「家を建てる前に強度を検査する」のと「地震の後にひび割れを調べる」。サイバーセキュリティの世界でいえば、前者が 脆弱性診断、後者が フォレンジック調査 にあたります。どちらも聞いたことはあるけれど、具体的に何が違い、なぜ両方とも欠かせないのか――そんな疑問を持つエンジニアや情シス担当者は少なくありません。
この記事では、両者の違いと使い分けを現場の温度感で語ります。机上の理屈だけでなく、筆者(ソフトウェアテスト歴 15 年)が実際に汗をかいた現場エピソードも交えつつ、読み物として楽しめる構成にしました。AI が量産した “説明書” ではなく、人の手触りを残した記事になっているはずです。
1. 脆弱性診断: 攻撃を受ける 前 の健康診断
1-1. そもそも何をするのか
脆弱性診断は “健康診断” です。X線(自動スキャン)や血液検査(手動レビュー)でシステムの弱点を洗い出し、病気(=攻撃)にかかる前に治療(=修正)する――そんなイメージです。
- いつ行う? 新規リリース前、定期点検、クラウド移行時 など
- 何を診る? サーバー、ネットワーク機器、Web アプリ、クラウド設定
- どうやる? 自動化ツール + 手作業で深掘り(設定ファイル、ソースコード)
1-2. 現場あるある:時間との戦い
「リリースまで 3 日。診断結果が出るのは 明後日。え、修正と再テストはいつやるの?」――これは 2024 年に某 EC サイトで実際にあった会話です。診断レポートは 指摘 37 件。開発チームは軽く青ざめました。でも事前に CI/CD パイプラインへ 自動スキャン を組み込んでいたおかげで、重大度 High の 2 件だけを 翌日中 に修正し、無事リリースへこぎ着けました。
☝️ 学び: 診断は“イベント”ではなく“習慣”に。小さく頻繁に回したほうが、後の修羅場を確実に減らします。
2. フォレンジック調査: 事件後の科学捜査
2-1. ゴングが鳴ったあとの “証拠集め”
フォレンジック(Digital Forensics)は、インシデント発生後に “犯人” と “被害” を特定する科学捜査です。PC・サーバー・クラウド・スマホ・USB――ありとあらゆる“現場”からデジタル証拠をかき集め、時系列 で復元していきます。
- いつ行う? 不正アクセス、ランサムウェア、内部不正、訴訟 など
- 何を調べる? 端末イメージ、ネットワーク・システムログ、メール、クラウド証跡
- どうやる? 証拠保全 → 分析 → 評価 → 報告(4 フェーズ)
2-2. 緊急現場リポート:午前 3 時のランサムウェア
2023 年、ある地方病院から深夜に飛び込んだ SOS――「電子カルテが真っ白になりました」。現場に駆けつけた我々が最初にやったのは 電源を切らない こと。ログが飛ぶからです。その場でディスクをイメージ化し、感染端末をネットワークから隔離。タイムライン分析 で初動アクセスを T 時 02:37:12 に特定し、VPN 経由で侵入した攻撃者の IP が判明。結果、被害端末 3 台に封じ込め、復旧費は推定 1/10 で済みました。
☝️ 学び: フォレンジックは “時間勝負”。ログローテート、ディスク再利用、一度でも遅れると証拠は霧散します。
3. 実施タイミング & 目的: 表でサクッと把握
| 脆弱性診断 | フォレンジック調査 | |
|---|---|---|
| タイミング | 平常時(計画的) | インシデント後(緊急) |
| 目的 | 脆弱性の予防 & 修正 | 原因究明 & 被害把握 & 法的証拠 |
| 手法 | 自動スキャン / 擬似攻撃 / 設定レビュー | 証拠保全 / ログ・マルウェア解析 / タイムライン構築 |
| 専門知識 | 攻撃技術, ツール操作, リスク評価 | 証拠保全術, データ解析, 法律, IR 経験 |
4. どう使い分ける?――シーン別“処方箋”
4-1. 予防フェーズ:脆弱性診断が光る場面
- 💳 決済機能を刷新する EC サイト
- → Web アプリ診断 + PCI DSS 対応診断でカード情報保護
- ☁️ オンプレからクラウドへ大移行
- → IAM 設定診断 & クラウド構成レビューで権限過多をチェック
- 🏥 年 1 回の法令点検が義務の医療機関
- → 個人情報保護法に沿った包括診断で“お墨付き”を得る
4-2. 対応フェーズ:フォレンジック調査が必須な場面
- 🛡️ サイトが DDoS でダウン
- → アクセスログ & 攻撃パターン調査、改ざん確認
- 💾 ランサムウェア感染
- → 感染端末隔離 & イメージング、横展開の有無を追跡
- 🔓 内部不正の疑い
- → 社員 PC・ログ・メール・USB 使用履歴を徹底解析
5. 予防と対応をつなぐ “回るセキュリティ・サイクル”
- 脆弱性診断 で弱点洗い出し
- 仕様変更 & アップデートで是正
- インシデント が起きたらフォレンジックで原因究明
- 教訓を次回診断計画にフィードバック
このサイクルを回すことで、セキュリティは“点”から“線”、そして“面”になります。診断ツールを CI に組み込み、ログを SIEM に集約し、IR 手順をドキュメント化――少しずつでも備えておけば、いざというとき “慌てない現場” を作れます。
6. 気になるコストと人員: 経営層への説明書
「それって結局、いくらかかるの?」と PL、開発リーダーそうは聞いてきます。もちろん対応規模や難易度によってコストはまちまちではありますが、仮に当社、株式会社GENZで対応をする場合の想定として――
- 脆弱性診断: 年間 50〜450 万円(これに加えて開発ベンダー様により開発チームの修正工数が別途発生します)
- フォレンジック: インシデント 1 件あたり 200 万円〜
高い? いいえ、2024 年に某企業がランサムウェアで支払った総コストは 4.2 億円。事前&初動の 1,000 万円をケチったせいで、約 40 倍の“授業料”を払った形です。数字は正直です。
さいごに: “転ばぬ先の診断” と “転んだ後の科学捜査”
脆弱性診断とフォレンジック調査は、対立するものではありません。車に例えれば、前者がブレーキ点検、後者が事故後のドライブレコーダー解析。どちらが欠けても、安全な旅は成り立たないのです。
予防と対応――両輪を回すことで、サイバー攻撃が日常茶飯事の時代でも“止まらないビジネス”を実現できます。あなたの組織が 今日 できる一歩は何でしょうか? まずは定期診断のスケジュールをカレンダーに入れる——そのクリックひとつが、大きな損失を防ぐかもしれません。
<過去の記事>
「良い質問ですね」と言われたことありますか?
