目次
- 1 セキュリティインテリジェンスの基盤となる、ITアセットデータの重要性
- 2 分析すべき脅威データの変化:脆弱性から「漏洩ID(認証情報)」へ
- 3 データが示す「不正アクセスの8割」:ID/パスワード依存から脱却するデータドリブンな認証強化
- 4 認証脆弱性データが示す金融機関のリスク:攻撃手法の変化とデータ分析の必要性
- 5 Win10サポート終了という「既知のリスクデータ」と経営判断
- 6 セキュリティ診断の「データ資産」化:ビジネスモデル変革の定量的分析
- 7 データ分析が示す、サイバー攻撃「前」の対策優先度
- 8 インシデントデータが示す、境界防御の限界と新たな脅威
- 9 「動いている」という状態データだけでは見過ごされる、開発成果物とOSSに潜むリスクデータ
セキュリティインテリジェンスの基盤となる、ITアセットデータの重要性
デジタルトランスフォーメーションの進展は、あらゆるビジネス活動の基盤となり、企業の競争力を向上させました。その一方で、企業が管理すべきサーバー、アプリケーション、SaaSといったITアセット(IT資産)は爆発的に増加し、これは攻撃者側から見た攻撃対象領域(Attack Surface)の拡大と複雑化を意味します。
もはや、マルウェア対策ソフトやファイアウォールといった従来の境界型防御モデルのみで、高度化・多様化する脅威を完全に防ぐことは不可能です。インシデントの発生を前提とし、その影響を最小限に抑えるためのデータドリブンなセキュリティ運用(SOCやCSIRTなど)へのシフトが、事業継続における不可逆な流れとなっています。
インシデントレスポンスの成否を分ける「構成管理データ」の品質
セキュリティインシデントへの「検知・対応」や、脆弱性管理といった「緩和」策の精度と速度は、「自社のITアセットをどれだけ正確に、リアルタイムに把握しているか」という、信頼性の高いデータに完全に依存します。
しかし、オンプレミス、クラウド(IaaS)、SaaSが混在するハイブリッド環境が一般化する中で、ITアセットは多様な場所に散在する「データソース」と化しています。これらのデータを統合し、常に最新の構成情報を維持することは極めて困難です。正確な構成データがない状態は、インシデント発生時に影響範囲の特定や原因分析を著しく遅延させ、事業へのダメージを拡大させる直接的な要因となります。
データマネジメントの観点から見た、構成管理の構造的課題
多くの組織が直面している構成管理の問題は、データマネジメントの観点から分析すると、その構造がより明確になります。
データの陳腐化:
システム構築時の構成情報は、その後の変更作業が手動での更新に依存している場合、データの鮮度が急速に失われます。陳腐化したデータは、インシデント発生時に誤った意思決定を誘発し、対応を混乱させる原因となります。
データのサイロ化:
サーバーやクライアントPC、各種アプリケーションといった構成情報が、部門やシステムごとに分散管理されている状態は、データのサイロ化を招きます。これにより、組織全体のITアセットを横断的に可視化できず、インシデントの影響範囲を迅速かつ正確に把握することが困難になります。
これらの問題は、単なるツールや運用プロセスの課題ではなく、ITアセットデータを経営資源として捉えるデータガバナンスの欠如に起因します。セキュリティ体制を強化する上で、信頼できる構成管理データベース(CMDB)を「Single Source of Truth(信頼できる唯一の情報源)」として構築・維持する戦略の策定が急務です。
分析すべき脅威データの変化:脆弱性から「漏洩ID(認証情報)」へ
従来のサイバー攻撃は、OSやアプリケーションの技術的な脆弱性(想定外の挙動)を突くものが主流でした。そのため、対策も「既知の脆弱性データ」をスキャンするアプローチが中心でした。
しかし、近年の攻撃トレンドをデータで分析すると、侵入経路が大きく変化しています。攻撃の約70%は、外部に漏洩した正規ユーザーのID情報(認証データ)を悪用し、設定不備のあるサーバーなどから「正規ユーザー」としてログインする手法が占めています。
これは、セキュリティ対策の焦点を「異常なプログラム」の検知から、「正常な認証情報を使った、異常な行動(振る舞い)」の分析へとシフトさせる必要があることを示しています。
攻撃者のデータ活用と、従来の検知モデルの限界
漏洩したIDや脆弱なサーバー情報は、ダークウェブ上で「攻撃用データ」として売買されており、攻撃者はこのデータを購入することで、低コストかつ容易に侵入を実行できます。
正規ユーザーとしてログインした攻撃者の活動は、従来の「既知の攻撃パターン(シグネチャ)」と一致しないため、パターンマッチングによる検知(例:EPP)をすり抜けてしまいます。
これは、従来の対策が「静的データ(既知の脆弱性・既知のマルウェアパターン)」に依存していることの限界を示しています。リアルタイムに発生する「行動データ」を分析し、未知の脅威や正規認証の悪用を検知する仕組みが不可欠です。
セキュリティ対策における「データドリブン・アプローチ」の必要性
現在の脅威に対応するには、「侵入前のリスクデータ管理」と「侵入後の行動データ分析」を両輪で回す、データドリブンなアプローチが求められます。
A. 侵入前の対策:ASM(Attack Surface Management)による「資産リスクデータ」の可視化
「侵入される前の弱点管理」とは、自組織が外部に公開しているIT資産を「データ(インベントリ)」として網羅的に把握・管理することです。
ASMは、これらの資産データを自動収集し、脆弱性情報や設定不備データと突合させることで、「どの資産に、どの程度のリスクが存在するか」を定量的にスコアリングし、可視化するソリューションです。
特に近年は、サプライチェーン攻撃のリスクが増大しており、自社の資産データだけでなく、関連会社や取引先の外部公開資産データも評価対象に含め、リスク分析のスコープを拡大することが求められます。
B. 侵入後の対策:EDRによる「行動データ(テレメトリ)」の収集と分析
「侵入された後の検知・対応」では、万が一の侵入を即座に検知するため、エンドポイントから「操作ログ」や「通信ログ」といった詳細な行動データ(テレメトリ)をリアルタイムで収集するEDRが有効です。
EDRの真価は、収集した膨大なログデータを分析し、「通常の(=正常な)行動ベースライン」から逸脱する「異常な振る舞い(アノマリー)」を検出することにあります。
データ分析基盤(SOC/SIEM)の運用課題
EDRを導入し、膨大な行動データの収集を開始しても、それだけでは対策は完了しません。
これらのデータを24時間365日監視・分析し、インシデント(異常)を特定・対応するための「セキュリティデータ分析基盤(SOCやSIEM)」を構築・運用する必要があります。
しかし、このデータ分析基盤の運用には、以下の課題が伴います。
専門人材の不足: 膨大なログデータから真の脅威を見つけ出す、高度なスキルを持つ「セキュリティアナリスト(データアナリスト)」が慢性的に不足しています。
運用コストの増大: 収集するデータ量の増加に伴い、データ基盤の維持・運用コスト(ストレージコスト、ライセンスコスト)が増大する傾向があります。
データが示す「不正アクセスの8割」:ID/パスワード依存から脱却するデータドリブンな認証強化
不正アクセスに関するデータは、深刻な実態を示しています。総務省が公表した統計データによれば、不正アクセス被害の実に約8割が「ID/パスワードの突破」に起因しています。この数値は、従来のIDとパスワードのみに依存する認証方式が、もはや有効なセキュリティ境界として機能していないことを明確に裏付けています。
業務における複数SaaSの利用が常態化する現代において、認証データ(ID/パスワード)の流出は、そのまま業務システム全体への侵入リスクに直結します。ガートナーの調査データも、ゼロトラスト・セキュリティモデル構築における最優先課題として「認証・アクセス管理(IDaaS)」を特定しており、これは感覚的な脅威認識ではなく、データに基づいたリスク評価の結果です。
今こそ、この「ID/パスワード依存」という最大のリスク要因をデータに基づいて認識し、MFA(多要素認証)を組み込んだ堅牢な認証基盤へと移行することが、データガバナンスの観点からも急務となっています。
認証強化のROIを阻害する要因:運用データから見るMFA導入の課題
MFA導入はセキュリティ強化に不可欠ですが、そのアプローチを誤ると投資対効果(ROI)を著しく低下させる要因となります。
例えば、SaaSごとにMFAを個別に設定・運用するアプローチは、運用工数とTCO(総所有コスト)の増大を招きます。データアナリストの視点では、以下の運用データが重要な分析対象となります。
パスワード関連のインシデント・コスト: パスワード忘却による業務停止時間や、リセット対応に要するヘルプデスクの対応工数。これらはすべて、分散管理が引き起こす直接的な損失データです。
IDライフサイクル管理の工数とリスク: 入社・異動・退社に伴うアカウント作業工数と、処理漏れによる「ゴーストアカウント(退職者アカウント)」の残存リスク。
これらの運用データを分析すれば、多くの場合、分散管理がセキュリティリスクと運用コストの両方を増大させていることが明らかになります。したがって、MFA準拠を実現するためのIDaaS選定は、「散在するIDデータとアクセスログを一元管理・分析し、運用効率とセキュリティレベルをデータドリブンで最適化できる基盤はどれか」という視点で行う必要があります。
ID管理の最適化による効果測定:「Microsoft 365」連携事例に学ぶデータ活用
不正アクセスの最新トレンドとガイドライン要件への対応は、待ったなしの状況です。重要なのは、導入コスト、リスク低減効果、そして運用効率化のバランスをデータに基づいて判断することです。
「docomo business RINK IDaaS」は、この課題に対する具体的な解の一つとなり得ます。MFAによる認証強化、SSO(シングルサインオン)による利便性向上、IDライフサイクル管理の自動化を実現します。
データコンサルの視点で特に注目すべきは、以下の具体的な数値データです。
コストデータ: 「月額300円/ID」という明確なコスト指標です。これにより、ID数に基づいた正確なコストシミュレーションと、前述のヘルプデスク工数削減や業務停止時間短縮によるROIの試算が可能になります。
導入リードタイム: 「最短1カ月」という導入期間は、セキュリティリスクを抱える期間を最小化するという、**時間的価値(Time to Value)**の観点からも優れています。
特に「Microsoft 365」との連携事例は、認証強化と運用効率化を両立させた効果測定の良いベンチマークとなります。事例分析を通じて、導入前後でヘルプデスクへの問い合わせ件数やID管理工数が具体的にどれだけ削減されたのか、といった定量的な成果を確認することは、自社のIDaaS選定において極めて重要なプロセスです。
「今すぐ認証基盤がほしい」というニーズは、「今すぐリスクを定量化し、最小限のコストで対策を実行したい」というデータドリブンな経営判断の表れと言えます。
認証脆弱性データが示す金融機関のリスク:攻撃手法の変化とデータ分析の必要性
2025年初頭に観測された大規模な証券口座乗っ取りインシデントは、金融機関における従来の認証基盤の脆弱性を明確に示すデータとなりました。インシデントデータを分析すると、従来のパスワードやSMSによる二要素認証が、現代の巧妙化したフィッシング攻撃のデータ(偽の認証リクエスト)に対して無力である実態が浮き彫りになります。
データコンサルタントとして注目すべきは、攻撃側の「コスト対効果」が劇的に変化している点です。「Phishing-as-a-Service (PhaaS)」や生成AIの活用は、攻撃の実行コストを著しく低下させ、同時に詐欺メールの精度(=攻撃成功率)を向上させています。
これは、金融機関が直面するリスクの期待値(=発生確率 × 影響度)が急速に増大していることを意味します。もはや「スキルを持たない個人」による攻撃でさえ、十分な脅威となり得るというデータに基づいたリスク評価が必要です。
「攻撃成功率ゼロ」のフィールドデータ:パスキー認証の有効性をデータで読み解く
サイバー攻撃に関するトラフィックデータやインシデント報告数は、Webサービスを標的とした攻撃が継続的に増加していることを示しています。この状況下で、セキュリティ強化は必須ですが、その手法の有効性は客観的なデータに基づいて評価・選定されるべきです。
その中で、新たな認証標準として注目されるのが「パスキー認証」です。これはFIDO標準に準拠し、デバイス固有の情報と生体情報を組み合わせることで、従来の認証情報(ID/パスワード)の「窃取」を前提とした攻撃データを無効化します。
最も重要なデータは、その実績です。2024年時点で**150億を超えるアカウントがパスキーを利用し、そこでの大規模な認証突破事例は「ゼロ」**と報告されています。これは、フィッシング攻撃に対する耐性を実証する極めて強力なフィールドデータ(実環境データ)です。政府や金融庁がこれを推奨し、メガバンクが導入を進めている事実は、パスキーがデータに基づいた「新たな標準」となりつつあることを示しています。
パスキー導入効果のKPI分析:UX指標とセキュリティレベルの両立をデータで証明する
なぜパスキーは、フィッシング攻撃のデータを無力化できるのでしょうか。金融機関および関連事業者のデータ戦略・セキュリティ戦略を担当する方向けに構成されています。
パスキー認証と他認証方式のセキュリティ強度を比較データと共に解説し、導入・運用に伴うTCO(総所有コスト)とROI(投資対効果)のシミュレーションを、具体的な導入事例データに基づいて紹介します。
データアナリストの視点では、以下の導入効果データに注目すべきです。
UX(ユーザー体験)データの改善: 「ログイン成功率が99%に向上」した事例。これは、顧客満足度の向上、ひいてはコンバージョン率の改善に直結する重要なKPIです。
オペレーションコストの削減: 「ログイン関連の問い合わせ(インシデント)データが軽減」し、「コールセンターのコスト削減」に寄与した事例。
これらのデータは、パスキー認証が「セキュリティ強化とUX改善はトレードオフの関係にある」という従来の定説を覆し、両指標を同時に改善し得るソリューションであることを示しています。
「フィッシング攻撃に対する具体的なリスク値を算出し、対策を講じたい」「UXデータ(ログイン成功率や離脱率)を改善し、ビジネス指標を向上させたい」というデータドリブンな課題を持つ金融機関・関連事業者にとって、有益なデータと分析手法を提供する機会となります。
Win10サポート終了という「既知のリスクデータ」と経営判断
2025年10月14日のWindows 10サポート終了は、対策期限が明確に設定された「既知のリスクイベント」です。この期限以降、セキュリティパッチが提供されなくなるOSを使用し続けることは、未対応の脆弱性データを意図的に放置することを意味します。
過去のインシデントデータを分析すれば、サポート切れOSの脆弱性を起点とした侵入・被害拡大が、事業停止といった深刻なビジネスインパクトに直結した事例は多数観測されています。これは単なるIT資産の更改問題ではなく、リスクの発生確率が時間経過と共に上昇し続ける、事業継続上の重大なリスクデータとして認識すべきです。
したがって、Windows 11への移行プロジェクトは、単なるOSの入れ替えコストとして計上するのではなく、認証基盤の刷新やIDデータ(アカウント)の最適化といった、セキュリティ投資対効果(ROI)を最大化する機会として戦略的に位置づける必要があります。
認証における「利便性データ」と「セキュリティデータ」のジレンマ
Windows 11移行に伴いセキュリティ強化が求められる一方、従来の認証方式(パスワード、OTP)は、運用データとユーザー体験(UX)データの両面で課題を可視化します。
特に大規模組織において、複雑な認証プロセスは以下のネガティブなデータを生み出します。
運用コストデータ: パスワード忘却や認証失敗による、ヘルプデスクへの問い合わせ件数と、その対応工数(コスト)の増大。
UXデータ: ログイン所要時間の増大、業務効率の低下。これらは、結果として従業員が非公式な手段(シャドーIT)を選択する動機となり、セキュリティポリシーの遵守率低下という新たなリスクデータを生みます。
データ分析の観点では、セキュリティレベル(堅牢性)とユーザービリティ(利便性)はトレードオフではなく、双方をKPIとして設定し、同時に最適化すべき対象です。堅牢性を高めつつ、ログイン成功率や所要時間といったUXデータも改善できる認証基盤の設計が求められます。
Win11移行を機に実装する「データ中心」の次世代認証基盤
Windows 11移行は、従来の「ID/パスワード」という窃取可能なデータに依存した認証から脱却する絶好の機会です。データコンサルタントとして推奨するアプローチは、信頼できる「モノ(デバイス)」と信頼できる「ヒト(生体情報等)」をデータで証明することです。
デバイス証明書: 組織が管理・許可したデバイス(エンドポイント資産)であることをデータで認証します。
パスキー認証: フィッシング攻撃によって窃取される対象(パスワード)そのものを排除する、IPAも推奨する()アプローチです。
この2つのデータを組み合わせることで、「フィッシング攻撃による認証突破率をゼロに近づける(セキュリティデータ改善)」と同時に、「ログイン所要時間の短縮とヘルプデスクコストの削減(UX・運用データ改善)」という、セキュリティと業務効率化の同時達成をデータで実証することが可能になります。
脅威インテリジェンスデータが示す「境界防御」の限界
近年のインシデントデータを分析すると、攻撃の起点が多様化・高度化していることが明らかです。子会社や取引先のIDデータを窃取するサプライチェーン攻撃、公開VPN機器の脆弱性データ(CVE)を悪用した侵入、そして事業の根幹を揺るがすランサムウェア被害。
これらの脅威インテリジェンスデータは、従来の境界防御やシグネチャベースのウイルス対策(既知の攻撃パターンデータ)だけでは、未知の脅威や巧妙な侵入を防ぎきれないという事実を示しています。今、企業に求められているのは、自社の防御体制が実際の攻撃データに対してどれだけ耐性を持つか、その「実効性」を客観的に検証するプロセスです。
脆弱性診断で得られる「静的データ」の限界とリスク評価の課題
脆弱性診断は、セキュリティ対策のベースラインとして不可欠です。しかし、診断から得られるアウトプットは、あくまで「個別の脆弱性リスト(静的なリスクデータ)」に過ぎません。
この静的データだけでは、以下の重要な分析が欠落しています。
データ間の相関分析: 複数の脆弱性や設定ミスを組み合わせた場合に、どのような侵入シナリオが成立するか。
ビジネスインパクト分析: 仮に侵入が成功した場合、どの重要データ(顧客情報、設計データ等)に到達し、事業にどれほどの実害(金額、停止期間)をもたらすか。
結果として、経営層やシステム部門は「検知された脆弱性リスト(技術的データ)」を前に、「どのリスクに、どれだけのコストをかけて対応すべきか」という投資判断の根拠(=ビジネスデータ)を持てず、リスクが放置されることになります。
ペネトレーションテストによる「動的データ」の取得と投資判断
この課題を解決するのがペネトレーションテスト(侵入テスト)です。これは「攻撃者視点での仮説(この経路で侵入できるか)を検証し、実証データを取得する動的なプロセス」です。
脆弱性診断が「問題点のリストアップ」であるのに対し、ペネトレーションテストは「脆弱性データ間の相関関係と、それがもたらす実害(ビジネスリスク)の可視化」を目的とします。
どのシステムに導入すべきかという判断は、データに基づいた優先順位付けによって行われるべきです。例えば、「保有データの重要度 × アクセス経路のリスク × 脆弱性診断結果」といったマトリクスで評価します。
本セッションでは、この「静的な脆弱性診断データ」と「動的な侵入テストデータ」をどう使い分け、ベンダーからどのような分析アウトプット(単なる技術報告書ではなく、ビジネスリスク評価報告書)を得るべきか、実務に直結する選定基準と活用法を解説します。
対象となる課題意識(データ分析の観点から)
脆弱性診断データは保有しているが、それが実際の攻撃(動的データ)に対してどれだけ有効か、定量的な評価が行えていない。
保有するシステム資産データとビジネス上の重要度を紐付け、ペネトレーションテストの投資対効果(ROI)を算出するための判断軸がほしい。
取引先(サプライチェーン)から、データガバナンス体制の客観的な証明(監査証跡データ)として、侵入テストの結果を求められている。
テストベンダーを選定するにあたり、自社のリスク実態に即したシナリオ(攻撃データ)を設計し、ビジネスリスクとして可視化(レポーティング)できる基準がわからない。
セキュリティ診断の「データ資産」化:ビジネスモデル変革の定量的分析
近年、セキュリティ診断は従来の「コストセンター」から、新たな「プロフィットセンター」へとその性質を変えつつあります。データコンサルタントの視点では、これは「新たな継続的データストリームの創出」を意味します。
Web制作やシステム開発という単発のプロジェクトデータとは異なり、診断・保守から得られる「脆弱性データ」や「リスク評価データ」は、継続的なリカーリングレベニュー(Recurring Revenue)の基盤となります。
このデータを分析することで、顧客のリスクプロファイルを定量化し、予兆保全的な追加提案(アップセル)につなげることが可能です。「セキュリティ体制の可視化」というデータを提供できること自体が、競合との明確な差別化要因(Key Differentiator)となり、LTV(顧客生涯価値)の向上に直結します。
SIerが直面する「データ分析」の壁:生データの解釈とビジネス価値への転換
多くのSIerやWeb開発/制作企業が直面する課題は、顧客からセキュリティ対策を求められた際、提示される「脆弱性データ」を扱いきれない点にあります。
脆弱性診断レポートやCVE(共通脆弱性識別子)情報は、専門的な解釈を必要とする「生データ(Raw Data)」です。この生データを、「顧客が理解できるビジネスリスク」という「インサイト(洞察)」に変換するデータ分析スキル、あるいはそれを自動化する仕組みが不足しています。
結果として、膨大な技術的データポイントを前に、「どのリスクに、どの優先順位で対応すべきか」というデータドリブンな意思決定ができず、ツール選定の段階でプロジェクトが停滞するケースが散見されます。
セキュリティ分析の自動化:「データ分析の武器化」によるサービス実装
セキュリティ診断は、顧客とのエンゲージメントを強化し、競合優位性を確立する「データという武器」になり得ます。
そうした課題を抱えるSIerやWeb開発・制作企業の方を対象として開催します。「そもそも脆弱性とは?」という基本的なデータ定義から始め、システム開発者が把握すべき「リスクデータ」の範囲と責任について解説します。
さらに、専門的なデータアナライザーがいなくても、生データを自動で収集・分析し、リスクを可視化するダッシュボード機能を持つ診断ツールの活用法を紹介します。「自組織のサービスポートフォリオに、低コストかつ迅速に『データ分析機能』としてセキュリティ診断を追加したい」というニーズに応えます。
「SBOM」というデータインベントリの欠如:説明責任を果たせない開発プロセス
「欧州サイバーレジリエンス法(EU CRA)」への対応として「SBOM(ソフトウェア部品表)を出せ」と要請されても、その目的(=なぜそのデータが必要か)から手段(=どうデータを収集・提示すべきか)までを一気通貫で理解・運用できている企業は多くありません。
多くの開発現場では、開発成果物は「機能が動けば良い」という基準で受け入れられ、OSS(オープンソースソフトウェア)は「CVSSスコア(共通脆弱性評価システム)」という単一のデータポイントだけを見て、半ば自動的に適用されているのが現状です。
しかし、セキュリティや品質について**「なぜこのコードベースは安全だと断言できるのか」という問いに対し、客観的なデータ(証跡)をもって説明する責任(Auditability)**は、確実にIT部門や品質保証担当者に求められ始めています。
CVSSスコア依存からの脱却:リスクの多角的データ分析と優先順位付け
「説明できる開発」体制を構築しようとしても、どこからデータ収集を始めるべきかが見えず、行動が止まってしまう課題は理解できます。
まず認識すべきは、脆弱性の深刻度は「CVSSスコア」という単一の静的データだけでは測定不可能であるという点です。真のリスク評価とは、複数のデータソースを突合(Data Enrichment)する多角的な分析を指します。
CVSS(静的データ): 脆弱性の潜在的な深刻度
PoCコードの流通状況 / KEVリスト(脅威インテリジェンスデータ): 実際の悪用状況と攻撃容易性
開発者や入手元(来歴データ): データの信頼性
コード品質(例:AI生成コードの検証データ): コード自体の潜在的リスク
IaC内のシークレット(設定データ): 認証情報の漏洩リスク
これらの多様なデータポイントを相関分析し、「実害につながる可能性(リスクの期待値)」に基づいて対応の優先順位付け(トリアージ)を行うことこそが、「説明できる開発」を実現するデータドリブンなアプローチです。
データ分析が示す、サイバー攻撃「前」の対策優先度
インシデント発生後の対応コストや信用の毀損は、過去の事例データからも計り知れないものがあります。重要なのは、インシデント発生という「結果」に対応するのではなく、攻撃につながる可能性のある「要因」データを事前に分析し、リスクを定量的に評価することです。それに基づき、予防的なセキュリティ投資のROI(投資対効果)を最大化するアプローチが求められます。
本セッションではまず、ダークウェブから収集される漏洩情報データや、外部から観測可能な脆弱性データを分析対象とします。これらのデータを基に、CTEM(継続的脅威エクスポージャー管理)のフレームワークにおける具体的な分析手順を解説します。
さらに、「Ivanti Neurons」が収集・分析するデータを活用し、自組織の攻撃対象領域(アタックサーフェス)を網羅的に可視化する「アタックサーフェスマネジメント(ASM)」の最新アプローチをご紹介します。
データに基づくリスク評価: 脆弱性データと脅威インテリジェンスを相関分析し、悪用される可能性(確率)をスコアリングします。
優先順位付け: 分析結果に基づき、膨大な脆弱性の中から、ビジネスインパクトと悪用可能性の観点で対処すべき優先順位を明確化します。
修復プロセスの最適化: リスクデータを基に、迅速な修復プロセスを統合的に管理・自動化する手法を解説します。
「自社のどの脆弱性データから手をつけるべきか、その優先順位付けの客観的な根拠が欲しい」「複雑化するセキュリティ関連データを統合的に分析し、合理的な意思決定を行いたい」とお考えの担当者にとって、有益な知見を提供します。
認証データが明らかにするセキュリティの「穴」:8割がID/パスワード突破という事実
サイバーセキュリティのリスクをデータで分析すると、明確な傾向が見えてきます。総務省の統計データによれば、不正アクセスの約8割が「ID/パスワード突破」に起因すると分析されています。このデータは、認証情報(ID)の管理と認証プロセスの脆弱性が、現在最も対処すべきリスク要因であることを示しています。
特に複数のSaaSを利用する環境では、利便性のためにセキュリティ強度が低下するトレードオフが発生しがちです。ガートナーの調査データでも、ゼロトラスト戦略を強化する上で最も優先度が高い対策として「認証・アクセス管理(IDaaS)」が挙げられており、これは多くのセキュリティガイドラインでMFA(多要素認証)導入が求められている背景とも一致します。
今、求められているのは、この「8割のリスク」に直結するID/パスワード依存の認証プロセスから脱却し、MFAを基盤としたデータドリブンな認証強化です。
ID管理の非効率性が生む、見えざるコストとリスク
MFAの導入は、認証セキュリティを強化する上で非常に有効な手法です。しかし、その導入プロセス自体がデータ管理上の新たな課題を生むケースが見受けられます。
運用データの分散: SaaSごとにMFA設定を個別に行うと、認証ログや設定データが分散し、一元的な管理や監査が困難になります。これは運用工数とコストの増大を招きます。
ユーザー体験(UX)データの悪化: 複数のパスワード管理をユーザーに強いることは、利便性を著しく損ねます。結果として、パスワード忘却による業務停止時間の発生や、ヘルプデスクへの問い合わせ件数の増加といった、業務効率の低下を示すデータとして現れます。
IDライフサイクル管理の負荷: 入退社や異動に伴うIDデータの作成・更新・削除プロセスが煩雑であることは、データ不整合(ゴーストアカウントなど)のリスクを高め、内部不正や情報漏洩の温床となり得ます。これはデータガバナンス上の重大な課題です。
市場には多様なID管理基盤(IDaaS)が存在しますが、自社のセキュリティ要件、利用SaaSのデータ、従業員の利用実態といったデータを基に、最適なソリューションを選定するプロセスが不可欠です。
データで見るIDaaS選定:Microsoft 365連携事例とIDaaS導入効果の定量化
本セッションの後半では、不正アクセスの最新動向データと、各ガイドラインがMFA導入を求める背景を解説します。その上で、客観的なデータに基づきIDaaSを選定する際のベストプラクティスを、「docomo business RINK IDaaS」の機能デモと導入事例を交えてご紹介します。
「docomo business RINK IDaaS」が提供するデータ管理ソリューション:
認証データの強化(MFA): 多要素認証による強固なセキュリティ基盤を構築します。
アクセスデータの一元化(SSO): シングルサインオンにより、ユーザーの利便性データ(アクセス時間、SaaS切り替えのストレス等)を改善します。
IDデータ管理の効率化: IDライフサイクル管理機能により、IDデータの整合性を保ち、情報システム部門の管理工数(オペレーションデータ)を大幅に削減します。
導入効果の定量化:
コストデータ: 月額300円/IDという明確なコストデータに基づき、投資対効果(ROI)を容易に算出できます。
導入リードタイム: 最短1カ月から導入可能というスピード感も、機会損失を最小化する観点で重要なデータです。
特に「Microsoft 365」との連携により、利便性を損なうことなく認証強化と運用効率化(工数削減)を同時に達成した事例データを詳細にご紹介します。「今すぐ認証基盤のデータを整備し、管理を最適化したい」と言う方には良いサービスです。
このようなデータ課題をお持ちの方におすすめします
SaaSの利用ログや認証ログを分析し、潜在的なセキュリティリスクを特定したい情報システム担当者
ID管理の工数やヘルプデスクへの問い合わせ件数といったデータを定量的に把握し、ID管理業務プロセスを根本から効率化したい方
複数のIDaaSソリューションの機能やコストデータを客観的に比較し、自社に最適なサービスを選定するための判断材料を求めている方
インシデントデータが示す、境界防御の限界と新たな脅威
近年のサイバーインシデントに関するデータを分析すると、攻撃の傾向が明らかに変化していることが読み取れます。例えば、子会社や取引先のセキュリティデータ(脆弱性)を経由するサプライチェーン攻撃、公開されたVPN機器の脆弱性データを悪用したリモート侵入、そして業種を問わず被害額データが増加し続けるランサムウェアなどです。
これらのデータは、従来の境界防御や既知のマルウェアパターンに依存した対策が、もはや有効なリスク低減策として機能しづらくなっていることを示唆しています。事業継続性に直結するこれらのリスクを定量的に評価し、実効性のあるセキュリティ検証データを取得するアプローチが求められています。
脆弱性診断データの限界:点在するデータと分析の欠如
セキュリティ対策の基礎として、脆弱性診断の実施は不可欠です。しかし、この診断から得られるデータは、あくまで「個別の脆弱性の有無」を示す静的なリスト(点のデータ)に過ぎません。
データアナリストの視点では、この「点のデータ」だけでは、以下のような分析が不可能です。
相関分析の欠如: 複数の脆弱性や設定ミスといった異なるデータポイントが組み合わさった場合に、どのような攻撃シナリオ(侵入経路)が成立し得るのか。
影響の定量化の欠如: その攻撃シナリオが実行された場合、どのデータ資産が危険にさらされ、ビジネスプロセスにどの程度の実害(想定損失額)を与えるのか。
結果として、対策の優先順位付けに必要な客観的データが不足し、「どのリスクに、どれだけのリソースを投下すべきか」というデータドリブンな意思決定が困難になります。システムの真の攻撃耐性データ(実証データ)を取得するためには、攻撃者の視点でシナリオをシミュレートするペネトレーションテストが不可欠です。
ペネトレーションテスト:リスクを「実証データ」として可視化する手法
脆弱性診断とペネトレーションテストは、その目的と得られるデータの種類が根本的に異なります。
脆弱性診断: 既知の脆弱性リスト(静的データ)を提供します。
ペネトレーションテスト: 「攻撃者視点で侵入可能性を実証するテスト」であり、脆弱性診断では検出できない「実証された侵入経路」や「ビジネスへの影響度」をシナリオ(動的データ)として可視化します。
どのシステムをテスト対象とすべきか、あるいは実施不要と判断するかは、データに基づき決定すべきです。具体的には、そのシステムが扱う「データの機微性(価値)」、「外部への公開状況」、「過去のインシデントデータ」などを基に判断軸を設けます。
また、ベンダーを選定する際は、「どのような分析レポート(アウトプットデータ)を提供できるか」という観点が重要です。実務で活用できる「診断データと実証データの最適な使い分け」と「ベンダーのアウトプットデータを評価する勘所」を解説します。
このようなデータ課題をお持ちの方におすすめします
脆弱性診断データは保有しているが、それが実際の攻撃リスク(実害)とどう結びつくのか、対策の有効性をデータで定量評価したいセキュリティ担当者
資産の重要度データやリスクデータに基づき、ペネトレーションテストの対象選定を合理的に行いたい情報システム部門および事業部門の方
取引先などのサプライチェーンから、自社のセキュリティレベルを客観的なデータ(テスト結果)で提示することを求められている方
テストベンダーに依頼する際、目的(取得したいデータ)の整理や、ベンダーの評価基準(選定データ)の策定に課題を感じている方
「資産データ」の爆発的増加とダークウェブの「流出データ」
サイバー攻撃の高度化に加え、防御側が管理すべきデータも爆発的に増加しています。DX推進、クラウド移行、リモートワークの普及により、IT資産データは社内外に分散し、攻撃者が狙う攻撃面(アタックサーフェス)は拡大の一途です。
一方で、ダークウェブ上では企業や従業員のID・パスワードといった「流出クレデンシャルデータ」が売買されており、これが不正アクセスやランサム被害の直接的なトリガーとなっています。
問題は、多くの組織が自社のIT資産データを「Microsoft Excel」のような静的な台帳で管理している点です。この管理手法では、データの網羅性、リアルタイム性、正確性(データ品質)を担保できません。結果として、外部からの露出状況やダークウェブへのデータ流出といった、極めて重要なリスクデータをリアルタイムに把握できない状態に陥っています。
こうした背景から、自社の「資産データ」と外部の「脅威データ」を継続的に収集・分析し、脅威に晒されている状態(エクスポージャー)を管理する「CTEM」のアプローチが注目されています。
データ分析が導く、脆弱性管理の最適解
多くの情報システム部門が直面する課題は、リソース不足の中で「山積みの脆弱性データ」にどう対処すべきか、という点にあります。しかし、本質的な問題は脆弱性データの量ではなく、「どのデータから対処すべきか」という優先順位付けの分析モデル(ロジック)が存在しないことです。
CVSSスコア(脆弱性の深刻度)という単一のデータだけでは、真のリスクは評価できません。本来、以下のデータを掛け合わせてリスクをスコアリングする必要があります。
脆弱性データ(深刻度): CVSSスコアなど
脅威データ(悪用可能性): 攻撃コードの有無、ダークウェブでの言及など
資産データ(ビジネスインパクト): その資産の重要度、ネットワーク上の位置など
限られたリソースを最適配分し、経営層に対して予防投資のROI(リスク低減効果)をデータで説明するためには、こうした複数のデータを統合分析し、対処の優先順位を自動的に見極めるデータ基盤が不可欠です。
「動いている」という状態データだけでは見過ごされる、開発成果物とOSSに潜むリスクデータ
「欧州サイバーレジリエンス法(EU CRA)」への対応として「SBOM(ソフトウェア部品表)の提出」が求められていますが、その本質的な目的、すなわち「ソフトウェア構成要素を継続的に監視・分析するためのデータ基盤の構築」が理解されないまま、手段(リスト提出)だけが先行しがちです。
多くの開発現場では、社内開発・委託開発を問わず、成果物が「機能テストを通過した(=動いている)」というデータのみで受け入れられています。OSS(オープンソースソフトウェア)の更新適用も、CVSSスコアという単一の静的データを参考にする程度で、その判断プロセスはデータドリブンとは言えません。
しかし、「なぜこのコードは安全だと断言できるのか」という問いに対し、**客観的なデータ(根拠)**をもって説明する責任(説明可能性)は、確実にIT部門や品質保証部門に求められ始めています。これは、開発手法やコードの入手経路に関わらず、すべてのソフトウェア成果物を「分析可能なデータ」として管理する体制が必要であることを示しています。
リスク評価におけるデータ分析の高度化:「説明できる開発」への転換
「体制を整備しよう」としても、現状を把握するための正確なデータがなければ、どこから手をつけるべきか(優先順位付け)という意思決定は困難です。
脆弱性の深刻度を、CVSSスコアという単一指標(データポイント)だけで判断するのは危険です。データアナリストの視点では、以下の複数のデータを組み合わせて相関分析し、実害につながる可能性(真のリスク)をスコアリングする必要があります。
脅威インテリジェンスデータ: PoC(実証コード)の流通状況、KEV(既知の悪用脆弱性)リストへの登録状況。
資産の文脈データ: そのコンポーネントがインターネットに公開されているか、重要なデータにアクセス可能か。
開発元データ: 開発者やOSSコミュニティの信頼性。
さらに、コード自体の品質データにも目を向ける必要があります。AIが生成したセキュリティ要件を無視したコード、あるいはIaC(Infrastructure as Code)のデプロイ定義ファイルに含まれるAPIキーや認証情報(シークレット)といった、設定ミスや構成不備に関するデータが、インシデントの直接的な起点となっていないか、継続的に監視・分析する必要があります。
ソフトウェア・セキュリティ体制のデータ駆動型改革:コード・AI・OSS・IaCのレビュープロセス
「なぜ安全か」「なぜ改善可能か」という問いに、データに基づき回答できる体制をいかに構築するか。
在る調査会社によるMagic Quadrant評価でLeaderに位置する「Checkmarx CxOne」プラットフォームの分析データを例に、開発プロセス全体を通じてセキュリティデータを収集・分析するアプローチを探ります。
静的解析(SAST)、OSS構成分析(SCA)、IaCスキャンなど、異なるソースから得られるデータを統合し、ソフトウェアの透明性(Transparency)と責任追跡性(Accountability)を担保する体制への変革プロセスを解説します。
「改善の手応え」を感覚ではなくKPI/KGIデータとして可視化することに焦点を当て、次年度のセキュリティ成熟度向上に向けた実効性のある施策立案のヒントを提供します。
このようなデータ課題をお持ちの方におすすめします
開発成果物(外部委託コード含む)やOSSの受け入れ基準として、客観的な品質・セキュリティデータを定義・計測したい開発部門・プロダクトチームの方
導入済みツールのスキャン結果データ(脆弱性リスト)が活用されず、リスク低減(修復)に繋がっていないと分析しているセキュリティ部門・PSIRT・CISO室の方
IaCやデプロイコードに含まれる設定ミスデータ(シークレット等)を自動検知・管理するプロセスを設計したいSRE・インフラ部門の方
SBOMデータの生成・管理プロセスを導入し、SCA(ソフトウェア構成分析)をデータドリブンで運用する手法を具体化したい品質保証・技術企画部門の方
開発速度(デプロイ頻度)とセキュリティ品質(脆弱性密度)のトレードオフをデータで可視化し、最適なバランスを再設計したい情報システム・情報セキュリティ統括部門の方
次年度のセキュリティ成熟度向上に向け、**データに基づいた投資対効果(ROI)**を明確にし、予算計画を策定する必要がある方
(補足)IT資産データの管理不全:外部公開資産と「未把握資産」の脆弱性リスク
IoT、ビッグデータ、AIなどの技術活用が進むにつれ、組織が管理すべきIT資産データは指数関数的に増加しています。
特にインターネットに公開されたIT資産は、サイバー攻撃の直接的な標的となります。ここで最大のリスクとなるのが、資産管理台帳に存在しない「未把握資産」の脆弱性データです。資産をデータとして正確に把握できていないこと(データガバナンスの欠如)が、攻撃リスクの増大に直結しています。前述のSBOMによるソフトウェア資産の把握も、この広範な「IT資産データ管理」における重要なデータドメインの一つです。