ネットワークセキュリティ診断の範囲はどう決める?効果的なスコープ設定

ネットワークセキュリティ診断を依頼する際、多くの企業が「どこまでを診断範囲に含めるべきか」という課題に直面します。範囲設定を誤ると、予算超過や重要な脆弱性の見逃しにつながるため、適切なスコープ設定が欠かせません。本記事では、効果的な診断範囲の決め方と、中小企業が優先すべきポイントを具体的に解説します。

ネットワークセキュリティ診断の範囲設定が重要な3つの理由

ネットワークセキュリティ診断において、範囲設定は診断の成否を左右する重要な要素です。適切なスコープを設定することで、限られた予算内で最大の効果を得られます。

予算の最適化につながる

診断範囲は費用に直結する要素です。診断対象のIPアドレス数やシステム数が増えるほど、診断工数が増加し費用も高額になります。

IPA（情報処理推進機構）の調査によると、中小企業のセキュリティ対策予算は年間50万円から200万円程度が一般的です。この限られた予算内で効果的な診断を実施するには、リスクの高い箇所に絞った範囲設定が不可欠です。

• 外部公開サーバーのみを対象にした場合：30万円から50万円程度
• 内部ネットワークを含めた包括診断：100万円から300万円程度
• 全社システムの詳細診断：500万円以上

初回診断では外部から攻撃されやすい箇所に絞り込み、段階的に範囲を拡大する方法が費用対効果の面で優れています。

診断効果を最大化できる

すべてのシステムを均等に診断するより、リスクベースで優先順位をつけることで、より実効性のある診断が可能になります。

たとえば、顧客の個人情報を扱うWebシステムや、決済処理を行うサーバーは、社内の情報共有システムよりも攻撃対象になりやすく、情報漏洩時の影響も甚大です。このような重要度の高いシステムに診断リソースを集中させることで、企業にとって本当に必要なセキュリティ対策が明確になります。

実際の診断事例では、顧客データベースを範囲外にしていたために、SQLインジェクションの脆弱性が見逃され、後に個人情報漏洩につながったケースが報告されています。

診断後の対策優先順位が明確になる

適切な範囲設定により、対策すべき脆弱性の優先順位が明確になります。範囲が曖昧だと、重大なリスクと軽微な問題が混在し、どこから対策すべきか判断が難しくなります。

経済産業省の「サイバーセキュリティ経営ガイドライン」でも、リスクに応じた優先順位づけの重要性が強調されています。診断範囲を明確にすることで、発見された脆弱性に対して「緊急対応が必要」「計画的に対応」「経過観察」といった判断がしやすくなります。

診断範囲を決める前に確認すべき5つのポイント

効果的な診断範囲を設定するには、事前の情報整理が欠かせません。以下の5つのポイントを確認することで、自社に最適なスコープが見えてきます。

保護すべき資産の洗い出し

まず、自社が守るべき情報資産を明確にすることから始めましょう。

• 顧客の個人情報（氏名、住所、クレジットカード情報など）
• 営業秘密や技術情報
• 取引先との契約情報
• 従業員の個人情報
• 財務データ

これらの重要な情報資産がどのシステムに保存されているかを把握することで、優先的に診断すべき対象が明確になります。情報資産台帳を作成し、データの重要度を「高・中・低」で分類すると判断がしやすくなります。

外部公開システムと内部システムの区別

セキュリティ診断では、外部から攻撃可能なシステムを最優先に考えます。

外部公開システムの例です。

• コーポレートサイト
• ECサイトや予約システム
• 顧客向けポータルサイト
• メールサーバー（外部からアクセス可能な場合）
• VPN接続用のゲートウェイ

これらは24時間365日、世界中からの攻撃対象になり得ます。IPAの「情報セキュリティ10大脅威」でも、Webアプリケーションへの攻撃が上位にランクインしており、外部公開システムのリスクの高さが示されています。

一方、社内LANでのみアクセス可能な内部システムは、まず外部公開システムの診断を完了してから、予算に応じて追加検討するのが現実的です。

過去のインシデント履歴の確認

過去に発生したセキュリティインシデントや不審なアクセスの記録は、リスクの高い箇所を特定する貴重な情報源です。

• 不正アクセスの試行が多いサーバー
• マルウェア感染の履歴があるシステム
• 過去にパッチ適用が遅れた機器
• 外部からの指摘を受けた脆弱性

これらの情報をもとに、再発リスクの高いシステムを優先的に診断範囲に含めることが重要です。もしインシデント記録がない場合でも、ファイアウォールのログやWebサーバーのアクセスログを確認することで、攻撃の試行状況を把握できます。

法令やガイドラインの要求事項

業種によっては、法令やガイドラインで定期的な脆弱性診断が求められる場合があります。

対応が必要な主な規制です。

• 個人情報保護法：個人データを扱う事業者は安全管理措置が義務
• PCI DSS：クレジットカード情報を扱う場合、年次の脆弱性診断が必須
• 医療情報システムの安全管理ガイドライン：医療機関・薬局等が対象
• 金融機関のシステム監査基準：金融庁の監督指針に基づく対応

これらの要求事項を満たすために必要な診断項目を確認し、最低限の範囲として設定することが、コンプライアンス対応の第一歩です。IPAの「中小企業の情報セキュリティ対策ガイドライン」も参考になります。

現在のセキュリティ対策状況

既に実施しているセキュリティ対策を棚卸しすることで、診断範囲の絞り込みができます。

• ファイアウォールやIPS/IDSの導入状況
• WAF（Web Application Firewall）の有無
• 定期的なパッチ適用の実施状況
• アクセス制御の設定状況
• 暗号化通信の実装状況

たとえば、すでにWAFで保護されているWebサイトと、何も対策していないサイトでは、後者を優先的に診断すべきです。ただし、WAFがあっても設定ミスで効果がない場合もあるため、重要なシステムは対策済みでも診断範囲に含めることをおすすめします。

企業規模別の効果的な診断範囲設定例

企業の規模や予算によって、適切な診断範囲は変わります。ここでは従業員数に応じた現実的な範囲設定例を紹介します。

従業員5人から20人の小規模企業

小規模企業では、最小限の範囲から始めることが重要です。

推奨する診断範囲です。

• 外部公開のWebサイト（1から2サイト）
• メールサーバー（外部からアクセス可能な場合）
• VPN機器（リモートワーク用）

予算の目安は30万円から80万円程度です。この範囲であれば、外部から最も攻撃されやすい入口を重点的にチェックでき、費用対効果が高くなります。

ある製造業の事例では、従業員15名の企業が受注用のWebフォームのみを診断対象としたところ、SQLインジェクションの脆弱性が発見され、わずか40万円の診断費用で数百万円の情報漏洩リスクを回避できました。

従業員20人から50人の中規模企業

中規模企業では、段階的に範囲を拡大するアプローチが効果的です。

第1段階（初年度）の診断範囲です。

• 外部公開の全Webサイト
• メール・VPN等のリモートアクセス機器
• 顧客データベースへの接続経路

第2段階（次年度以降）の診断範囲です。

• 社内ネットワークの主要サーバー
• ファイル共有サーバー
• 業務システム（販売管理・会計など）

予算の目安は、初年度80万円から150万円、次年度以降100万円から200万円程度です。段階的に範囲を拡大することで、毎年の予算負担を平準化しながら、網羅的なセキュリティ対策が実現できます。

従業員50人から100人の企業

この規模になると、包括的な診断範囲を設定できる予算が確保しやすくなります。

推奨する診断範囲です。

• DMZ（非武装地帯）の全サーバー
• 外部公開システム全体
• 社内ネットワークの主要サーバー群
• 重要なクライアント端末のサンプル診断
• 無線LANのセキュリティ診断

予算の目安は200万円から400万円程度です。この範囲であれば、外部からの攻撃経路と内部の主要リスクをカバーでき、企業全体のセキュリティレベルを大幅に向上させられます。

ただし、すべてを一度に診断するのではなく、上期に外部システム、下期に内部システムというように時期を分けることで、診断後の対策実施期間を確保できます。

初回診断と定期診断での範囲の違い

診断範囲は、初回と定期診断で変えるべきです。

初回診断（ベースライン診断）では次のようにします。

• 外部公開システムと重要な内部システムを広く浅く診断
• 組織全体のセキュリティレベルの把握が目的
• 診断範囲：広め、診断深度：標準

定期診断（継続診断）では次のようにします。

• 前回指摘事項の再診断と、新規システムの追加診断
• 対策の効果確認と新たなリスクの発見が目的
• 診断範囲：前回より絞る、診断深度：深め

継続的改善の視点では、初回で全体像を把握し、2回目以降はリスクの高い箇所に集中する方法が、コストを抑えながら効果を高めるポイントです。

診断範囲設定でよくある失敗パターンと対策

診断範囲の設定では、多くの企業が同じような失敗を経験します。よくあるパターンを知り、事前に対策することが重要です。

すべてを診断しようとして予算超過

「せっかく診断するなら全部見てもらおう」という考えは、予算オーバーの最大の原因です。

ある小売業では、本社・店舗・倉庫の全システムを診断範囲に含めた結果、見積金額が予算の3倍になり、結局診断自体を見送ることになりました。このような事態を避けるには、次の対策が有効です。

• 事前に予算上限を明確にし、その範囲内で優先順位をつける
• 「守るべき情報資産」から逆算して必要最小限の範囲を設定
• 3年計画で段階的に範囲を拡大する長期的視点を持つ

診断ベンダーに「予算は◯◯万円で、最も効果的な範囲を提案してほしい」と相談することで、費用対効果の高いプランが得られます。

重要システムを範囲外にしてしまう

コスト削減を意識しすぎて、本来診断すべきシステムを範囲外にする失敗も少なくありません。

典型的な例は次のとおりです。

• 「内部システムだから大丈夫」と判断し、顧客データベースを範囲外にした
• 「外部委託しているから安全」とクラウドサービスを除外した
• 「古いシステムだからもう狙われない」と旧バージョンのサーバーを対象外にした

IPAの「情報セキュリティ白書」では、内部システムへの侵入や、委託先経由の攻撃事例が多数報告されています。リスク評価を怠ると、思わぬところから情報漏洩が発生します。

対策として、最低限以下のシステムは範囲に含めるべきです。

• 個人情報や機密情報を扱うすべてのシステム
• 外部からアクセス可能なすべての機器
• サポート終了製品や古いバージョンのシステム

診断範囲が曖昧で追加費用が発生

診断範囲の定義が曖昧だと、診断開始後に追加費用が発生するトラブルになります。

よくあるトラブル例です。

• 「Webサイト」と言ったが、サブドメインは別料金だった
• IPアドレス数を少なく申告し、実際は倍以上あった
• 診断対象のシステム構成が複雑で、追加工数が発生した

これを防ぐには、契約前に以下を明確にすることが重要です。

• 診断対象のIPアドレスやURLを具体的にリストアップ
• ネットワーク構成図を提供し、診断ベンダーと認識をすり合わせる
• 追加費用が発生する条件を契約書に明記する
• 診断範囲の変更が生じた場合の対応を事前協議する

事前合意を丁寧に行うことで、予期せぬコスト増加を防ぎ、信頼関係を保ちながら診断を進められます。

まとめ

ネットワークセキュリティ診断の範囲設定は、予算・リスク・保護すべき資産のバランスで決定します。重要なポイントは以下の4つです。

• リスクベースで優先順位をつける：外部公開システムと重要データを扱うシステムから始める
• 事前の情報整理を徹底する：保護すべき資産、システム構成、過去のインシデントを把握する
• 企業規模に応じた現実的な範囲設定：小規模企業は最小限から、中規模以上は段階的に拡大する
• 診断ベンダーとの事前協議を丁寧に：範囲を明確にし、追加費用の条件を確認する

初回診断では外部から攻撃されやすい箇所に絞り込み、定期診断で段階的に範囲を拡大する方法が、費用対効果の面で優れています。自社だけで判断が難しい場合は、診断ベンダーに予算を伝えた上で、最適な範囲を提案してもらうことをおすすめします。適切なスコープ設定により、限られた予算で最大のセキュリティ効果を実現しましょう。