- Column
- 巧妙化する攻撃から事業継続を守り抜く、重要インフラ&産業サイバーセキュリティの今
IPA『脆弱性診断内製化ガイド』の作成者が語る実践的な診断体制の設計と運用のポイント
「第10回 重要インフラ&産業サイバーセキュリティコンファレンス」のパネルディスカッションより
巧妙化するサイバー攻撃に対応するためには、組織のシステムに潜む脆弱性を正確に把握し、適切に管理・修正していくサイクルが欠かせない。IPA(情報処理推進機構)の中核人材育成プログラムで『脆弱性診断内製化ガイド』を作成した当事者らが「第10回 重要インフラ&産業サイバーセキュリティコンファレンス(主催:インプレス、重要インフラサイバーセキュリティコンファレンス実行委員会、2026年3月4日〜5日)」のパネルディスカッションに登壇し、脆弱性診断体制について意見を交わした。(文中敬称略)
川添 恭平 氏(以下、川添) :関西電力 IT戦略室 サイバーセキュリティグループの川添 恭平です(写真1)。企業におけるサイバーセキュリティ対策では、現場と経営層の考え方が、それぞれの立場や距離感から一致しづらいという課題があります。そうした背景も踏まえIPA(情報処理推進機構)は、産業サイバーセキュリティセンター中核人材育成プログラムを用意し、企業の現場と経営者をつなぐ中核人材を担う方を対象にした1年間のトレーニングを提供しています。
本パネルディスカッションの登壇者全員が、中核人材育成プログラムの8期修了生です。卒業プロジェクトとして『脆弱性診断内製化ガイド』をまとめ上げました。「脆弱性診断を中長期的な体制としてどう設計すべきか」の判断材料を提供するのが目的です。IPAの公式サイトに2025年7月31日に掲載され、誰もが利用できる形となっています。
脆弱性診断は、ネットワークや基本ソフトウェア(OS)、Webシステムなどの弱点を診断により特定し、報告書として提示するプロセスです。脆弱性診断は単体では成立せず、資産管理や脆弱性管理といった取り組みと連動して初めて有効に機能します。加えて診断自体は外部に委託した場合でも、結果の判断や優先順位は企業側が決定する必要があります。
脆弱性診断の内製化にはコストメリット以外の価値がある
川添 :これらを前提に「内製化は選択肢になり得るか」を掘り下げたいと思います。森山さんは実務の立場から、どのような場面で内製化が必要だと感じますか?
森山 響 氏(以下、森山) :STNet プラットフォーム本部 セキュリティサービス部の森山 響です(写真2)。実務において、内製化が有効になり得るケースは大きく3つあると考えています。1つは、アジャイル開発などによりリリースサイクルが非常に早い場合です。機能追加や変更が頻繁な環境で、その都度、外部と見積もりや契約を交わすのは非効率になりがちです。
2つ目は、柔軟な修正のフォローアップや再診断が求められる場合です。内製であれば、開発者からの「修正方針の妥当性」といった相談に即座に対応しやすい体制を構築できます。
3つ目は、社内の実態に即したリスク評価が求められる場合です。利用者の属性や扱うデータの重要度など外部からは見えにくい社内事情を深く理解している内部の人間だからこそ、実情に即した判断が可能になります。
川添 :内製化ではコストメリットに注目が集まりがちですが、それ以上に得られる価値について佐藤さんは、どうお考えですか?
佐藤 湧太 氏(以下、佐藤) :三菱電機デジタルイノベーション Serendie事業本部 ソリューション事業統括部 ソリューション第二部第五課の佐藤 湧太です(写真3)。内製化の本質的な価値は、診断の繰り返しによって組織に知見が蓄積される点にあります。単に弱点を見つけて直すだけでなく、診断で得た知見を活用することで、後付けになりがちなセキュリティを、より上流の段階からコントロールできるようになります。
川添 :逆に、内製化を避けるべき、あるいは外部発注が適しているケースはありますか。
森山 :こちらも3つのケースが考えられます。まず、診断対象のシステム数が少ない場合です。ツール費用や人件費などの固定費を考慮すると、経営的に非効率となるため、必要な時のみ依頼する外部発注が適しています。
次に、専門人材の採用や教育への継続的な投資体制が維持できない場合です。内製化の実現は困難でしょう。そして、監査やコンプライアンス上の理由で第三者診断が不可欠になっている場合も内部で診断すべきではありません。