ソフトウェアテスト・第三者検証ならデロイト トーマツ ウェブレッジ > WRブログ > セキュリティ > ウイルス対策ソフトだけではサイバー攻撃から企業を守り切れない — 脆弱性診断で見える本当のリスク
WRブログ

ウイルス対策ソフトだけではサイバー攻撃から企業を守り切れない — 脆弱性診断で見える本当のリスク

はじめに

「ウイルス対策ソフトを入れていればセキュリティは大丈夫でしょ?」という声をよく聞きます。もちろん、これはサイバー攻撃から企業を守るためのとても大事な道具です。しかし、最近のサイバー攻撃は、端末の中だけを見張っていても気づきにくい“隙間”を狙ってきます。例えば、家の玄関の鍵を閉めていても、窓や裏口の鍵が開いていたり、壁に小さな穴があれば、そこから入られてしまうのと同じです。だからこそ、どこに“隙間“があるかを広い視点で点検し、直していくことが欠かせません。では、まず基礎の守りであるウイルス対策ソフトの役割を整理します。

ウイルス対策ソフトがサイバー攻撃から守ってくれるところ

ウイルス対策ソフトは、ウイルス対策ソフトは、端末上の不審なプログラムや挙動を検知・遮断するのが得意です。危ないファイルやメールの添付を止めたり、怪しげなサイトへのアクセスをブロックしたりして、端末の中で起きる分かりやすい「悪さ」を抑えてくれます。これはとても重要な役割であり、最初に整えるべき基礎の守りです。ただし、これだけで全体を守り切れるわけではありません。次に、見落とされがちな隙間について見ていきます。

ウイルス対策ソフトでは守りきれないところ

攻撃者は端末の外側や設定の隙間を狙います。端末の中だけを見張る仕組みでは見つけにくい「設計や運用の隙間」が標的になるため、別のやり方で点検して直す必要があります。例えば、以下のような弱点は端末内の対策だけではカバーし切れません。

・ソフトや機器の更新が止まっていて古いままになっている
・インターネット上で動かしているサービスの設定が一部間違っている
・同じパスワードを使い回してしまっている
・ホームページの作りに見落としがある
・社内機器を初期設定のまま外に公開してしまっている

このような“設計と運用の隙間”が、実際のサイバー攻撃でどう突かれているのか。直近の動向とあわせて見てみましょう。

最新の脅威動向とランサムウェアの進行プロセス

直近の動向にも、その兆候が表れています。警視庁(*1)は令和7年上半期、重要インフラでDDoS(サーバやシステムに大量のデータを一斉送信し、ネットワークを麻痺させ、システムを一時的に停止させるサイバー攻撃手法)や情報窃取を狙う攻撃が相次いだと発表しました。警察庁が設置しているセンサー (*2)でも、海外発を中心に脆弱性探索の不審アクセスが高水準でした。ランサムウェア被害報告も116件と、半期の最多水準です。
こうした状況下で、ランサムウェアの被害は「一発で感染して終わり」ではありません。ランサムウェア攻撃は、入口→内部→出口という“流れ”で段階的に進みます。

入口(侵入)
・不審なメール、古いソフトウェアの脆弱性、公開設定ミスなどから静かに侵入

内部(横展開・権限昇格)
・正規機能や管理ツールの悪用により、共有フォルダや管理基盤へ近づく
・マルウェア特有の挙動が目立ちにくく、エンドポイント対策だけでは検知が難しい局面

出口(窃取・暗号化・恐喝)
・データを窃取し、さらに暗号化で業務を停止させ、二重の圧力で身代金を要求

このように、ランサムウェア攻撃は入口・内部・出口それぞれの“隙間”を突くため、広い視点で隙間を塞ぐ備えが必要です。

number_of_reported_ransomware_cases
出典:サイバー空間をめぐる脅威の情勢等|警察庁Webサイト(統計データをもとにグラフを作成)

だからこそ必要な「脆弱性診断」

その具体策が、脆弱性診断です。これは、対象システムやネットワークの弱点を洗い出し、リスク評価と修正の優先順位を提示する点検です。家の総点検のように、外に出している部分、よく使う部分、細かな設定までを対象に、機械による広いチェックと、人の目での丁寧な確認を組み合わせて進めます。その結果をもとに、設定の見直し、更新の実施、設計の修正など、現実的で実行しやすい直し方へつなげます。入口では更新漏れや不必要な公開の設定を正し、内部では権限の付け方や共有の設定を整え、出口では想定外の情報の見え方や持ち出されやすい導線を見直す—こうして段取りに沿って弱点を減らします。新しい機能を公開する前や大きな変更の後、そして定期点検として繰り返すことで、見落としを減らし続けられます。

当社では、豊富な経験を活かし、ツールによる診断に加えて診断員による手動検査を行う「脆弱性診断サービス」と、コストと期間を抑えた「脆弱性ツール診断サービス」をご用意しています。お客様の状況や目的に合わせて、入口・内部・出口のそれぞれに適した診断計画をご提案します。

サービスの詳細は以下よりご確認ください。

– セキュリティ診断

– デロイト トーマツ ウェブレッジ株式会社は新たに「脆弱性ツール診断」サービスの提供を開始いたします

「うちは大丈夫」と思っている今こそ、まずは現状を客観的にチェックしてみませんか。貴社と取引先を守るため、ぜひお気軽にご相談ください。

詳細、出典:
*1:警察庁 令和7年上半期におけるサイバー空間をめぐる脅威の情勢等について
*2:警察庁 不審なアクセスの観測状況(説明)
(警察庁が設置しているセンサー:警察庁は全国の警察施設のインターネット接続点にセンサーを設置し、その観測結果から不審なアクセス等を調査している。)

本件のお問い合わせ

本件につきましては、お問い合わせフォームまたは下記までお問い合わせください。
TEL:03-6380-8261
Email:sales_team@tohmatsu.co.jp

カテゴリー

タグ

7原則 Bluetooth IoT M2M QCD RPA SIM UAT UI/UX webサイト Wi-Fi アプリ システムテスト スマホ ソフトウェアテスト基礎 ソフトウェア開発 テストケース テストチーム テスト実行 テスト自動化 テスト設計 デシジョンテーブル トレンド ドキュメント ドキュメントレビュー ブラックボックステスト プロジェクト ホワイトボックステスト ユーザーテスト ユースケース レビュー 事例 保守テスト 品質 品質コスト 展示会 検証端末 構造テスト 機能テスト 状態遷移テスト 相互接続性試験 第三者検証 脆弱性診断 見積 非機能テスト

年別アーカイブ