ランサムウェア被害は依然として企業を悩ませる最大のサイバー脅威と言えます。
警察庁の調査によると、国内のランサムウェア被害の報告件数は2021年以降ほぼ倍増しており、2025年上期も100件を超える水準で推移しています。
1つ目の課題はその数の多さ、そして年々増加する傾向にあることです。
コンピュータ製品に内在する脆弱性は、その存在が認識されると、米国国土安全保障省(DHS)の委託を受けて運営されている非営利団体MITRE(マイター)社などにより、CVE(Common Vulnerabilities and Exposures)と呼ばれる固有のIDが付与され、管理・公開されます。
2024年には記録を更新する4万件を超え、さらに2025年はこれを上回るペースが指摘されています。
2.2 優先順位付けの難しさ
2つ目の課題は優先順位付けの難しさです。
本当にリスクが高いものを優先的に対応したいのですが、思わぬ難点があります。
CVEで識別される公開された脆弱性のうち、実際に悪用が確認されたものは、米国国土安全保障省(DHS)傘下のCISA(サイバーセキュリティ・インフラセキュリティ庁)が管理する「Known Exploited Vulnerabilities(KEV)カタログ」に登録・公開されています。
前述の通り、CVE件数は年々増え続けていますが、そのうち実際に悪用が確認されたもの、つまりKEVとして登録されたものは一部に過ぎません。
つまり、膨大な脆弱性の中から「本当に危険なものを見極める」ことが、効果的な脆弱性管理を行う上で重要になります。
また、CVSSとして知られる「深刻度」についても注意が必要です。
以下の図に示す通り、Critical(深刻)と評価された脆弱性が最も頻繁に悪用される脆弱性とは限らないことがわかっています。
むしろ、複数の段階を経て成立する昨今の攻撃の中では、中・低といった深刻度の脆弱性を組み合わせて使うケースが多いことを指摘する専門家も少なくありません。
2.3 セキュリティ検証の課題
3つ目の課題は検証に関する点です。
前述の通り、優先順位付けするうえで、最優先となるのは侵入に悪用されるか否かです。
その手段の1つとしてペネトレーションテストは、現実に存在する侵害経路を見出せる点で非常に有効です。
しかし、診断の頻度とコストが課題と言えます。
脆弱性診断やペネトレーションテストは一定の効果を持ちますが、依頼から結果まで数週間を要し、通常は外部の専門業者に委託するため都度費用が発生します。
年1回、四半期1回といった定期診断だけでは、公開直後の新たな脆弱性や構成変更による新しい攻撃経路には追いつけません。
3.1 ペネトレーションテストにより期待できるメリット
下記4点が主なメリットとして挙げられます。
・スケールと頻度の向上:人手の限界を超え、短期間に広範なアセットを対象に自動で検証を回せるため、「発見→検証→改善」を高頻度で回すことが可能
・優先順位の実効性向上:検出された脆弱性のうち、実際に「侵入に使えるか」が検証済みとなるため、リソースを真に重要な対応へ集中可能
・実践に近い検証(攻撃チェーンの再現):単発の脆弱性確認では見えない「連鎖的な侵害経路」を検出しやすく、サプライチェーンや設定ミスなど複合的リスクの洗い出しに有効
・運用との連携:自動検証の結果をチケット化/パッチ管理やCI/CDに接続することで、修正→再検証のサイクルを短縮可能
*1*2 「令和7年上半期におけるサイバー空間をめぐる脅威の情勢等について」(令和7年9月警察庁サイバー警察局)
https://www.npa.go.jp/news/release/2025/20250912001.html
*3 “CVE Growth” (CVEデータを研究者、Jerry Gamblin氏が集計)
https://jerrygamblin.com/2025/01/05/2024-cve-data-review/
*4*5 IBM X-Force vulnerability database 元にGartnerがグラフ化