Security Report33

 

目次

開く

     

     

    1.他人事ではない ー 日本の企業組織に降りかかり続けるサイバー攻撃 

    ランサムウェア被害は依然として企業を悩ませる最大のサイバー脅威と言えます。

    警察庁の調査によると、国内のランサムウェア被害の報告件数は2021年以降ほぼ倍増しており、2025年上期も100件を超える水準で推移しています。

     

     

    #33-1
    #33-1

    警察庁が認識したランサムウェアの被害報告件数 *1



    大手製造業や流通業での被害が報じられている通り、単なる情報漏えいではなく、「事業の停止」や「供給網への波及」といった深刻な影響が生じています。
    攻撃者は、侵害経路を見つけ出すため「どこが脆いか」を探します。
    警察庁が設置するモニタリング用IPアドレスへの不審アクセスはここ数年で急増しており、攻撃者が日常的に“脆弱性探索”を行っていることが明らかになっています。
    つまり、攻撃は偶発的なものではなく「既知の脆弱性」を計画的に狙う行為なのです。

     

     

    #33-2
    #33-2

    警察庁設置のセンサーが検知した脆弱性探索行為等の不審なアクセス件数 *2

     

     

    2.脆弱性管理の課題

    新たに公開される脆弱性が、実際の攻撃の中で「武器化」されるまで、以前は平均80日と見られていましたが、現在は7日まで短縮しているとの指摘があり、よりタイトな時間との勝負になっています。
    このような状況で、公開された脆弱性に該当するものをシステム上で確認して是正する取り組みには、どのような問題があるでしょうか。

    2.1 公開される脆弱性の数 

    1つ目の課題はその数の多さ、そして年々増加する傾向にあることです。

    コンピュータ製品に内在する脆弱性は、その存在が認識されると、米国国土安全保障省(DHS)の委託を受けて運営されている非営利団体MITRE(マイター)社などにより、CVE(Common Vulnerabilities and Exposures)と呼ばれる固有のIDが付与され、管理・公開されます。

    2024年には記録を更新する4万件を超え、さらに2025年はこれを上回るペースが指摘されています。

     

     

    #33-3
    #33-3

    年ごとの累積公開CVE数 *3



    都度公開されるこれら大量のCVEの中から、自社システムに関係するものを抽出するだけでも相当な労力を要します。
    該当箇所を列挙できたとしても膨大な数になり、そのすべてに対応することは現実的とは言えません。

     

    2.2 優先順位付けの難しさ

    2つ目の課題は優先順位付けの難しさです。

    本当にリスクが高いものを優先的に対応したいのですが、思わぬ難点があります。
    CVEで識別される公開された脆弱性のうち、実際に悪用が確認されたものは、米国国土安全保障省(DHS)傘下のCISA(サイバーセキュリティ・インフラセキュリティ庁)が管理する「Known Exploited Vulnerabilities(KEV)カタログ」に登録・公開されています。
    前述の通り、CVE件数は年々増え続けていますが、そのうち実際に悪用が確認されたもの、つまりKEVとして登録されたものは一部に過ぎません。
    つまり、膨大な脆弱性の中から「本当に危険なものを見極める」ことが、効果的な脆弱性管理を行う上で重要になります。

     

     

    #33-4
    #33-4

    悪用された/悪用されなかった脆弱性件数の推移 *4

     

     

    また、CVSSとして知られる「深刻度」についても注意が必要です。

    以下の図に示す通り、Critical(深刻)と評価された脆弱性が最も頻繁に悪用される脆弱性とは限らないことがわかっています。

     

     

    #33-5
    #33-5

    悪用された深刻度別脆弱性件数 *5

     

     

    むしろ、複数の段階を経て成立する昨今の攻撃の中では、中・低といった深刻度の脆弱性を組み合わせて使うケースが多いことを指摘する専門家も少なくありません。

     

    2.3 セキュリティ検証の課題 

    3つ目の課題は検証に関する点です。

    前述の通り、優先順位付けするうえで、最優先となるのは侵入に悪用されるか否かです。

    その手段の1つとしてペネトレーションテストは、現実に存在する侵害経路を見出せる点で非常に有効です。

    しかし、診断の頻度とコストが課題と言えます。

    脆弱性診断やペネトレーションテストは一定の効果を持ちますが、依頼から結果まで数週間を要し、通常は外部の専門業者に委託するため都度費用が発生します。

    年1回、四半期1回といった定期診断だけでは、公開直後の新たな脆弱性や構成変更による新しい攻撃経路には追いつけません。

     

     

     3.セキュリティ検証分野でのAIの応用    

    従来の脆弱性管理やペネトレーションテストが抱えてきた「量」と「時間」の問題に対し、AIを活用した検証アプローチが有力な手段として注目されています。
    ここで言う「AIによる検証」とは、単なる脆弱性スキャンの精度向上ではなく、攻撃者の思考を模倣して実際に侵入経路を再現・検証する作業を自動化することを指します。
     

    3.1 ペネトレーションテストにより期待できるメリット

    下記4点が主なメリットとして挙げられます。
    ・スケールと頻度の向上:人手の限界を超え、短期間に広範なアセットを対象に自動で検証を回せるため、「発見→検証→改善」を高頻度で回すことが可能
    ・優先順位の実効性向上:検出された脆弱性のうち、実際に「侵入に使えるか」が検証済みとなるため、リソースを真に重要な対応へ集中可能
    ・実践に近い検証(攻撃チェーンの再現):単発の脆弱性確認では見えない「連鎖的な侵害経路」を検出しやすく、サプライチェーンや設定ミスなど複合的リスクの洗い出しに有効
    ・運用との連携:自動検証の結果をチケット化/パッチ管理やCI/CDに接続することで、修正→再検証のサイクルを短縮可能

     

     

    4.最後に

    本レポートでは、攻撃者は日常的に脆弱性を探索し攻撃を仕掛けていることを紹介し、対策として自社の脆弱性の把握と改善が重要と記載しましたが、多くの企業では、時間・スキル・コストの面で対応が困難になっているのが現状です。
    打開策としてAIの活用の話をさせていただきましたが、疲れ知らずのAIは防御力の向上及びTCOの観点で、非常に有効と考えております。
    なお弊社では、AIを利用した脆弱性対応(現状把握とペネトレーションテスト)のご紹介が可能です。少しでもご関心がお持ちでしたら、是非とも弊社担当営業まで申し付けください。
     

     

    5.参考文献

    *1*2 「令和7年上半期におけるサイバー空間をめぐる脅威の情勢等について」(令和7年9月警察庁サイバー警察局)
    https://www.npa.go.jp/news/release/2025/20250912001.html

    *3 “CVE Growth” (CVEデータを研究者、Jerry Gamblin氏が集計)
    https://jerrygamblin.com/2025/01/05/2024-cve-data-review/

    *4*5 IBM X-Force vulnerability database 元にGartnerがグラフ化

     

     

    執筆者

    田口 学

    営業技術本部 戦略ビジネス統括部 セキュリティ営業部 

    ガバナンス_リスク&コンプライアンス担当
    IIMお客様担当営業経験後、2010年に現セキュリティー部門に異動。個人情報保護法、JSOX法の対策でセキュリティ・コンプライアンスのソリューション提案を数多く経験。PAMIAMIGAなどエンタープライズ企業向けID管理に従事。レジリエンス対策でクラウドバックアップ・BCPも担当。

    関連記事

    関連資料