攻撃者の初期行動は「データ収集・分析(OSINT)」から始まる
サイバー攻撃の起点として、攻撃者がまず行うのは「OSINT(公開情報を活用したデータ収集・分析技術)」による偵察です。これは、攻撃対象となり得る外部公開資産のセキュリティ状態に関するデータを収集・分析するプロセスです。
問題は、防御側(企業)が自社のIT資産データを正確に把握できていないケースが多い点です。特に、事業部門が主導で導入したWebサイトやクラウドサービスなど、情報システム部門の資産管理マスターデータに含まれていない「未把握資産(シャドーIT)」が散見されます。
これらの資産は、セキュリティ設定が不十分なまま放置されていることが多く、攻撃者の簡単なデータ収集活動によって「攻撃容易性が高い(=低コストで侵入可能)」脆弱な資産としてリストアップされてしまいます。
セキュリティ診断の課題:「網羅性」と「コスト」のデータ的ジレンマ
自組織のデータ資産を防御するため、セキュリティ診断による「脆弱性データ」の収集は不可欠です。しかし、この診断プロセスには大きな課題があります。
第一に、データが静的である点です。システムやサービスは日々更新され、構成変更や新規公開によって新たな脆弱性データが常時発生します。一度取得した診断データ(スナップショット)では、リアルタイムなリスク状態を反映できません。
第二に、脅威データ自体が動的である点です。攻撃手法や脆弱性情報は日々進化しており、過去のデータ基準では最新のリスクを評価できません。
第三に、管理対象データが膨大である点です。特に子会社やグループ会社を多く持つ企業では、外部公開IT資産の完全な棚卸しデータ(資産インベントリ)が存在せず、大量のIT資産の最新状況をデータとして把握・管理することが困難です。
この「管理すべき資産データ」の網羅性と、「診断にかかるコストデータ」はトレードオフの関係にあります。すべての外部公開資産に網羅的なセキュリティ診断を継続的に実施しようとすると、コストと工数が膨大になり、現実的ではありません。この結果、データに基づかない場当たり的な対策に陥り、セキュリティ・インシデントのリスクを高める原因となります。
「診断コスト最適化」を実現するデータドリブンな脆弱性管理
では、限られたリソース(予算・工数)の中で、いかにしてIT資産のリスクを効率的に低減すればよいのでしょうか。
その鍵は、「攻撃者の行動原理(脅威インテリジェンスデータ)」を分析し、戦略的に対処することです。
本セッションでは、まずサイバー攻撃の最新動向データを基に、「なぜ攻撃者は外部公開資産の“未把握データ”を狙うのか」という行動原理を解説します。そして、セキュリティ強化の第一歩として、自社の外部公開資産データを正確に把握することの重要性を提示します。
さらに、攻撃者の行動原理(=経済合理性)を踏まえ、以下のデータ分析に基づいた効率的な脆弱性管理プロセスをご提案します。
資産データの可視化: 自社の外部公開資産を網羅的に特定し、資産インベントリデータを整備します。
リスクデータの相関分析: 「資産データ(重要度)」と「脆弱性データ(深刻度)」、そして「脅威インテリジェンスデータ(攻撃の容易性・可能性)」を掛け合わせ、リスクを定量的にスコアリングします。
リソースの最適配分: スコアリング結果に基づき、「最も危険度の高い資産」から順に詳細な診断や対策リソースを集中投下します。
これは、従来の網羅的アプローチとは異なり、データ分析によって「診断コストのROI(投資対効果)」を最大化するアプローチです。
「組織内の各部署が管理する大量のドメインデータがある」「子会社やグループ会社の外部公開IT資産データの一元管理に課題がある」といった、複雑なデータ管理に直面している方にこそ、最適な内容です。
(補足)急増するインシデントデータと「未把握資産」の相関
近年、Webサイトやクラウドサービスを標的としたサイバー攻撃に関するインシデントデータが急増しています。
この背景には、Webサイト構築が容易になり「IT資産データの増加速度」が加速した一方で、セキュリティ対策が後回しにされ「脆弱性データが放置される期間」が長期化している、という明確な相関関係があります。
大手企業や行政機関においても、この「未把握資産の脆弱性データ」を起点とした情報漏洩が後を絶ちません。経済産業省やIPAなどのガイドラインが「定期的なセキュリティチェック」を求めているのは、まさにこの「資産データ」と「脆弱性データ」を継続的に計測・評価するプロセスの重要性を示しているのです。