B BROCENT

脆弱性管理 vs. ペネトレーションテスト:APACの中小企業が本当に必要としているもの

APACの中小企業向けの実践ガイド。継続的な脆弱性管理と特定時点のペネトレーションテストの違い、SFC・MAS・HKMA・PCI-DSSがそれぞれいつどちらを求めるか、そしてどちらに先に投資すべきかを解説します。

コンピューターモニターに表示された緑色のデジタルセキュリティコード。継続的な脆弱性スキャンを表すイメージ
結論から言うと:APACのほぼすべての中小企業は、まず継続的な脆弱性管理から始めるべきです。これは規制当局やサイバー保険会社が年間を通じて求めている基本的な統制だからです。ペネトレーションテストは、より深く踏み込んだ定期検査であり、SFC・MAS・HKMAの規制対象企業やPCI-DSSの適用範囲にある企業では、年1回またはシステム稼働時に義務付けられることが多いものです。これは継続的なスキャンを補完するものであり、その代替にはなりません。

脆弱性管理とペネトレーションテストの違いとは?

この2つの用語は営業の会話の中でほぼ同じ意味で使われがちですが、その混同が中小企業に実際の損失をもたらします。本来必要なのは継続的なスキャンプログラムなのに、高額な単発のペネトレーションテストを購入してしまったり、逆にスキャンのサブスクリプションを契約しただけで、規制当局が明示的に要求するペネトレーションテスト要件を満たしていると誤解してしまったりするのです。両者は異なる課題を、異なる時間軸で、異なる価格帯で解決するものです。

脆弱性管理は継続的なプログラムである

脆弱性管理(略してVMと呼ばれることもあります)は継続的なサイクルです。自動化ツールが、外部IPレンジ、内部ネットワーク、エンドポイント、クラウドワークロード、場合によってはWebアプリケーションを、階層に応じて毎週・毎月、あるいは常時スキャンし、既知のCVE、未適用のパッチ、脆弱な設定、公開されているサービスを検出します。アナリストが結果をトリアージし、誤検知を除外し、悪用可能性とビジネスへの影響度で優先順位を付け、社内のIT部門(あるいは委託先のマネージドITパートナー)に優先順位付けされた修復リストを提供します。このサイクルは無期限に繰り返されます。これはプロジェクトというよりサブスクリプションに近く、単発の監査というよりバックアップやエンドポイント保護に近い考え方です。

ペネトレーションテストは特定時点でのシミュレーション攻撃である

ペネトレーションテスト(ペンテスト)は期間の定められた作業です。有資格のテスター(OSCP、CREST、または同等の資格)が、Webアプリケーション、オフィスネットワーク、クラウド環境、特定のシステムなど、定義された範囲に対して、実際の攻撃者が使う手法を用いて手動で侵入を試みます。これには、自動スキャナーでは見つけられない、複数の低リスクな問題を連鎖させて深刻な侵害につなげる手法も含まれます。テストは通常1~3週間の固定期間で実施され、詳細なレポートとデブリーフィングで終了し、次の実施(通常6~12か月後)までは行われません。ペネトレーションテストは、「攻撃者が公開Webサイトから財務サーバーまで、具体的にどのように侵入したか」を段階的に示してくれます。これはスキャナーには生み出せない、物語性と創造性を持ったアウトプットです。

脆弱性管理 vs. ペネトレーションテスト:比較

  • 対象範囲:脆弱性管理は、対象範囲内のすべて(IP、ホスト、クラウド資産、場合によってはアプリケーション)を自動的かつ体系的に、繰り返しスキャンします。ペネトレーションテストの対象範囲はより狭く、手動で行われます——特定のアプリ、ネットワークセグメント、攻撃シナリオを人間が深く掘り下げます。
  • 頻度:脆弱性管理は週次から月次(最新のツールを使えば常時)で実行されます。ペネトレーションテストは通常、年1回または半年に1回のイベントであり、新製品のローンチやライセンス更新といった特定のトリガーに紐づくこともあります。
  • コストモデル:脆弱性管理はサブスクリプションとして課金され、月額ベースではペネトレーションテストよりも一般的にはるかに安価です。ペネトレーションテストはプロジェクトとして課金され(日額単価×テスター日数)、1回あたりの費用ははるかに大きくなりますが、年1~2回しか実施しないため、年間の総コストは低く抑えられます。
  • 規制上の要求:ほとんどの規制当局や基準(SFC、MAS、HKMA、PCI-DSS、ISO 27001附属書A)は、対象となるすべての企業に対し、継続的な脆弱性管理を基本統制として期待しています。ペネトレーションテストは通常、より高リスクな企業やシステム(例えばSFC Type 9ライセンス保有者、PCI-DSS要件11.4、MAS TRMガイドライン)に対して別途明示的に課される要件です。
  • アウトプット:脆弱性管理はCVSSスコア、パッチ適用のガイダンス、経時的なトレンドレポートを伴う、優先順位付けされた既知の脆弱性リストを出力します。ペネトレーションテストは、発見事項がどのように連鎖して実際の侵害に至ったかを示す物語形式のレポートを出力し、ビジネスリスクの説明や、取締役会向けのエグゼクティブサマリーが付くこともあります。
  • カバー範囲の強みと死角:脆弱性管理は既知のCVE、未適用のパッチ、設定ミスの検出には非常に優れていますが、複雑なロジックの欠陥、連鎖的なエクスプロイト、ソーシャルエンジニアリング的な角度は見逃しがちです。ペネトレーションテストはそうした創造的な攻撃経路を捉えられますが、あくまで一時点のスナップショットにすぎません。テストの1週間後に公表された新しい脆弱性は、次のテストまで可視化されません。

APACの中小企業にとって、ペネトレーションテストが実際に必要となるのはどんな時か?

ペネトレーションテストは、規制当局、主要顧客、決済スキームがあなたの会社名をコンプライアンス対象に含めた瞬間、「あれば良い」から「必須」へと変わります。そのきっかけは「もっとテストすべきだと感じたから」ということはほとんどなく、ライセンス条件、契約条項、または統制フレームワークの中に明記された要件であることがほとんどです。

SFC・MAS・HKMAの規制対象金融機関

香港の証券先物委員会(SFC)、シンガポール金融管理局(MAS)、香港金融管理局(HKMA)は、いずれも規制対象企業に対しシステムのレジリエンスをテストすることを求めており、それは単なる方針表明ではなく、文書化されたペネトレーションテストの証跡によって検証されるケースが増えています。例えば、SFC Type 9(資産運用)ライセンスの申請企業は、スポンサーや監査人から、書面によるポリシーに加えて独立したセキュリティテストを含むITシステムのデューデリジェンスを求められることが一般的です。MASのテクノロジーリスク管理(TRM)ガイドラインも、規制対象金融機関が実施すべき慣行として、機関のリスクプロファイルに応じたペネトレーションテストと脆弱性評価を明示的に挙げています。これらの規制下にある企業は、年次(またはライセンス取得前)のペネトレーションテストをほぼ必須と捉え、マネージドセキュリティサービスと組み合わせることで、テストで見つかったギャップが次回のテストまでの間に再び開いてしまうのを防ぐべきです。

PCI-DSS対象範囲(カード会員データを保存・処理・伝送する事業者)

PCI-DSS要件11.4は、少なくとも年1回、および重大なインフラ・アプリケーション変更のたびにペネトレーションテストを実施することを明確に義務付けており、これは要件11.3が求める四半期ごとの外部・内部脆弱性スキャンに追加されるものです。これは、基準そのものが両方の統制を別々に名指しし、両方を求めている、コンプライアンスフレームワークの中でも最も明確なケースの一つです。カード会員データを扱う環境において、脆弱性スキャンだけを実施している企業は、スキャン結果がどれほどクリーンであってもPCI-DSS準拠とは言えません。

それ以外の企業:契約・保険・顧客起点のトリガー

正式なライセンス制度の対象外であっても、APACの中小企業が、大手顧客とのベンダーデューデリジェンス、サイバー保険の引受審査、M&Aや資金調達プロセスの中で、最新のペネトレーションテストレポートを求められるケースが増えています。こうしたトリガーは規制のスケジュールほど予測がつかないため、実務的なアプローチとしては、脆弱性管理を基本ラインとして常時稼働させ、特定の取引・監査・更新で本当に必要になったタイミングでペネトレーションテストを発注することです。誰も求めていない固定スケジュールでペネトレーションテストにお金をかける必要はありません。

APACにおける脆弱性管理とペネトレーションテストの費用はどのくらいか?

正確な金額は範囲、プロバイダー、市場によって異なりますが、コストカーブの形は香港、シンガポール、中国本土のいずれの案件でも一貫しています。脆弱性管理は対象資産数に応じて段階的に価格設定された月額または年額のサブスクリプションとして販売されます——監視対象のIP、エンドポイント、クラウドワークロードが多いほど、上位のプランになります。ペネトレーションテストはプロジェクトとして販売されます。スコーピングコールで対象(単一のWebアプリ、オフィスネットワーク、クラウドテナントなど)を定義し、テスターが必要日数を見積もり、その見積もりに日額単価を掛けた金額を、通常は案件ごとに1回の請求書で支払います。

この構造上、うまく運用された脆弱性管理プログラムは、月額ベースではほぼ常に安価であり、しかもペネトレーションテストとテストの間も機能し続けます——今日実行するスキャンは先週公表されたばかりの重大なCVEを検出できますが、6か月前のペネトレーションテストのレポートはその件について何も語ってくれません。これこそが、規制当局が脆弱性管理を基本統制、ペネトレーションテストを定期的な深堀り検査と位置付けている理由であり、その逆ではないのです。

概算ではなく実際の料金プランを確認したい場合は、Brocentが脆弱性スキャンの料金をEssential・Professional・Enterpriseの3段階で公開しており、問い合わせる前に予算感を把握できます。

自社はどちらを先に導入すべきか?

厳格な規制上のペネトレーションテスト義務を持たない大多数のAPAC中小企業にとって、正直な答えは、まず脆弱性管理から始め、具体的で名指しされたトリガーが発生した段階でペネトレーションテストを追加する、というものです。以下、その理由をステップごとに説明します。

ステップ1:現時点で明確な規制上・契約上のペネトレーションテスト要件があるか?

SFC Type 9ライセンスを保有している(または申請中である)、MAS TRMガイドラインの下で事業を行っている、HKMAの監督下にある、あるいはカード会員データを保存・処理・伝送している(PCI-DSS対象範囲)場合、答えは「はい」であり、本記事の他の内容にかかわらず、年次のペネトレーションテストを発注すべきです。答えが「いいえ」——金融サービスや決済業以外の大多数の中小企業はこちらに該当します——であれば、ステップ2に進みます。

ステップ2:現在、継続的な脆弱性の可視化はできているか?

私たちが香港、シンガポール、中国本土で話をする中小企業のほとんどは、できていません。パッチ適用は場当たり的で、環境全体にわたる公開サービスや未適用の更新について、現状の優先順位付けされたリストを持っている人が誰もいません。もしこれがあなたの会社に当てはまるなら、脆弱性管理が出発点になります。それ以外の選択肢はありません。誰も継続的に監視していない環境に対して単発のペネトレーションテストを発注しても得られる価値は限定的です。テスターは、スキャナーであればはるかに低コストで検出できたであろう、単純な設定ミスを見つける可能性が高く、6か月後には同じカテゴリの問題が誰にも気づかれないまま静かに再発しているでしょう。

ステップ3:脆弱性管理が稼働したら、ペネトレーションテストはいつ追加すべきか?

以下のいずれかに該当する場合にペネトレーションテストを追加します:顧客・保険会社・投資家から明示的に要求された場合、新しい顧客向けアプリケーションを立ち上げる場合や重大なインフラ変更を行う場合、規制の対象範囲が新たに自社に適用される場合、あるいは前回の独立テストから単純に12か月以上が経過しており、自社のリスクプロファイル(公開システム、顧客データ量、金融サービスとの関連性)が定期的な深堀り検査を正当化する場合です。いずれのケースでも、特定のシステムやトリガーを対象にしたペネトレーションテストの方が、広範で汎用的なテストよりもはるかに大きな価値をもたらします。

脆弱性管理とペネトレーションテストはどのように連携するか

この2つは同じ予算枠を奪い合う競合ではなく、同じプログラムの中で連続する層です。脆弱性管理は火災報知器のようなもので、常に稼働し、未パッチのソフトウェアや公開サービスといった日常的なリスクがインシデントになる前に検知します。ペネトレーションテストは避難訓練のようなもので、火災報知器では見えない問題を連鎖させる、執念深く創造的な攻撃者に対して自社の防御が耐えられるかを、たまに現実的な形でストレステストするものです。

実務上、成熟したセキュリティプログラムは年間を通じて継続的な脆弱性管理を実行し、その結果を使って環境をクリーンに保ちながら、そのクリーンな環境に対して年次(または規制上のサイクルに合わせて)ペネトレーションテストを発注します。こうすることで、ペネトレーションテストの予算は、スキャナーが無料ですでに検出済みの未適用パッチのリストを繰り返すのではなく、本当に見つけにくい創造的な問題の発見に充てられます。この順序立ては、監査人や規制当局の多くが期待する姿でもあります——文書化された継続的なスキャンプログラムが修復を促し、その上に検証としての定期的な独立テストが重なる、という構図です。

これはBrocentのマネージドセキュリティサービスの根底にあるモデルでもあります。すべてのクライアントに継続的な脆弱性スキャンの基本ラインを提供し、必要な企業には連携したアドオンとしてペネトレーションテストを組み合わせる——どちらか一方を単独で販売するのではなく、この考え方に基づいています。

Brocentのマネージド脆弱性スキャン:Essential・Professional・Enterprise

Brocentは脆弱性スキャンを単なるツールライセンスではなく、マネージドサービスとして提供しています。この違いは重要です。多くの中小企業には、毎月40ページのスキャナーのエクスポートを解釈できる専任のセキュリティアナリストがいないからです。検出結果はトリアージされ、誤検知は除外され、あなたの受信箱に届くのは、社内または委託先のIT担当者がすぐに行動に移せる、優先順位付けされた平易な言葉での修復リストです。このサービスは、すべてのクライアントを同じパッケージに押し込むのではなく、予算がリスクの大きさに応じて拡張できるよう、3つの階層で提供されています。

3つのプランの比較

  • Essential:小規模なオフィス環境で外部からの攻撃対象領域も限定的な企業に適しています。外部向けIPと中核サービスを月次スキャンでカバーし、要約レポートと最優先の修正事項を提示します。継続的なスキャンを一度も導入したことがなく、素早く基本ラインを確立したい中小企業にとって、最適な出発点です。
  • Professional:内部ネットワークセグメントとより多くの資産へカバー範囲を拡大し、スキャン頻度を強化するとともに、アナリストによる優先順位付けと経時的なトレンドレポートを追加します。これにより、月ごとに実際にリスクが減っているかを確認できます。オフィスとクラウドが混在する環境や、初期段階のコンプライアンス要件を控えている中小企業に適しています。
  • Enterprise:フルスコープのオプションです。外部・内部・クラウド環境にまたがるより広範な資産カバー、最も密度の高いスキャン頻度、より深いアナリストの関与、取締役会や監査人によるレビューに適したレポート形式を提供します。このプランは定期的なペネトレーションテストと最も相性が良く、テスターに対して、既知の未解決課題のリストではなく、本当にクリーンな基本ラインを提供できます。

階層ごとの詳細な料金は脆弱性スキャンの料金ページに掲載されています。セキュリティツールがほぼゼロの状態から始める場合は、セキュリティスターターバンドルが、脆弱性スキャンと、多くの中小企業が初日から必要とするその他の基本統制をパッケージ化しています。

ペネトレーションテストは、クライアントの基本ラインが確立した後に連携アドオンとして提供されます。Brocentは、SFCライセンス申請、顧客のデューデリジェンス要求、新規アプリケーションの立ち上げなど、クライアントの実際の規制上のトリガーやビジネス上のニーズに合わせてテスト範囲を設定します。監査人や規制当局が実際に求めている内容と一致しない可能性のある、汎用的な年次テストを一律に販売することはありません。

よくある質問

脆弱性スキャンとペネトレーションテストは同じものですか?

いいえ、異なります。脆弱性スキャンは自動化され継続的に実施されるもので、決められたスケジュールで環境全体の既知のCVE、未適用のパッチ、設定ミスをチェックします。ペネトレーションテストは手動かつ特定時点で実施されるもので、人間のテスターが自動スキャナーでは検出できないものも含め、弱点を積極的に悪用・連鎖させようと試みます。ほとんどのコンプライアンスフレームワークは、どちらか一方ではなく両方を要求します。

SFC Type 9ライセンス保有者は法的にペネトレーションテストが必須ですか?

SFCはすべてのType 9ライセンス保有者に一律に義務付ける単一の規則を公表しているわけではありませんが、スポンサー、監査人、そしてSFC自体のITシステムガバナンスに関する監督上の期待により、特に顧客向け取引システムを持つ企業では、ライセンス申請や継続的な監督の一環として独立したセキュリティテストの文書化された証跡がしばしば求められます。実務上、SFC Type 9の申請を準備する企業の多くは、IT対応パッケージの一部としてペネトレーションテストを発注しています。

中小企業はどのくらいの頻度で脆弱性スキャンを実施すべきですか?

ほとんどの中小企業では最低でも月次です。外部からの攻撃対象領域がより大きい、または変化の速い企業や、コンプライアンス期限が近づいている企業は、週次または常時実施が望ましいでしょう。PCI-DSSは特に、四半期ごとの外部・内部スキャンを最低基準として明示的に要求しており、重大な変更後には再スキャンが必要です。

中小企業はどのくらいの頻度でペネトレーションテストを実施すべきですか?

SFC、MAS、HKMA、PCI-DSSなどの規制上の期待がある企業では年1回が一般的な基本ラインであり、テスト対象環境に重大な変更(新しい顧客向けアプリケーション、大規模なインフラ移行、重要なネットワーク再設計)があった場合にも実施します。正式な義務がない場合でも、多くの中小企業は12~24か月ごとにテストを実施するか、顧客・保険会社・投資家から最新のレポートを具体的に求められたタイミングで実施しています。

脆弱性管理は必要なペネトレーションテストの代わりになりますか?

いいえ、ペネトレーションテストが明示的に要件として名指しされている場合は代わりになりません。PCI-DSS要件11.4や一般的な金融規制当局の期待は、両方の統制を別々に名指ししており、「ペネトレーションテスト」の項目を確認する監査人は、脆弱性スキャンレポートを代替として受け入れません。ただし、脆弱性管理はペネトレーションテストで検出される問題の件数と深刻度を減らすため、テスト後の修復コストを下げる効果はあります。

脆弱性管理レポートとは実際にどのようなものですか?

深刻度(多くの場合CVSSスコアを使用)と悪用可能性によって優先順位付けされた発見事項のリスト、各項目に対する平易な言葉での修復ガイダンス、非技術系のステークホルダー向けのエグゼクティブサマリー、そしてスキャンを重ねるごとにリスクエクスポージャーが縮小しているか拡大しているかを示すトレンドデータが含まれます。単なるスキャナーライセンスではなくマネージドサービスであれば、レポートが届く前に誤検知も除外されます。

規制上の義務がない小規模企業にとって、ペネトレーションテストは価値がありますか?

価値はありますが、順序が重要です。まだ継続的な脆弱性管理を導入していない場合、ペネトレーションテストの予算は、通常はまずスキャン体制を構築するために使う方が効果的です。コストが低く、大部分の見つけやすいリスクを捉えられ、将来のペネトレーションテストにより良い基本ラインを提供できるからです。スキャン体制が確立した後であれば、機密性の高い顧客データを扱う企業や、大手パートナーからのデューデリジェンスに直面している企業にとって、定期的なペネトレーションテストは合理的な投資と言えます。

これはMicrosoft 365セキュリティ監査とどう関係しますか?

Microsoft 365セキュリティ監査は、ネットワークやアプリケーション全体を対象とするテストではなく、M365テナントの設定(ID管理、条件付きアクセス、メールフロー、データ損失防止設定)に焦点を当てたレビューです。これは脆弱性管理とペネトレーションテストの両方を補完するものであり、多くのAPACの中小企業は12か月サイクルの中で、継続的なスキャン、年次または隔年のMicrosoft 365セキュリティ監査、特定の規制上・ビジネス上のトリガーに紐づくペネトレーションテストの3つすべてを実施しています。

はじめに

どのプランやどの統制が自社の現在のリスクプロファイルと規制範囲に合っているか判断がつかない場合、料金ページだけを見て推測するより、まず短い会話をする方が近道です。Brocentのセキュリティサービスの料金全体を確認するか、お問い合わせいただきスコーピングコールを設定してください。ほとんどの中小企業は、その通話の後、「脆弱性管理・ペネトレーションテスト・あるいは両方を、どの順序で導入すべきか」について明確で正直な答えを得て終えています。

スコーピングコールでよく聞かれる質問

一般的な料金やサービスに関する質問は、FAQページでも取り上げています。プランが資産数に応じてどのように拡張するか、スキャンと並行して修復サポートがどのように機能するかなどを解説しています。

共有:

今すぐ行動を

インサイトをビジネスのITロードマップへ。

APACのITエキスパートと15分間の無料相談をご予約ください。現在の環境を確認し、24時間以内にカスタマイズされたITロードマップを提供します。

📋

無料チェックリスト

中国大陸へのIT展開前に確認すべき10の重要事項

PIPL準拠、ネットワーク分割、バイリンガルヘルプデスクの設定など、中国での初日に必要なすべてのIT準備。

チェックリストを申請 →