標的型攻撃のリスクを評価、システム内部の脆弱性を診断する「BAS」の有効性

　デジタルテクノロジーがビジネスや生活に浸透する一方で、企業を狙ったサイバー攻撃も大きく増加するようになった。企業はゼロトラストを導入するなど抜本的にセキュリティ対策を見直す取り組みを進めているが、攻撃対象領域（アタックサーフェス）が拡大する中、全てに対処するのはコストや人的負荷から考えて現実的ではない。

　そのため、自社のセキュリティリスクを洗い出す脆弱性診断を検討する企業も増えている。しかし、一般的な脆弱性診断はゼロトラスト時代において重要な内部診断（社内環境の脆弱性評価）に対応していないことが多く、標的型攻撃のリスクを評価する上では物足りない面もある。脅威ベースのペネトレーションテスト（TLPT）であればこの課題は解決できるが、専門知識が必要で導入ハードルが高い。

　そこで注目したいのが、TLPTを自動化し、コストや人的リソースを抑えてリスクを評価できるBAS（Breach and Attack Simulation）だ。本資料ではその優位性について、具体的な費用も含めて詳しく解説する。