この記事でわかること
- 完成報告書で「観測した事実」と「推奨・次のアクション」を読み分ける方法
- サマリ → 対象範囲 → 各章(DNS・メール・TLS 等)のおすすめ読み順
- リスク表現が示す優先度の目安と、社内共有・稟議に使うときの注意
まず開く場所
時間が限られている場合は、次の順がおすすめです。
- 2.1 要点サマリー — 経営・総務向けの優先度(最優先・短期・中期など)
- 第 3 章 調査範囲・方法 — 何をした/しなかったか(契約スコープの確認)
- 第 5 章 所見 — 根拠の詳細(重要度つき)
- 第 6 章 推奨対応のまとめ — 2.1 と対応するチェックリスト
IT 担当者は 2.2 技術担当向けサマリー から入り、気になる所見 ID(F-01 等)で第 5 章に飛ぶ読み方もできます。
章ごとの役割
| 章(サンプル) | 読む目的 |
|---|---|
| 表紙・本サービスの特徴 | 閉域完結・納品形態・品質の考え方(実案件では承認記録あり) |
| 2. エグゼクティブサマリー | 全体の優先順位。稟議・社内共有の入口 |
| 3. 調査範囲・方法 | 対象ドメイン・期間・公開情報と能動確認の有無・実施していないこと |
| 4. 対象資産一覧 | 確認できたホスト名の棚卸し(台数ではなく FQDN のリスト) |
| 5. 所見 | 観測内容(事実)と推奨対応(次のアクション)の本体 |
| 6. 推奨対応のまとめ | 2.1 の箇条書きと同系統の ToDo リスト |
| 7. 制限事項 | 保証しないこと・重要度の意味・時点の限界 |
| 別紙 | スキャン結果や実施参照の抜粋(必要な人だけ) |
「観測内容」と「推奨対応」の違い
第 5 章の各行・各カードは、おおむね次の2列に分かれます。
- 観測内容 — 調査時点で外部から確認できた事実(HTTP 応答、ポート、DNS レコード等)
- 推奨対応 — その事実を踏まえた対応の方向性(設定変更の具体手順やベンダー作業の代行ではありません)
例(サンプル F-02): 「TCP 22 が open」は観測。 「不要なら閉鎖、必要なら鍵認証・許可 IP」は推奨です。 実際の設定変更は御社・インフラ担当・ベンダーの管轄です。
所見の背景説明は、攻撃面やメールの記事から辿れます (例: SSH の公開、 MX と SPF のズレ)。 報告書全体の位置づけは境界を観測として読むも参照してください。
重要度の読み方
バッジの高・中・低・情報は、 当社の攻撃面レビュー基準による優先度の目安です。 CVE の CVSS 点数や、脆弱性診断スキャナの深刻度とは別物です。
| 重要度 | ざっくりした意味(例) |
|---|---|
| 高 | インターネットから攻撃面が広がりやすい、または機微露出と組み合わさる |
| 中 | 早めに確認・整理したいが、単独では「高」とは言い切れない |
| 低 | 整理・運用改善の候補。放置しても直ちに侵害とは限らない |
| 情報 | 記録・維持管理の確認。対応必須とは限らない |
サンプルでは F-01〜F-03 が能動スキャン所見、F-10 以降が公開情報・相関の個別所見です。 社内会議では ID(F-14 等)で指し示すと、表紙の対象ドメインと突合しやすくなります。
報告書に含まれないこと
第 3 章・第 7 章とあわせて、次は標準の攻撃面レビューに含まれません(別契約の例)。
- ログイン突破・権限取得までの侵入実証(ペンテスト)
- 既知 CVE の網羅的スキャン(脆弱性診断 / GVM)
- 全 TCP ポートスキャン、DoS、社内メールボックスの調査
- DNS・ファイアウォールの変更代行
「高」が付いていても、実際に突破されたことを意味しません。 外部から見える入口・設定の事実整理です。
納品後にやること(例)
- スコープ確認 — 第 3 章と契約メニューが一致しているか
- 優先度の社内合意 — 2.1 / 第 6 章をベースに、担当部署へ振り分け
- 所見ごとの対応 — 推奨を踏まえ、ベンダー・DNS 管理者と役割分担
- 再調査の検討 — DNS 変更後・年次棚卸しは再調査の目安
報告内容の説明が必要な場合は、コンサルティング・監査対応を別途ご相談ください。
メニュー記事の読み順(参考)
- 調査依頼の進め方
- ライト調査と攻撃面パッケージ
- スタンダード調査(P2)
- 脆弱性診断(GVM)
- 本記事 — 報告書の読み方
- 事務所・ルーター点検(該当時)
- 再調査・定期確認(該当時)