サイバー攻撃の脅威に備える 脆弱性診断とペネトレーションテストの効果とは?
最終更新日:2025/07/18
目次
インターネットに接続されたITシステムは常に外部からの脅威にさらされ、攻撃者はシステムの脆弱性やセキュリティの不備を狙って攻撃を仕掛けてくる。こうした脅威から企業のシステムを守るために、攻撃の侵入口となる脆弱性を網羅的に検出する脆弱性診断をはじめ、侵入されることを前提にしたセキュリティ対策や被害レベルなどを事前に調査するペネトレーションテストが注目されている。レイ・イージス・ジャパンは、こうしたソリューションを、企業規模や目的に応じて柔軟に提供する。同社の加藤佳子氏に聞いた。
サプライチェーンにも広がるサイバー攻撃の脅威
サイバー攻撃はますます巧妙化しており、既知の脅威のみを検知・防御する従来のアンチウイルスソフトでは対応しきれない。2024年には金融機関や自治体などの情報処理業務を請け負う企業がランサムウェア攻撃を受け、関係会社にも被害が広がった。これにより、「あらためて、サプライチェーンにおけるセキュリティリスクが意識されるようになりました」と、加藤氏は説明する。
事態を重く見た金融庁は、2024年10月に金融機関に対して「サイバーセキュリティに関するガイドライン」を発布。そこには、脆弱性診断およびペネトレーションテストを定期的に実施することが盛り込まれているだけにとどまらず、より高度な脅威ベースのペネトレーションテスト「TLPT(Threat-Led Penetration Testing)」の実施も推奨されているため、「金融機関の皆さんは、膨大な予算がかかることに頭を抱えています。さらに、ほとんどの金融機関が、何から始めればいいのかという課題を持っています」と加藤氏は述べる。
また、ECサイトに関してもカード情報の流出が目立ってきた。これに対しても、2025年3月には経済産業省が「クレジットカード・セキュリティガイドライン」を改訂し、網羅的な脆弱性診断が義務づけられた。「このガイドラインは、ふるさと納税の返礼品を発送するために個人情報を入力する必要がある自治体のサイトでも対応が必要になりました。それによって、他の業務と兼務されていることが多い自治体の担当者の方からも、いろいろと相談をいただくようになりました」(加藤氏)
このように、次々と対策が義務づけられる国のガイドラインに適応するレイ・イージス・ジャパンのセキュリティ・ソリューションについて、加藤氏は説明する。「既存の診断ツールに加えて独自開発のAIエンジンを組み合わせることで、診断精度の向上と診断期間の短縮を実現します。手動診断でしか見つけられない脆弱性についても、台湾の本社と合わせて350人の診断員が対応しています。セキュリティ診断会社の中には派遣や委託の診断員を抱えるところも多いのですが、弊社の診断員はすべてCISSP(Certified Information Systems Security Professional)やCEH(Certified Ethical Hacker)などのセキュリティに関する国際資格を持つ正社員なので、機微な情報に触れる機会も多い診断業務においても安心してご利用いただけます」
企業規模や目的に応じた豊富なセキュリティ・ソリューションを展開
攻撃者は通常、すでにあるセキュリティ防護システムをバイパスして、最も弱いところ、簡単なところから侵入を試みる。そうした攻撃を防ぐには、「現実の攻撃者はどのように考えているのか?」「どこから、どんな方法で侵入されるのか?」といったように、実際に攻撃者の目線に立ってシステムに侵入し、個別にシステムの脆弱性を確認する必要がある。さらに、侵入された際にどの程度影響が広がるのかなどを調べるのが、ペネトレーションテストだ。
加藤氏はペネトレーションテストの必要性について述べる。「例えば多くの金融機関が、インターネットに接続できる外部接続用ネットワークと社内業務用や基幹用といった内部用ネットワークを分離しています。そうした組織では、簡単には内部用ネットワークには侵入されないだろうとOSのアップデートを怠っていたりなど、危機意識が甘くなっている傾向が散見されます。しかし、攻撃者は様々な手口で社内ネットワークへの侵入を試みます。その手口は年々巧妙になっているので、万が一侵入された場合にどの程度情報が持ち出されるのかなどを調べておき、事前に対策をとっておくことが重要です。特に最近は、内部からのペネトレーションテストをご用命いただくことが多くなりました」
攻撃側と防御側に分かれ、攻撃側が実行する各種のサイバー攻撃を防御側が検知・対応できるか評価するTLPTについても、「効果的な攻撃シナリオの策定のほか、実際に疑似攻撃を行うレッドチームのみの対応も可能です。さらに、攻撃を受けて防御を行うブルーチーム側の対応を評価することでセキュリティを強化するパープルチームの支援まで対応が可能です」と同社のソリューションの特徴を説明する。「このように、ペネトレーションテストについても、個別にご相談いただければ柔軟に対応できます」
レイ・イージスでは脆弱性診断やペネトレーションテスト以外にも、24時間365日体制でネットワークやシステムを監視するSOC(Security Operation Center)サービスや、独自開発のAIエンジンを活用したWebアプリケーションファイアウォール(WAF)にSOCを付加して毎月レポートを提出するサービス、およびエンドポイント (PCやサーバなど) での不審な挙動を検知・分析するEDR(Endpoint Detection and Response)など、幅広いセキュリティソリューションを提供する。
サイバー攻撃の対象となりうるすべてのシステムやデバイスのセキュリティレベルを正しく把握・向上させるASM(Attack Surface Management)についても、「レイ・イージス独自の廉価なワンショットASMサービスであるRay-ASC(Attack Surface Checker)を提供するなど、企業規模に応じた対応も可能です」と加藤氏は説明する。「レイ・イージスの価格体系はドメイン単位で計算されるので、見積もりが簡単に算出できる点もお客様にとってのメリットといえるでしょう。また、脆弱性診断やペネトレーションテストにおけるアフターサービスも充実させており、ペネトレーションテストの場合、報告書納品日より1年間は何度でも再診断が受けられます」(加藤氏)
情報シス担当に戸惑うあなたへ|“寄り添う視点”で導くセキュリティ支援
レイ・イージスに関わる3年前までは、映画やドラマ、CMなど映像を中心に役者として活動していたという、異色の経歴を持つ加藤氏。「セキュリティに関わるようになってまだ日が浅いので、プロと呼ばれるには遠い場所にいると思っています。ですが、その分、部署の異動などでいきなり情報システムやセキュリティに関わる部門に任命され、何からはじめればよいのか、どうすれば良いかと悩んでいるお客様の気持ちに寄り添うことができると考えています」
◎記事で取り上げられているレイ・イージス・ジャパンの詳しい情報こちら
株式会社レイ・イージス・ジャパンの脆弱性診断は、ページ数が多くても網羅的なセキュリティ診断を早く・定額制で・全面委託ができる脆弱性診断サービスです。AIを利用したサイバー攻撃が高度化する中、レイ・イージスが独自に開発したAIエンジン搭載の脆弱性探査ツールを活用して、 効率的なツール診断とベテランのホワイトハッカーである診断エンジニアによる手動診断を組み合わせることで 、脆弱性を高速かつ網羅的に診断します。 製品のおすすめポイント
1
OWASP Web Security Testing Guide等の世界基準に沿った診断 手動+ツール診断は、OWASP Web Security Testing Guidev4.2の107項目のうち、105項目をカバーした網羅的な診断を実施ができます。
2
全世界で350名以上の有資格者が最適なプランをご提案 CISSP、CEH、CPENT、OSCP、情報処理安全確保支援士などの有資格者350名以上により、Webアプリケーションに対して最適な診断プランのご提案と、高品質な診断、アフターサポートをご提供いたします。
3
サービスにご納得いただくため診断後のサポート機能を充実化 アフターサポート*として、メールでの診断結果お問合せに回答いたします。
ペネトレーションテストでは、更にご納得いただくまで初回診断後1年間何回でも再診断のご依頼の対応いたします。
*その他のアフターサポートとして再診断・報告会が含まれるサービスもございます。
ソフト種別
なし
基本的な機能
クラウド診断
オープンリダイレクタ
スマホアプリ(iOS・Android)診断
クロスサイトスクリプティング
Webアプリケーション診断
SSL設定
SQLインジェクション
ヘッダインジェクション
プラットフォーム診断
デスクトップアプリ診断
推奨環境
なし
サポート
メール
トライアル
無し
最低利用期間
最低利用期間の制限なし
よく導入している業種
金融
IT・情報通信
株式会社レイ・イージス・ジャパン
目次
おすすめ比較一覧から、
最適な製品をみつける
カテゴリーから、IT製品の比較検索ができます。
2019件の製品から、ソフトウェア・ビジネスツール・クラウドサービス・SaaSなどをご紹介します。
製品の掲載について
