DoS攻撃のリスクと対策：アクセス急増の原因と見分け方、サービス停止を防ぐ初動対応

Security NEWS TOPに戻る
バックナンバー TOPに戻る

Webサイトやオンラインサービスでアクセスが急増した場合、その原因が通常の利用増加なのか、DoS攻撃などによる異常な負荷なのかを早期に見極めることが重要です。判断を誤ると、サービス停止や業務影響につながるおそれがあります。

本記事では、アクセス急増時に確認すべきポイントを整理し、DoS攻撃による停止リスクが高まる状況の見分け方や、企業が優先して実施すべきDoS攻撃対策の考え方を解説します。用語解説にとどまらず、脆弱性管理や初動対応など実務で役立つ判断軸を中心にまとめています。

アクセス急増が起きたときに最初に考えるべきこと

アクセス数や通信量が増えること自体は、必ずしも問題ではありません。キャンペーンやメディア露出など、正当な理由でトラフィックが増加するケースも多くあります。

一方で、原因を確認しないまま放置すると、サーバやネットワークに過剰な負荷がかかり、応答遅延やエラーの多発、最悪の場合はサービス停止に発展します。重要なのは「増えている」という事実そのものではなく、なぜ増えているのかを切り分けることです。

最初の15分で確認すべき初動対応のポイント

アクセス急増を検知した直後は、次の観点を優先的に確認します。

いつから増え始め、どの程度の時間継続しているか
影響が出ているのはどこか（ネットワーク、ロードバランサ、アプリケーション、DBなど）
帯域・リクエスト数・エラー率のどれが増えているか
直近で行ったリリースや設定変更の有無

この初動判断が、DoS攻撃か通常のアクセス増加かを見極める第一歩になります。

サービス停止につながる代表的な原因

アクセス急増や負荷増大の原因には、いくつかのパターンがあります。

一時的な正規アクセス集中

特定の時間帯やイベントをきっかけに利用が集中するケースです。多くの場合、時間の経過とともに自然に収束します。

設定不備・設計上の問題

アクセス制限やリソース管理が適切でないと、通常利用でも過剰な負荷がかかり、サービス停止を招くことがあります。

悪意ある大量リクエスト（DoS攻撃・DDoS攻撃）

意図的に大量の通信や処理を発生させ、サービスを利用不能にするケースです。一般にDoS攻撃やDDoS攻撃と呼ばれるものは、この原因の一つとして位置づけられます。

重要なのは、最初から攻撃と決めつけず、原因を整理して順序立てて切り分けることです。

DoS攻撃とは何か・DDos攻撃との違い

「DoS（Denial of Service）攻撃」とは、サーバやネットワークに過剰な負荷をかけることで、サービスを正常に利用できなくする攻撃手法です。単一の攻撃元から行われる場合もあれば、複数の端末を利用して分散的に行われるケースもあります。複数の分散した（Distributed）拠点から同時に行われるものは、「DDoS（Distributed Denial of Service）攻撃」と呼ばれます。

DDos攻撃について、SQAT.jpでは以下の記事でも解説しています。こちらもあわせてぜひご覧ください。
「記録破りのDDoS攻撃！サイバー脅威の拡大と企業が取るべき対策とは？」
「【徹底解説】日本航空のDDoS攻撃被害の実態と復旧プロセス」

企業のWebサービスは外部公開されている性質上、DoS攻撃の影響を受けやすく、特に処理能力に余裕がない構成や設定不備がある環境では、比較的少ない負荷でもサービス停止に至ることがあります。DoS攻撃は「特別な脅威」ではなく、サービス停止リスクの一因として日常的に考慮すべきものです。

DoS攻撃 / DDoS攻撃の特徴

攻撃難易度の低さ

DoS攻撃/DDoS攻撃の特徴のひとつが攻撃の難易度の低さです。

多くの場合、コンピュータプログラムを書いてマルウェアを開発するような技術力は不要で、APTのような組織・資金・技術力もいりません。

インターネット上には、多数のDoS攻撃ツールが存在します。また、ストレステスト等の正規ツールを悪用してDoS攻撃を行う場合もあります。そればかりか、クレジットカードさえあればすぐに利用できる「DDoS攻撃を請け負う違法サービス」すら存在しています。

DoS攻撃/DDoS攻撃によるサービス停止は機会損失を生み、ブランド毀損は通常のサイバー攻撃より大きい場合もあります。また、直接攻撃対象とならなくても、攻撃の踏み台にされることで間接的な加害者となる危険性もあります。

社会・政治的動機

DoS攻撃、特にDDoS攻撃の特徴を示すキーワードが「社会・政治」です。

2010年、米大手決済サービスが、国際的な内部告発サイトが運営のために支援者から寄付を集める際に利用していた口座を、規約にしたがって凍結したことに対し、ハッカー集団がDDoS攻撃を実施、米大手決済サービスのサービスが一部停止する事態に陥りました。

このように、実施のハードルが低いDoS攻撃/DDoS攻撃は、人々が自身のさまざまな意思を表明するために、あたかもデモ行進のように実施されることがあります。かつては、DDoS攻撃をデモ活動同様の市民の権利として認めるべきであるという議論がまじめに行われていたこともありました。しかし、実際には「気に食わない」だけでもDDoS攻撃は行われ得るのです。社会課題の解決、ナショナリズム、倫理などを標榜していたとしても、端から見るとヘイトや嫌がらせと変わらないことがあります。

このような背景があるため、単に技術的な負荷として片付けられない場合もある点に留意が必要です。

ブランド毀損など、DoS攻撃/DDoS攻撃を受けた場合の被害が大きい

政治的、社会的、あるいは倫理的文脈から批判が集中した企業やサービスなどに対して、一度DoS攻撃/DDoS攻撃がはじまると、その趣旨に共感した人々が次々と参加し、ときに雪だるま式に拡大することがあるのもこの攻撃の特徴です。

また、DoS攻撃/DDoS攻撃は、攻撃が起こっていることが外部からもわかるという点で、外部に公表するまでは事故の発生がわからない情報漏えいのようなタイプのサイバー攻撃とは異なります。「広く一般に知られる」ことが容易に起こりうるため、ブランドへの負のインパクトが発生する可能性も大きいといえます。

DoS攻撃/DDoS攻撃の発生に気づくのが難しい

そもそもWebサービスは、その性質上外部に公開されるものです。そのためDoS攻撃やDDoS攻撃を完全に防ぐことは容易ではありません。特に多数の機器を踏み台として巻き込むDDoS攻撃の標的となった場合には、気づく間もなくあっという間にサービス拒否状態に陥る可能性が高いでしょう。

DoS攻撃による企業への影響とリスク

DoS攻撃による影響は、単なる一時的な停止にとどまりません。

Webサイトやサービスが利用できなくなることによる機会損失
業務システム停止による業務遅延
顧客満足度の低下や信用・ブランドへの影響

特にBtoBサービスの場合、短時間の停止であっても取引先への影響が大きく、事後対応に多くの工数を要するケースがあります。

関連記事：「DoS攻撃/DDoS攻撃の脅威と対策」

DoS攻撃かどうかを見分けるための確認ポイント

アクセス急増時には、いくつかの観点から状況を確認することで、異常かどうかを判断しやすくなります。

タイミングと継続時間

増加のタイミングと継続時間です。特定の時間帯だけ集中しているのか、長時間にわたって負荷が続いているのかによって、想定される原因は異なります。

アクセス元・リクエスト内容

同じ操作やURLへのリクエストが繰り返されていないか、特定のIP帯や地域に偏っていないかを見ることで、通常利用との違いが見えてきます。

ログ・監視データから見る攻撃兆候

エラー発生状況やレスポンス時間の変化を確認することで、単なるアクセス増加なのか、処理を圧迫する挙動なのかを把握できます。

これらを総合的に確認することで、「様子見でよいケース」か「早急な対応が必要なケース」かを判断できます。

企業が優先して実施すべきDoS攻撃対策

DoS攻撃対策は、すべてを一度に実施する必要はありません。優先順位を付けて、自社環境に合った対策を選択することが重要です。

DoS攻撃/DDoS攻撃にも有効な3つの基本的対策

DoS攻撃、特にDDoS攻撃の対策としては、CDN（Content Delivery Networks）の利用、DDoS攻撃対策専用アプライアンス、WAF（Webアプリケーションファイアウォール）などが威力を発揮します。

そして、これらの対策を適用する際には、同時に、セキュリティ対策の基本ともいえる以下の3点に対応できているかどうかも確認しましょう。

1．必要のないサービス・プロセス・ポートは停止する
2．DoS攻撃/DDoS攻撃の端緒になりうる各種の不備を見つけて直す
3．脆弱性対策が施されたパッチを適用する

いずれもセキュリティ対策の「基本中の基本」といえるものばかりですが、防御可能なタイプのDoS攻撃を回避し、システムがDDoS攻撃の踏み台にされることを防ぐためにきわめて有効です。

DoS攻撃対策でよくある誤解と見落とし

DoS攻撃対策というと、高価な専用製品を導入しなければ防げないと考えられがちですが、それだけで十分とは限りません。「対策しているつもり」になっている状態や、運用面の確認が不十分なケースも多く見られます。日常的な設定確認や運用の見直しが、結果としてリスク低減につながります。

自社だけでの対応が難しい場合の考え方

アクセス急増の原因が複雑で判断が難しい場合や、継続的な運用に不安がある場合は、第三者の視点を取り入れることも有効です。定期的なセキュリティ診断や評価を通じて、自社では気づきにくいリスクを把握することができます。

脆弱性や設定不備を狙ったDoS攻撃は防ぐことができる

DoS攻撃/DDoS攻撃は攻撃の発生に気づくのが難しいという話を前段で述べましたが、一方で、防ぐことができるタイプの攻撃も存在します。

一部のWebサイトでは、「長大な文字列を受け入れてしまう」「ファイルの容量を制限しない」など、DoS攻撃につけ込まれてしまう問題が存在することがあります。また、ネットワーク関連の設定の不備によってDoS攻撃を受ける可能性も存在します。しかし、こうした脆弱性は、修正による回避が可能です。

また、あなたの企業が直接DoS攻撃の攻撃対象とならなくても、上述のような脆弱性を放置しておくとDDoS攻撃の踏み台にされることもあります。その対策としては、各種機器・OS・ソフトウェアの脆弱性管理を適切に行うことや、脆弱性診断等のセキュリティ診断を定期的に実施して未知のリスクを把握し、対処することが重要です。

診断会社あるある「すわ、DoS攻撃？」

ここで余談ではありますが、診断実施に伴う「あるある」エピソードを。

セキュリティ診断を行う際には、必ず、実施の年月日や時間帯を関連する部署に周知しなくてはなりません。

実は、診断実施に伴って事業部門等が「DoS攻撃が発生した！」と勘違いすることが、しばしばあるのです。もちろん、一般にインターネット上に公開しているシステムの場合には業務に差し支えるような検査の仕方をしないというのが大前提ですが、それでも、大量の問合せ等が発生すると何も知らされていない担当部署はサイバー攻撃と勘違いすることがあります。ついでにこの際に抜き打ちで社内のサイバー訓練を・・・と目論みたい気持ちが出たとしても、それを実行に移すのは大変危険です。訓練は訓練させる側にきちんとした検証シナリオがあってこそ効果を発揮します。まずは関係各所との連携を徹底するところから始めましょう。

まとめ

DoS攻撃は、特別なケースではなく、サービス停止リスクの一因として日常的に考慮すべきものです。

アクセス急増時はまず原因を切り分ける
DoS攻撃の影響と兆候を理解する
見分け方を把握し、初動対応を誤らない
優先順位を付けて対策・運用を進める
必要のないサービス・プロセス・ポートの停止、などの基本的対策が有効
脆弱性を突いて行われるDoS攻撃は、脆弱性診断などで発見し対策できる

これまで述べたように、DoS攻撃/DDoS攻撃は、機会損失やブランド毀損など事業継続性を損なうダメージをもたらし得るサイバー攻撃です。DDoS攻撃の踏み台となれば社会的責任が問われることもあるでしょう。経営課題のひとつとして認識し、対処することが大切です。

お問い合わせ

お問い合わせはこちらからお願いします。後ほど、担当者よりご連絡いたします。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2025年12月10日2025年12月10日

最短7営業日で診断完了 — 脆弱性診断サービス「SQAT® with Swift Delivery」で企業セキュリティを強化

Security NEWS TOPに戻る
バックナンバー TOPに戻る

デジタル化が進む今、企業を狙うサイバー攻撃はかつてないほど高度化、巧妙化しています。法規制やコンプライアンスの強化も相まって、「自社システムの安全性」は経営リスクそのもの。そこで注目されるのが、短期間でセキュリティの脆弱性を“洗い出す”脆弱性診断サービスです。本記事では、最短7営業日で診断可能な「SQAT^® with Swift Delivery」について、その特長と導入メリットをご紹介します。

なぜ今、企業に「脆弱性診断」が求められているのか

サイバー攻撃の高度化 — 増え続ける脅威

企業を狙う攻撃は、従来のフィッシングやマルウェアにとどまりません。サプライチェーンを狙った攻撃、ゼロデイ攻撃、AI を悪用したフィッシングなど、手口は年々進化。これにより、既存の防御だけでは不十分なケースが増えています。

製造業

製造業へのサイバー攻撃が前年比で 30％増加。週あたり平均攻撃件数が 1,585件という調査報告あり
ランサムウェアの被害件数でも産業別で「製造業」が上位に定着
事例：日本の大手飲料メーカー「アサヒグループ」でも Qilin ランサムグループによる攻撃があり、生産ラインに影響。

参考：Check Point Research「The State of Ransomware Q3 2025」（https://research.checkpoint.com/2025/the-state-of-ransomware-q3-2025/）

法規制とコンプライアンス対応の強化

個人情報保護法の改正や国際的なデータ保護規制の拡大により、企業には厳格なセキュリティ対策と定期的な診断が求められています。これを怠ると、情報漏えいや監査リスク、企業イメージの毀損につながる可能性があります。

事業継続性と企業信用を守るためのリスク管理

万が一のインシデントが発生した際、対応が遅れれば復旧までに大きな時間とコストがかかります。脆弱性診断で潜在的リスクを洗い出し、事前に対策することは、「ビジネスの継続性」と「顧客・取引先の信頼維持」に直結します。

多くの企業が抱える「脆弱性管理」の課題

多くの企業が抱える脆弱性管理の課題は、次の3点に集約されます。

脆弱性の発見遅延：新規脆弱性の平均発見所要時間は205日（出典：Ponemon Institute 2023 Vulnerability Report）、重大な脆弱性の見落とし率は約27%（出典：Cybersecurity Ventures）
対応の遅延：脆弱性の発見から修正までの平均所要時間は67日（出典：Verizon Data Breach Investigations Report 2023）、クリティカルな脆弱性の放置率は約21%（出典：Gartner Security Trends 2023）
リソースの不足：セキュリティ人材不足率は約64%（出典：ISC2「Cybersecurity Workforce Study 2023」）、予算不足を報告する企業は68%に上る（出典：Deloitte Cyber Risk Report 2023）

事例から見る被害の実態

事例1: 大手小売業A社
被害額：約8.5億円。原因は既知の脆弱性の放置で、顧客情報320万件が流出。

事例2: 製造業B社
被害額：約12億円。新規サービス展開時の脆弱性を突かれ、生産ラインが14日間停止。

「SQAT® with Swift Delivery」が選ばれる理由

最短7営業日で診断結果をスピード提供

通常の診断サービスでは数週間〜数ヶ月かかることも多いところ、SQAT® with Swift Delivery なら最短 7営業日 で報告書を納品。タイムリーな意思決定と迅速な対策を可能にします。

明確かつ分かりやすい料金体系

診断日数に応じた料金設定で、予算も立てやすく、コスト管理が容易。セキュリティ対策費用の導入障壁を下げます。

60,000件超の診断実績と信頼性

多様な業種・規模の企業での診断実績をもとに、高い汎用性と信頼性を確保。初めて脆弱性診断を導入する企業にも安心感があります。

わかりやすい報告書で改善対応がスムーズ

専門用語をできるだけ排し、改修のための情報を整理・整理。技術部門だけでなく、経営層や広報部門にも説明しやすい形で報告します。

サービスご提供の流れ

初期相談：要件をヒアリングし、基点URLを基に診断の準備を開始。スケジュール確定が重視される
診断の実施：優先順位をつけて重要な部分から診断を行い、全体を効率よくカバー
報告書の提出：診断終了から2営業日以内に提出
フォローアップ：報告書の内容についての質問対応を行い、次の対策につなげるサポートを実施

導入企業が期待できる効果

セキュリティ強化による情報漏えい／不正アクセスの防止
法規制・コンプライアンスへの対応と監査対策の効率化
システム障害やインシデント発生時の影響最小化 — 事業継続性の確保
顧客や取引先、ステークホルダーからの信頼維持／向上

まとめ

サイバー攻撃の脅威が増す現代において、ただ “守る” だけではもはや不十分。スピーディで高品質な診断を実行できる 「SQAT^® with Swift Delivery」 のような、短納期 × 高信頼の脆弱性診断サービスが、企業の安全性と成長を支える鍵となります。サイバー攻撃の脅威が増す中、迅速かつ効果的な脆弱性診断は企業の存続に不可欠です。

今こそ、自社のセキュリティ体制を見直し、“攻撃される前” の対策を。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

限定キャンペーン実施中！

今なら新規お申込みで 初回診断料金 10％OFF！
短期間での診断が可能な「SQAT® with Swift Delivery」で、あなたの企業をサイバー脅威から守りませんか？

ウェビナー開催のお知らせ

2025年12月17日（水）13:00～14:00
【好評アンコール配信】
「インシデント対応入門：サイバー攻撃・情報漏洩への緊急対応手順解説」
2026年1月14日（水）13:00～14:00
【好評アンコール配信】
「今さら聞けない！ソースコード診断あれこれ」

最新情報はこちら

2025年12月5日2025年12月5日

OWASP Top 10 2025：OWASP Top 10 2021からの変更点と企業が取るべきセキュリティ強化ポイント

Security NEWS TOPに戻る
バックナンバー TOPに戻る

OWASP Top 10はWebアプリケーションの主要なセキュリティリスクをまとめた世界的な基準です。2025年版では、ソフトウェアサプライチェーンに起因する問題や例外処理の不備など、新たなリスク項目が追加され、順位も変動しています。本記事ではこれらの新しい動向も踏まえ、各項目を平易に解説し、企業が取るべきセキュリティ対策の方向性を提示します。

はじめに

2025年11月、国際的なセキュリティ啓発コミュニティであるOWASP（オワスプ：Open Web Application Security Project）から、「OWASP Top 10 2025」が公開されました。前回の「OWASP Top 10 2021」より4年ぶりの公開となります。本記事ではOWASP Top 10 2025から追加された新たなリスク項目や順位変動を踏まえ、企業が取るべきセキュリティ対策の方向性を提示します。

OWASP Top 10とは

Webアプリケーションの代表的なセキュリティリスクをまとめた国際的なガイドラインで、意識向上を目的とする啓発資料です。全てのセキュリティ要件を網羅する標準というより、優先的な対策項目を示すリストと考えます。

OWASP Top 10 2025の特徴

今回の「OWASP Top 10 2025」では、ソフトウェア開発の全工程にわたる新しいリスクが反映されました。特に、依存ライブラリやCI/CD環境を含む「ソフトウェアサプライチェーンの不備」や、「例外処理（エラー処理）の不備」という2つの新カテゴリが追加されています。これにより、従来のコード脆弱性に加え、開発・運用プロセス全体に起因するリスクが明確に強調されました。

また、2021年版まで独立項目だった「サーバーサイドリクエストフォージェリ（SSRF）」はA01（アクセス制御）に統合され、権限回避系の攻撃に含まれるようになっています。

OWASP Top 10の概要、「OWASP Top 10 2021」のリスク項目一覧について、以下の記事で解説しています。あわせてぜひご覧ください。
OWASP Top 10―世界が注目するWebアプリケーションの重大リスクを知る―

OWASP Top 10 2021からの主な変更点

A01: アクセス制御の不備 (Broken Access Control)

引き続き1位です。従来のアクセス制御不備に加え、サーバーサイドリクエストフォージェリ（SSRF）攻撃がこのカテゴリに含まれるようになりました。

A02: セキュリティ設定のミス (Security Misconfiguration)

2021年5位から2025年2位に上昇しました。サーバやアプリの初期設定ミスや不要なサービス公開など、設定不備のリスクが増加しています。

A03: ソフトウェアサプライチェーンの不備 (Software Supply Chain Failures)

2021年版のA06「脆弱で古くなったコンポーネント」から大幅に拡張され、2025年版に新設されたカテゴリです。依存パッケージやビルド環境への攻撃を含み、開発～配布の全過程におけるマルウェア侵入のリスクを扱います。

A04: 暗号化の失敗 (Cryptographic Failures)

前回2位から今回は4位に下降しました。古い暗号方式や不適切な暗号設定によって、機密データ漏洩のリスクが引き続き高い項目です。

A05: インジェクション (Injection)

前回3位から5位に下降しました。依然として多く検出されるリスクですが、他カテゴリの変動により相対的に順位が変わりました。

A06: セキュアでない設計 (Insecure Design)

2021年に新設された項目で、前回4位から6位になりました。設計段階でセキュリティを考慮しないことによるリスクを指し、脅威モデル不足などが該当します。最近は設計レビューや脅威モデルの導入が増えつつあります。

OWASP Top 10 2021およびセキュアなWebアプリケーション開発にむけてどのように取り組むべきかについて、以下の記事で解説しています。あわせてぜひご覧ください。
Webアプリケーション開発プロセスをセキュアに ―DevSecOps実現のポイント―

A07: 認証の失敗 (Authentication Failures)

名称が「識別と認証の不備」から若干変更され、順位は7位で維持されました。ログイン機能やパスワード管理の不備などが含まれ、標準的な認証フレームワークの利用増加でやや改善傾向にあります。

A08: ソフトウェアとデータの整合性の不備(Software or Data Integrity Failures)

前回同様8位です。ソフトウェア更新時やデータ伝送時の改ざん検知の欠如を扱い、サプライチェーンより下層でのデータ改ざんリスクが対象です。

A09: ログ監視・アラートの不備 (Logging & Alerting Failures)

同じく9位を維持しました。ログ監視や侵入検知の仕組みが不十分で、攻撃検知が遅れるリスクを指します。名称も「セキュリティログとモニタリングの不備」から変更されています。

A10: 例外処理の不備 (Mishandling of Exceptional Conditions)

2025年に新設された新しいカテゴリです。エラー発生時の不適切な処理（例：内部情報露出やセーフティネットの欠如）により、システム全体の安全性が損なわれるリスクを扱います。

OWASP Top 10 2025のリスク項目詳細解説

A01: アクセス制御の不備 (Broken Access Control)

攻撃者が本来許可されていない操作やデータにアクセスできる脆弱性です。例として、URLやパラメータを操作して他ユーザーの情報を取得したり、管理者権限を取得したりする攻撃が挙げられます。

A02: セキュリティ設定のミス (Security Misconfiguration)

システムやアプリの初期設定・構成に誤りがある状態です。脆弱なデフォルト設定や、不要なサービスの有効化、パッチ未適用のサーバ起動などにより、本来防げる攻撃を許してしまいます。

A03: ソフトウェアサプライチェーンの不備 (Software Supply Chain Failures)

外部ライブラリやパッケージ管理システムが攻撃され、正規ソフトウェアにマルウェアが混入するリスクです。開発者の環境やCI/CDパイプラインを介して侵入するため、従来型のコード診断だけでは検知しづらい問題となっています。

A04: 暗号化の失敗 (Cryptographic Failures)

古い暗号方式や誤った暗号設定によって、暗号化すべきデータの機密性が損なわれるリスクです。例えば、弱い鍵長の使用や最新プロトコルの不採用により、攻撃者に通信内容を解読される危険があります。

A05: インジェクション (Injection)

ユーザ入力を十分に検証せずにSQL文やOSコマンド等に含めて実行することで、不正なコードが実行される脆弱性です。SQLインジェクションやクロスサイトスクリプティング（XSS）などが代表例で、攻撃者がデータベース改ざんやセッションハイジャックを実行します。

A06: セキュアでない設計 (Insecure Design)

設計段階でセキュリティが考慮されておらず、必要な防御策（脅威モデルやセキュアアーキテクチャ）が欠落しているリスクです。実装以前の段階で脆弱性を取り除かないと、後工程では完全対応できない欠陥を内包します。

A07: 認証の失敗 (Authentication Failures)

ログインやセッション管理に欠陥があり、不正ログインを許してしまう脆弱性です。例えば、パスワードポリシー不備やセッションIDの固定化、二要素認証不備などにより、攻撃者が他人の権限を奪取する可能性があります。

A08: ソフトウェアとデータの整合性の不備(Software or Data Integrity Failures)

ソフトウェア更新やデータ取得時に改ざんを検知できない状態で、不正なコードやデータが実行されてしまうリスクです。例えば、更新ファイルやコンテナイメージが攻撃者によって差し替えられても気づかない場合が該当します。

A09: ログ監視・アラートの不備 (Logging & Alerting Failures)

インシデント発生時に監査ログが残らない、またはアラートが機能しない状態で、攻撃を見逃してしまうリスクです。攻撃検知や対策対応が遅れるため、被害が拡大する可能性があります。

A10: 例外処理の不備 (Mishandling of Exceptional Conditions)

エラー・例外発生時に適切な対処がされず、システムが想定外の動作をしたり機密情報を漏洩したりする脆弱性です。具体例として、エラーメッセージで内部情報を出力するものや、例外処理のループ抜けでシステム停止しないなどがあります。

OWASP Top 10 2025で注目すべきポイント

サプライチェーンリスクの急浮上
例外処理カテゴリの新設が示す業界動向
コード脆弱性から“開発プロセスの安全性”への時代変化

OWASP Top 10 2025は、従来の入力検証など個別コード脆弱性に加え、サプライチェーンや設計、例外処理といったシステム全体に関わる根本原因を重視しています。企業はこれを踏まえ、開発プロセスや設計段階からの脆弱性予防策を強化する必要があります。

企業が取るべき対応（例）

開発プロセス全体のセキュリティレビュー
サプライチェーン管理の強化
設計段階のセキュリティ確保（脅威モデリング等）
ログ・アラート体制の見直し

情報システム部門やセキュリティ担当者は、今回のリスク項目をセキュリティ教育・セキュリティ診断・セキュリティ監査項目に組み込み、継続的な対策に活用しましょう。特にサプライチェーンや例外処理の項目は従来対応が十分でないことも多く、注力すべきポイントです。

まとめ

OWASPはTop 10に加え、SAMMやASVSなどのフレームワーク活用も推奨しています。OWASP Top 10は優先対策項目の一助と位置付け、組織全体のセキュリティ成熟度を高める施策を並行して検討することが望まれます。

脆弱性診断の活用

では、意図せず作りこまれてしまう脆弱性に、どう対処すればいいでしょうか。それには脆弱性診断を実施することが、最も有効な手段の一つと言えます。

脆弱性診断によって、システムにどのような脆弱性があり、どの程度のリスクがあるのか可視化され、その優先度に応じてセキュリティ対策を検討・実施することができます。

脆弱性診断を効果的に活用するには、システムの機能や取り扱う情報の重要度に応じて、実施時期や頻度を考慮することも大切です。セキュリティ事情は常に変化しています。日々新たな脆弱性が発見され、サイバー攻撃も巧妙化する一方です。また、何年も前に報告されたのに放置されがちな脆弱性が、改めて悪用されることもあります。健康診断と同様、脆弱性診断も定期的に実施することが重要なのです。

また、「SQAT^® Security Report」では、セキュリティ事情に関するトピックをお伝えしております。情報収集の一助としてご活用ください。

【参考情報】

OWASP Top 10 2025リリースノート／Aikidoブログ（https://www.aikido.dev/blog/owasp-top-10-2025-changes-for-developers#:~:text=OWASP%20emphasizes%20that%20the%20Top,Application%20Security%20Verification%20Standard）

BBSecの脆弱性診断サービス

弊社では、お客様のニーズに合わせて、様々な脆弱性診断サービスを提供しております。システムの特徴やご事情に応じてどのような診断を行うのが適切かお悩みの場合も、ぜひお気軽にご相談ください。

「毎日/週など短いスパンで定期診断して即時に結果を知りたい」

デイリー自動脆弱性診断「Cracker Probing-Eyes^®」は、脆弱性の検出結果を、お客様側での簡単な操作で、日々確認できます。導入のための設備投資が不要で、コストを抑えつつ手軽に診断できます。世界的なセキュリティ基準をベースにした弊社独自基準を設け、シグネチャの見直しも弊社エンジニアが定期的に行うことで、信頼性の高い診断を実現しております。

「システム特性に応じた高精度な診断をしたい」

対象システムの機能が複雑である、特にミッションクリティカルであるなどの理由により、広範囲かつより網羅性の高い診断をご希望の場合は、弊社エンジニアが手動で実施する「SQAT^®脆弱性診断サービス」をおすすめします。 Webアプリケーション、ネットワークはもちろんのこと、ソースコード診断やクラウドの設定に関する診断など、診断対象やご事情に応じて様々なメニューをご用意しております。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2025年11月20日2025年12月17日

ウェビナー抜粋動画

サービス紹介デモ動画

BBSecで提供しているサービスをご紹介するデモ動画を公開しています。

過去ウェビナー抜粋動画

過去ご好評いただいたウェビナーの抜粋動画を無料で公開しています。

ピックアップ

アーカイブ

ウェビナーダイジェスト版：脆弱性診断の新提案！スピード診断と短納期で解決する「SQAT with Swift Delivery」セミナー

TOP-更新情報に戻る

2025年10月2日2025年10月3日

今さら聞けない脆弱性とは-基礎から学ぶ脆弱性管理と効果的な脆弱性対策ガイド-

インターネットや情報システムの世界でよく耳にする「脆弱性」という言葉。普段の生活ではあまり使わないため、聞いたことはあっても正確に説明できないという方は少なくありません。特に近年はサイバー攻撃や情報漏洩のニュースが多く報じられるため、脆弱性という言葉はますます身近になってきました。しかし、「脆弱性とは一体何なのか」「個人や組織としては何をすればいいのか」と問われると、答えに詰まってしまう人も多いはずです。本記事では、初心者の方にも理解しやすいように、脆弱性の基本的な意味から具体的な事例、そして個人や組織が取るべき対策までを解説します。これからサイバーセキュリティの学びを始めたい方にとって、理解の入り口となる内容を目指しました。

脆弱性とは何か？

サイバーセキュリティにおける脆弱性とは、コンピュータやネットワーク、ソフトウェアなどに存在する思わぬ欠陥や弱点のことを指します。プログラムの設計ミスや設定の甘さ、想定されなかった挙動などが原因で発生し、それを悪用されると本来守られるべき情報やシステムが攻撃者に狙われてしまいます。もっと身近な言葉に例えるなら、家のドアに鍵をかけ忘れた状態や、窓の鍵が壊れている状態が「脆弱性」です。そこに泥棒（ハッカー）がやって来れば、侵入や盗難のリスクが高まります。つまり脆弱性そのものは「危険ではあるがまだ被害が起きていない不備」であり、攻撃者に利用されて初めて実際の被害につながるのです。

脆弱性が生まれる原因

脆弱性は無意識のうちに生まれることが多く、その理由は多岐にわたります。代表的な要因には以下が挙げられます。

ソフトウェアの開発過程における設計ミスやバグ
サーバーやOSのセキュリティ設定の不備
古いシステムやソフトウェアを更新せずに使い続けること
想定していなかったユーザーからの入力や操作
利用するプログラムやライブラリに潜む欠陥

実際、ソフトウェア開発は非常に複雑で、数百万行にも及ぶプログラムコードから成る場合もあります。そのため、すべてのバグや欠陥を完全に排除することは事実上困難です。

脆弱性の代表的な種類

脆弱性にはいくつも種類があり、攻撃手法によって分類されます。初めて耳にする方でもわかりやすい代表例を挙げてみましょう。

SQLインジェクション

ウェブアプリケーションにおける入力欄に悪意のあるデータベース命令文を仕込む手法で、見せてはいけない情報が外部に漏れてしまう危険があります。

クロスサイトスクリプティング（XSS）

ウェブサイトに不正なスクリプトを埋め込んで、閲覧者のブラウザ上で実行させる攻撃。利用者のIDやパスワードが盗まれる危険があります。

バッファオーバーフロー

プログラムに想定していない長さのデータが入力されることで、メモリ領域が壊され、攻撃者に任意のコードを実行されるリスクがあります。

セキュリティ設定不備

セキュリティ機能が有効化されていなかったり、不要なポートが開いたままになっていたりするケースも脆弱性の一つです。

脆弱性が悪用されるとどうなるのか

実際に攻撃者が脆弱性を利用すると、さまざまな被害につながります。たとえば以下のようなケースです。

クレジットカード番号や個人情報の漏洩
社内ネットワークが侵入されて業務停止
顧客の信頼を失い、企業のブランドに大打撃
勝手に改ざんされたWebサイトが利用者をウイルス感染させる

こうした被害は一度起きると回復に莫大なコストがかかり、企業経営に深刻な影響を与えます。近年報じられる情報漏洩事件の多くは、既知の脆弱性を放置していたことが原因とされています。

脆弱性対策として実施すべきこと

脆弱性はゼロにはできないため、いかに早く気づき、適切に対応するかが重要です。個人利用者と企業の立場で考えられる基本的な対策を見てみましょう。

個人ができること

OSやソフトウェアを常に最新バージョンに保つ
ウイルス対策ソフトを導入し、定義ファイルを更新する
怪しいリンクやメールの添付を開かない
強固なパスワードや多要素認証を利用する

企業がすべきこと

脆弱性診断やペネトレーションテストを定期的に実施する
セキュリティパッチが公開されたら速やかに適用する
社内従業員へのセキュリティ教育を徹底する
ログ監視や侵入検知システムの導入で不審な挙動を早期発見する

脆弱性とセキュリティ文化

技術的な対策も重要ですが、それ以上に「セキュリティを日常的に意識する文化づくり」が欠かせません。脆弱性は人間のちょっとした油断や不注意からも生まれます。更新通知を無視したり、利便性を優先してセキュリティを後回しにしたりすると、そこに必ず隙が生まれるのです。政府や専門機関が公表する脆弱性関連情報に目を通す習慣をつけるのも効果的です。たとえば国内では独立行政法人情報処理推進機構（IPA）が脆弱性関連情報を提供しており、日々の最新情報をチェックできます。

これからの脆弱性対策

今後はクラウドサービスやIoT機器の普及によって、脆弱性の範囲はさらに広がります。冷蔵庫やカメラ、工場の制御システムなど、私たちの生活に直結するモノがすべてインターネットにつながる時代となりつつあります。その一つひとつが脆弱性を抱えていた場合、想像以上に深刻なリスクが広がる可能性があるのです。そこで重要になってくるのが「ゼロトラスト」の考え方です。これはすべてのアクセスを信頼しないという前提に立ち、システムを多層的に守ろうとするセキュリティモデルで、近年世界中の企業が導入を進めています。

まとめ

脆弱性とは「情報システムやソフトウェアに存在する欠陥や弱点」であり、その多くは放置されることでサイバー攻撃に悪用され、大規模な被害を引き起こす可能性があります。重要なのは、脆弱性をゼロにすることではなく、発見されたときに迅速に対応し、常に最新の状態を保つことです。セキュリティ対策は専門家だけの仕事ではありません。個人ユーザも企業の一員も、日々の小さな行動が大きなリスク回避につながります。これまで「脆弱性」という言葉だけを知っていた方も、これを機に身近な問題として捉え、今日から個人や組織としてできる対策を一つずつ取り入れていきましょう。

【脆弱性対策および脆弱性管理に関する情報収集サイト・資料】

独立行政法人情報処理推進機構（IPA）「脆弱性対策関連情報」
https://www.ipa.go.jp/security/vuln/scap/index.html
一般社団法人日本シーサート協議会（NCA）「脆弱性管理の手引書システム管理者編」https://www.nca.gr.jp/activity/pub_doc/2024/imgs_u/%E8%84%86%E5%BC%B1%E6%80%A7%E7%AE%A1%E7%90%86%E3%81%AE%E6%89%8B%E5%BC%95%E6%9B%B8_%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0%E7%AE%A1%E7%90%86%E8%80%85%E7%B7%A8%201.0%E7%89%88(%E5%85%AC%E9%96%8B%E7%89%88).pdf

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

2025年10月8日（水）14:00～15:00
ウェビナー参加者限定特典付き！
「ソースコード診断で実現する安全な開発とは？脆弱性対策とDevSecOps実践」

2025年10月22日（水）14:00～15:00
「ランサムウェア対策セミナー2025 ～被害を防ぐための実践的アプローチ～」

2025年10月29日（水）13:00～14:00
【好評アンコール配信】「フィッシング攻撃の最新脅威と被害事例〜企業を守る多層防御策〜」

最新情報はこちら

2025年7月10日2025年8月14日

ドメイン名偽装で検知を回避するWordPressマルウェアの脅威と対策

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2025年7月、セキュリティ企業SucuriがWordPressを狙う新たなマルウェア攻撃を発見・公表しました。今回公表された「SEOスパム型WordPressプラグイン」による攻撃は従来の攻撃と比較して手口が巧妙化しており、世界中のWebサイト管理者にとって深刻な脅威となっています。本記事では、攻撃の手口と被害の特徴、そして有効な対策について解説します。

contents

お問い合わせ

お問い合わせはこちらからお願いします。後ほど、担当者よりご連絡いたします。

攻撃手法

ドメイン偽装によるマルウェア検知回避

今回発見されたマルウェアは、感染したWordPressサイトのドメイン名をそのままプラグイン名やフォルダ名に偽装して設置されます。これにより、管理者や一般ユーザーがファイル一覧を確認しても、正規のプラグインと見分けがつきにくい構造になっています。この偽プラグインは高度に難読化されたコードで構成されており、セキュリティ対策ソフトによる検知も困難です。

検索エンジン限定のSEOスパム注入

SEOスパムの注入は、Googleなどの検索エンジンのクローラを検知した場合のみ実行されます。通常の訪問者には正規のページが表示されるため、管理者も異常に気付きにくく、発見が遅れる原因となります。検索エンジンのみにスパムコンテンツを返すことで、検索順位の操作や不正なトラフィック誘導が行われます。

C2サーバとの通信と外部指令の受信

この偽プラグインの内部には、base64で難読化されたC2（コマンド＆コントロール）サーバ※ のドメイン情報が隠されています。偽プラグインは定期的にC2サーバへ外部リクエストを送り、攻撃者からの指示を受け取ります。これにより、スパム内容の動的な更新や追加のマルウェア配布など、攻撃の手口が柔軟に変化する仕組みが実装されています。

※C2（コマンド＆コントロール）サーバ…サイバー攻撃者が外部から侵害システムと通信を行い、命令と制御を行う目的で用いられる。

マルウェアによる被害と影響

この種のマルウェアは、通常の利用者やサイト管理者が直接アクセスした場合には一切異常を示さないため、発見が遅れがちです。Googleなどの検索エンジン経由でのみスパムが表示されるため、被害に気付いたときにはすでに検索結果にスパムページが表示されていたり、検索順位が大幅に下落しているケースも多く、ブランドイメージや集客に深刻な影響を与えたりするおそれがあります。また今回の例は、WordPressのプラグインエコシステムを悪用したサプライチェーン攻撃の一例とも言えます。公式リポジトリを介さず、外部から導入されたプラグインやテーマを通じて感染が広がるため、信頼できる配布元からのみソフトウェアを導入することが重要です。

有効な対策と管理者が取るべき予防措置

Webサイト管理は特に以下のような対策を取り、異常が見られた場合は速やかに専門家へ相談することをおすすめします。

WordPressのプラグインやテーマは必ず公式リポジトリや信頼できるベンダーからのみ入手する
不審なファイルや見覚えのないプラグインが存在しないか、定期的にサーバ内を確認する
セキュリティプラグインやWebアプリケーションファイアウォール（WAF）、管理画面への多要素認証を導入する
Google Search Console等で検索結果の異常を監視する

まとめ

SEOスパム型の偽装WordPressプラグインは、検索エンジンのクローラを標的にしてスパムコンテンツを注入し、通常の訪問者には正規ページを返すという極めて巧妙な手口です。攻撃者は感染サイトのドメイン名をそのままプラグイン名やフォルダ名に偽装し、管理者の目を欺きます。さらに、コード内部にはbase64で難読化されたC2サーバ情報が隠され、外部からの指令に応じて動的にスパム内容を更新できる仕組みも組み込まれています。

このような手法は、発見が遅れやすく、検索順位の下落やサイトの信頼性低下など、経営や運営に深刻な影響を及ぼすリスクがあります。特に、公式リポジトリを介さないプラグインやテーマの導入が感染経路となるケースが多いため、日常的なセキュリティ意識と運用管理の徹底が不可欠です。

被害を最小限に抑えるためには、信頼できる配布元からのみソフトウェアを導入する、サーバ内の不審なファイルやプラグインを定期的に点検する、Google Search Consoleなどで検索結果の異常を監視するなど、複数の対策を組み合わせることが重要です。

BBSecでは：セキュリティソリューションの活用

高度なサプライチェーン攻撃や難読化マルウェアに対抗するため、ブロードバンドセキュリティでは多層防御の観点から次のようなソリューションを強くおすすめします。

エージェント型Webサイトコンテンツ改ざん検知サービス

WordPressサイトのファイルやディレクトリの改ざんをリアルタイムで監視し、異常があれば即座にアラートを発します。正規のプラグイン名を偽装した不審なファイルの追加や書き換えも検知しやすく、被害の早期発見に役立ちます。

https://www.bbsec.co.jp/service/vd-maintenance/manipulation.html
※外部サイトにリンクします。

脆弱性診断サービス

WordPress本体やプラグイン、テーマの設定や実装に潜む既知の脆弱性を定期的に洗い出すサービスです。悪用されやすい箇所を事前に把握し、攻撃の入り口を減らします。診断結果に基づき、不要なプラグインの削除や設定の見直しを行うことで、リスク低減につながります。

ペネトレーションテスト

実際の攻撃者の視点でお客様のシステムに実装済みのセキュリティを検証するサービスです。自動化された攻撃だけでなく、手動による高度な手法も用いるため、通常の診断では見つけにくいサプライチェーンリスクや運用上の盲点も洗い出すことが可能です。

これらのサービスを組み合わせて導入することで、巧妙化するマルウェア攻撃などへの対応力を大幅に高めることができます。BBSecとしては、エージェント型改ざん検知、脆弱性診断、ペネトレーションテストをパッケージ化した多層防御ソリューションを強くご提案いたします。これにより、WordPressサイト運営者の方が安心してビジネスを継続できる環境づくりをサポートいたします。ご希望の方には、無料相談や初回診断も承っております。お気軽にご相談ください。

お問い合わせ

お問い合わせはこちらからお願いします。後ほど、担当者よりご連絡いたします。

【参考情報】

ウェビナー開催のお知らせ

2025年7月16日（水）14:00～15:00
「進化するランサムウェア攻撃-国内最新事例から学ぶ！被害を防ぐ実践ポイント10項目を解説-」

2025年7月23日（水）14:00～15:00
「急増するフィッシング攻撃の実態と対策〜企業を守る多層防御とは〜」

2025年7月30日（水）13:00～13:50
「Webサイトの脆弱性はこう狙われる！OWASP Top 10で読み解く攻撃と対策」

2025年8月5日（火）14:00～15:00
「企業サイトオーナー向けユーザーからのレピュテーションを高めるWebサイトの在り方-Webサイトを取り巻くリスク・規制・要請とユーザビリティ向上-」

最新情報はこちら

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2025年3月17日2025年5月8日

脆弱性診断の基礎と実践！手動診断とツール診断の違いを徹底解説第3回：手動診断とツール診断、どちらを選ぶべきか？最適な診断方法の選び方

Security NEWS TOPに戻る
バックナンバー TOPに戻る

手動診断とツール診断、どちらが自社に最適なのか？本記事では、「脆弱性診断の基礎と実践」をテーマに全3回のシリーズのうちの最終回として、手動診断とツール診断の両者の特性や違いを比較し、診断方法を選ぶポイントを解説します。最適な診断方法を見極め、継続的なセキュリティ対策を実現しましょう。

手動診断とツール診断の違い

脆弱性診断には「手動診断」と「ツール診断」の2つの手法があり、それぞれに検出できる脆弱性の範囲、診断の精度、コストや時間といった違いがあります。適切な診断方法を選ぶためには、それぞれの特性を理解することが重要です。

検出可能な脆弱性の範囲


診断手法	検出可能な脆弱性の範囲
ツール診断	CVE、OWASP Top 10などに基づき脆弱性を自動検出。ただし、システム固有の処理に関連する脆弱性の検出や複雑な攻撃手法には対応が難しい。
手動診断	ツール診断では発見が難しいカスタムアプリの脆弱性や認証回避の脆弱性も検出可能。

ツール診断はパターンマッチングに基づく脆弱性スキャンが主であり、定型的なセキュリティホールの発見に優れています。一方、手動診断はシステムごとの特性を考慮した診断が可能で、セキュリティエンジニアによる最新の攻撃手法に基づいたシナリオでの診断にも対応できます。

診断の精度


診断手法	精度
ツール診断	短時間で広範囲の診断が可能だが、誤検知（False Positive）や見落とし（False Negative）が発生することがある。
手動診断	セキュリティエンジニアが攻撃者視点で分析するため、より正確な脆弱性の特定が可能。誤検出を減らし、実際のリスクを精密に評価できる。

ツール診断は効率的に多くのシステムをスキャンできるメリットがありますが、誤検出や見落としのリスクがあるため、結果を精査する必要があります。手動診断は攻撃手法を考慮したテストを実施できるため、リスクの深刻度を正確に判断しやすいのが特長です。

コストと時間の違い


診断手法	コスト	時間
ツール診断	比較的低コストである。	短時間で診断可能（数時間～1日程度）。規模が小さいシステムであれば、数時間程度で診断が完了するため、定期的なスキャンが容易。場合によっては24時間いつでも診断が可能
手動診断	専門のエンジニアが対応するためコストが高い。診断の範囲や内容によって費用が変動	時間がかかる（数日～数か月）。対象システムの複雑さにより診断期間が変動

ツール診断は、コストを抑えて素早く診断ができる点が魅力ですが、ツールの設定や診断結果の解釈には専門知識が必要です。手動診断はコストや時間がかかるものの、外部のセキュリティ専門企業などに委託することによって、より精密な脆弱性評価が可能です。特に重要なシステムや高度なセキュリティ対策が求められる場面では有効です。

診断方法を選ぶ際のポイント

以下のポイントを考慮し、適切な診断方法を選ぶことが重要です。

組織の規模やセキュリティ方針に合わせた選択


組織の特徴	推奨される診断方法
スタートアップ・中小企業（コストを抑え、効率的に診断したい場合）	コストを抑えつつ効率的な診断を行いたい場合は、ツール診断が適している。自動化により定期的なチェックが可能。
大企業・金融・医療・官公庁	高度なセキュリティ対策が求められるため、手動診断＋ツール診断の組み合わせが効果的。特に重要システムには手動診断を推奨。
クラウド環境を利用する組織	クラウド環境特有のリスクに対応するため、クラウドセキュリティに特化したツール診断と、必要に応じた手動診断の併用が理想的。

どのような診断が必要か


診断対象	推奨される診断方法
WEBアプリケーション	ツール診断で基本的な脆弱性をチェックし、重要な部分に手動診断を実施。特に、認証機能や決済機能の診断には手動診断が有効。
ネットワークセキュリティ	ネットワークスキャンツール（例：Nmap、Nessus）を活用し、必要に応じて手動で詳細な分析を実施。ファイアウォールの設定やアクセス制御の確認が重要。
クラウド環境（AWS、AZURE、GCPなど）	クラウド専用の脆弱性診断ツールを活用し、アクセス制御や設定ミスをチェック。特に、IAM（Identity and Access Management）の監査が必要な場合は手動診断も推奨。

ポイント：

Webアプリケーションの診断では、ツール診断でOWASP Top 10の脆弱性をスキャンし、カスタムアプリの診断には手動診断を追加するのが理想的

ネットワーク脆弱性診断では、ツール診断でポートスキャンを行い、不審な通信や設定の誤りを手動診断で確認する方法が有効

クラウド環境は設定ミスが原因の脆弱性が多いため、ツール診断を活用して広範囲をスキャンし、リスクの高い設定には手動診断を組み合わせることが推奨される

手動診断とツール診断の組み合わせ

手動診断とツール診断にはそれぞれメリットと限界があり、両者を適切に組み合わせることで、より高精度なセキュリティ対策が可能になります。ツール単独での診断では見落とされるリスクを補完し、組織のセキュリティレベルを向上させる戦略的なアプローチが求められます。

両者を組み合わせることで得られるメリット

スキャンの自動化と専門家による精査が両立

ツール診断で迅速に広範囲をスキャンし、重大なリスクが懸念される部分のみ手動診断を実施

手動診断でツールの誤検出を精査し、実際のリスクを正確に判断

費用対効果の向上

低コストでツール診断を定期的に実施し、大きな問題が発覚した場合のみ手動診断を適用することで、予算を最適化

診断結果の精度向上

ツール診断のスキャン結果を専門家が分析し、追加の手動診断を行うことで、より正確な脆弱性評価が可能

効果的なセキュリティ診断戦略の構築

手動診断とツール診断を組み合わせることで、組織ごとのセキュリティ要件に応じた診断戦略を構築できます。

(1) 定期的なスキャン+詳細なリスク分析

ツール診断を月次・四半期ごとに実施し、継続的にセキュリティ状況を監視

重大なリスクが検出された場合のみ、対象システムの手動診断を実施して詳細分析

(2) システムの重要度に応じた診断手法の選択

基幹システム・決済システムなどの重要システム
手動診断を優先し、高精度な診断を実施

一般的なWebアプリ・社内システム
ツール診断で定期的にチェックし、基本的なリスクを管理

(3) インシデント対応と診断の連携

過去のセキュリティインシデントの発生状況を分析し、手動診断で重点的にチェックすべき領域を特定

ツール診断のログを蓄積し、将来の診断方針に反映

適切な脆弱性診断サービスの選び方

診断会社を選ぶ際のポイント

脆弱性診断を外部に委託する場合、診断会社の選定は重要な要素となります。まず、診断の実績を確認し、自社の業界やシステムに適した経験があるかをチェックしましょう。特に、金融・医療・ECなどの高いセキュリティが求められる分野では、業界特有のリスクを理解している診断会社が望ましいでしょう。次に、対応範囲を確認し、Webアプリ、ネットワーク、クラウド環境など、自社のシステム構成に適した診断を提供できるかを見極めます。また、診断後のサポート体制も重要なポイントです。診断結果のレポート提供だけでなく、脆弱性修正のアドバイスや再診断が可能かどうかも確認し、長期的なセキュリティ強化に役立つパートナーを選びましょう。

費用対効果を考慮した最適な診断プランの検討

脆弱性診断のコストは組織にとって大きな課題ですが、単純に安価なサービスを選ぶのではなく、費用対効果を考慮した診断プランの選定が重要です。まず、診断の頻度と範囲を明確にし、必要最低限のコストで最大の効果を得られるプランを検討します。たとえば、定期的な診断が必要な場合はツール診断を活用し、重大なシステムについては手動診断を実施する組み合わせが有効です。また、診断会社ごとに料金体系や提供サービスが異なるため、複数社のプランを比較し、自社に最適なものを選択することが求められます。さらに、初回診断の割引や無料トライアルなどを活用することで、コストを抑えつつ診断の質を確認する方法も有効です。

まとめ：企業にとって最適な診断方法を選択する

脆弱性診断を効果的に活用するためには、自社のシステムやセキュリティ方針に適した診断方法を見極めることが重要です。コストを抑えながら広範囲をスキャンできるツール診断、高度な攻撃手法にも対応可能な手動診断、それぞれの特性を理解し、適切に使い分けることが求められます。また、企業の業種やシステムの重要度によって、手動診断とツール診断の組み合わせを検討することが望ましいです。

さらに、脆弱性診断は一度実施すれば終わりではなく、継続的なセキュリティ対策が必要です。サイバー攻撃の手法は日々進化しており、新たな脆弱性が発見される可能性があるため、定期的な診断と適切なセキュリティ対策の実施が欠かせません。企業のセキュリティレベルを維持・向上させるために、継続的な診断計画を立て、適切な対策を講じることが重要です。

BBSecでは

当社では様々なご支援が可能です。お客様のご状況に合わせて最適なご提案をいたします。

＜SQAT診断サービスの特長＞

＜デイリー自動脆弱性診断－Cracker Probing-Eyes®－＞

Security NEWS TOPに戻る
バックナンバー TOPに戻る

―第1回「手動診断のメリットとは？」はこちら―
―第2回「ツール診断のメリットとは？」はこちら―

2025年3月10日2025年5月8日

脆弱性診断の基礎と実践！
手動診断とツール診断の違いを徹底解説
第2回：ツール診断のメリットとは？

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ツール診断は、短時間で広範囲をスキャンし、コストを抑えながら効率的にセキュリティ対策を実施できる手法です。本記事は「脆弱性診断の基礎と実践」をテーマに全3回のシリーズのうちの第2回として、脆弱性診断の手法の一つであるツール診断のメリットや適しているケースについて解説します。

第1回「手動診断のメリットとは？」はこちら

ツール診断とは？

ツール診断とは、セキュリティベンダーが商用または自社開発した脆弱性診断ツールを使用し、システムやアプリケーションのセキュリティ上の脆弱性を自動的に検出する手法です。自動診断とも呼ばれ、比較的手軽に実施できるため、開発段階での利用や定期的な簡易診断としても活用されています。ただし、機械的な検査であるため、過検知や誤検知が含まれることが多く、その結果は技術者が補正することで正確な情報が得られます。ツール診断は、コストを低減しつつ最新のセキュリティ状態を保つ手段として有効です。

ツール診断の一般的な実施プロセス

ツール診断は、一般的に以下の流れで実施されます。

1.スキャンの対象設定

診断対象のIPアドレス、ドメイン、アプリケーションURLなどを指定
必要に応じて認証情報を設定し、ログイン後の動作も診断

2.脆弱性スキャンの実行

診断ツールが自動で対象システムをスキャンし、脆弱性を検出
既知の攻撃パターン（シグネチャ）を照合し、不正アクセスのリスクを評価

3.診断結果の解析

スキャン結果をもとに、発見された脆弱性の種類や影響範囲を整理
誤検知が含まれていないかチェック（必要に応じて手動で確認）

4.結果レポートによる対策検討

検出された脆弱性のリスクレベルを分類（例：高・中・低）し、結果を出力
修正が必要な項目をリストアップし、対応策を検討

ツール診断のメリット

ツール診断を実施するメリットは、特に以下の3つの点があります。

1.短時間での診断が可能（大量のシステムやWebサイトを効率的にチェック）

ツール診断の最大の強みは、短時間で一括チェックが可能な点です。

手動診断では膨大な時間がかかる大規模システムでも、診断対象を絞ることにより迅速にスキャンが可能。
企業が運営する複数のWebサイトやサーバを一度に診断できる。

2.コストを抑えやすい（手動診断より低コストで運用可能）

ツール診断は自動化によって効率的になり、手動診断より低コストでの運用が可能です。

エンジニアの人的コストを削減
・手動診断は専門のセキュリティエンジニアが時間をかけて実施するため、コストが高くなりがち。
・ツール診断は自動で診断を行うため、人的リソースを節約できる。
継続的な診断でも費用負担が少ない
・手動診断は1回ごとの費用が高く、頻繁に実施するのが難しい。
・ツール診断ならライセンス契約やサブスクリプション型などのツールを利用するため、低コストで定期的に診断することが可能。
導入・運用の負担が少ない
・クラウド型の診断ツールも多く、専用機材の導入不要でスムーズに利用開始ができる。

3.定期的な診断が容易（スケジュールを自動化できる）

セキュリティ対策は一度行えば終わりではなく、継続的な監視と対策が不可欠です。ツール診断を活用すれば、コストを抑えつつ、定期的なスキャンを自動で実施し、最新の脆弱性を常にチェックできます。

スケジュール設定で定期スキャンが可能
・ツールを活用すれば、毎週・毎月・四半期ごとの定期スキャンを自動化できる。
・システムの更新後（パッチ適用後など）の検証にも活用できる。
継続的なセキュリティ監視ができる
・手動診断では頻繁に実施するのが難しいが、ツールなら日常的なセキュリティ監視が可能。
・システム改修のたびに手動診断を依頼するより、ツールを活用して迅速に問題を検出できる。

ツール診断が適しているケース

ツール診断は特に以下のケースで実施が推奨されます。

1.定期的にスキャンしてセキュリティリスクを管理したい企業

ツール診断を導入することで、定期的なスキャンを自動化し、常に最新のセキュリティ状態を維持できます。

システムのアップデート後に迅速なリスクチェックが可能
・OS、アプリケーション、ミドルウェアのアップデート後に、脆弱性が新たに発生していないか即時に確認ができる。
・システム改修や機能追加時の影響を即座に確認できる。
運用中のシステムに影響を与えない
・日常業務に影響を与えず、バックグラウンドで実施できる。

2.コストを抑えながらセキュリティ対策を進めたい場合

セキュリティ診断を実施したいものの、手動診断の高コストがネックとなる組織にとって、ツール診断は費用対効果の高い選択肢です。

人件費が抑えられるため、低コストで運用可能
大規模なシステムでもコストを抑えやすい
特に、中小企業や予算が限られた組織にとって、手軽にセキュリティ対策を実施できる手法となる。
社内での脆弱性診断の内製化が可能
手動診断は外部のセキュリティ専門企業へ依頼するケースが多いが、ツール診断は自社で運用可能なため、外部委託のコストを抑えられる。

3.基本的な脆弱性を素早く把握したい場合

ツール診断なら、開発段階や運用中のシステムに対して、迅速にリスクを把握し、適切な対応が可能になります。

即時スキャンで迅速な脆弱性検出
開発段階での脆弱性検出に活用
・開発中のWebアプリやシステムに対して、リリース前に簡易スキャンを実施できる。
・これにより、本番環境でのリスクを最小限に抑えられる。

ツール診断の限界

ツール診断はコストを抑えて効率的に運用できる点がメリットですが、場合によってツール診断だけでは限界があります。

1.誤検出や見落としの可能性がある

ツール診断は、自動でシステムの脆弱性をチェックする仕組みですが、その診断結果には誤検知（False Positive）や見落とし（False Negative）が含まれる可能性があります。

誤検知（False Positive）
・実際には問題のないコードや設定を「脆弱性あり」と誤って検出するケース。
・例：「このページの入力欄にSQLインジェクションのリスクがある」とツールが指摘するものの、実際には適切なエスケープ処理が施されている場合。
見落とし（False Negative）
・実際には脆弱性が存在するのに「問題なし」と判定してしまうケース。
・例：カスタム開発された認証フローに不備があっても、一般的な攻撃パターンにマッチしないため検出されない。
誤検知や見落としの原因
・ツールの設定ミス：適切なスキャン設定を行わないと、正しい診断結果が得られない。
・検出ロジックの限界：ツールは既知の脆弱性パターンをもとに診断を行うため、未知の脆弱性やゼロデイ攻撃の検出には弱い。
・環境依存の問題：特定のアプリケーションやネットワーク環境では正しく診断できないことがある。

2.システム固有の脆弱性や複雑な攻撃パターンには対応できない

ツール診断は、主に既知の脆弱性をパターンマッチングによって検出するため、システム固有の処理に関わる脆弱性や、複雑な攻撃パターンには対応できません。

システム固有の処理に関連する脆弱性の例
・決済システムの不正操作：カートに入れた商品の価格を改ざんする攻撃。
・アクセス制御の不備：本来は管理者のみアクセス可能な機能を一般ユーザが利用できてしまう。
・認証バイパス：特定のリクエストを送ることで、パスワードなしでログインできてしまう。
複雑な攻撃パターンの例
・API連携を悪用した攻撃：ツール診断ではAPI間の不正な連携による情報漏えいを検出しづらい。
・多段階の攻撃手法（チェーン攻撃）：攻撃者が複数の脆弱性を組み合わせて攻撃する手法は、ツール単独では検出が難しい。

ツール診断は、効率的でコストパフォーマンスに優れたセキュリティ診断の手法ですが、その限界も理解し、必要に応じて手作業による診断と組み合わせることで、より信頼性の高いセキュリティ対策が可能となります。

まとめ

ツール診断は、自動化された脆弱性診断ツールを活用し、短時間で広範囲をスキャンできる効率的なセキュリティ対策です。手動診断と比べてコストを抑えながら、定期的な診断が容易に実施できるため、継続的なセキュリティリスク管理に適しています。また、基本的な脆弱性を素早く把握できるため、初期段階のリスク検出や、手動診断の補助としても活用可能です。しかし、ツール診断には誤検知や見落としといったリスクのほか、ビジネスロジックの脆弱性や複雑な攻撃手法の検出が難しいというデメリットが存在するため、単独では限界があります。そのため、より高度なセキュリティ対策を実現するには、手動診断との組み合わせが重要となります。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

―第1回「手動診断のメリットとは？」はこちら―
―第3回「手動診断とツール診断、どちらを選ぶべきか？最適な診断方法の選び方」はこちら―

2025年2月25日2025年8月12日

テレワーク環境に求められるセキュリティ強化

Security NEWS TOPに戻る
バックナンバー TOPに戻る

テレワークの普及に伴い、セキュリティ対策の重要性が一層高まっています。特に、在宅勤務やモバイルワークなど、多様な働き方が浸透する中で、情報漏えいや不正アクセスといったリスクへの対応が求められます。本記事では、最新のガイドラインや具体的な対策を踏まえ、テレワーク環境におけるセキュリティ強化のポイントを解説します。

テレワークの現状とセキュリティの重要性

総務省によれば、テレワークは「ICT（情報通信技術）を利用し、時間や場所を有効に活用できる柔軟な働き方」と定義されています。

テレワークを推進する総務省が刊行する「テレワークセキュリティガイドライン（第5版）」では、テレワークの形態を自宅を勤務場所とする「在宅勤務」、出先や移動中に作業する「モバイル勤務」、本社から離れた営業所やシェアオフィスなどを利用する「サテライトオフィス勤務」の3つに分類しています。

これらの働き方は柔軟性を提供する一方で、情報セキュリティの観点から新たな課題も浮上しています。特に、家庭内ネットワークの脆弱性や公共のWi-Fiを利用する際のリスクなど、従来のオフィス環境とは異なる脅威が存在します。

テレワークのセキュリティの基本的考え方

ガイドラインでは、クラウドサービスの活用やゼロトラストセキュリティの概念など、最新のセキュリティ動向を踏まえた対策が示されています。また、中小企業向けには「テレワークセキュリティに関する手引き（チェックリスト）」が提供されており、具体的な対策項目が整理されています。

図：テレワークにおける脅威と脆弱性について

（画像出典：総務省：「テレワークセキュリティガイドライン（第5版）」より一部抜粋）

テレワークにおけるセキュリティ対策の基本方針

テレワーク環境のセキュリティ対策は、「ルール」「人」「技術」の3つの要素のバランスが重要です。総務省のガイドラインでは、以下のポイントが強調されています。

ルールの整備：情報セキュリティポリシーの策定や、テレワーク時のデバイス使用に関する規定を明確にする
人への教育：従業員に対する定期的なセキュリティ教育や訓練を実施し、フィッシング詐欺やマルウェアへの対処方法を周知する
技術的対策：VPNの導入や多要素認証の活用、最新のセキュリティパッチの適用など、技術的な防御策を講じる

テレワーク環境下の人を狙ったサイバー攻撃

総務省ガイドラインが示す「ルール」「人」「技術」の中でも、特に忘れてはならない重要ポイントは人の問題です。令和元年度の情報通信白書においても、「ソーシャルエンジニアリング」が再び攻撃の中心になるという予測を紹介しています。

ソーシャルエンジニアリング対策としては、警視庁が「そのテレワーク、犯罪者が狙ってる！」と題する動画や、短編アニメ「テレワーク勤務時のセキュリティ基本篇」、啓発チラシ「ちょっと待って！そのテレワーク、セキュリティは大丈夫？」などを公開配布しています。

オフィスでみんなが席を並べて仕事していたら、いつもと違うメールが着信しても「こんなメールが届いた」と、隣席の同僚や情報システム部門に気軽に相談することができます。しかしテレワークではそれが簡単ではなくなります。人間心理の隙間を衝くような標的型攻撃メールなどに今まで以上に警戒が必要です。

また、政府のセキュリティ機関である内閣サイバーセキュリティセンター（NISC）は2020年4月、「テレワークを実施する際にセキュリティ上留意すべき点について」と題したテレワークに関する注意喚起を行っています。

NISCの注意喚起では、「政府機関」「重要インフラ事業者」「国民一般」の3つのカテゴリー毎に、セキュリティポリシーやルール整備、ICT環境の準備、安全な接続方法であるVPNやリモートデスクトップなどの技術活用にあたっての留意事項、遠隔会議システムの安全な利活用、機器のアップデートやパスワードの複雑化など、必要なセキュリティ対策がリストアップされています。

さらに、ノートPCの支給が間に合わずに個人端末の使用を許す場合もあり、これまでのような情報システム・IT部門による一括管理は難しくなりました。情報システム部門が個人端末に対してどこまで管理できるかの法的な問題もあります。また、一般社員に向けて、テレワークのセキュリティの留意点を告知したとしても、すべての社員がその内容を理解できているとは限りません。従業員向けの通達の意味が分からない場合、そのまま放置される可能性はどの程度あるでしょうか。それがリスクにつながるのであれば、通達の方法を変更するべきです。全従業員による確実な実施を徹底するため、情報システム部門からの通達内容において、使用されているIT用語は読み手のスキルレベルに対して適切か、耳慣れないと想定される言葉やプロセスは図を使用するなどして誰にでも等しくわかるような説明がなされているか、といった観点の校閲を設けるくらいの心構えが必要です。

テレワーク環境下でのセキュリティ対策

テレワーク環境の安全性を確保するためには、以下のようなポイントでセキュリティ対策を実施することを推奨いたします。

デバイスの管理：業務用デバイスと私用デバイスを明確に区別し、業務データの漏えいを防止する
ネットワークの安全性確保：自宅のWi-Fiには強固なパスワードを設定し、公共のWi-Fi利用は避ける
データの暗号化：重要なデータは暗号化し、万が一の情報漏えいに備える
アクセス権限の管理：必要最小限のアクセス権限を設定し、不正アクセスを防ぐ
定期的なセキュリティ診断：専門機関によるセキュリティ診断やペネトレーションテストを実施し、システムの安全性を確認する

技術的な対策だけでなく、従業員のセキュリティ意識の向上や定期的なルールの見直しを行い、組織全体で継続的にセキュリティ対策を強化していくことが重要です。

セキュリティ診断もリモートで実施可能

情報システム部門が安全のためにできることがもうひとつあります。それは、リモートワーク環境を構成するVPN機器や認証サーバ、クラウド環境の接続拠点といったアクセスの出入り口における設定不備や、不正アクセスの原因となりうるセキュリティ上の欠陥の有無について、ハードやソフト面のセキュリティ診断を行うことです。

Webアプリケーションの脆弱性診断や、脆弱性が悪用された場合のインパクトを事前に調べるペネトレーションテストといったセキュリティ診断の多くは、インターネットを介して行うことができます。新型コロナ感染症対策でテレワークを経験した企業では、今後もテレワークを希望する人が少なくありません。今後もこうした働き方を継続するのであれば、一度は脆弱性の有無を確認し、安全な環境で業務を行えるよう環境を整備することをお勧めします。

まとめ

・新型コロナウイルス感染対策にともない、多くの組織が拙速にテレワークに移行したためセキュリティの課題がある。
・まずは警視庁や内閣サイバーセキュリティセンターの注意喚起を参照。
・総務省の出している詳しいガイドラインに沿って「ルール」「人」「技術」を見直そう。
・VPN機器やクラウド環境などテレワーク環境全体のセキュリティ診断を受けよう。

【関連情報】

●＜インタビュー＞上野宣氏／ ScanNetSecurity 編集長

●＜コラム＞「ゼロトラストアーキテクチャ」とは？

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

2025年3月5日（水）13:00～14:00
「ランサムウェア対策の要！ペネトレーションテストとは？-ペネトレーションテストの効果、脆弱性診断との違い-」

2025年3月12日（水）14:00～15:00
「サイバー攻撃に備えるために定期的な脆弱性診断の実施を！-ツール診断と手動診断の比較-」

2025年3月13日（木）11:00～12:00
「脆弱性診断、やりっぱなしになっていませんか？高精度診断と充実サポートでリスクを最小化〜サイバー保険で安心診断から守るまでを徹底解説〜」

最新情報はこちら

2024年9月10日2025年5月12日

脆弱性診断は受けたけれど～脆弱性管理入門

Security NEWS TOPに戻る
バックナンバー TOPに戻る

contents

～とある会社Aと脆弱性診断の結果を受け取った関係者とのやり取り～

脆弱性診断を受けたA社では入社3年目のセキュリティ担当・Bさんが結果に頭を抱えています。なぜなら、社内ネットワークに使っているスイッチにCVSSスコア9.8の脆弱性、リモートアクセスに使用しているVPNゲートウェイにCVSSスコア8.8、オンラインショップ用の受発注管理に利用しているデータベースにCVSSスコア7.5の脆弱性が見つかってしまったからです。リスクはどれも「高」レベルとして報告されたため、Bさんは上司に相談し、すべてに修正パッチを当てるようスイッチとVPNゲートウェイについてはインフラチームの担当者に、データベースについては開発部に連絡することにしました。

インフラチームのCさんとSlackでやり取りをしていたBさんはCさんからこんなことを伝えられます。

インフラチームCさん「修正パッチを適用するとなると、インフラチームは基本みんなリモートだから、誰かを土日のどこかで休日出勤させるか、急ぎだったら平日の夜間に勤務させて、パッチを当てることになるけど、どれぐらい急ぎなの？」

「あと、VPNとスイッチ、どっちを先に作業したほうがいいの？パッチの情報を調べてみたら、VPNのほうは一度途中のバージョンまで上げてから最新バージョンまで上げないといけないみたいで、作業時間がすごくかかりそうだから、別日で作業しないとだめかもしれないんだよね」

Bさんは答えに詰まってしまいました。リスクレベルは高だといわれているけれども、どれぐらい急ぐのかは誰も教えてくれないからです。

答えに詰まって「確認してから折り返し連絡します」と返したところ、「セキュリティ担当はいいなあ。土日とか夜間に作業しなくていいし、すぐに答えなくてもいいんだから」と嫌味までいわれてしまいました。

Bさんは脆弱性診断の結果が返ってきてから1週間後、開発部門のD部長にセキュリティ担当と開発部門の定例会議の際に報告事項としてパッチ適用の件を報告しました。するとD部長はこういいました。

開発部D部長「この件、1週間ほど報告に時間を要したようですが、脆弱性診断の結果以外に何か追加の情報はありますか？あと、この脆弱性診断の結果によるとリスクレベル高とありますが、社内の規定としてどの程度急ぐかといった判断はされましたか？」

開発部のほかの人にもこんなことをいわれてしまいます。

開発部担当者「パッチを適用する場合、ステージング環境で影響を調査したうえで必要であればコードや設定の修正などを行う必要がありますが、その時間や工数は考慮されていないですよね。通常の開発業務とどちらを優先すべきかといった判断はどうなっているんですか？」

Bさんはまたもや言葉に詰まってしまいます。セキュリティ担当は自分と上司の2人だけ、上司は別の業務との兼務でパッチの適用の優先順位付けまで考えている時間はありません。自分もEDRやファイアウォールの運用をしながら脆弱性診断の依頼や結果を受け取るだけで、とても他の部門の業務内容や環境のことまで把握しきる余裕がないのです。

ここまで、架空の会社A社と脆弱性診断の結果を受け取った関係者の反応を物語形式でお送りいたしました。現在、弊社の脆弱性診断サービスでは脆弱性単体のリスクの度合いの結果をご提供させていただくことはあっても、その脆弱性をどういった優先度で修正しなければならないかといった情報はご提供しておりません。なぜならば、パッチを適用するにあたって優先順位をつけるためにはお客様しか知りえない、以下の要素が必要になるためです。

パッチ適用の優先順位をつけるための3つの要素

脆弱性を持つアセットが置かれている環境
・インターネット上で公開された状態か、IPSやFWなどで制御されたネットワーク内か、もしくはローカル環境依存といった非常に限定的な環境かといった分類
・CVSSでいう環境スコア（CVSS-E）の攻撃区分（MAV）にあたる、実際の環境依存の要素
アセットが攻撃を受けた場合に事業継続性に与える影響
アセットが攻撃を受けた場合に社会や社内（運用保守・人材）に与える影響

冒頭のA社のケースでは以下のように整理できるでしょう。

アセットが置かれている環境

VPN：インターネット上で公開された状態
データベース：設定を間違っていなければIPSやFWなどで制御されたネットワーク配下だが、公開ネットワーク寄り
スイッチ：設置環境によって制御されたネットワーク内かローカル環境になる。

アセットが公開されている場合、攻撃者からよりアクセスしやすいことからより緊急度が高いといえるので、VPN＝データベース＞スイッチの順になると考えられるでしょう。

アセットが攻撃を受けた場合に事業継続性に与える影響

アセットが攻撃を受けた場合に自社の事業継続にどの程度影響が出るかといった要素です。
仮にランサムウェア攻撃によって影響を受けた場合、それぞれのアセットの停止でどの程度の影響が出るかを想定してください。A社の場合事業継続性への影響度順でいうと、データベース＞VPN＞スイッチの順になると考えられます。

今回の場合はデータベースが事業に直結しており、顧客情報を含むデータを持っているため、継続性への影響度が高いという想定です。アセットの利用目的や環境によってはこの順番が入れ替わることもあります。

アセットが攻撃を受けた場合に社会や社内に対して与える影響

A社がランサムウェア攻撃を受けた場合はオンラインショッピングサイトのデータベース関連で以下の影響が見込まれます。

顧客情報の漏洩
運用およびシステムの復旧にかかる費用と工数

このほかにVPNやスイッチもフォレンジック調査の対象となって業務が行えなくなる可能性が高いと考えられます。VPNに関しては利用できない期間、社員の出社が必須になるなどワークスタイルへの影響も出る可能性もあります。こういったことから、社会および社内に対して与える影響でA社の例を考えると影響度は、データベース＞VPN＝スイッチと考えられるでしょう。

SSVCとは

こうした情報があったうえで利用ができようになる優先順位付けの方法があります。それが「SSVC（Stakeholder-Specific Vulnerability Categorization）」です。SSVCは脆弱性管理プロセスに関与する利害関係者のニーズに基づいて脆弱性に優先順位を付けるための方法論とされており、経営・マネジメント層、システム開発者、システム運用者といったステークホルダーと一緒に脆弱性に対処していくための方法論といえます。SSVCは脆弱性そのものの技術的評価ではなく、脆弱性にどのように対処するかという観点での評価を行うフレームワークになります。

SSVCの3つのモデル

ソフトウェアやハードウェアの供給者、すなわちパッチを開発する人が用いる「Supplier Decision Model」
ソフトウェアやハードウェアを利用する側、つまりパッチを適用する人が用いる「Deployer Decision Model」
CSIRTやPSIRT、セキュリティ研究者やBug Bounty Programなど、脆弱性に対して何らかの調整やコミュニケーションのハブとなりうる人、コーディネーターが用いる「Coordinator Decision Model」

このうち、「Deployer Decision Model」と「Supplier Decision Model」ではプライオリティ（対応優先度）付けの結果を4つにわけています。

SSVCで得られるプライオリティ付けの結果

	Deployer Model	Supplier Model
Immediate	すべてのリソースを投入し、通常業務を止めてでもパッチの適用を直ちに行うべきである	全社的にすべてのリソースを投入して修正パッチを開発し、リリース
Out-of-cycle	定期的なメンテナンスウィンドウより前に、やむを得ない場合は残業を伴う形で緩和策または解消策を適用	緩和策または解消策を他のプロジェクトからリソースを借りてでも開発し、完成次第セキュリティパッチとして修正パッチをリリース
Scheduled	定期的なメンテナンスウィンドウで適用	通常のリソース内で定期的な修正パッチのリリースタイミングでパッチをリリース
Defer	現時点で特に行うことはない	現時点で特に行うことはない

ここではDeployer Decision ModelをもとにA社がどのようにパッチを適用すべきか検討してみましょう。

まず、Bさんは上司に相談したうえで、前述した3つの要素、「脆弱性を持つアセットが置かれている環境」、「事業継続性への影響」、「社会や社内への影響度」を定義していく必要があります。また、この定義に当たっては実際の環境や利用用途、部門内のリソースなどをよく知っているインフラチームや開発部といった当事者、つまりステークホルダーの関与（少なくとも承認）が必要となってきます。このほかに優先順位付けの結果、”Immediate”や”Out-of-Cycle”が出た場合の対応プロセスも用意しておく必要があります。Bさん１人で何かできることはそれほど多くはなく、社内のステークホルダーへの聞き取りや経営層への説明、必要なプロセスの準備と合意形成など、上司や部門全体も含めて組織的に取り組まなければならないといえます。さらに、Bさんは脆弱性自体が持つ以下の要素を調べる必要があります。

脆弱性が持つ要素

自動化の可能性

攻撃者がツール化して脆弱性を悪用するかどうかを判定するものとなります。これは攻撃者がツール化した場合、攻撃者間でツールの売買が行われるなど汎用的に悪用される可能性があるため、把握が必要な要素となります。一部の脆弱性はCISA VulnrichmentやCVSS4.0のSupplement MetricsのAutomatableの値が参照できますが、情報の参照先がないものについてはPoCの有無やPoCの内容から自動化の可否を判断する必要があります。この点はSSVC利用の難点として挙げられることもあります。

悪用の状況

実際に攻撃されていることを示すActive、PoCのみを示すPoC、悪用されていないことを表すNoneの3つに分類されます。この情報は時間の経過とともに変化する可能性が最も高く、逐次状況を確認する必要があります。情報の参照先は、KEVカタログ、CISA VulnrichmentのExploitationの値、CVSS4.0のThreat MetricsやNVDのReferenceのPoCの有無といったものが利用できます。唯一難点があるとすれば、日本国内でシェアの高い国内メーカー機器の情報がKEVカタログやCISA Vulnrichmentなどにあまり反映されない点にあります。

まとめ　～CVSSとSSVCの活用～

これまではCVSSが高い値のものだけ対処していた、という組織も多いでしょう。CVSSは脆弱性の単体評価ができ、脆弱性が広く悪用された場合の深刻度を測るための評価システムです。ただし、その脆弱性が存在するアセットがどのように利用されているか、そのアセットが業務継続性や運用保守、ひいては社会全体に対してどのような影響を与えるかといった観点が欠けていることが長らく問題視されてきたのも事実です。

脆弱性管理は手間がかかる、登場人物が多い、意見がまとまらないといったこともあるでしょうし、「自動化の可能性とかわからないし、攻撃の状況をずっと見ているほどの時間の余裕はない！」といった様々なお声があるかと思います。しかし、今この瞬間どの企業がいつサイバー攻撃を受けるのか全く見当もつかない状況の中、少しでもリスクを回避したい、どこにリスクがあるのか手がかりをはっきりしておきたいという企業の皆さまもいらっしゃるかもしれません。本記事を通じて、こういった脆弱性管理手法があることを知っていただき、活用することでリスク回避ができるようになるための役立つ情報提供となれば幸いです。

参考情報：

独立行政法人情報処理推進機構（IPA）「共通脆弱性評価システムCVSS v3概説」
https://www.ipa.go.jp/security/vuln/scap/cvssv3.html
カーネギー・メロン大学「SSVC: Stakeholder-Specific Vulnerability Categorization」
https://certcc.github.io/SSVC/

Security NEWS TOPに戻る
バックナンバー TOPに戻る

サイバーインシデント緊急対応

ウェビナー開催のお知らせ

2024年9月18日（水）13:00～14:00
【好評アンコール配信】
「ランサムウェアの脅威を知る-脅威に備えるためのランサムウェア対策-」

2024年9月25日（水）13:00～14:00
【好評アンコール配信】
「ランサムウェア対策の要～ペネトレーションテストの効果、脆弱性診断との違いを解説～」

2024年10月2日（水）13:00～14:00
【好評アンコール配信】
「サイバー攻撃に備えるために定期的な脆弱性診断の実施を！
　- ツール診断と手動診断の比較 –」

2024年10月9日（水）13:00～14:00
【好評アンコール配信】
「システム開発のセキュリティ強化の鍵とは?
　-ソースコード診断で手戻りリスクとサイバー攻撃を未然に防ぐ-」

最新情報はこちら

Youtubeチャンネルのご案内

SQATチャンネル（@sqatchannel9896）では毎月、アナリストが語る「セキュリティトピック」解説動画やウェビナー動画を更新しています。ぜひチャンネル登録をして、チェックしてみてください。

	2024.12.18（水）開催脆弱性診断の新提案！スピード診断と短納期で解決する「SQAT^®with Swift Delivery」セミナー再生時間：05:09
	2022.4.21（水）開催企業の対策すべき脆弱性入門再生時間：05:13
	2024.11.13（水）開催ウェブ担当者必見!プライバシー保護規制対応と情報セキュリティ -サイバー攻撃への事前・事後対応- 再生時間：05:07
	2022.6.22（水）開催テレワーク運用時代のセキュリティ情報の集め方-セキュリティに求められる情報収集とは- 再生時間：04:51
	2024.4.24（水）開催知っておきたいIPA『情報セキュリティ10大脅威 2024』～セキュリティ診断による予防的コントロール～再生時間：05:19
	2025.1.22（水）開催ランサムウェア対策の要! ペネトレーションテストとは?-ペネトレーションテストの効果、脆弱性診断との違い- 再生時間：04:55
	2024.6.19（水）開催サイバー攻撃に備えるために定期的な脆弱性診断の実施を！-ツール診断と手動診断の比較- 再生時間：05:04
	2024.5.22（水）開催対応必須! 情報セキュリティ事故発生時の緊急対応とは再生時間：05:09
	2024.8.7（水）開催 AWS・Azure・GCPユーザー必見！企業が直面するクラウドセキュリティリスク再生時間：05:18
	2024.7.10（水）開催ランサムウェアの脅威を知る～脅威に備えるためのランサムウェア対策再生時間：05:02
	2024.4.17（水）開催変化する不確実性の時代における「安心・安全・安定のWebサイト運営」セミナー再生時間：03:00
	2023.10.18（水）開催自動車産業・製造業におけるセキュリティ対策のポイント-サプライチェーン攻撃の手口と対策方法- 再生時間：04:56
	2023.8.9（水）開催 DevSecOpsを実現！-ソースコード診断によるセキュリティ対策のすすめ- 再生時間：05:29
	2023.11.15（水）開催 Webアプリケーションの脆弱性対策-攻撃者はどのように攻撃するのか- 再生時間：05:42
	2023.5.17（水）開催今さら聞けない！ペネトレーションテストあれこれ再生時間：05:20
	2023.3.15（水）開催予防で差がつく！脆弱性診断の話再生時間：04:57
	2023.7.20（水）開催今さら聞けない！PCI DSSで求められる脆弱性診断あれこれ再生時間：05:00
	2023.4.19（水）開催知っておきたいIPA『情報セキュリティ10大脅威 2023』～セキュリティ診断による予防的コントロール～再生時間：05:00
	2023.1.27（水）開催今さら聞けない！ソースコード診断あれこれ再生時間：05:00
	2023.6.21（水）開催今さら聞けない！クラウドセキュリティあれこれ再生時間：05:00