「ASM・レコナイ診断」「脆弱性診断」　比較とそれぞれの重要性

サイバー攻撃の脅威は年々深刻さを増し、いまや企業規模を問わず、あらゆる組織が標的となる時代に突入しています。特に中小企業においては、大企業の下請けや委託先としてサプライチェーンの一角を担っていることが多く、そのセキュリティホールが全体のリスクを高める要因にもなっています。

侵入経路の多くは、ホームページやメールの添付ファイルをきっかけにしています。2022年4月には改正個人情報保護法が施行され、サイバー攻撃の公表義務が強化されたことにより、これまで水面下に隠れていた被害が明るみに出るようになりました。今こそ、「事後対応」ではなく「事前防御」の視点から、包括的なセキュリティ対策が求められています。

■実際のサイバー攻撃事例から学ぶリスクの実像
保険販売企業での個人情報流出（2025年4月）
保険見直し本舗がランサムウェアに感染し、約501万人分の個人情報が流出。この事例は、同社が提携していた生命保険・損害保険会社にも波及し、代理店における情報管理の曖昧さと、重要インフラ事業者としての責任の重さが改めて問われました。

ECサイトの改ざん（2024年12月）
全国で40社以上のECサイトが改ざんされ、30万人超の顧客のクレジットカード情報が流出。過去4年間にわたって行われていた不正アクセスの痕跡も確認されており、定期的なWebアプリケーション診断を実施していれば防げた可能性が高いと指摘されています。EU圏の情報が含まれていた場合、GDPR違反による高額な制裁リスクも浮上しました。

IoT機器が引き起こすDDoS攻撃（2024年）
NICTERの報告によると、1日あたり2,600台超のIoT機器が乗っ取られ、年末年始にはJR東日本や銀行の予約システムがDDoS攻撃を受けてダウン。感染機器の排除が根本的な対策であり、総務省やIPAも通知（NOTICE）やJC-STARといった対応策を進めています。

JAXAへの4度の攻撃（2023〜2024年）
宇宙航空研究開発機構（JAXA）は1年半の間に4度もサイバー攻撃を受け、VPNルーターのゼロデイ脆弱性や未公表のCVEによって侵入を許しました。MS365に保管されていた外部共同情報や個人情報の漏洩が確認され、定期的な脆弱性診断の必要性が改めて浮き彫りになりました。

■ハッカーはどのように攻撃してくるのか？
ハッカーの攻撃は決してランダムではなく、計画的に段階を踏んで進められます。多くの攻撃は、以下のようなプロセスを経て行われます。

偵察（レコナイサンス）
　ASM（Attack Surface Management）やスキャンツールを使い、攻撃可能なIPやドメインを洗い出します。

標的の選定
　得られる情報資産の価値を評価し、狙う企業や団体を決定します。

初期侵入（エクスプロイト）
　既知の脆弱性（CVSSスコアが高いもの）を突いて、権限奪取やシステム侵入を試みます。

情報の窃取
　機密情報や個人情報、業務データなどが標的となり、長期にわたり情報収集が行われることもあります。

ランサムウェアの実行
　最後にデータを暗号化して金銭を要求。復旧しても情報は既に漏洩済みで、致命的な被害を受けます。

■脆弱性診断とは何か？ 〜システムの“健康診断”〜
脆弱性とは、外部からの攻撃に対してシステムが持つ「弱点」です。人の体に例えるなら、診断とは健康診断そのもので、問題が見つかったら治療（改修）を施す必要があります。

診断の基本的な指標として用いられるのが CVSS（共通脆弱性評価システム） です。スコアは0.0～10.0で、9.0以上は「緊急」、7.0以上は「重要」とされます。これらが放置されていると、専門知識の浅い攻撃者でも容易に侵入可能です。

■ASMと脆弱性診断の違いとは？
ASMと脆弱性診断は、どちらもサイバーセキュリティの根幹ですが、目的とカバー範囲が異なります。

ASM（攻撃対象領域管理）
　外部からアクセス可能な全資産（IP・ドメイン）を洗い出し、攻撃リスクを定期的に可視化します。忘れられた開発環境や旧サーバーも検出可能で、パッシブスキャンが中心です。

レコナイツール
　ハッカーが使う偵察ツールと同等の手法で、組織の見落とされた資産や外部に流出した情報を追跡します。

脆弱性診断（アクティブスキャン）
　指定されたIPやWebアプリケーションに対して、実際に攻撃を模したパケットを送信し、深部の脆弱性を洗い出します。

この両者を併用することで、"表面的な広さ"と"深層的な弱点"の両方を網羅し、強固なセキュリティ体制を構築できます。

■主な診断対象と項目一覧
プラットフォーム診断
サーバー、PC、NAS、IoT機器など、ネットワークに接続された端末の脆弱性を調査します。

Webアプリケーション診断
フォームやログイン機能など、ユーザーが操作するWebサイト部分の脆弱性を検出します。

具体的な診断項目には以下があります：
CVE（共通脆弱性識別子）
クラウドセキュリティ（AWS/Azure）
メールセキュリティ（SPF/DKIM/DMARC）
情報漏洩履歴（Breach）
SSL/TLS証明書（WebCert）
HTTPヘッダーの適正性（Header）
ポートスキャン耐性（Port）
サブドメインの野良端末検出（Subdomain）

■診断の実施とツールの選定ポイント
ASMは24時間いつでも実施可能ですが、脆弱性診断はサーバーに負荷がかかるため、業務時間外（深夜・休日）に行われるのが一般的です。

また、診断後の「結果説明会」が極めて重要です。報告書の読み解きや、改修方法のアドバイス、必要であれば再診断まで対応できるベンダーを選ぶことがポイントとなります。

■よくある誤解と注意点
「UTMを導入すれば安心」：UTMは社内ネットワークの防御には有効ですが、インターネット公開資産には別の対策が必要です。
「脆弱性診断だけで万全」：ASMを併用しなければ、管理外の資産が狙われるリスクがあります。
「プロバイダーが責任を取ってくれる」：プロバイダーによる責任範囲は契約内容により大きく異なります。利用規約の確認が必須です。

■世界と日本における脆弱性診断義務化の動き
米国：FISMA法により診断が義務化され、NIST基準に準拠した報告書提出が必要。
EU：NIS2指令やDORA規則により、金融機関などに対し診断と報告が義務付けられます。
日本：特定社会基盤事業者など一部に限られ、全般的には「努力義務」に留まっているのが現状です。

■継続的なセキュリティ対策こそが組織を守る
サイバー攻撃の脅威は、日々進化しています。「自社は狙われない」という思い込みは最も危険です。セキュリティ対策は一度きりではなく、継続的な取り組みが求められます。

ASMによる攻撃対象資産の可視化、脆弱性診断による弱点の洗い出し、そして改修。これらを定期的に回すことが、組織の事業継続性、顧客の信頼、そして未来の成長を守る戦略的な投資となります。

本記事は、経済産業省が公開した「ASM導入ガイダンス」の内容をもとに構成されています。