Anthropic Economic Index」という分析レポートを公開しました。同レポートでは、Claudeの利用データ(匿名データ)を用いて私たちが普段どのようにAIを使っているかを具体的に分析しています。

    生成AIの主な利用用途

    • ソフトウェア開発とテクニカルライティングが主要な利用用途
    • 生成AIが人間の能力と協力して強化・拡張(Augumentation)する目的で使用されることが57%を占めており、AI が直接タスクを実行する自動化(Automation, 43%)を上回っている
    • 生成AIの使用はコンピュータープログラマーやデータサイエンティストなどの中~高程度の賃金を得られる職業※ で一般的
      ※Claudeのユーザーの利用用途をタスク別に割り当て、そのタスクが実行される可能性が高い職業を割り当てている点に注意
    • 最高賃金帯と最低賃金帯のタスクで利用頻度が低い

    ここまで書いてきましたが、生成 AI・基盤モデル(LLM含む)をめぐっては2025年3月現在、以下のような問題があります。

    • 過度な信頼や誤情報に対する警戒(OWASP Top 10 for LLM Applications 2025やEU AI法)
    • 機微情報や著作物の取り扱いに関するルール作り(日本をはじめとする各国法制度)

    機微情報や著作物に影響されない分野としてソフトウェア開発やテクニカルライティングがあり、その中でもある程度誤情報の検知や生成AIの出力に対して過度に期待しない一定程度の経験のある層が生成AIを使いやすいという状況の結果として、現時点での利用方法があると考えられるかもしれません。

    AIの安全な利用に向けて

    機微情報や著作物の扱いに関する問題やジェイルブレイクによる危険な情報の出力、誤情報といった具体的な問題がある一方、生成AIに限らずAI全般において安全性をどう保証するのか、インシデントをどのように調査し報告するのかといった面については現在も議論が続いています。EUでAI法は施行されてはいるものの、実際の法規制はこれからとなります。容認できないリスクに当たるAIへの規制はすでに2025年2月2日から始まっていますが、そのほかのAIシステムについてはこれから規則が適用されることになっています。EUのAI法のアプローチによる安全性の保証がどう効果をもたらすかは1年以上を経ないとわからないのが実情です。また、2025年2月4日に内閣府のAI戦略会議から公開された「中間とりまとめ(案)」でも、安全性については制度・施策の中で透明性・適正性の確保と並んで課題として挙げられています。

    まとめ

    2025年春、生成AIは急速に進化し、私たちの日常やビジネスに大きな影響を与えています。しかし、その一方でジェイルブレイク、情報漏洩、誤情報生成など、数多くのセキュリティリスクも指摘されています。各国の政府や監督機関は、これらのリスクに対応するための法規制やガイドラインを整備しつつあり、利用者としても安全対策の強化が求められています。今後、生成AIを安全に活用するためには、最新の規制情報やガイドラインに基づいた対策を実施し、脆弱性診断などを通じてシステムの弱点を常に把握することが必要です。SQAT.jpでは、今後も生成AIの安全性に関する問題に注視し、ご紹介していきたいと思います。

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    【連載一覧】

    ―第1回「生成AIとは? -生成AIの基礎知識と最新動向-」―
    ―第2回「生成AIをめぐる政府機関および世界各国の対応」―


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    2025年春のAI最新動向第2回:生成AIをめぐる政府機関および世界各国の対応

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    生成AIの普及が進む中、その安全性やセキュリティリスクについての議論が活発になっています。2025年春時点でのAIをめぐる様々な事象をまとめた本連載第2回目となる今回は、生成AIをめぐる政府機関および世界各国の対応についてご紹介します。

    DeepSeekに対する各国の反応

    DeepSeekは個人情報の保護を定める自国の法律に適合しないという理由から、韓国*7やイタリア*2では監督官庁が禁止措置などを講じています。また、日本では2025年2月3日、個人情報保護委員会から「DeepSeekに関する情報提供」という形で以下の点について周知がされました。

    - 同社の生成AIサービスについては、日本国内でサービス提供体制が構築されている他のサービスとは異なり、留意すべき点がありますが、同社が公表するプライバシーポリシーは中国語と英語表記のもののみとなっています。このため、同社が公表するプライバシーポリシーの記載内容に関して、以下のとおり、情報提供を行います。

    1. 当該サービスの利用に伴いDeepSeek社が取得した個人情報を含むデータは、中華人民共和国に所在するサーバに保存されること
    2. 当該データについては、中華人民共和国の法令が適用されること

    参考情報:
    ・個人情報保護委員会事務局「DeepSeek に関する情報提供」(令和7年2月3日)

    DeepSeek R-1は公開からわずか1カ月ほどでそのモデルの公開方法や安価な料金によって注目を浴びました。しかし一方で、セキュリティ上の問題や個人情報の保護の観点から多くの問題を巻き起こしています。

    生成AI全般に関する政府機関からの注意喚起

    国内では前述した個人情報保護委員会からの周知に引き続き、デジタル庁から生成AIの業務利用に関して注意喚起が行われました。この注意喚起はDeepSeekに関する周知をきっかけに、生成AI全般の利用について政府機関が再度注意喚起を行ったものです。

    • DeepSeekに関する個人情報保護委員会からの情報提供
    • 生成AIの業務利用に関する申し合わせの再周知
    • 他の生成AIサービスも含めて生成AIサービスは約款型サービスであることから、原則として用機密情報を取り扱わない
    • 機密情報を取り扱わない場合でもリスクを考慮したうえで必要な手続きを行い、申請・許可を要する
      (上記は2023年(令和5年)9月15日デジタル社会推進会議幹事会申合せ「ChatGPT等の生成AIの業務利用に関する申合せ(第2版)」で申し合わせ済の事項)
    • 国外サーバへのデータの転送は利用可否判断の差異の考慮すべきリスク
    • 生成AIサービスについてもIT調達申し合わせの対象

    参考情報:
    ・デジタル社会推進会議幹事会事務局「DeepSeek等の生成AIの業務利用に関する注意喚起(事務連絡)」(令和7年2月6日)

    改めて見直すとわかる通り、政府関係機関としても、DeepSeekに限らず生成AIサービス全般に対して業務上で利用することに制限をかけています。また、IT調達申し合わせの対象となっている点にも注意が必要です。

    一方、個人情報保護委員会からは2023年6月に「生成AIサービスの利用に関する注意喚起等」で一部事業者に対する要配慮個人情報の取得及び利用目的の通知などについての注意喚起が行われています。全般の注意喚起では個人情報取扱事業者、行政機関、一般利用者それぞれに向けた注意点が記載されています。一般の利用者向けの留意点としては以下の点が挙げられています。

    • 入力された情報が機械学習の利用や他の情報との統計的な結びつきにより正確/不正確を問わず出力されるリスクがある
    • 応答結果に不正確な内容が含まれることがある
    • 推奨:利用規約やプライバシーポリシーを十分に確認し、入力情報と照らし合わせて利用について適切に判断すること

    同時に発表された一部事業者への注意喚起では以下の点について注意喚起を行ったことがわかっています。

    • 個人情報、特に要配慮個人情報の収集を含まれないような取り組みの実施
    • 学習データセットへの加工前に要配慮個人情報を削除するか、個人識別ができないような措置の実施
    • 特定のサイトまたは第三者から要配慮個人情報を収集しないよう要請・指示が本人または個人情報保護委員会からあった場合、正当な理由がない限りは従うこと
    • 機械学習に利用されないことを選択してプロンプトに入力したよう配慮個人情報について正当な理由がない限り取り扱わないこと
    • 利用者及び利用者以外のものを本人とする個人情報の利用目的について、日本語を用いて双方に対して通知または公表すること

    2年前に注意喚起が行われて以降、注意喚起が行われた事業者のサービスを含む一部のサービスでは学習データへの再利用のオプトアウトメニューが実装されましたが、一部の事業者のみが実装するにとどまっているのが現状です。

    生成AIサービス利用に関する契約チェックリスト

    生成AIサービスの利用全般については2025年2月18日に経済産業省から「生成AIサービスの利用・開発に関する契約チェックリスト」が公開されています。チェックリストはインプット・アウトプット、またそれぞれの処理成果に対して設定されています。セキュリティに関してはチェックリスト内に、以下の観点でのチェック項目が設けられています。

    • 対象システム(AIサービス)のセキュリティ水準
    • 監査条項等
    • ログの保存
    • 規約改定に関する留意点
    AIの利用・開発に関する契約チェックリスト画像
    チェックリストの対象となる条項
    出典:経済産業省「AIの利用・開発に関する契約チェックリスト」p.11より抜粋

    全体としてデータが不適切に利用されないよう、利用者が不利益を被らないよう、チェックが行えるようなリストとなっています。生成AIサービスを利用されている場合、利用する予定がある場合には一度チェックしてみることをおすすめします。

    AIの安全性を確保するための法整備

    現在、各国でAIの安全性を確保するための法整備が進められています。

    欧州データ保護委員会(EDBP) Opinion

    EUでは個人情報保護についてGDPRがあり、その監督機関である欧州データ保護委員会(EDBP)が 2024年12月17日に「Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models」を公開しています。EDBPのOpinionには法的拘束力はありませんが、EUにおけるAIへの個人情報保護法制の今後を推測するものといえます*3。同資料では以下の3点について考察が行われています。概要を記載しますが、詳細は本文や引用元をご覧ください。

    1.AIモデルを匿名と見なすことができる場合と方法

    • AIモデルが匿名であるかどうかは、DPAがケースバイケースで評価すべきだとしている
    • 匿名化の結果、再度個人データを抽出できる可能性が非常に低い必要があるとされている

    2.AIモデルを開発または使用するための法的根拠として正当な利益を使用できるかどうか、およびどのように使用できるか

    • 従来から GDPR を回避するために正当な利益のみを法的根拠としてきた事業者に対して、正当な利益と主張しているものが本当に正当かどうかを確認するよう求められているもの
    • EDPBは[三段階のテスト]を用いて正当な利益の仕様であるかどうかを評価するよう求めている
      STEP1. 管理者または第三者に正当な利益はあるか
      STEP2. 正当な利益のために処理が本当に必要か
      STEP3. 個人の利益や基本的な権利と自由は、正当な利益によって覆されうるのか
      参考情報:https://www.edpb.europa.eu/system/files/2024-10/edpb_summary_202401_legitimateinterest_en.pdf

    3.違法に処理された個人データを使用してAIモデルが開発された場合に何が起こるか

    • AIモデルが違法に処理された個人データを使用して開発された場合、モデルが適切に匿名化されていない限り、そのデプロイの合法性に影響を与える可能性があるとされている

    EU AI法

    また、EUではAI全般をリスクベースで管理するためのAI法(『EU AI Act: first regulation on artificial intelligence』)が2024年に施行されました。

    EUではリスクレベルを以下のように定義し、それぞれに要件を設けています。

    許容できないリスク

    • 人や特定の脆弱なグループの認知行動操作(例えば、子供の危険な行動を助長する音声作動玩具)
    • ソーシャルスコアリング AI(行動、社会経済的地位、または個人の特性に基づいて人々を分類します)
    • 人々の生体認証と分類
    • 公共スペースでの顔認識などのリアルタイムおよびリモート生体認証システム
      法執行目的では一部例外が認められる場合がある。

    ハイリスク

    以下が該当し、規制の対象となる。

    (1). EUの製品安全法に該当する製品に使用されているAIシステム(玩具、航空、自動車、医療機器、リフトなど)
    (2). 特定の分野に分類されるAIシステム

    • 重要インフラの管理・運用
    • 教育と職業訓練
    • 雇用、労働者管理
    • 自営業へのアクセス
    • 必要不可欠な民間サービス
    • 公共サービス
    • 福利厚生へのアクセスと享受
    • 法執行機関
    • 移民、庇護、国境管理管理
    • 法律の解釈と適用に関する支援

    すべての高リスクAIシステムは、市場に投入される前、およびそのライフサイクル全体を通じて評価される。人々は、AI システムに関する苦情を指定された国家当局に申し立てる権利がある。

    透明性リスク

    • General-purpose AI(GPAI)として定義される生成AIサービス全般が該当
    • ミニマルリスクやハイリスクでも該当する場合がある
    • 許容できないリスクやハイリスクに分類されない場合でも、透明性要件とEUの著作権法に準拠する必要がある
      ・コンテンツがAIによって生成されたことを開示する
      ・不正なコンテンツが生成されないようにモデルを設計する
      ・トレーニングに使用した著作権で保護されたデータの概要の公開
    • システミックリスクをもたらす可能性のある影響の大きい汎用AIモデルは、徹底的な評価を受け、重大なインシデントが発生した場合は欧州委員会に報告する必要がある。
    • AIの助けを借りて生成または変更されたコンテンツ(画像、オーディオ、ビデオファイル(ディープフェイクなど))は、ユーザーが認識できる形で AI 生成であることをラベル付けする必要がある。

    ミニマルリスク

    スパムフィルターなどのリスクが最小限にとどまるAIサービスが該当

    なお、AI法はGDPR同様に日本の事業者がAIサービスをEU圏で提供する場合にも適用される*4とのことです。

    韓 AI基本法

    韓国ではAI基本法が2024年末に国会で議決*5されています。主な内容は以下の通りです。

    • AIの発展と信頼基盤造成のための推進体系の構築:競争力強化のためのAI基本計画の策定、AI安全研究所の運営など
    • AI産業の育成支援:AI研究開発・標準化・学習用データ施策の策定・AIの導入および活用に対する政府支援、AI集積団地の指定、専門人材の確保、中小企業のための特別支援など
    • 影響度の高いAI(人の生命・安全・基本的な権利に重大な影響を及ぼす可能性があるAI)・生成型AIに対する安全・信頼基盤の構築:透明性・安全性確保義務の規定、事業者の責務規定、AIの安全性・信頼性の検証・認証に対する政府支援、影響評価に対する政府支援など

    英国AISI

    英国では2025年2月14日に発表されたAnthropicとの協力関係を元にAISI(AI Security Insititute)を中心に国家安全保障やサイバー攻撃、詐欺や児童性的虐待などの国民に被害を及ぼす犯罪や治安問題に関連するリスク保護を強化し、経済の成長を支援する目的でのAI活用の推進を進めるとしています*6

    ―第3回「生成AIの未来と安全な活用法 -私たちはAIをどう使うべきか?-」へ続く―

    連載第2回では、生成AIに対する政府機関からの注意喚起や取り組みについてご紹介しました。次回、第3回では生成AIの安全な利用・活用方法と今後の展望についてみていきます。

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    【連載一覧】

    ―第1回「生成AIとは? -生成AIの基礎知識と最新動向-」―
    ―第3回「生成AIの未来と安全な活用法 -私たちはAIをどう使うべきか?-」―


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像