セキュリティ診断/ペネトレーションテストに関する大手企業実態調査

弊社サービス「MUSHIKAGO」を活用したセキュリティ診断/ペネトレーションテストのトライアル利用へ参加した企業を対象に、トライアル導入に対する意識および活用状況に関する調査を実施しました。

本調査では、企業がセキュリティ診断/ペネトレーションテストにおいて「最も重視するポイント」を明らかにするとともに、初回導入時における実態や課題についてレポートしています。

■セキュリティ診断/ペネトレーションテストにおいて「最も重視するポイント」（単一回答）

セキュリティ診断/ペネトレーションテストを導入するにあたり、最も重視するポイントを1つ選択してもらったところ、以下の結果となりました。

• 自動診断による効率化：約40％

• 属人化しないセキュリティ対策：約35％

• オフライン環境で実行できる点：約25％

  
  この結果から、企業はセキュリティ診断に対して
   高度な専門性よりも、継続的に運用しやすい仕組みを重視していることが分かります。

■実態調査からわかるセキュリティ診断/ペネトレーションテストに対する見解

• 検証環境の準備が整わなかった

• 検証対象の範囲を決めきれなかった

• 結果の読み解きに専門知識が必要だった

  
  これらは、セキュリティ診断/ペネトレーションテストに初めて取り組む企業が直面しやすい課題であり、 特定の企業や業界に限ったものではありません。

本調査結果から、多くの企業がセキュリティ診断/ペネトレーションテストに対して高い関心を持ちながらも、「何を重視すべきかは分かっているが、最初の進め方が分からない」という段階にあることがうかがえます。

セキュリティ診断/ペネトレーションテストは、すでに高度な運用フェーズにある企業だけのものではなく、セキュリティ診断のために小規模な検証から段階的に取り組むべきフェーズに入っていると言えるでしょう。

■リリースの背景

近年、企業を標的としたサイバー攻撃は量・質ともに深刻化しており、経営課題としての重要性が急速に高まっています。ITmediaの報道によると、ランサムウェアを中心としたサイバー攻撃は依然として高水準で推移しており、被害の長期化・広範囲化が企業活動に大きな影響を及ぼしていると指摘されています。
特に、サプライチェーンを起点とした侵入や、公開直後の脆弱性（ゼロデイ）を狙った攻撃が増加しており、業種や企業規模を問わず被害が拡大しています。
▶︎ https://www.itmedia.co.jp/enterprise/articles/2601/21/news027.html

また、日本ネットワークセキュリティ協会（JNSA）が公表した「セキュリティ十大ニュース」では、企業に対するサイバー攻撃が“災害級のリスク”として位置付けられており、従来の対策だけでは十分でないとの見解が示されています。
▶︎ https://internet.watch.impress.co.jp/docs/news/2075495.html

さらに、複数の調査・報道では、国内で公表されているセキュリティインシデント件数は増加傾向にある一方、実際の被害はその数倍に上る可能性があるとも指摘されています。
▶︎ https://www.niandc.co.jp/tech/20260115_69062/

このような脅威環境の変化に対し、多くの企業がセキュリティ対策の重要性を認識する一方で、セキュリティ人材の不足診断・検証業務の属人化定期的なセキュリティ診断/ペネトレーションテストを実施するためのコスト・工数負担といった課題を抱えていることも、各種報道や業界調査で明らかになっています。

特にペネトレーションテストは、実際の攻撃シナリオを想定した有効な検証手法である一方、
「準備や設計が難しい」「専門知識が必要」「一度きりの実施に留まりがち」といった理由から、導入・継続のハードルが高い施策と捉えられてきました。

こうした背景を踏まえ、企業がセキュリティ診断/ペネトレーションテスト導入において実際に何を重視しているのか、また初回導入時にどのような課題に直面しているのかを明らかにすることを目的として、本調査を実施しました。

■今後の展望

弊社は、国家レベルの研究プロジェクトへの参画に加え、世界有数のトップセキュリティカンファレンスでの研究採択など、国内外で多数の実績と高い評価を受けています。 確かな技術力と知見に基づき、安全で信頼性の高い弊社サービス「MUSHIKAGO」の開発を今後も進めてまいります。

■「ペネトレーションテスト」とは

ペネトレーションテスト（侵入テストとも呼ばれます）とは、テスト対象のシステムやネットワークに対して、疑似的にサイバー攻撃を行い、テスト目標（システムへの侵入、機微情報の窃取、管理者権限の奪取等）が達成できるかを検証し、お客さまのセキュリティ対策状況を評価するサービスです。

机上でのセキュリティリスクアセスメントやインシデント対応訓練等については、定期的に実施されている組織は多いかと思いますが、実際にサイバー攻撃を受けた場合に、本当に想定通りにセキュリティ対策や体制が機能するかまで確認している組織は少ないように思います。

そこで、我々が提供するペネトレーションテストサービスを利用することで、組織内のセキュリティ対策や体制の有効性確認が明確に把握できます。お客さまによって、対象となるシステム、ネットワーク範囲、想定するシナリオ、報告書の内容等が異なるケースが多いので、我々のサービスでは事前にお客さまとテスト内容を綿密に擦り合わせて決定します。

▶ペネトレーションテスト詳細はこちら：https://powderkegtech.com/ja/penetration-testing-service/

■『MUSHIKAGO』とは

弊社が独自開発している簡単操作かつ全自動で高度なAIテストができる自動セキュリティテストデバイスです。端末検出、脆弱性検出、PoC コードの検証、侵入テストなどを安全性を確保した上で全自動で実施できます。申し込みから最短３日でお届け可能です。届き次第、インストール等の作業なしですぐに利用いただけます。

▶『MUSHIKAGO』サービスページ：https://powderkegtech.com/ja/mushikago-penetration-testing-service/

Powder Keg Technologies株式会社について

社名　：Powder Keg Technologies株式会社

設立　：2021年9⽉9⽇

代表者：代表取締役　濱村将人

所在地：東京都大田区蒲田4-42ー12

URL：https://powderkegtech.com/ja/

自動ぺネトレーションテストデバイス「MUSHIKAGO」の開発やの研究などを行う日本発のサイバーセキュリティスタートアップです。擬似的なサイバー攻撃を利用した攻撃的アプローチで、持続的かつ安全なデジタル社会の実現を目指しています。これまでに、Black Hat USA・CODE BLUEなどの国際カンファレンスでの登壇をはじめ、NEDOの研究開発型スタートアッププログラムや、JETROのグローバルスタートアップアクセラレーションプログラム、内閣府の経済安全保障育成プログラム等に採択されています。