脆弱性診断報告書の見方を初心者向けに解説|重大度の判断基準とは?
脆弱性診断を初めて実施された企業の担当者様は、届いた報告書を開いて「専門用語ばかりで何から読めばいいかわからない」と感じられるのではないでしょうか。重大度という言葉は見慣れているものの、緊急・高・中・低の基準が曖昧で、どの脆弱性から対応すべきか判断に迷われる方も多いはずです。
脆弱性診断を初めて実施された企業の担当者様は、届いた報告書を開いて「専門用語ばかりで何から読めばいいかわからない」と感じられるのではないでしょうか。重大度という言葉は見慣れているものの、緊急・高・中・低の基準が曖昧で、どの脆弱性から対応すべきか判断に迷われる方も多いはずです。この記事では、脆弱性診断報告書の基本的な構成から重大度の判断基準、優先対応の決め方、さらには経営層への説明方法まで、初心者の方にもわかりやすく解説します。
脆弱性診断報告書の基本構成と読み方
報告書に記載される5つの主要項目
脆弱性診断報告書には一般的に以下の5つの項目が記載されています。
- エグゼクティブサマリ:診断結果の概要を経営層向けにまとめた部分
- 診断対象と診断範囲:どのシステム・アプリケーションを診断したかの詳細
- 診断結果サマリ:発見された脆弱性の件数と重大度別の統計
- 脆弱性詳細:各脆弱性の内容・再現手順・対策方法を記載
- 総合評価と推奨事項:全体的なセキュリティレベルと改善提案
報告書のボリュームは診断対象の規模により異なりますが、中小企業のWebサイト診断でも30ページから50ページ程度になることが一般的です。
最初に確認すべき3箇所
報告書を受け取ったら、最初に以下の3箇所を確認することをおすすめします。
- エグゼクティブサマリ:診断結果の全体像を把握できます
- 重大度統計グラフ:緊急・高・中・低の件数分布が視覚的にわかります
- 対応必須項目リスト:診断ベンダーが優先対応を推奨する項目です
この3箇所を読むだけで、自社システムの現状と対応すべき課題の全体像を把握できます。IPA(情報処理推進機構)の「脆弱性対策の効果的な進め方」によれば、報告書を受け取った企業の約60パーセントが詳細部分を読まずに対応判断を誤るケースがあるとされています。
よくある誤解「全ての脆弱性を即座に対応すべき」
報告書を見て「検出された脆弱性は全て今すぐ対応しなければ危険だ」と考えてしまう方がいらっしゃいます。しかし実際には、脆弱性のリスクは環境により大きく異なります。
たとえば、インターネットに公開されていない社内システムの脆弱性と、ECサイトの決済機能の脆弱性では、攻撃される可能性と影響範囲が全く異なります。重要なのは、自社の環境におけるリスク評価を行い、優先順位をつけて対応することです。
すべての脆弱性に即座に対応するのは現実的ではなく、限られたリソースの中でリスクの高いものから順に対策していくリスクベースアプローチが推奨されています。
脆弱性の重大度(CVSS)の判断基準
CVSS(共通脆弱性評価システム)とは
CVSS(Common Vulnerability Scoring System)は、脆弱性の深刻度を数値化する国際標準の評価システムです。現在はバージョン3.1が広く使われており、0.0から10.0のスコアで脆弱性の深刻度を表現します。
CVSSは以下の3つの評価軸で構成されています。
- 基本評価基準:脆弱性そのものの特性(攻撃の容易さ・影響範囲など)
- 現状評価基準:攻撃コードの存在・対策情報の公開状況
- 環境評価基準:自社環境での影響度(業務への影響・資産価値など)
多くの報告書では基本評価基準のスコアが記載されており、このスコアをもとに重大度が分類されています。
重大度レベル別の判断基準(緊急・高・中・低)
CVSSスコアに基づく重大度レベルは一般的に以下のように分類されます。
| 重大度 | CVSSスコア | リスクの目安 |
|---|---|---|
| 緊急(Critical) | 9.0-10.0 | 認証不要で遠隔から容易に攻撃可能。情報漏えいやシステム停止の恐れ |
| 高(High) | 7.0-8.9 | 一定の条件下で攻撃可能。重要情報の漏えいやデータ改ざんのリスク |
| 中(Medium) | 4.0-6.9 | 攻撃には複雑な条件が必要。影響範囲は限定的だが対策は必要 |
| 低(Low) | 0.1-3.9 | 攻撃が困難または影響が軽微。他の対策と合わせて検討 |
たとえば、SQLインジェクション(データベース操作を不正に行う攻撃)が可能な脆弱性は通常9.0以上のスコアとなり、緊急レベルに分類されます。一方、特定の条件下でのみ発生する情報漏えいリスクは中レベルになることが多いです。
CVSSスコアだけで判断してはいけない理由
CVSSスコアは脆弱性そのものの深刻度を示していますが、自社における実際のリスクとは必ずしも一致しません。以下のような要素を考慮する必要があります。
- システムの公開範囲:インターネット公開か社内限定か
- 扱うデータの機密性:個人情報や決済情報を含むか
- 業務への影響度:サービス停止時の事業損失はどの程度か
- 代替策の有無:他のセキュリティ対策でリスク軽減できるか
たとえば、CVSSスコア8.5の脆弱性でも、社内ネットワーク内の開発環境にしか存在しない場合、実際のリスクは低いと判断できます。逆に、スコア6.0でも顧客の個人情報を扱うシステムであれば早急な対応が必要です。
自社の環境における重大度の読み替え方
報告書のCVSSスコアを自社環境のリスクに読み替えるには、以下の3ステップで評価します。
- 基本スコアの確認:報告書記載のCVSSスコアを確認
- 環境要因の評価:公開範囲・データの重要度・業務影響を評価
- 最終優先度の決定:両方を総合して実際の対応優先度を決定
IPAのガイドラインでは、環境評価基準を考慮した最終スコアで対応期限を決めることを推奨しており、この考え方に基づいて優先度を判断することが実務的です。
優先対応すべき脆弱性の見極め方
対応優先度の判断マトリクス(重大度×影響範囲)
脆弱性の対応優先度は、重大度と影響範囲の2軸で判断するマトリクスが有効です。
| 影響範囲 | 重大度:高 | 重大度:中 | 重大度:低 |
|---|---|---|---|
| 広範囲(顧客影響大) | 最優先 | 優先 | 計画的対応 |
| 限定的(社内のみ) | 優先 | 計画的対応 | 経過観察 |
このマトリクスを使えば、たとえば「重大度は中だが顧客情報を扱うシステム」の脆弱性を「重大度は高だが社内開発環境のみ」の脆弱性より優先すべきと判断できます。
重要なのは、技術的な深刻度だけでなくビジネスへの影響を加味することです。経済産業省のセキュリティガイドラインでも、リスク評価における事業影響の考慮が強調されています。
即座に対応が必要な脆弱性の3つの特徴
以下の3つの特徴を持つ脆弱性は、重大度に関わらず早急な対応が必要です。
- インターネットに公開されている:外部から誰でもアクセス可能な状態
- 認証なしで攻撃可能:ログイン不要で悪用できる脆弱性
- 攻撃コードが公開されている:インターネット上に攻撃方法が公開済み
実際に2024年に発生したある企業の情報漏えい事例では、CVSSスコア7.5の脆弱性が放置され、公開から2週間で攻撃を受けました。スコアが中程度でも、これら3つの条件が揃うと攻撃リスクが急激に高まります。
対応期限の目安(IPAガイドライン準拠)
IPAの「脆弱性対策の効果的な進め方」では、以下の対応期限が推奨されています。
- 緊急(CVSS9.0以上):発見後24時間以内に暫定対応、1週間以内に恒久対応
- 高(CVSS7.0-8.9):1週間以内に対応計画策定、1ヶ月以内に対応完了
- 中(CVSS4.0-6.9):1ヶ月以内に対応計画策定、3ヶ月以内に対応完了
- 低(CVSS3.9以下):次回のシステム更新時に対応検討
ただし、これはあくまで目安であり、自社の業種・システムの重要度・リソース状況に応じて調整する必要があります。金融機関や医療機関など、高い安全性が求められる業種ではより短い期限設定が一般的です。
「対応困難」な脆弱性の扱い方
技術的な制約や予算の都合で、すぐには対応できない脆弱性も存在します。その場合は以下の代替策を検討してください。
- WAF(Webアプリケーションファイアウォール)の導入:攻撃を検知・遮断
- アクセス制限の強化:IPアドレス制限や多要素認証の導入
- 監視体制の強化:不正アクセスの早期検知
- リスク受容の判断:経営判断として一定のリスクを受け入れる
リスク受容を選択する場合は、その判断理由・想定されるリスク・代替策を文書化し、経営層の承認を得ることが重要です。後日、問題が発生した際の責任の所在を明確にするためです。
経営層・非IT部門への報告のポイント
技術用語を使わない説明の3つのコツ
技術的な知識がない経営層や他部門への報告では、以下の3つのコツを意識してください。
- ビジネスリスクに翻訳する:「SQLインジェクション」→「顧客情報が盗まれる可能性」
- 具体的な影響を示す:「個人情報10万件の漏えいリスク」「サービス停止による機会損失」
- 他社事例を引用する:「同業他社の○○社で同様の脆弱性により情報漏えいが発生」
たとえば、クロスサイトスクリプティング(XSS)という専門用語を使うのではなく、「悪意のある第三者が、お客様のブラウザ上で不正な操作を実行できる状態」と説明すると理解されやすくなります。
報告書を1枚にまとめる方法
経営層向けの報告資料は、A4用紙1枚にまとめることをおすすめします。以下の項目を含めてください。
- 診断結果サマリ:重大度別の脆弱性件数(グラフで視覚化)
- 最優先対応項目:上位3つの脆弱性とビジネスリスク
- 対応計画と費用:対応期限と必要予算の概算
- 放置した場合のリスク:想定される被害額や評判リスク
特に重要なのは、対応費用と放置リスクを並べて示すことです。「対策費用50万円 vs 情報漏えい時の損害想定額3000万円」といった比較があると、経営判断がしやすくなります。
対応費用と放置リスクの伝え方
対応費用の説明では、以下の内訳を明示してください。
- 改修費用:開発会社への修正依頼費用
- 検証費用:修正後の再診断費用
- 一時的な対策費用:WAF導入などの暫定対策費用
放置リスクについては、日本ネットワークセキュリティ協会(JNSA)の調査による情報漏えいの平均被害額(1件あたり約500万円)などの統計データを活用すると説得力が増します。
また、個人情報保護法違反による行政処分や、顧客からの信頼失墜による売上減少など、金銭以外のリスクも併せて説明することが重要です。
よくある質問への回答例
経営層からよく出る質問と、その回答例をご紹介します。
- 質問:他社も同じような脆弱性を抱えているのか? 回答:IPAの調査によれば、Webサイトを持つ企業の約70パーセントに何らかの脆弱性が存在するとされています。ただし、診断を実施して対策している企業は約30パーセント程度です。
- 質問:対策しないとどうなるのか? 回答:攻撃を受けた場合、顧客情報の漏えいやサービス停止が発生する可能性があります。2024年の○○社の事例では、情報漏えいにより約5000万円の損害が発生しました。
- 質問:全ての脆弱性を対策するにはいくらかかるのか? 回答:全件対応には約200万円が必要ですが、リスクの高い上位5件に絞れば約80万円で対応可能です。残りは次年度の予算で計画的に対応することを提案します。
このように、質問を想定して事前に回答を準備しておくと、報告がスムーズに進みます。
まとめ
この記事では、脆弱性診断報告書の見方について解説しました。重要なポイントは以下の3つです。
- 報告書の構造を理解する:エグゼクティブサマリ・重大度統計・対応必須項目の3箇所を最初に確認することで全体像を把握できます
- CVSSスコアを自社環境で読み替える:脆弱性そのものの重大度だけでなく、公開範囲や扱うデータの重要性を考慮してリスク評価を行うことが重要です
- 優先順位をつけて対応する:全ての脆弱性に即座に対応するのは現実的ではなく、リスクの高いものから計画的に対策していくリスクベースアプローチが推奨されます
次のステップとしては、診断ベンダーと対応計画について相談し、優先度の高い脆弱性から段階的に対策を進めることをおすすめします。報告書の内容で不明な点があれば、遠慮なく診断ベンダーに質問してください。多くのベンダーは報告後のフォローアップサポートを提供しています。
関連記事
脆弱性診断で相見積もりを取る正しい方法|3社比較で最適な業者を選ぶ
脆弱性診断の発注を検討する際、「複数の業者から見積もりを取ったものの、どう比較すればいいかわからない」という悩みを抱えていませんか。価格が2倍以上違うケースや、診断内容が曖昧で判断できないといった課題は、多くの企業が直面する共通の問題です。
脆弱性診断の費用対効果を計算する方法|投資対効果を数値で示すテクニック
脆弱性診断の導入を検討しているものの、経営層から「その投資に見合う効果はあるのか」と問われて説明に困った経験はないでしょうか。セキュリティ対策は目に見える成果が出にくいため、費用対効果を数値で示すことが難しいと感じる担当者は少なくありません。
脆弱性診断を発注するまでの社内承認手順|スムーズに進める7ステップ
サイバー攻撃が巧妙化する中、脆弱性診断の必要性を感じながらも、社内承認のプロセスで苦労している担当者の方は多いのではないでしょうか。「経営層にどう説明すればいいかわからない」「稟議が通らない」といった悩みは、多くの企業で共通しています。