この記事でわかること
- 外部攻撃面の「境界」を誰かの責任を問う追及ではなく、観測(何が見えたか)として読む考え方
- 完成報告書の観測内容と推奨対応の違い、および制限事項が示す位置づけ
- 公開情報・攻撃面・脆弱性診断とペンテスト(侵入実証)の契約上の線引き
「境界」が二通りある
社内では「境界」を、部署の管轄・ISMS のスコープ・契約の責任分界として使うことが多いです。 一方、攻撃者や第三者が実際に踏むのは、組織図に載らない線であることがよくあります。
| 社内でよくある見方 | 外部攻撃面で扱う見方 |
|---|---|
| 誰が管理しているか(追及) | 調査時点で何が見えたか(観測) |
| 製品カテゴリで守る場所 | DNS・公開 URL・メール設定など、第三者が読める事実 |
| 「社内は安全」と言える範囲 | 忘れたサブドメイン・古い検証環境・委託先の設定ずれ |
どちらかが正しいという話ではありません。 外部攻撃面レビューは、右側の線を、契約された範囲で観測可能な形に固定するサービスです。
観測と追及 — 報告書の読み方
完成報告書の所見は、おおむね「観測内容(事実)」と「推奨対応(優先度の目安)」に分かれます。 詳しい読み方は報告書の読み方を参照してください。 ここでは位置づけだけ補足します。
- 観測内容 — 調査実施時点で、外部から確認できた事実(HTTP 応答、ポート、DNS レコード等)
- 推奨対応 — その事実を踏まえた攻撃面レビュー上の優先度の目安(設定変更の代行や過失の断定ではありません)
報告書の「はじめに」でも、本報告書の「境界」は特定の部署や担当者の責任を問う線ではなく、 調査実施時点でインターネットから観測できた範囲を示す、と明記しています。 制限事項(第 7 章)でも、観測結果をもって特定の個人や部署の過失を断定しない旨を書いています。
つまり、所見が出たときに真っ先に聞くべきは「誰のミスか」ではなく、 「その時点で外から本当にそう見えたか」「優先して確認すべきか」です。
なぜ「観測」に寄せるのか
境界を明らかにすることは、誰かの失敗を炙り出すことではありません。 説明が難しい入口—更新を止めたホスト名、委託先の DNS、意図せず公開された管理 URL—は、 組織内だけでは見えにくいまま残りやすいからです。
追及の線引きから観測の線引きにずらすと、次のような効果があります。
- 稟議・社内共有で責任の所在を巡る議論より、優先順位の議論に時間を使える
- 担当者が変わっても、前回報告との差分(再調査)が残る
- 「ログは取っているが外から検証していない」状態と、第三者視点の事実を切り分けられる
当社の調査は、攻撃者が実際に踏みうる順に範囲を広げる段階設計です(公開情報 → 攻撃面 → 既知弱点)。 対応の実施時期と予算は、常に御社の判断に委ねます。
契約・観測・侵入 — 3 つの線
HAIPS の標準メニューは「観測と検出の整理」が中心です。 ペンテスト(侵入実証)は別契約です。 混同しやすい点を表にまとめます。
| 区分 | 主な問い | 典型メニュー |
|---|---|---|
| 公開情報・攻撃面 | 外から何が見え、どの入口が生きているか | ライト / 攻撃面パッケージ |
| 既知弱点 | 公表 CVE 等が検出されるか | 脆弱性診断(GVM) |
| 侵入実証 | 許可範囲で本当に突破・権限取得できるか | ペンテスト(S6・別契約) |
能動スキャン(代表ポートの確認やサブドメイン列挙)を含んでも、 それは扉の有無や設定の事実化であり、ログイン突破の実証ではありません。 契約・作業許可・料金の線引きも、この表の段階ごとに分かれます。
担当が変わっても残すもの
情報システムの担当や経営の任期は、インターネット上の資産の寿命より短いことが多いです。 「代表の任期中に表面化しなければよい」という先送りは、問題を消すのではなく、 次の担当への説明コストを残します。
観測として固定された報告書は、個人の記憶や口頭引き継ぎに依存しにくい資産になります。 初回の地図を作り、必要なタイミングで年間フォローや 単発の再調査で差分だけを見る—という運用は、 境界を観測として読む考え方を日常の運用に落とす形です。
他の読み物との関係
- 外部攻撃面とは何か — 対象の定義(本記事の前提)
- 報告書の読み方 — 観測と推奨の読み分け(実務)
- ペンテストの境界 — 観測と侵入実証の契約差
- 閉域で完結する理由 — データの扱い(観測結果の保管)
- LLM の位置づけ — 事実は観測、AI は補助
稟議・初回説明向けのやや詳しい版は、提案時に添付する調査手法ガイド(顧客向け)の §0 にも同系統の文案があります。