サイバー対処能力強化法の成立により、「能動的サイバー防御」への注目が高まっている。しかしその一方で、多くの企業では、認証管理や脆弱性対応といった基本的な対策すら十分に徹底できていないのが実情だ。制度の整備が進むいまこそ、現場のセキュリティを見直す必要がある。
3月12日~13日に開催された「TECH+フォーラム セキュリティ 2026 Mar. 能動的防御・新法施行で変わるセキュリティ 自社の“次の一手”を考える」では、インターネットイニシアティブ セキュリティ情報統括室 室長の根岸征史氏と、セキュリティインコ(piyolog運営者)のpiyokango氏が対談。国内のインシデントや脆弱性の実態を踏まえ、企業が今優先して取り組むべき課題について議論した。
インシデントは増えているのに見えない――情報公開の実態と課題
対談の前半は、インシデントの事後の情報公開の在り方をテーマとし、まずpiyokango氏が調査した2025年の国内のインシデント公表事例の内容が紹介された。公表された事例の総数は1115件と非常に多く、前年から36%も増加している。そのうち約半数はサプライチェーン関連の公表だ。ただしこれは業務委託先や自社が利用するサービスなどで被害が発生した結果、それを使っている自分たちにも影響が及んだというものも含まれているため、インシデントの実数はこれより少ないと考えられる。
-
2025年のインシデント公表事例の状況
攻撃の手口は、パスワードの悪用や認証情報の漏えいといった認証認可の不正利用がもっとも多く、脆弱性の悪用がそれに続く。この2つが多い傾向はこの数年続いており、対策がまだ十分にできていないことを示している。
この他にDDoS攻撃やソーシャルエンジニアリング、設定不備の悪用などの手口があるが、これら全てを合計してもインシデントの事例数には及ばない。調査中などとして手口が公開されていない事例が338例もあるためだ。しかも、詳細まで開示された事例の割合は年々減少し続けている。つまり公表数は増えても、どういった攻撃が実際に発生したのかを知ることが難しくなっているのだ。
詳細を公表しない理由は、インシデントに対応している最中に情報を公開するのはリスクが大きいためだと推測される。情報が不正確であれば、外部からの批判や追及に対応するためにリソースを割かなければならない。そのため経営判断として公開する情報を絞るという判断をしていることも考えられる。
「細かい情報まで出すと、不備も見えてしまうかもしれない。そこがネガティブに評価されてしまうのです」(piyokango氏)
「何が原因なのかが分かれば、どういう取り組みが必要なのか、他社にとって学びになります。ある程度時間が経ってからであっても、その後の状況を丁寧に説明してほしいですね」(根岸氏)
なぜ情報公開は進まないのか――企業が直面するジレンマ
公表事例の状況からは、現状の課題も見えてくる。まずは、社会全体のセキュリティ向上に資する情報公開・共有が必要だということだ。情報を出すリスクはあるが、出さなければいつまでたっても社会全体のセキュリティ向上にはつながらない。piyokango氏は「最低限これだけは出すべきという、テンプレートのようなものが必要ではないか」と提案した。
情報の公開を躊躇する要因の1つは、詳細が分からず公開できる情報がないことだ。不正アクセスによりログを消されてしまうと原因は特定できないし、認証情報が悪用されたことは分かっても、なぜそうなったかは不明な場合もある。一方、外部の反応を意識して公開を躊躇するような場合については、「公表と共有を分けるという考え方が1つの解決策ではないか」と根岸氏は話す。リスクのある世間一般への情報公開は制限しつつ、公的機関に対しては詳細を報告する。そしてその内容を匿名で社会にフィードバックして共有するのだ。
公表された手口と実際の被害の間にあるギャップも問題だ。例えばランサムウェアによりシステムが停止したり、情報が漏えいしたりした場合に、その原因がVPNを介してのアクセスであると公表されていることがあるが、本来それだけでは被害には直接つながらないはずだ。侵入から機密情報を格納するサーバへのアクセスや、管理者権限での不正プログラムの実行に至るまでには、まだいくつかのステップがあるはずなのだ。
「万一侵入されても被害を食い止めるためにどうすべきかを考えるには、その情報が必要なのです」(piyokango氏)
さらにサプライチェーンにおけるインシデントへの対応も考えなければならない。中小企業であってもサプライチェーンの一部に組み込まれていることがあるし、取引先のインシデントで影響を受けることもある。どのような影響があるかを全ての組織が自分事として捉えておく必要があるだろう。
脆弱性はどこまで対応すべきか――“全部は無理”な現実
対談後半のテーマは脆弱性への対応だ。2025年に発見された脆弱性は約5万件あり、その中でCVSS(深刻度)上位のCriticalとHighが4割を占めている。これだけで約2万件もあるため、全てに対応するのは難しいのが現状だ。そこで現実的な方法となるのが、実際に悪用されている脆弱性から対応するアプローチだ。この際に参照されるのが、米国のCybersecurity and Infrastructure Security Agency(CISA)が公表するKEVカタログで、すでに悪用が確認されている245件の脆弱性がリストアップされている。
-
脆弱性対応の現状
ただ、このリストには古い情報も含まれているし、最新のものだけを見ても、悪用されていることが明示されているのは約半数、悪用の状況が分かるのは3割程度しかない。攻撃手法は不明なうえ、どんな手順で確認すればいのかすら分からないことが多い。
「緊急性の高さも不明で動きようがない、厳しい状況です」(根岸氏)
脆弱性が発見されてから悪用されるまでのスピードも早くなっており、1日以内に悪用された脆弱性は約3割もある。国内でも、設定変更のミスで外部にアクセス権が開放された状態になり、その翌日には不正アクセスされたという事例がある。
「攻撃者は見逃しません。たまたま見つけたのだと思いますが、攻撃者は常にこういうのを見ているというのがよく分かる事例です」(根岸氏)
企業は何から手をつけるべきか――能動的防御の前にやるべきこと
脆弱性への対応においても考えるべき課題は多い。その1つは、トリアージが難しい状況にあることだ。数多くの脆弱性が報告されるなかで、優先順位を決めて対応する必要があるが、悪用の状況を正確に把握できるだけの情報が開示されておらず、限られた情報のなかで対応しなくてはならないためである。
「これは社会全体としての問題です。脆弱性情報を共有するためには、例えば取引のあるベンダーにもっと情報を出すように言うなど、受け取る側の我々からもアピールしていく必要があります」(根岸氏)
「言われるがまま情報を受け取るだけでは、対応はどんどん後手に回ってしまいます」(piyokango氏)
アーキテクチャに関しては、従来の境界型防御からゼロトラストに移行すべきだと言われている。しかし今はまだVPNやファイアウォールなどの境界型防御が残っているため、そこが狙われたときにどう対応するかも考えなければならない。ゼロトラストに移行することは重要だが、そこに至るまでの現状で、できることは全てやっているのかを再確認する必要がある。
根岸氏はさらに、脆弱性の定義が狭いことも問題だと指摘する。脆弱性といえばソフトウェアの問題であり、パッチを当てれば解決するものと認識されていることが多いが、それだけではなく、設定ミスや設計上の問題、脆弱なパスワード、人的要因なども脆弱性だ。侵入の原因になり得るところは全て脆弱性と考えて対応しなければならない。
そしてこれらの取り組みを行うにあたっては、きちんと対応できるだけのリソースや組織体制があるのか、対応プロセスは確立されているか、優先して対応すべきことを決めるための判断基準があるか、といった点も見直しておくべきだ。とくにリソースの限られている中小企業は、こうしたことが後回しになりがちであるため注意が必要である。
「能動的サイバー防御に取り組む前に、基本的なところに立ち返るというのが重要なポイントです。そのために、今から自分たちの課題を明確にしておく必要があります」(piyokango氏)
講演の最後に根岸氏は、改めてセキュリティに向かう姿勢について言及した。
「個々の組織が個別に対応すべき課題だけでなく、社会全体で取り組むべき課題もあります。社会全体の課題に対してできることは少ないかもしれませんが、自分の問題に置き換えて、自分には何ができるかという視点で考えていただきたいのです」(根岸氏)
包括的リスクマネジメントを学ぶ - NTTグループが行う社長向けセキュリティ演習とは
