「攻撃が成立するか」を検証するASM 攻撃者視点のセキュリティが今求められる理由：“可能性”から“実証”へ 現場を疲弊させないセキュリティ運用

ランサムウェア被害の報道が続く中、「どこから対策すべきか」「ツールを導入しても運用できるか不安」と悩む声は多い。背景には、CVSSスコアだけでは本当に危険な脆弱（ぜいじゃく）性を判断しにくい課題がある。そこで注目されるのが、攻撃をエミュレーションし“本当に侵入できるか”を検証するASM「ULTRA RED」だ。先端セキュリティソリューションを日本市場に届けてきたマクニカはなぜ今、本製品を推奨するのか。

[PR／ITmedia]

CVSSだけでは分からない　本当に危険な脆弱性

　ランサムウェア被害の報道が日常化する中、日本企業の危機意識は確実に高まった。しかし、現場では「何から手を付けたらいいか分からない」という迷いと、既存ツールが発する大量のアラートによる疲弊が深刻化している。

　マクニカでULTRA REDのセールスおよびマーケティングを担当する石川雄太氏は、顧客の変化をこう語る。

石川雄太氏（マクニカ ネットワークス カンパニー セキュリティソリューション営業統括部 プロダクト第2営業部 第3課）

　「当社が『ASM』（攻撃対象領域管理）の提案を始めたのは、2022年ごろです。当初は『今はまだ必要ない』という反応が大半でしたが、サプライチェーン攻撃などの事例が相次いだことで状況が一変しました。現在では、そもそもなぜASMが必要かという前段の説明は求められません。『何を使うか』『どう運用するか』という具体的な話から始まるケースが増えています」

　ただ、多くの企業で決定的に欠けているのが「攻撃者視点」だという。

　一般的な脆弱（ぜいじゃく）性スキャナーやASMツールは、「CVE」（共通脆弱性識別子）や「CVSS」（共通脆弱性評価システム）などの公的な情報に照らし合わせてリスクを通知する。しかし、CVSSのスコアが高いからといって自社にとっての緊急性も高いとは限らない。

　エンジニアとして多くの企業を支援するマクニカの檜垣晴明氏は、攻撃者と防御者のパワーバランスの変化にも言及する。

　「攻撃者の分業化が進んで専門性が高まりました。そこにAIが加わることで、攻撃者の開発スピードはさらに上がります。世の中で発見される脆弱性の数は増加の一途です。一方で防御者のリソースは不足しており、結果として社内に潜む脆弱性を網羅的に通知されても現場は対応し切れません。『攻撃者が実際にそこを狙っているのか？』『本当に侵入できるのか？』という視点での優先順位付けが必要です」

“可能性”ではなく“攻撃の成立”を検証するエミュレーション

　マクニカが数あるASMソリューションの中でULTRA REDを推奨する最大の理由は、その実証能力にある。石川氏は「単なるASMソリューションや脆弱性スキャナーではなく、攻撃者が本当に侵入できるかどうかを自動かつ継続的に検証する、攻撃者視点の防御プラットフォームです」と定義する。檜垣氏は「キャッチーに言えば『次世代ASM』」と補足した。

檜垣晴明氏（マクニカ ネットワークス カンパニー セキュリティソリューション技術統括部 第2技術部 第1課）

　ULTRA REDは、イスラエル軍の精鋭情報部隊「8200部隊」出身の技術者たちが開発したエミュレーション（疑似攻撃）機能を搭載している。実際に対象資産へ疑似攻撃を仕掛けて、企業への侵入やサーバ停止、改ざんといった重大なリスクが「本当に実在するか」を検証する仕組みだ。

　この仕組みが、脆弱性検知のノイズの少なさに直結する。外部公開資産のバージョン情報などからCVSSスコアに基づいて脆弱性の“可能性”を示唆するASMに対して、ULTRA REDはエミュレーションで悪用可否を実証した脆弱性のみを通知するためだ。

　「ULTRA REDは『脆弱性があるかもしれない』ではなく、『実際に攻撃が成立するか』を安全な形で検証します。CVSSスコアで高リスクと判定されていても、エミュレーションで攻撃が成立しなかった脆弱性は相対的に優先度が高くなりません。これが対応負荷の軽減にもつながります」（檜垣氏）

　多くのIT資産を持つ企業の場合、ASMツールで検知させると数百件のアラートが上がることは珍しくない。しかしULTRA REDが「今すぐ対応すべき（レベル4以上）」と判断するのは、導入直後でも平均で10〜20件程度だという。

　「アラートの少なさは、発見精度の低さを意味しません。『本当に悪用できるもの』だけが残るのです。担当者は、まずはその20件にリソースを集中すればよい――この運用の現実解こそが、私たちがULTRA REDを推奨する理由です」（檜垣氏）

日本企業の運用にフィットさせるマクニカの付加価値

　海外製の最先端ツールを日本企業が使いこなせるのかという不安は根強い。それはULTRA REDも例外ではなく、実際に「画面が英語で理解しにくい」「専門家がいないと運用できないのではないか」という“アレルギー反応”もよく見られるという。ここで、マクニカのローカライズと支援力が強みを発揮する。

　実は、ULTRA REDの重要な機能の一つである「ディスカバリーチェーン」はマクニカのリクエストによって実装されたものだ。

　「ASMの導入で最初につまずくのが、『検知された資産が本当に自社のものか分からない』という問題です。無関係なサイトを検知してしまうことはよくあります。そこで私たちは開発元のKELAに対し、『なぜその資産を自社のものと判断したのか、根拠を可視化してほしい』と要望しました。その結果、実装されたのがディスカバリーチェーンです。これにより、資産の棚卸しやノイズ除去の工数を大幅に削減できました」（石川氏）

　石川氏は「『この機能があれば日本のお客さまに導入してもらえる』という確信を持ってメーカーに提案し、実装してもらうのがわれわれの役割です」と語る。KELAとの強固な信頼関係があるからこそ、日本企業の現場ニーズに即した機能改善をスピーディーに行えている。

　導入後の運用においてもマクニカの知見が生きる。

　「われわれは長年、海外の最先端技術を日本に導入してきた経験から、海外メーカー特有の文化やサポート体制への対応ノウハウを持っています。テクニカルサポートの質に関してはメーカーからも高く評価されており、それがお客さまからの信頼感につながっています」（檜垣氏）

「証跡」が現場部門とのコミュニケーションを変える

　ULTRA REDの導入は、セキュリティ部門だけでなくシステムを管理するIT部門や子会社、外部パートナーとのコミュニケーションにも変革をもたらす可能性がある。

　これまでは、「バージョンが古いのでパッチを当ててください」と依頼しても、システム運用チームからは「WAFで防いでいるから問題ない」「設定を変えれば済む」「システムが止まるリスクがある」と反論され、後回しにされがちだった。セキュリティ担当者にとって、この調整こそが最大のストレスであり、時間の浪費となる。

　しかも、バージョン情報を根拠にしたアラートだけでは、こうした反論に対して再反論する材料がない。「現場を知らないうるさい人」と捉えられ、信用ばかりが損なわれる感覚に陥る担当者が多いという。

　「ULTRA REDは『バージョンが古い』だけでなく、『この手法で攻撃すれば侵入できてしまう』という具体的な証跡を提示できます。WAFを経由しても攻撃が成立するのか、設定変更だけで本当に防げるのか――が実証ベースで明らかになります。これにより、IT部門や委託先も差し迫った脅威として納得しやすくなるのです。導入企業からも、『納得感がある』『優先順位が明確になった』と高く評価されています」（石川氏）

　対策後の確認においても、ULTRA REDはその威力を発揮する。

　「直接対応に当たれない遠地の拠点では、対応完了の報告があっても実際には設定不備などで直っていないというケースも散見されます。ULTRA REDなら、再度エミュレーションを実行することで本当に対策が完了したのかを客観的に立証できます」（檜垣氏）

　報告ベースでは分からない対策の実装を検証できる。海外拠点やグループ会社が多い企業ではガバナンス強化の手段としても有効だろう。

攻撃者視点のセキュリティを“当たり前”にするために

　最後に、今後の展望について2人に聞いた。

　「『能動的サイバー防御』（ACD：Active Cyber Defense）という言葉も注目を集めていますが、重要なのは現場が受け身から攻撃者視点へと意識を変えることです。ULTRA REDを使えば、専門家でなくてもそれが可能になります。日本企業が現実的かつ実効性のあるセキュリティ体制を築けるように、ツールと運用の両面から支援したいですね」（石川氏）

　「攻撃者優位の状況は今後も続くでしょう。だからこそ、先回りして穴をふさぐ能動的な防御の発想は、特別なことではなく必須の要件です。ASMは導入が一巡して、今後は高い精度で運用できるかどうかが問われるフェーズです。お客さまが『守れている』と断言できる状態を作るために、われわれも伴走します」（檜垣氏）

　セキュリティ対策は、ソリューションを導入して終わりではない。攻撃者の視点で自社を見つめ直し、限られたリソースで実効性のある防御体制を築くことが重要だ。そのための“武器”として、ULTRA REDとマクニカのパートナーシップが果たす役割は今後さらに大きくなるだろう。

能動的サイバー防御（ACD）がよく分かる！　セミナー開催のお知らせ

日時：2026年4月22日（水）14:00〜17:00　受付開始 13：30〜
会場：ステーションコンファレンス東京
参加費：無料
お問い合わせ先：jp-pr@ke-la.com（KELA マーケティング部）

申し込みはこちら