よくある質問

脆弱性スキャンは、システム全体を自動ツールで広く浅く調べ、既知のセキュリティホールの有無をリストアップする行為です。一方、侵入テストは、人間の攻撃者が実際にその穴を突いて、どれだけ内部に深く侵入できるかを検証する行為です。前者が「家の鍵の閉め忘れ」を探す行為だとしたら、後者は「実際に泥棒が忍び込み、金庫まで辿り着けるか」を試すことに近いと言えます。

レッドチームによる演習は、本番環境を想定しつつも厳格なルールの下で行われます。攻撃を仕掛ける範囲や時間帯、使用する手法を事前に綿密に取り決めます。もちろん、ブルーチームと緊密に連携し、もし業務影響が出る予兆があれば瞬時に攻撃を中断するプロトコルを敷いています。安全に最大限の効果を得るための設計が、私たちの仕事の核心です。

全てのリスクをゼロにすることは物理的に不可能ですが、攻撃者が「割に合わない」と諦めるレベルを目指すのが正解です。高度な防御監視を行うブルーチーム体制を常時維持するのが理想ですが、まずは定期的な侵入テストで自社の弱点の深さを定量化することから始めましょう。守るべき情報資産の価値と攻撃を受ける確率のバランスで、最適な投資ラインは見えてきます。

現在のサイバー攻撃の大部分は、企業規模に関係なく無差別にスキャンされています。小さな会社は防御が手薄だと見做され、自動化された脆弱性スキャンの攻撃対象として真っ先に狙われるケースが非常に多いのです。規模の大小より「侵入の容易さ」が標的選定基準になっているため、小規模だからこそ、早期の対策が生命線です。

理想的には両者のバランスですが、最初の一歩としておすすめしたいのは、現在の防御力を測るためのレッドチームによる侵入テストです。現状の防御力の「偏差値」を知らなければ、ブルーチームの適切な配置計画も立てられないからです。まず自社の弱点を洗い出し、その結果に基づいて防御の監視網を強化していくのが合理的なセキュリティ投資です。