自社に向いているのはどれ？セキュリティアセスメントの種類

各アセスメントは役割や目的が異なるため、自社の課題に即したものを選び、適切に実施していくことが大切です。まずはセキュリティアセスメントの種類を徹底紹介します。

下記は各アセスメントをまとめた簡易的な比較表です。自社にはどんな調査が必要なのかを参考にしてみてください。

アセスメントの種類	調査手法	具体的な調査対象	企業・ソリューション例
セキュリティレーティング	公開情報全般を自動ツールで評価	ドメイン・IP・DNS・SSL証明書など	SecurityScorecardなど
ASM	公開情報全般評価を定期に調査し、場合によってはアクティブスキャン	IP・サブドメイン・HTTPレスポンスなど	Palo Alto Networksなど
脆弱性診断	特定のネットワーク・システムを深く調査	ファイアウォールなどの機器・バックエンドAPIなど	Nessus・Qualysなど
ぺネトレーションテスト	アプリ単位に架空の攻撃を仕掛けて安全性を確認	VPNといった侵入経路・クラウドアカウントなど	CrowdStrike・Trustwaveなど
コンプライアンスアセスメント	担当者インタビューや内部監査	法令・規約・ポリシー	Bitdefenderなど
オンサイト調査	システムやポリシーなどを包括的に調査	ネットワーク機器・従業員PC・スタッフの教育状況など	IIJグローバルオンサイトサーベイソリューションなど

セキュリティレーティング

セキュリティレーティングはセキュリティアセスメントの中でも最も簡易的な調査で、公開されている表面的な情報から自社の健全性を評価します。全自動ツールの使用により自社のリソースをあまり割く必要がないため、主に「自社にどんな脆弱性があるのかわからない」「とりあえず脆弱性がないか最低限把握しておきたい」といった場合におすすめです。

調査範囲は公開されているドメイン・IP・DNS・SSL証明書などを網羅し、例えば、古いSSL使用による構成ミスや、バナー・プロトコルから判別できる既知の脆弱性、パッチ未適用などが検出可能です。ほかのセキュリティアセスメントよりも簡易的なため、数万円から実施できるコストパフォーマンスの高さも魅力です。

ASM（Attack Surface Management）

ASMでは健全なセキュリティ状態を維持するために、自社の公開済みのIT資産を定期的に調査・評価します。IPアドレス・サブドメインといった公開情報の調査に加えて、HTTPレスポンス・WAFなどに対して直接的に通信を送り込む「アクティブスキャン」を実施する場合もあります。アクティブスキャンの工数がかかるため、セキュリティレーティングよりも導入・運用のコストは高くなります。

脆弱性診断（脆弱性評価）

脆弱性診断は既存システムの脆弱性を、自動及び手動で調査します。ASMが公開済みのIT資産の可視化と攻撃対象領域の特定に注力する一方で、脆弱性診断では非公開の既存システムも含む特定のIT資産の脆弱性を発見します。「自社の既存システムをアップデートしたため、脆弱性の有無を徹底的に調査したい」といった場合に活用されることが多いです。

ペネトレーションテスト

ぺネトレーションテストは特定の機器・システムのセキュリティ状態について、手動でアクティブに検証するのが特徴です。ASM・脆弱性診断で明らかになった脆弱性の改修後、侵入経路から実際に攻撃を試行し、パッチ適用・設定変更などの改修作業の有効性を確認します。そのほか、システムをアップデートした際などにも実施する場合もあります。

コンプライアンスアセスメント

コンプライアンスアセスメントでは法令・規約・社内ポリシーの状況を評価します。組織のガバナンス体制の健全性を検証し、リスク管理や内部統制の有効性が確認できます。調査では対象者へのインタビューや内部監査を実施し、コンプライアンス報告書といった成果物でリスク評価するのが一般的です。ASM・脆弱性診断が「技術的なアセスメント」だとすれば、コンプライアンスアセスメントは「組織的なアセスメント」と表現できるでしょう。

オンサイト調査（オンサイトサーベイ）

オンサイト調査は調査・評価のために、実際に対象の現場へ調査担当者が訪問する調査です。オフィスや工場、データセンターなど施設の物理的な環境やシステムの運用状況を、調査担当者が直接詳細に確認します。

システムの脆弱性の発見など技術的なアセスメントに加えて、現場環境や責任者の意識調査といった組織的なアセスメントも実施できるのが強みです。「脆弱性診断とコンプライアンスアセスメントどちらも実施して、技術と組織両面から徹底的に調査したい」といったニーズに応えられます。国内本社で管理しきれない海外の現地法人のガバナンス調査などにもおすすめです。

オンサイト調査のメリット

ここからはオンサイト調査のメリットを解説します。脆弱性診断とコンプライアンスアセスメントの魅力を併せ持つオンサイト調査には、他のアセスメントでは不可能なことがいくつかあります。

ファイアウォールや各種機器の運用状況を包括的に調査できる

オンサイト調査は調査員（ITエンジニアなど）が現場へ赴き、ファイアウォールや各種機器の運用状況を包括的に調査します。セキュリティレーティングやASMと同じく調査範囲が広範でありながら、脆弱性診断・ぺネストレーションテスト以上に深く詳細に調査できます。

例えば、IIJが提供している「IIJグローバルオンサイトサーベイソリューション」では、主に目が行き届きにくい海外拠点のファイアウォールの保守状況から、従業員PCへのサンプリング調査まで幅広く実施しています。必要であれば自社の懸念材料の追加調査も可能です。海外拠点であれば、オンラインで完結するASM・脆弱性診断が主流ですが、その枠を超えて人の目で調査ができる、まさに「痒い所に手が届く調査」が好評を博しています。

調査報告レポートや改善提案書がネクストアクションの判断材料になる

包括的かつ詳細な調査を実施したうえで、オンサイト調査では調査報告レポートや改善提案書を成果物として納品することもあります。IIJグローバルオンサイトサーベイソリューションの場合は、セキュリティスペシャリストによる分析レポートを提供します。分析レポートの各項目に対する評価を、ネクストアクションの判断材料として活用することができます。

下記はIIJで提供している分析レポートの一部です。多数の項目を定量的に評価し、改善点を明示することで具体的な対策案の策定につながります。

ポリシーやガバナンスの状態を可視化できる

オンサイト調査では技術的な脆弱性だけでなく、組織的な弱点も可視化できるのも大きな魅力です。現地のスタッフと直接コミュニケーションを取り、ポリシーの不徹底や環境への不満などがあれば、日本本社へその状況を共有できます。例えばIIJグローバルオンサイトサーベイソリューションでも、セキュリティポリシーや管理状況の規定・規則の調査、現地での教育状況の調査を実施しており、これらはガバナンス改善の第一歩として活用できます。本社の人員に代わって、現地に直接赴くからこそできる魅力です。

日本本社と現地法人の“橋渡し役”として活用しやすい

オンサイト調査の調査員は、日本本社と現地法人の“橋渡し役”としての位置付けも担います。ファイアウォールの保守状況やポリシー管理といった、日本本社の現地法人に対する懸念事項を調査員が代わりに調査・分析します。さらには技術的な課題や現場担当者の意識を本社へ共有、双方が納得できるような解決策の立案までサポート可能です。

さらにIIJグローバルオンサイトサーベイソリューションでは、これから海外進出を検討している企業の事前調査として、IT環境における事業の可能性を多角的に評価することも。アセスメントやサポート役に留まらず、セキュリティコンサルタントのように伴走して支援する事もできます。

オンサイト調査のデメリット

アセスメントの中でも実施メリットの多いオンサイト調査ですが、残念ながらデメリットも存在します。例えば、調査員を現地に派遣して調査するため、オンラインで完結するASMなどよりもかかる調査期間は長くなります。

また、調査員の現地への派遣費用や現地調査作業費、現地調査分析レポート費用などがかかるため、セキュリティレーティング・ASMなどよりもコストがかかることも。そのほか、調査員とコミュニケーションを取るために、本社・現地法人どちらとも人的リソースを割く必要があります。

以上のように、オンサイト調査は直接現地に調査員が赴く大がかりな調査のため、コストやスケジュール面を考えるとASM・脆弱性診断などよりも手軽さがないといえます。オンサイト調査含めセキュリティアセスメントは適材適所で選ぶのが重要です。

オンサイト調査でセキュリティ対策につなげた成功事例

最後にオンサイト調査でセキュリティ改善につなげた成功事例を、IIJグローバルオンサイトサーベイソリューションのユースケースを基に紹介します。オンサイト調査がどのような課題に有効なのかをぜひ参考にしてみてください。

【ブラックボックスの可視化】全世界30拠点のIT環境を半年かけて調査

全世界に30拠点を抱える日本のグローバル運輸業・Ａ社は、一部の海外拠点がランサムウェアに感染。IT環境のブラックボックス化で、以前から日本本社から海外拠点のIT環境が把握しきれず、サイバーリスクの脅威にさらされていました。経験豊富なエンジニアが直接現地調査を行うIIJに依頼し、海外拠点全てのIT環境調査・セキュリティアセスメントを実施することに。

調査の結果、情報漏えい時の対応フローの未策定やウイルスソフトの未更新を含め、いくつもの課題が可視化されました。全海外拠点のIT環境を調査するために半年間を要しましたが、オンラインでは明らかにできない現場が抱える課題も発見できました。

【グループ全体の組織強化】技術的な脆弱性だけでなくガバナンス徹底のきっかけに

世界13か国に拠点を構える老舗建設企業・B社は、組織強化に伴うIT環境の整備が必要になりIIJへオンサイト調査を依頼。特にITインフラやガバナンスに懸念材料のあったヨーロッパ現地法人に対して、セキュリティ調査・機器の購入業務フロー策定・現地担当者アンケートを実施して脆弱性を発見しました。

ガバナンス面でも大きな成果が生まれており、案件を進める中でヨーロッパ現地法人の結束及び日本本社との連携の強化につながりました。日本本社にはIIJ日本営業が、そして現地法人側にはIIJ EU所属の現地人エンジニアが対応することで、双方の正直な思いをヒアリング。一方的な要望ではない調査実施によって、ガバナンスの徹底や組織力強化にもつながりました。

【調査後も改善のために併走】調査で見つけた脆弱性を最適なソリューション・サービスで改善

国内外で事業を展開する総合素材メーカ・C社は、海外事業の拡大に伴ってネットワークの帯域不足など懸念事項が目立っていました。同社はITインフラ全般の再構築を最終ゴールとして、まずIIJのオンサイト調査やITサポートを実施。オンサイト調査によって狙われやすい脆弱性を可視化することに成功しました。

オンサイト調査後もITインフラ全般の再構築を目指して、現地法人の担当者との導入調整を行いシステムインテグレーションを実施、結果的に全拠点共通で帯域不足などの課題を解消しました。オンサイト調査だけに留まらず、将来を見据えたプランニングや課題解決までつなげるのは、IIJならではの技術力やお客様に寄り添った提案力によるものといえます。

オンサイト調査で技術・組織どちらも改善

今回はセキュリティアセスメントの種類について解説しました。各セキュリティアセスメントには使い方や役割に明確な違いがあり、自社の課題に合わせたアセスメントが必要になります。

また、記事後半ではIIJの「IIJグローバルオンサイトサーベイソリューション」を一例にして、オンサイト調査の特徴や事例を解説しました。オンサイト調査は調査のスピード感などに課題があるものの、徹底的に現地法人が抱えるリスクを明らかにできます。さらには現地に直接調査員が赴くため、日本本社との橋渡し役としてグループ全体のガバナンスや組織強化にも寄与するのも大きな魅力です。

本文中でも紹介した通りIIJグローバルオンサイトサーベイソリューションは、IIJのノウハウを凝縮したオンサイト調査を実施します。調査で発見した脆弱性に合わせて、様々なセキュリティ対策のソリューション・サービスを提案できるのもIIJならではの特徴です。もしオンサイト調査やセキュリティ対策に興味がありましたら、ぜひ一度IIJへご相談ください。オンサイトサーベイソリューションだけでなく、IIJの様々なアセスメントから貴社にとって最適なものをご提案いたします。