ラックが見据えるセキュリティ診断の進化～スペシャリストインタビュー第6弾

2025年度、私たちのセキュリティ診断サービスは30周年を迎えました。この節目の年にあたり、これまで支えてくださった皆様への感謝の気持ちを込めて、セキュリティに関する知識や取り組みを広く発信していく特別企画を展開しています。

この30年間で、ビジネスを取り巻くIT環境は大きく変化し、情報セキュリティの重要性や診断対象の範囲も大きく広がりました。そこでラックは、セキュリティ診断の過去・現在・未来を見つめ直すインタビュー企画、「専門家が考えるセキュリティ診断の現在地と未来」を実施しています。

今回で第6弾となる最終記事では、これまでの診断を振り返り、次のフェーズに向かう診断について、取締役 専務執行役員 CTO 倉持 浩明とセキュアソリューションユニットのユニット長の木村 芳教が語ります。

プロフィール

セキュリティ診断は30年でどう変わったか

倉持

ラックがセキュリティ事業を始めた1995年頃は、「セキュリティ診断」という名前はありませんでした。日本国内でも商用のインターネットサービスが普及し始めたばかりなので、ファイアウォールの設定確認や、Webサイトの脆弱性を確認するといったことからセキュリティ事業を開始しました。

そこから20年後、「セキュリティ診断20年」の節目となる2015年に企画した座談会の記事を振り返ると、当時はクラウド、スマートフォン、IoTが普及しはじめ、ICT環境が劇的に変化しようとしていた時でした。そこで「これからはICT環境の拡大に伴い、セキュリティ診断の幅を広げていかなければならない！」と議論していたのを覚えています。その後、実際に、ラックのセキュリティ診断の対象は、クラウド、スマートフォンアプリケーション、IoTへと一気に拡大しました。

これまで、新しい技術革新の波が来るたびに、診断する対象が変化してきました。また、以前はシステムのカットオーバー前に行う最終点検の位置づけが中心でしたが、現在は違います。セキュリティ診断結果を起点として、事業継続（BCP）の実効性まで踏み込んで検証する、実運用と直結した取り組みへと役割が高度化しています。そして、この30年の節目となる2025年度では、セキュリティ診断においても生成AIが主役級のテーマとなりました。攻撃にも防御にも活用される生成AIは、診断の方法論そのものを問い直しています。30年にわたり技術の転換点に立ち会ってきたラックは、いま、再び大きな変化のただ中にあります。

木村

30周年企画で実施したスペシャリストインタビューでも、話題の中心はやはりAIでした。AI活用への期待が高まる一方で、お客様から増えている相談は大きく2つです。ひとつは「診断やペネトレーションテストをAIでどこまで代替えできるか」。もうひとつは「AIシステム・AI環境そのものを診断してほしい」というものです。多くのお客様が自社でAIの利活用を進める中、「何が正しいのか」「データは漏れないのか」と言った基本的な懸念の解消が求められています。

従来のWebやネットワークの観点に加え、AI特有の観点でデータの流出のリスク、モデル挙動やサプライチェーンの健全性、運用連携の境界などを切り分けて検証する必要が出てきています。AI導入により環境は一層複雑化し、単一の弱点ではなく「脆弱性の連鎖」が与える影響が大きくなっています。それもあり、実際の攻撃シナリオに基づいてサイバー攻撃への耐性や侵害の影響範囲を検証するペネトレーションテストの重要性が増していると考えます。

──脆弱性診断とペネトレーションテスト（以下、ペネトレ）の違いは？また、ペネトレが選ばれる理由は何でしょう？

木村

脆弱性診断は、面での弱点の可視化と運用の習慣化に効きます。対してペネトレは、侵入を前提に、どこまで入り込み横展開できてしまうか、何を持ち出せるか、検知が回避できるのかなどをシナリオベースで深掘りします。ランサムウェア等の実攻撃のシナリオで考え、事業継続のリスクを測れる点が評価されています。近年、金融庁が指針を打ち出したこともあり、ペネトレやTLPT（脅威ベースのペネトレーションテスト）の実施の標準化が進みました。金融に限らず、製造業や中小企業のお客様でも、脆弱性診断に加えてペネトレを選択する動きが広がっています。

倉持

事業者やお客様によってペネトレに求めるものは異なると思います。ラックのペネトレでは、どのようなことを重視して提案していますか？

木村

ラックのペネトレは、実施して終わりにはしません。結果を受けて是正や再発防止策に落とし込み、さらにBCPや復旧計画へつなぐところまでを重視しています。

倉持

セキュリティインシデントを完全に防ぐことはできません。そうなると、セキュリティ診断は100点を取ることを目標にするのではなく、万が一システムに脆弱性が残存していて、運悪くシステムが侵害されてしまったとしても、事業をどこまで守れるかの観点が大事ですね。セキュリティ診断やペネトレは実施して終わりではなく、セキュリティ対策のスタート地点になるといった考え方への変化が求められます。

ところで、お客様がセキュリティ診断やペネトレに求めるものに変化はありますか？

木村

大きな枠組みでは変わらないです。ただ以前は「何から始めるべきか」が問い合わせの中心でしたが、今は「この資産を守りたい」という具体的な依頼が増えています。もちろんラックはどちらのケースでも、初期のヒアリングから対策ロードマップまで一貫して伴走し、守るべきものを起点に最適なアプローチをご提案しています。

──ペネトレのシナリオはどのように設計・カスタマイズしていますか？

木村

まず、お客様が本当に守るべき資産を特定します。その上で、業界特性や個別の事情を加味し、攻撃経路や検知回避、横展開を織り込んでお客様に特化したシナリオを設計します。こうすることで、目的と影響を明確にした検証が実施できます。

倉持

金融・製造・小売など、業種によって優先して対応すべきリスクは異なりますからね。そして、私たちの生活や仕事を変革している生成AIは、攻撃者も利用しています。生成AIの特徴は、様々なバリエーションを無限に生成できることにあります。すなわち、攻撃者も生成AIを活用することで、標的となる企業やシステムに特化してカスタマイズした攻撃シナリオを用いていると推測されます。

ラックではOSINT（オープンソース・インテリジェンス）の脅威情報を収集し、さらにJSOCやサイバー救急センターの現場で蓄積された情報を加えた、独自の「サイバー脅威インテリジェンス」を保有しています。このサイバー脅威インテリジェンスは、業種ごとに異なる脅威傾向を提示できます。TLPTのシナリオ検討においても、このサイバー脅威インテリジェンスが活かされています。

セキュリティ診断の強み

木村

自社開発ツールと市販ツールの両方を、状況に応じて使い分けられる点です。特に独自の自社ツールは改善点をすぐに反映できるのが大きな強みです。また、担当メンバーは、SANSやCISSPなどの高度な専門資格を複数保有しており、抜け漏れのない網羅性と深掘りを両立した診断・ペネトレを提供できます。

特定のアプリケーション単体の脆弱性を調査するだけでなく、それらとネットワークの繋がりまで含めたシステム全体の安全性を調べることも重要です。ラックは、アプリケーションやサーバ・ネットワーク、IoT機器など幅広い領域の診断やペネトレに対応していることで、そういったニーズに応えられる点も強みだと考えています。また、ラックでは専門のコンサルティング事業も展開しているので、診断やペネトレを実施する前後で連携して、専門家の視点からアドバイスすることも可能です。

倉持

セキュリティ診断、ペネトレともに内製開発したツールを用いている点は、ラックの大きな強みです。現場エンジニアのニーズを踏まえてツールを改修したり、新たなシナリオを組み込んだりといったことを迅速に行えるため、実際の脅威動向に追随する実践的な検証を可能にしています。国内トップ級のエンジニアが持つ高度な知識とノウハウをツールへ反映することで、サービス品質は属人化せず、組織として再現性高く進化させることができます。

また、ラックでは様々な業種のシステムの設計・構築・運用を行う、システムインテグレーション事業も展開しています。システムインテグレーション事業のチームと連携することで、お客様の業界特有のシステム特性を把握したサービスを提案できます。さらに、グループ企業のシステム全体を診断するような長期間・大規模プロジェクトにおいても、統制を保ちながら推進できるプロジェクトマネジメント力を備えています。

今、セキュリティ診断やペネトレの位置づけは変わりつつあります。かつてはリリース前の最終工程として実施される開発部門のテストでしたが、現在は経営層の意思決定を支える材料として、組織全体のリスクを可視化するプロアクティブな取り組みへと役割が進化しています。こうした変化を背景にセキュリティベンダーにも、攻撃を再現する力、事業を理解する力、そして経営に翻訳する力といった、これまで以上に幅広い能力が求められていると感じます。

──IoTや産業機器では、調査できる技術を持つ企業は少ないですが、どこまで対応していますか？

木村

外部からの攻撃検証に加え、必要に応じて機器を分解し、チップレベルやファームウェアの読み書き、改変まで検証します。ハードウェア、ネットワーク、クラウドを横断し、人命や安全に関わるシステムには、より厳格な基準を適用しています。最近は、セキュリティ・バイ・デザインの考え方に基づき、設計段階から伴走する案件が増えています。

倉持

経済産業省のセキュリティ要件適合評価及びラベリング制度（JC-STAR）のランク取得を見据えた支援もあるのですか？

木村

はい。ラックではIoTデバイスに対してのペネトレーションテストに約10年取り組み、100社以上にサービスを提供してきました。また経済産業省が定めた「情報セキュリティサービス基準」に適合する機器検証サービス企業として日本で最初に認定され、JC-STARの★1、★2の「JC-STAR検証事業者」として位置づけられています。

今後JC-STARの制度が広がり、政府機関や重要インフラを対象とする★3、★4が本格化すれば、求められるのは形式的な適合ではなく、実効性のある耐性評価です。そこはラックが最も強みを発揮できる領域です。長年の実績と高度な技術力を持つエンジニアの知見を結集し、ラベリング制度の信頼性向上にも貢献していきます。ラックでは、IoTデバイスそのものだけではなく、通信経路やネットワーク、インフラ設備、さらに機器を動かすスマートフォンアプリケーションまで含めて、幅広く網羅できる評価を行っています。

AI時代の診断

──AIシステムやAI環境を対象にした診断の需要は増えていますか？

木村

データ流出やモデル挙動、供給網などAI固有のリスクに対する不安から、需要は増えています。プロンプトインジェクション、モデル逆抽出、データ・ポイズニングなど、多層の検証を前提に、従来のWebアプリケーション診断とは観点を切り分けて実施しています。

──診断自動化の現在地と将来像を教えてください。

木村

現時点では、すべてをAIに任せられる段階ではありません。人の目と手を中心に、AIツールを補助的に活用しています。ただし将来的には、AIによる自動診断と自動修復が進んでいく可能性はあると思っています。ですが、共通基盤のコモディティ化が進んだとしても、業界・企業ごとに合わせたシナリオ設計は、人の役割として残るはずです。ここに、コンサルティングと運用連携の価値があるのではないかと考えます。

──診断データのAI活用について、課題と展望を教えてください。

倉持

医療の読影所見のように、判断根拠がテキストとして構造化されている領域は、AIとの親和性が高いと言えます。ラックには、長年にわたり蓄積してきた膨大な診断レポートや検知ログがあります。これらをサイバー脅威インテリジェンスと組み合わせて活用すれば、攻撃傾向の予測や演習やシナリオ設計へと知見を循環できるのではないかと期待しています。現在は、こうした「ドメイン特化型AI」の研究開発にも取り組んでおり、将来的にはAIエージェントによる自律的なペネトレの実現に向けて研究を進めています。

木村

そのためには、所見の標準化が不可欠です。AIに学習させやすいデータに整えることが、今後の重要テーマですね。

「スタート」としての診断、これから向かう先

──最後に、この先の方向性を一言ずつお願いします。

倉持

30年前にセキュリティ診断サービスを始めたころは、特定のサーバやネットワーク機器を診断することが求められました。その後、クラウドやスマートフォンアプリケーションで構成される「システム全体」が診断対象になり、現在では「企業の事業活動を支えるデジタル環境全体」へと広がっています。事業活動のサイバー空間への依存度が高まるにつれ、今後は「サイバー空間における企業のデジタルリスク」を包括的に診断することが必要になるのではないでしょうか。

今回の対談でお伝えしたかったのは、「セキュリティ診断はシステム開発のゴールではなく、セキュリティ対策のスタート地点だ」という視点です。私たちもセキュリティ診断やペネトレで得られた知見（インテリジェンス）を活かして、AI時代に求められるこれからのセキュリティサービスを開発・提供していきたいと考えています。その鍵になるのが、「サイバー脅威インテリジェンス」と「AI」です。この2つを掛け合わせることで、セキュリティ診断にとどまらず、ラックのサイバーセキュリティ事業全体の競争力の源泉になると考えています。

木村

診断事業30周年という節目の1年は、過去を振り返りながら未来を考える時間でもありました。30年前はもちろん、10年前でさえ現実味のなかったAIが、いまや前提技術になりつつあります。この10年でラックのセキュリティ診断は大きく進化しましたが、この先も進化し続けると信じています。診断は「実施して当たり前」の時代です。しかし、本当に重要なのはその先にあります。結果をどう読み解き、どのリスクに優先順位を付け、事業をどう守るのか、お客様にとっての最良の対策は何かについて会話をしていきたいです。診断やAIはひとつの手段です。お客様の目的の達成に向けて、経営視点と技術視点を往復しながら、最適解を共に導き出す存在でありたいと考えています。

さいごに

診断の価値は「スタート」にあります。30年の歩みは、診断対象の拡大だけではありません。診断で可視化し、是正し、再発を防ぎ、さらにBCPや復旧計画へと続く運用設計までを一気通貫で捉える進化でした。いま求められているのは、網羅的に面で捉える診断と、攻撃の連鎖を深く掘り下げるペネトレやTLPTを最適に組み合わせ、リスクを構造として把握することです。

さらに、「脅威インテリジェンス×AI」によって、現場で得られたデータを知見へと昇華させます。点在するデータを相関させ、攻撃者の意図や傾向を読み解き、その学習成果をIoT、産業機器、AIシステムへ広げます。守る対象が高度化するほど、知の循環が競争力になります。

ラックは、画一的な診断ではなく、事業特性に即したシナリオを設計し、伴走型で改善を重ねます。セキュリティをコストではなく事業継続力の基盤へと引き上げることで、お客様の事業継続力を底上げしていきます。

LAC Virtual EXPOで診断30周年特設エリアを公開中

特別企画の情報は、いつでもどこでも参加可能なオンライン展示会「LAC Virtual EXPO」の3階「診断30周年 特設エリア」にて公開しています（2026年3月26日まで）。インタビュー記事やウェビナーのアーカイブ動画、その他有益なコンテンツを多数取り揃えていますので、ぜひお立ち寄りください！