--- > [!NOTE] 目次 ```table-of-contents title: minLevel: 0 maxLevel: 0 includeLinks: true ``` --- > [!NOTE] リスト掲載用文字列 - [「ASM診断および事例集作成業務」報告書について | 情報セキュリティ](https://www.ipa.go.jp/security/reports/sme/asm-jirei.html)【IPA】(2026年03月27日) --- > [!NOTE] この記事の要約（箇条書き） - 中小企業向けにASM診断と事例集作成業務を実施した報告書である。 - 背景として、サプライチェーンを構成する中小企業へのサイバー攻撃増加と、中小企業のセキュリティ対策の遅れがある。 - 目的は、ASMツールでIT資産や脆弱性を客観的に把握し、リスク低減とセキュリティ意識向上を図ることである。 - 業務概要は以下の通り。 - 複数業界・複数規模の中小企業126社を対象にASM診断を実施。全社で脆弱性を検知した。 - ASM診断実施企業にWebアンケート調査（16問）を実施。 - アンケート結果から選定した10社にヒアリング調査を実施。 - 脆弱性事例（20）、被害事例（5）、取組事例（5）の計30事例を収録した事例集を作成した。 - 事例集は、対策アイデア検討、社内説明、即時対策確認、経営層への提案など、多様な場面での活用を想定している。 - 関連報告書はダウンロード可能である。 - 本ページは2026年3月27日に公開された。 > [!NOTE] 要約おわり --- ## 「ASM診断および事例集作成業務」報告書について 公開日：2026年3月27日 独立行政法人情報処理推進機構 セキュリティセンター ## 背景・目的 近年、サプライチェーンを構成する中小企業がサイバー攻撃の標的となる事例が増加しています。サイバーインシデントの被害は、攻撃を受けた企業にとどまらず、取引先企業にまで影響が及ぶ場合もあり、攻撃の高度化は中小企業にとっても重大な経営上のリスクとなっています。 一方で、中小企業においては、リソースが限られていることに加えて、何から着手すべきか分からないことを要因として、セキュリティ対策が十分に進んでいない状況も見受けられます。 このような背景を踏まえ、本業務はASM（Attack Surface Management）（注釈1）ツールを活用してIT資産や脆弱性を客観的に把握することにより、リスク低減に向けた対策を促進すること、中小企業のセキュリティ意識向上を図ることを目的に実施しました。 1. （注釈1） ASM：インターネットから把握できる情報を用いてIT資産の適切な管理を可能とするツールやサービスを活用して、インターネットに公開されているサーバやネットワーク機器、IoT機器の公開情報を収集・分析することにより、不正侵入経路となり得るポイントを把握する手法。 ## 業務概要 本業務では、複数業界・複数規模の中小企業を対象に、ASM診断を実施するとともにアンケート調査およびヒアリング調査を行い、業種別の傾向等を分析しました。また、中小企業のシステムにおいて脆弱性が悪用された場合の被害を想定し、診断結果に基づく実際の対応状況を踏まえて、攻撃シナリオおよび実施すべき対策をまとめた事例集を作成しました。 ### ASM診断 - 126社の中小企業を対象に実施。診断の結果、全社において何らかの脆弱性を検知。 - 診断レポートには、リスクスコア、想定被害額、リスクレベル別の検出数、インターネット上に流出しているデータ等を掲載。 ### アンケート調査 - ASM診断を実施した126社を対象に、Webアンケート形式で実施。 - 設問は全16問で、選択式が中心。 ### ヒアリング調査 - アンケート結果等から選定した10社を対象に実施。 - 主に、意思決定プロセスや対策実施時の課題、インシデントの実態、伝えたい経験や工夫等について調査。 ### 事例集について ASM診断、アンケート調査およびヒアリング調査を実施して得られた結果をもとに、脆弱性事例（20事例）、被害事例（5事例）、取組事例（5事例）に分類、計30事例を収録。 中小企業が直面しやすい弱点、被害の影響、早期に取り組める対策を実例に基づきわかりやすく整理し、以下のようなさまざまな場面での活用を想定して構成。 - 対策のアイデアを工夫する場面で活用する事例：他社事例を参考に、自社で実践できるセキュリティ対策を検討する際に活用（例：自社に近い規模の企業が実践した改善策の確認として“取組事例”を活用）。 - 社内でインシデントの被害リスクを説明する場面で活用する事例：社内教育や勉強会で、被害の実態と必要な対策を伝える際に活用（例：社員向けセキュリティ研修の教材として“脆弱性事例”と”被害事例”を活用）。 - 今すぐできるセキュリティ対策を確認する場面で活用する事例：初期的に取り組める対策を把握し、第一歩を踏み出す際に活用（例：今日から着手できる設定変更や運用ルールの見直しとして”すぐできる対策”を活用）。 - 経営層に対してセキュリティ対策の提案をする場面で活用する事例：経営層との相談や予算確保のための説明材料として活用（例：リスクと費用対効果を説明する際の根拠資料として”被害事例”を活用）。 - [ 本事例集の全体構成 別ウィンドウで拡大画像を表示](https://www.ipa.go.jp/security/reports/sme/rcu1hd0000009k82-img/rcu1hd0000009km5.png) - [ 事例の紹介 別ウィンドウで拡大画像を表示](https://www.ipa.go.jp/security/reports/sme/rcu1hd0000009k82-img/rcu1hd0000009kms.png) - [ 事例を選ぶ際のポイント 別ウィンドウで拡大画像を表示](https://www.ipa.go.jp/security/reports/sme/rcu1hd0000009k82-img/rcu1hd0000009kni.png) ## 報告書等のダウンロード - [実施報告書(PDF:2.2 MB)別ウィンドウで開く](https://www.ipa.go.jp/security/reports/sme/rcu1hd0000009k82-att/asm-report.pdf) - [実施報告書概要版(PDF:940 KB)別ウィンドウで開く](https://www.ipa.go.jp/security/reports/sme/rcu1hd0000009k82-att/asm-report-outline.pdf) - [別紙 中小企業のための実例で学ぶサイバーセキュリティリスク事例集(PDF:3.2 MB)別ウィンドウで開く](https://www.ipa.go.jp/security/reports/sme/rcu1hd0000009k82-att/sme-jirei.pdf) ## お問い合わせ先 IPA セキュリティセンター 普及啓発・振興部 普及啓発グループ - E-mail