セキュリティアセスメントとは? セキュリティリスク可視化サービス「IIJ Safous Security Assessment」の導入メリット
index
2025/2/6
近年、サイバー攻撃の被害はますます増加し、数多くのセキュリティインシデントが発生して深刻な問題となっています。脆弱性が狙われて情報漏えいにつながった事例や、マルウェアに感染して身代金を要求された事例や社会インフラが一時停止した事例など、被害の規模も社会的な影響も甚大となっています。
情報セキュリティ対策が必須となった現在、欠かせないのがセキュリティアセスメントです。この記事では、アセスメントの必要性や導入のメリットについて詳しく解説します。
情報セキュリティのアセスメントとは
情報セキュリティのアセスメントとは、企業や組織が保有するIT資産にどのようなリスクがあるかを特定し、インシデントが発生する前に客観的な分析・評価をする取り組みです。
現代のビジネスでは、管理しなければならないIT資産が多様化し、かつ複雑化しています。自社・関連会社のサーバーやシステムだけでなく、グローバル展開による海外拠点の管理体制、取引先とつなぐインターネット回線、サプライチェーンも利用するクラウドサービスなど、対応しなければならないIT環境が日々進化しています。さらにコロナ禍を契機とするDX化やテレワークも定着しました。
管理しなければならないIT資産には、確認できるものだけでなく、把握できていないものも含まれます。情報セキュリティ対策では、脆弱性がどこに存在するかを発見し、対策を練らなければなりません。日頃からセキュリティアセスメントを実施することがIT資産を守る鍵となっているのです。
把握しにくいサプライチェーンのセキュリティレベル
自社や関連会社のシステムであれば、セキュリティの統制を図ることはある程度可能かもしれません。しかし、前述したように現在のインシデント事例では、把握しきれていない取引先や関連企業などのサプライチェーンが狙われるケースが増加しています。
サプライチェーン攻撃における負の連鎖 イメージ
サイバー攻撃の攻撃者は、セキュリティが手薄なサプライチェーンや海外拠点の弱点であるアタックサーフェスを見つけ出し、攻撃を仕掛けてきます。
アタックサーフェス(Attack Surface)とは「サイバー攻撃の対象となりうるIT資産や攻撃点および攻撃経路」です。具体的には、ネットワークのサーバー、VPN(仮想専用通信網)装置、リモートデスクトップ、クラウドサービス、メール、ソフトウェア、パソコンやモバイルなどの端末まで多岐にわたります。
アタックサーフェスとは
サプライチェーン攻撃が年々増加
サプライチェーン攻撃は、年々増加傾向にあります。
IPA(独立行政法人 情報処理推進機構)では、毎年「情報セキュリティ10大脅威」を発表しています。年ごとに増加した情報セキュリティインシデントや傾向をランキングで順位付けしたものです。サイバー攻撃などインシデントのカテゴリを「個人」向けと「組織」向けに分けており、最新版である2025年の「組織」部門では以下のような結果が出ています。
情報セキュリティ10大脅威 2025(組織)
| 順位 | 「組織」向け脅威 | 初選出年 | 10大脅威での取り扱い(2016年以降) |
|---|---|---|---|
| 1 | ランサム攻撃による被害 | 2016年 | 10年連続10回目 |
| 2 | サプライチェーンや委託先を狙った攻撃 | 2019年 | 7年連続7回目 |
| 3 | システムの脆弱性を突いた攻撃 | 2016年 | 5年連続8回目 |
| 4 | 内部不正による情報漏えい等 | 2016年 | 10年連続10回目 |
| 5 | 機密情報等を狙った標的型攻撃 | 2016年 | 10年連続10回目 |
| 6 | リモートワーク等の環境や仕組みを狙った攻撃 | 2021年 | 5年連続5回目 |
| 7 | 地政学的リスクに起因するサイバー攻撃 | 2025年 | 初選出 |
| 8 | 分散型サービス妨害攻撃(DDoS攻撃) | 2016年 | 5年ぶり6回目 |
| 9 | ビジネスメール詐欺 | 2018年 | 8年連続8回目 |
| 10 | 不注意による情報漏えい等 | 2016年 | 7年連続8回目 |
出典: IPA(独立行政法人 情報処理推進機構)「情報セキュリティ10大脅威 2025 [組織]」
初選出年が古く、例年連続してランキングしているものが、被害の大きい脅威といえます。また、初選出年が新しくランキング年数の少ないものは、近年特に増加している脅威と見て取れます。近年増加傾向にあるのがハイライトで示した2位「サプライチェーンや委託先を狙った攻撃」、6位「リモートワーク等の環境や仕組みを狙った攻撃」、7位「地政学的リスクに起因するサイバー攻撃」です。
インシデントの兆候を迅速に把握するには
日々エスカレートするサイバー攻撃に対応するためには、自社や関係組織のネットワーク・システムだけでなく、サプライチェーンも含めたセキュリティアセスメントを実施することが重要です。
インシデントへ発展しそうな兆候を把握し、未然に十分な対策を講じ対応することが求められます。また一度きりではなく定期的な調査を継続して実施し、新たなリスクをいち早く把握することが求められます。
「IIJ Safous Security Assessment」の導入メリット
セキュリテイアセスメントを実施するには、サイバーセキュリティに特化したサービスを導入するのがおすすめです。
IIJでは、セキュリティリスク可視化サービス「IIJ Safous Security Assessment」(セーファス・セキュリテイ・アセスメント)を提供しています。ここからは、IIJ Safous Security Assessmentを導入するメリットや流れについてご説明します。
アタックサーフェスを監視
IIJ Safous Security Assessmentは、サイバー攻撃者と同じ視点で狙われやすいアタックサーフェスを調査して診断し、セキュリティリスクを可視化するサービスです。
評価対象ドメインと紐づくデジタルフットプリントを自動スキャン
インターネットを介して、企業所有のデジタルフットプリント(ドメイン及びIPアドレス)に対するサイバーリスクを収集し、脆弱性や脅威事項の有無を評価しレポートします。インターネットからアクセス可能なIT資産が調査対象となるので、把握しにくいサプライチェーンや海外拠点のアタックサーフェスのリスクも検出できます。
セキュリティリスク評価をスコアリング
IIJ Safous Security Assessmentは、以下の10個の評価項目ごとに、100点満点から減点方式のスコアリングとランク付けを実施して、セキュリティリスクを可視化します。これによりサイバー攻撃のリスクを客観的に把握し、セキュリティ対策の重要度や優先度を判断することができます。
10個の評価項目
| 評価カテゴリ | 概要 |
|---|---|
| NETWORK SECURITY | ネットワークの防御力を評価し、不正アクセスやデータ侵害を防止するための対策が適切に実施されているかを確認 |
| DNS HEALTH | ドメインネームシステム(DNS)の設定と運用状況を評価し、脆弱性がないかを確認 |
| PATCHING CADENCE | ソフトウェアやシステムのセキュリティアップデート状況を評価し、脆弱性が迅速に修正されているかを確認 |
| ENDPOINT SECURITY | PCやモバイルなど業務端末のエンドポイントの保護状況を評価し、マルウェア対策やデバイス管理の有効性を確認 |
| IP REPUTATION | 組織のIPアドレスが悪意ある活動に関連付けられていないかを評価し、信頼性の高い通信が行われているかを確認 |
| APPLICATION SECURITY | Webサイトアプリケーションのセキュリティを評価し、脆弱性やセキュリティホールがないかを確認 |
| CUBIT SCORE | リモートアクセスサービスやサブドメインなど、組織の全体的なセキュリティ状態を、複数のセキュリティ要素を統合して算出し総合的に評価 |
| HACKER CHATTER | ダークウェブやハッカーコミュニティで組織に関する情報が言及されていないかを評価し、攻撃のターゲットになっている可能性を確認 |
| INFORMATION LEAK | 組織の機密情報がインターネット上に漏洩していないかを評価し、データ漏洩リスクを特定 |
| SOCIAL ENGINEERING | フィッシングやその他のソーシャルエンジニアリング攻撃に対する組織の脆弱性を評価し、従業員の教育や防止策が効果的かを確認 |
セキュリティリスクを最短3日でレポート提出
確認されたセキュリティリスクは、詳細なスコア評価とともに検知されたセキュリティ上の課題と本サービスが推奨する対処内容をレポーティングします。
IIJ Safous Security Assessmentは、米国を拠点とするSecurityScorecard社©のリスク評価プラットフォーム「SecurityScorecard」が提供するサービスを用いています。標準のレポートは英語表記となりますが、翻訳ツールによる翻訳版も無償でご提供できます。
セキュリティエンジニアがサポートや改善提案
年間契約で契約いただいた場合は、契約期間中、対象ドメインを継続して評価します。月次評価レポートだけでなく、新たなリスクの通知や、IIJのセキュリティアナリストから課題に対する対策や改善提案のサポートを行い、サイバー攻撃者から狙われにくい環境づくりを支援します。
活用事例・リスク発見事例
IIJ Safous Security Assessmentの活用で、アセスメントを実施した事例をご紹介しましょう。
こちらの企業では、日本国内の本社から海外拠点のIT環境が把握できておらず、セキュリティ対策の担当者がいないという課題を抱えていました。
海外拠点のアセスメント活用事例
課題
- 海外拠点のIT環境が本社から見えていない
- 海外拠点に情報システム担当部門及び専任の担当者がいない
- 海外拠点全体で統一したセキュリティポリシーがない。また、法令・コンプライアンスの遵守徹底も、地域・組織文化の違いを起因とする障壁の存在
- 海外拠点がセキュリティ対策にどの程度予算を掛けているか分からない
解決策
- IIJ Safous Security Assessmentによるアタックサーフェス診断を実施
- 組織全体で現在のセキュリティ対策状況を確認し、リスクを正しく把握
- セキュリティエンジニアからの改善策を元に、現地のセキュリティ課題を是正
セキュリティアセスメントを実施した結果、IT環境が可視化できた事で課題の解決に結びつきました。
導入までの流れ
お客様にはサービスお申し込み時に評価対象のドメインをご指定いただきます。必要な情報をご記入いただいたヒアリングシートを元に、IIJ側でセキュリティアセスメントを実施。およそ3-5営業日でレポートをお渡しします。
| お申し込み | 必要情報の確認:所定のヒアリングシートに対象のドメイン等の必要情報をご記載ください。 |
|---|---|
| 診断レポート生成 | ヒアリングシートの内容を元に、アセスメントを実施しレポートを生成します。 |
| 初回レポートのご提供 | PDF形式でレポートを提出します。年間契約の場合はお問合せ用のHELP-DESKポータルをご利用いただくためのアカウントも併せて提供いたします。 |
リーズナブルな料金プラン
IIJ Safous Security Assessmentの料金プランは、年間契約とワンタイムレポートの2つのサービスメニューからお選びいただけます。
- セキュリティレベルをスコアとランクで評価
- 対象ドメインの月次評価レポート(PDF形式)を毎月1日にご提供(年間:12レポート)
- 契約期間中、対象ドメインを継続して評価
- 契約期間中、新たに発見されたセキュリティリスクを通知
- お問い合わせ用ポータル(HELP-DESKポータル)のご提供
- セキュリティレベルをスコアとランクで評価
- 対象ドメインの月次評価レポート(PDF形式)を一回分ご提供
年間契約は、月次の評価レポート(年間12レポート)により、セキュリティリスク対策を継続的に実施する場合におすすめです。期間中、新たに発見されたセキュリティリスク情報がリアルタイムに通知されるので安心です。また、お問い合わせ用ポータルの提供もあり、専任のセキュリティ担当者がいない場合でも迅速に対応・支援が受けられます。
ワンタイムレポートでは、対象ドメインにつき評価レポートを1回ご提供します。
どちらの契約についてもオプションメニューとして「セキュリティアナリストミーティング」が追加いただけます。評価レポートの内容についての説明やお客様からの質問にお応えするミーティングを、IIJのセキュリティアナリストがオンライン形式で開催します。
今すぐセキュリティアセスメントでセキュリティ対策を
IT資産が多様化・複雑化している現代では、サイバー攻撃が日々エスカレートし増加する傾向にあります。特にサプライチェーンや海外拠点へ向けられた脅威に対応するために、アタックサーフェスをいち早く把握し、定期的なセキュリティアセスメントを継続的に実施していくことが求められています。
IIJが提供するセキュリティリスク可視化サービス「IIJ Safous Security Assessment」は、情報セキュリティ対策が必須となった現在、欠かせないアセスメントです。ビシネスの継続を脅かす重大なセキュリティインシデントの発生を事前に抑えるためにも、早急な対策をご検討ください。
サービスについてより詳しくは、下記からご参照ください。
