この記事でわかること
クラウドやSaaSの氾濫で、IT資産の把握が名ばかりになっている企業が増えています。
実態を直視せず、形式的な脆弱性診断に頼るだけでは、いずれ「知らないうちに侵害されていた」が現実になります。
見えていないIT資産がどこから生まれるのか
「うちはホームページしかないから大丈夫」と言っていた企業が、実は開発環境のVPN機器から侵入されていた。
そんな事例、私たちはいくつも見てきました。
他にも、検証環境が本番と同じIP帯で公開されていたり、開発中のSaaSが野良のままインターネットに放置されていたり――。
印象的だったのは、サービス提供会社が顧客に代わって取得したドメインをサービス終了後もそのままにしており、
実は中身のサーバも動いたままだった、というケースです。サーバ上には古いCMSや未更新のソフトウェアが残り、攻撃者から見れば既に公開された弱点に他なりません。
また、検証時に設定したルータのNAT設定が残り、社内ネットワークからパブリッククラウド上のサーバへ、
想定外のポートが通っていたということも。SSH接続がそのまま公開され、誰でも接続できる状態が数ヶ月続いていたケースもありました。
開発部門が「一時的に試しただけ」、業務部門が「便利そうだから導入しただけ」。
それが、攻撃者にとって入り口として十分すぎるほど機能してしまっている現実があります。
実際、警察庁の報告では「VPN やリモートデスクトップ用の機器からの侵入」がランサムウェア全体の8割を占めていたというデータがあります。NRIセキュアのレポートでも、VPN脆弱性やエッジ機器のゼロデイが多く悪用されているという指摘がされています。
さらに、外部からの可視化を行った結果、ダークウェブ上で自社情報が出回っていたという企業もありました。
「まさかうちは大丈夫だろう」と思っていたものが漏れていた。これは、社内の誰も自分たちの情報が漏れる理由すら把握していなかったことを意味します。
ある担当者が語った言葉が印象的でした。「パンドラの箱を開けたつもりだったが、思った以上に中身がカオスだった」と。
「やってるつもり」の落とし穴と誤解
特に中堅・中小企業では「情シスが1人」「兼務でやっている」という状況が多く、
全社的な棚卸しや、日々のIT資産の変化を正確に追えていないのが実情です。
にもかかわらず――
- 資産はすでに台帳化されている「はず」
- 脆弱性診断は「毎年やってるからOK」
- 外部公開は本番だけ「のつもり」
こうした「つもり運用」が重なった結果、本当に守るべき場所が見えていないまま、
形式的な対策だけが形骸化していきます。
実際、ISMSのような資産棚卸しがあれば見えてくるものもありますが、
その運用自体が現実的ではない組織も多いのが実態です。
しかも、Assured社の調査では、大企業でさえ「SaaSの平均利用数は207件」「対策を実施しているのは全体の34.4%のみ」とされています。つまり、見えていないIT資産は普通に存在しているのです。
「なんでそれ使ってるの?」という現場の声に対して、他部署は「業務に必要だから」と押し通し、
主管部門は責任を避けるため、情シスにも詳細を共有せず、ブラックボックス化が進んでいるケースもあります。
こうした現状は、経営層の「うちはプロじゃないから狙われない」「大した情報を持っていないから大丈夫」
という根拠のない安心感にもつながっています。
しかし現実は、DX推進の裏で公開資産は日々増加し、アタックサーフェスは指数関数的に拡大。
Darktraceの報告によれば、MaaS(マルウェア・アズ・ア・サービス)やRaaS(ランサムウェア・アズ・ア・サービス)といった犯罪モデルの普及により、攻撃は自動化・分業化されています。
さらに、UpGuardも、攻撃者が露出している資産をツールで自動発見し、見つけた順に攻撃する叩き潰し型の構造を明示しています。
攻撃者は吟味などしません。見つけたものを順に叩くだけなのです。
実態を直視するための最初の一歩
Verizon DBIR 2025のデータでは、初期侵入の多くが脆弱性や認証情報の悪用であり、VPN機器や外部公開された資産が重点的に犯行対象になっています。露出した資産があれば、企業規模など関係なく「発見され次第、攻撃対象となる」時代です。
だからこそ、まず必要なのは「自分たちが何を外にさらしてしまっているのか」を、自分たちの目で直視すること。
その第一歩として有効なのが、「攻撃者視点」での外部調査による可視化です。
例えば弊社が提供している 無料の外部診断 では、公開中の脆弱なシステムや漏洩している可能性のある認証情報をスコア化して可視化できます。可視化の結果、「思っていたより資産が多い」「自分たちの見立てとズレていた」といったギャップに気づく企業も少なくありません。
可視化後の最大の変化は、「CVEを片っ端から潰す」運用から、「本当に危ないものを優先して対処する」運用に変わったことです。
優先度が明確になれば、限られた人手でもリスクに強い体制を構築できます。
また、検出結果を開発チームに共有することで、「なぜ危ないのか」が技術者にも浸透し、セキュリティへの理解そのものが底上げされていきます。
対策しているつもりから脱却するには、まず現実を知ることから始まります。
まとめ:「パンドラの箱」は、開ければただの「整理箱」
この記事では、開発部門が「一時的に試しただけ」のSaaS、サービス終了後も放置されたドメイン、意図せず公開されていたVPN機器など、IT資産が「見えなくなる」具体的なシーンを紹介しました。
「うちにも心当たりがある…」そう感じた方もいらっしゃるかもしれません。
こうした問題の根源は、性善説に基づいた「内部からの視点」と、悪意を持って“攻めやすさ”で標的を探す「外部からの視点」との間に存在する、致命的なギャップです。
「やってるつもり」の対策では、このギャップは埋まりません。だからこそ、攻撃者と同じ視点で自社を客観的に見るアプローチが不可欠なのです。
【ギャップを埋めるための具体的な処方箋】
- 「どこに資産があるかわからない」問題には → 『攻撃者視点での自動棚卸』
社内の誰も知らなかった公開資産を発見します。 - 「何が危険かわからない」問題には → 『リスクのスコア化』
膨大な脆弱性の中から、今すぐ対処すべき脅威を特定します。 - 「うちは大丈夫」という思い込みには → 『客観的な事実』
「漏洩している認証情報」といった動かぬ証拠が、組織を動かすきっかけになります。
「パンドラの箱を開けるのが怖い」と感じるかもしれません。しかし、一度開けて中身を直視してしまえば、それはもう未知の脅威ではなく、整理すべき「タスクリスト」に変わります。
まずはその第一歩として、自社が外部に何をさらけ出しているのか、その現実を知ることから始めてみませんか。
▶ 無料で使える診断レポートはこちら
※記載された社名、製品名、ロゴマークは各社の商標または商標登録です。