「止めたはずのDB」実はネットにダダ漏れ？ ASM診断で分かった“見えないIT資産”の実態：調査対象126社全てで脆弱性を発見 IPAが報告書を公開

IPAが実施したASMツールによる診断では、調査対象の中小企業126社全てで何らかの脆弱性が見つかった。放置されたデータベースや設定不備など、“見えていないIT資産”のリスクが浮き彫りになった形だ。

[＠IT]

　独立行政法人の情報処理推進機構（IPA）は2025年8月から2026年2月にかけて「ASM診断および事例集作成業務」を実施した。インターネットに公開されているIT資産を把握・管理するASM（Attack Surface Management）ツールで脆弱（ぜいじゃく）性を可視化し、中小企業に適切な対策を促す取り組みだ。

　この取り組みでは126社の中小企業を対象に、ASMツールによるIT資産および脆弱性の診断（以下、ASM診断）とアンケート調査をした他、このうち10社に対してヒアリング調査も実施した。ASM診断では、調査対象となった126社全てで何らかの脆弱性を検知したという。

　IPAは2026年3月27日に、この取り組みの実施報告書を公開した。その内容からは、中小企業が把握し切れていない、さまざまなリスクが明らかになった。

“止めたはずのデータベース”が公開状態に？

　報告書によると、調査対象企業の大半は、ウイルス対策ソフトウェアやファイアウォールといった基本的なセキュリティ対策を導入していた。一方でASM診断では、さまざまな脆弱性が見つかったという。

　調査対象企業で主に見つかったのは、設定不備に起因する脆弱性だ。暗号化していない通信（HTTP通信やFTP通信など）の利用やメールサービスの設定不備、期限切れおよび不適切な証明書の利用、メール認証の未設定などが目立った。

　複数の調査対象企業で、社内で把握できていないままインターネットに公開しているIT資産が見つかった。例えばクラウドサービスへの移行後に停止し忘れていたバックアップ用データベースや、過去に利用していたサブドメインなどがあったという。

　調査対象企業のほとんどがセキュリティポリシーや関連規定を整備していた一方、インシデント対処計画の策定やサプライチェーン管理を含めた、体系的な運用までできている企業は限定的だった。組織的なセキュリティ対策は、最低限にとどまっていることが分かる。

専門人材不足と兼務体制が課題に

　調査対象企業では、経営者自身や情報システム担当者、総務担当者などがセキュリティ対策の実務を担っており、セキュリティ専門人材の不足や教育不足が課題となっている。高度なセキュリティツールを導入している企業でも、ログ分析までは手が回っていなかったり、費用対効果を社内で説明できていなかったりと、運用面の課題が目立った。

　インシデント経験のない企業では、ASM診断の結果が具体的な改善行動につながりにくいという。セキュリティに関する経営層の関与が薄い企業では、診断結果を「大きな問題はない」と受け止め、セキュリティ投資を先送りにする傾向が見られた。

　ASMツール活用時の課題としては「専門人材の不足」「レポート解釈の負担」が挙がった。レポートに記載された脆弱性情報を自社環境に当てはめて評価し、対処の優先順位を判断できる人材が不足していると報告書は指摘する。

クラウドシフトが招く新たな課題

　報告書によると、中小企業の間ではクラウドサービスをセキュリティ強化や業務効率化に生かす動きがある。一方でクラウドサービスの設定不備や多要素認証（MFA）の未導入といった、新たなセキュリティリスクが生じているという。

　クラウドサービスに限らず、セキュリティ対策における外部ベンダーとの役割分担や契約範囲が不明確なことも課題となっている。ASM診断で見つかった脆弱性についても、どこまでを自社で対処し、どこからを外部ベンダーに委託するのかを明確に整理できていない企業が目立つ。

　IPAは同報告書と合わせて、中小企業のシステムで脆弱性が悪用された場合を想定した事例集も公開した。ASM診断の結果やアンケート／ヒアリング調査結果を踏まえて、攻撃シナリオや必要な対策をまとめたもので、脆弱性事例20件、被害事例5件、取組事例5件の計30事例を収録している。