セキュリティアセスメントとは
セキュリティアセスメント(Security Assessment)は、組織のIT資産・業務・統制が抱えるセキュリティリスクを体系的に評価する活動の総称です。脆弱性を見つける技術的診断から、リスク全体を経営の視点で評価するリスクアセスメントまで幅広い種類があり、目的・対象・手法が異なります。
「セキュリティ強化」と一括りにすると曖昧になりがちですが、目的を明確にして適切なアセスメントを組み合わせることで、限られた予算・体制でも効果的にリスクを下げられます。
なぜセキュリティアセスメントが必要か
- 客観的な現状把握:自社の弱点・優先度を「主観」ではなく「データ」で確認
- 監査・契約対応:取引先・親会社・SCS評価制度・ISMS・SOC2・J-SOX等での要求事項
- 投資判断の根拠:限られたセキュリティ投資をどこに使うかの優先順位付け
- インシデント発生前の予防:ランサムウェア・標的型攻撃の被害を未然に防止
- 取引拡大・PMI:取引先デューデリジェンス、M&AのITDDで必須
- 経営説明・ステークホルダー対応:取締役会・株主・顧客への説明責任
セキュリティアセスメントの主な種類
| 種類 | 主な目的 | 対象 | 手法 |
|---|---|---|---|
| リスクアセスメント | 組織全体のリスク評価 | 業務・情報資産・脅威・脆弱性 | ヒアリング、資産棚卸、リスクマトリクス |
| 脆弱性診断(VA) | 既知の脆弱性の検出 | Web、サーバ、NW機器、クラウド | 自動スキャナ+手動検証 |
| ペネトレーションテスト | 侵入可能性の検証 | Web、社内NW、AD、クラウド | 攻撃者視点で侵入を試行 |
| Red Team演習 | 検知・対応能力の評価 | 組織全体(人・プロセス・技術) | ステルス侵入、長期作戦 |
| TLPT | 脅威ベース侵入テスト | 金融・重要インフラ等 | 脅威インテリジェンス+Red Team |
| ASM(攻撃対象領域管理) | 外部公開資産の継続把握 | ドメイン、IP、SaaS、漏洩情報 | OSINT、自動収集ツール |
| クラウド構成診断 | クラウド設定の不備検出 | AWS、Azure、GCP、M365 | CSPM、ベンチマーク照合(CIS Benchmark) |
| コード診断(SAST/DAST/SCA) | アプリ/OSSの脆弱性検出 | ソースコード、稼働中Web、依存ライブラリ | 静的解析・動的解析・SBOM分析 |
| コンプライアンス/監査アセスメント | 規格・法令準拠の評価 | ISMS、SOC2、PCI DSS、J-SOX、SCS等 | 規格項目との突合、証跡確認 |
| フィッシング訓練 | 従業員の対応力評価 | メール訓練、教育成果 | 偽装メール送信+クリック率測定 |
リスクアセスメント(ISO27005/NIST SP800-30)
もっとも上位に位置する活動。情報資産・脅威・脆弱性を整理し、「発生可能性 × 影響度」 でリスクを定量・定性化します。
- 資産特定:情報、システム、業務、人、ベンダーまで含めて棚卸
- 脅威の同定:ランサム、内部不正、災害、サプライチェーン攻撃
- 脆弱性の同定:技術的・組織的・物理的・人的
- 影響度評価:CIA(機密性/完全性/可用性)への影響
- リスク受容基準:許容閾値、優先度ルール
- リスク対応:低減・移転・受容・回避
ISMS/ISO27001、SOC2、SCS評価制度、J-SOX等のベースとして必ず実施します。
脆弱性診断(Vulnerability Assessment)
既知の脆弱性をスキャナと手動検証で検出する技術的アセスメントです。
- Web脆弱性診断:OWASP Top 10、認証・認可、SQLi/XSS/CSRF
- NW脆弱性診断:OS/ミドルウェアのCVE、設定不備、ポート開放状況
- クラウド脆弱性診断:CSPM、IAM、暗号化、公開設定
- モバイルアプリ診断:iOS/Androidアプリのデータ保護、API実装
- 外部/内部診断:インターネット側からの外部診断、社内LAN側の内部診断
ペネトレーションテスト
「攻撃者の視点」で侵入の可能性をシナリオベースに検証します。脆弱性診断が「網羅的に弱点リストを作る」のに対し、ペネトレーションテストは「重要資産までどう到達できるか」を検証します。
- 外部ペンテスト:インターネット境界からの侵入
- 内部ペンテスト:社内端末を起点に横展開・特権昇格を試行
- AD/Entra IDペンテスト:Kerberoasting、Pass-the-Hash、トークン窃取等
- Webアプリペンテスト:認可バイパス、ロジック欠陥、決済迂回等
- レポート粒度:再現手順、CVSS、対策案、残留リスク
Red Team演習・TLPT
Red Team演習は検知・対応能力(Blue Team)の評価が主目的。組織全体(人・プロセス・技術)を実戦で試します。
- Red Team:ステルス侵入、長期作戦、ランサム想定攻撃
- TLPT(Threat-Led Penetration Testing):脅威インテリジェンスを起点に、自社が直面する現実の攻撃シナリオで実施。金融庁・FFIEC・TIBER-EU等で採用
- Purple Team:Red/Blueが協働し、検知ルール改善に直結
中小企業はまず脆弱性診断・ペネトレーションテストから始め、SOC・EDR運用が成熟したらRed Team/TLPTへステップアップする流れが現実的です。
ASM(Attack Surface Management)
外部公開資産(ドメイン、IP、サブドメイン、SaaS、漏洩情報)を継続的にOSINT等で監視するアセスメントです。シャドーIT、放置されたクラウド、漏洩したアカウントを発見します。詳細は ASM実装ガイド(中小企業向け) をご覧ください。
クラウド構成診断(CSPM/設定アセスメント)
- AWS/Azure/GCP:CIS Benchmark、ベンダーWell-Architected、CSPMツールでの自動診断
- M365/Entra ID:Secure Score、CISベンチマーク、条件付きアクセス棚卸し
- SaaS全般:管理者権限、共有設定、外部連携OAuth、データ持ち出し
- 運用:ドリフト検知、変更履歴、エビデンス自動取得
コード診断(SAST/DAST/SCA)
| 分類 | 対象 | 代表ツール |
|---|---|---|
| SAST(静的解析) | ソースコード | SonarQube、Snyk Code、Checkmarx |
| DAST(動的解析) | 稼働中Webアプリ | OWASP ZAP、Burp、AppScan |
| SCA(OSS/依存解析) | 使用ライブラリ・SBOM | Snyk、Dependabot、Black Duck |
| IaCスキャン | Terraform/ARM/CloudFormation | Checkov、tfsec |
| コンテナスキャン | イメージ/レジストリ | Trivy、Snyk Container |
コンプライアンス/監査アセスメント
- ISMS/ISO27001:情報セキュリティマネジメント全般
- SOC1/SOC2:受託業務の内部統制(米国基準、SaaS運用に必須化が進む)
- PCI DSS:カード会員データを扱う事業者の必須
- SCS評価制度:日本のサプライチェーンセキュリティ評価
- J-SOX ITGC:上場企業の財務報告に関わるIT統制
- NIST CSF/SP800-53/SP800-171:米国基準(CMMCを含むサプライチェーン要求)
- 個人情報保護法/GDPR/CCPA:個人情報保護関連
セキュリティアセスメントの標準フロー
- 目的・スコープ定義:アセスメントの目的(認証取得、リスク把握、契約要求)と対象範囲
- 事前情報収集:構成図、資産台帳、関係者連絡先、過去の指摘事項
- 計画策定:実施期間、影響時間帯、エスカレーションルート、緊急停止条件
- 実施:診断・侵入・ヒアリング・証跡確認
- レポーティング:所見、CVSS/リスク評価、対策案、残留リスク
- 是正計画と再診断:優先度付け、是正、再診断(リテスト)
- 継続的運用:年次/半期/パッチごとの再実施、ASMで間を埋める
推奨頻度の目安
| 種類 | 推奨頻度 | 備考 |
|---|---|---|
| リスクアセスメント | 年1回+重大変更時 | ISMS/SOC2は最低年1回 |
| Web脆弱性診断 | 年1〜2回+大規模リリース時 | 常時公開Webは年2回が望ましい |
| NW脆弱性診断 | 年1〜2回+構成変更時 | 外部・内部それぞれ |
| ペネトレーションテスト | 年1回+大型変更時 | 主要資産に絞って継続 |
| クラウド構成診断 | 常時(CSPM自動)+年次レビュー | ドリフト検知が重要 |
| ASM | 常時 | SaaS/自動ツール継続運用 |
| フィッシング訓練 | 四半期〜半期 | 結果を教育に反映 |
| Red Team/TLPT | 2〜3年に1回 | SOC・EDRが成熟してから |
費用相場(中小企業の目安)
| 種類 | 費用目安 | 注記 |
|---|---|---|
| Web脆弱性診断 | 30〜150万円/回 | 画面数・機能数で変動 |
| NW脆弱性診断 | 20〜100万円/回 | IP数・拠点数で変動 |
| ペネトレーションテスト | 100〜500万円/回 | シナリオ・期間に依存 |
| クラウド構成診断 | 50〜200万円/回 | テナント・サービス数で変動 |
| ASMサービス | 30〜100万円/年 | SaaS型が主流 |
| SAST/DAST/SCA | 50〜300万円/年 | SaaSライセンス+初期導入 |
| ISMS/SOC2監査 | 200〜800万円/年 | 外部監査人費用 |
| Red Team演習 | 500〜2,000万円/回 | 規模・期間で大きく変動 |
ベンダー選定のポイント
- 資格・実績:CISSP/OSCP/OSCE、IPA脆弱性対策Webアプリ診断士、診断件数
- 診断手法の透明性:自動/手動の比率、再現手順、レポートサンプル
- 保険・契約:診断起因の障害補償、機密保持、再診断の費用
- 業種知見:金融、医療、自治体、製造などの業種特有要件への理解
- 是正支援:指摘だけで終わらず、是正方法・優先度を伴走できるか
- ツール・SaaS提供:ASM/CSPM等の継続運用をサービス化できるか
- 価格より目的整合:低価格ツール頼みの自動診断ではなく、目的に合致するか
レポートの活用と継続的改善
- 経営報告:取締役会・経営会議向けに、ビジネス影響と投資判断を整理
- 是正計画:優先度・期限・担当・コストを明記したアクションプラン
- セキュリティKPI:診断結果のCVSS分布、是正完了率、再発率を継続管理
- SOC/SIEM連携:発見事項を検知ルール・教育に反映
- 監査エビデンス:ISMS、SOC2、SCS、J-SOX等で活用
- 取引先説明:取引先からの監査要求への回答資料
よくある落とし穴
- 診断=対策と誤解:診断は「現状把握」。対策・運用が伴わなければ意味がない
- スコープ過小:低価格を狙ってスコープを絞り、重要資産が抜け落ちる
- レポート読み解きの放置:技術用語が並ぶレポートを経営層が読まずに死蔵
- 是正したつもり:再診断(リテスト)をせず、対策が成功したか未確認
- 1回きりで終わる:年次・四半期で継続せず、新たな脆弱性に追従できない
- クラウド見落とし:オンプレ前提の診断のみで、SaaS/クラウド設定を放置
- サプライチェーン軽視:取引先・委託先の評価を行わない
まとめ
セキュリティアセスメントは「脆弱性診断」だけを指す言葉ではなく、リスクアセスメントから技術的診断、コンプライアンス監査、Red Teamまで多層に存在します。重要なのは目的に合致する種類を選び、継続的に運用すること。中小企業はまずリスクアセスメントと年次の脆弱性診断・ペネトレーションテストを基本セットに、ASMやクラウド構成診断で隙間を埋め、フィッシング訓練・教育で人的側面を強化する流れが現実的です。診断は手段であり、ゴールは「指摘事項を減らし続けるサイクル」を組織に定着させることにあります。