CyberFix Noteゼロデイ脆弱性とは。検知が難しい攻撃にどう備えるか
対象の目安: 情報システム・セキュリティ運用担当 / 実務
「ゼロデイ脆弱性」という言葉は、ニュースやベンダーの注意喚起で頻繁に登場します。一方で、「未知の攻撃だから防ぎようがない」「最新のセキュリティ製品を入れれば大丈夫」といった両極端な受け止め方も少なくありません。どちらも実務の判断を誤らせます。ゼロデイは確かに事前の個別パッチが存在しないという厄介な性質を持ちますが、だからといって打つ手がないわけでも、特定の製品ですべて解決するわけでもありません。
この記事では、まずゼロデイ脆弱性とは何を指すのかを、用語の混乱を整理しながら原理から説明します。そのうえで、なぜ従来のパッチ中心の運用だけでは守りきれないのかを示し、多層防御・仮想パッチ・迅速なパッチ運用という三つの軸で、現場が実際に取れる備え方を具体的な判断基準まで掘り下げます。対象は、情報システムやセキュリティ運用に関わる実務担当者を想定していますが、対策の優先度を決める意思決定者にも読めるよう、技術と運用の両面から整理します。
なお、IPAの「情報セキュリティ10大脅威 2026」組織編でも「システムの脆弱性を悪用した攻撃」が4位に挙げられており、これは長年にわたり継続して上位に入り続けている脅威です。ゼロデイへの備えは、流行りの話題ではなく、恒常的に取り組むべき運用課題だと捉えるのが妥当です。
ゼロデイとは何か、用語を整理する
まず用語を正確にそろえます。混同されがちな言葉が三つあります。
| 用語 | 指すもの | ポイント |
|---|---|---|
| ゼロデイ脆弱性 | 修正プログラムが提供される前の状態にある脆弱性 | 「対策に使える日数がゼロ」が語源 |
| ゼロデイ攻撃 | その脆弱性を、修正前に悪用する攻撃 | 脆弱性そのものではなく行為を指す |
| Nデイ脆弱性 | 既にパッチが公開された後の既知脆弱性 | 適用していなければ依然危険 |
「ゼロデイ」は「防御側が対策に使える日数がゼロ」という意味合いから来た表現です。重要なのは、ゼロデイは「世界中の誰も知らない未知の脆弱性」と同義ではない、という点です。攻撃者やベンダーの一部が把握していても、利用者に届く修正プログラムがまだ存在しない段階であれば、利用者にとってはゼロデイとして振る舞います。逆に、パッチが公開された瞬間にその脆弱性はNデイへと変わります。
ここでよくある誤解が二つあります。一つは「ゼロデイ=最先端の高度な攻撃」という思い込みです。実際には、公開直後の脆弱性が攻撃者に解析され、Nデイとして悪用されるケースの方が件数としては多く、被害の大半はパッチ未適用のシステムで起きています。もう一つは「ゼロデイは防ぎようがないので考えても無駄」という諦めです。後述するように、被害の成立にはたいてい複数の段階が必要で、どこかの層で止められれば被害を防いだり小さくしたりできます。
メモ
「ゼロデイ」か「Nデイ」かは、攻撃の難易度ではなく「修正プログラムが利用可能かどうか」というタイミングで決まります。同じ脆弱性でも、時間の経過とともにゼロデイからNデイへ移り変わります。
なぜパッチだけでは守りきれないのか
セキュリティ運用の基本は、ベンダーが公開した修正プログラムを速やかに適用することです。これはNデイ脆弱性に対しては非常に有効で、実際、後述するとおり最優先で固めるべき土台です。しかしゼロデイに限って言えば、定義上、適用すべき個別のパッチがまだ存在しません。つまり「正しいパッチ運用をしている組織」であっても、修正が世に出るまでの間は、その脆弱性に対して無防備になりうるのです。
ここに、対策の発想を転換する必要が生まれます。「個別の穴を一つずつふさぐ」だけでは、まだ知られていない穴、あるいは修正が間に合っていない穴に対しては機能しません。そこで、特定の脆弱性に依存しない形で攻撃の成立を妨げる仕組みを、複数重ねておくという考え方が重要になります。これが多層防御です。
攻撃が被害につながるまでには、たいてい複数の段階があります。侵入の入口を見つけ、脆弱性を悪用してコードを実行し、権限を昇格し、内部を探索し、目的のデータへ到達する、といった流れです。ゼロデイで最初の一手を防げなくても、その後の段階のどこかで検知・遮断できれば、被害を最終的な目的に到達させずに済みます。MITRE ATT&CK のように攻撃者の戦術・技術を実観測に基づいて体系化した知識ベースは、自組織のどの段階の検知・防御が手薄かを点検するのに役立ちます。この観点は あわせて読みたい MITRE ATT&CKで攻撃を体系的に理解する。戦術と技術のマトリクスを検知・防御にどう活かすか
多層防御という考え方
多層防御(defense in depth)は、単一の防御線に頼らず、性質の異なる防御を層状に配置する考え方です。一つの層が破られても、次の層で攻撃を止める、あるいは遅らせて検知の機会を作ることを狙います。ゼロデイ対策の文脈では、「最初の脆弱性悪用を必ず防ぐ」ことよりも、「悪用された後の被害拡大を止める」設計が現実的な力を発揮します。
具体的には、次のような層を組み合わせます。
| 層 | 役割 | ゼロデイに対する効き方 |
|---|---|---|
| 境界・通信 | WAF・IPSで不審なリクエストや通信を遮断 | 既知の悪用パターンを止め、仮想パッチの土台になる |
| 端末・サーバ | EDRでふるまいを監視し異常を検知 | 未知の悪用後の不審な挙動を捉えられる |
| 権限・分離 | 最小権限・ネットワーク分割 | 侵入されても被害範囲を局所化する |
| 検知・ログ | ログ集約と監視で異常を早期に把握 | 侵入後の探索・横展開の兆候を捉える |
| 復旧 | バックアップと復旧手順 | 被害が成立しても事業継続を支える |
ここで誤解してはいけないのは、多層防御は「製品を何種類も買えば完成する」ものではない、という点です。重要なのは、各層が異なる原理で攻撃を捉えること、そして層同士の間に穴がないことです。たとえば、入口にWAFを置いても、内部ネットワークがフラットで一度侵入されれば全台に到達できる構成なら、被害局所化の層が欠けています。製品の数より、「どの段階を、何で、どう止めるか」を一枚の絵として描けているかが本質です。
注意
多層防御は「層を増やすほど安全」という単純な足し算ではありません。運用しきれない数の製品を入れると、アラートが洪水になり、本当に危険な兆候が埋もれます。運用できる範囲で、層の役割が重複せず空白もないように設計することが大切です。
仮想パッチで時間を稼ぐ
脆弱性の悪用手口がある程度判明したゼロデイや、パッチは公開されたがすぐには適用できないNデイに対して、現場で頼りになるのが仮想パッチ(virtual patching)です。仮想パッチとは、アプリケーションのソースコードや製品本体を修正せずに、WAFやIPSといった前段のセキュリティ層で、その脆弱性を狙うリクエストや通信を遮断する考え方を指します。OWASPはこれを「既知の脆弱性の悪用を防止するセキュリティポリシー実行層」と説明しており、裏を返せば、悪用条件がまだ何も分からない完全に未知の段階では、その脆弱性に特化した仮想パッチは作れません。詳細が判明する前は、WAFやIPSの一般的な異常検知や入力制限、攻撃面の縮小で備える段階だと整理すると分かりやすいでしょう。
仮想パッチの実務的な価値は、おおむね次の点にあります。
- ベンダーの正規パッチを待つ間、あるいは自前の改修をテストしている間の保護を提供できる
- 多数のホストに個別にパッチを当てる代わりに、少数の防御ポイントで対応でき、展開が速い
- ミッションクリティカルなシステムを停止せずに保護を追加できる
- 緊急のパッチ適用作業に伴う手間とリスクを軽減し、通常のパッチサイクルを乱しにくい
一方で、仮想パッチは万能ではありません。あくまで「攻撃の通り道をふさぐ」ものであり、脆弱性そのものは残っています。WAFのルールを回避する別の入力経路が見つかれば突破されうるため、根本対策である正規パッチの適用を先送りする口実にしてはいけません。仮想パッチは「正規パッチまでの橋渡し」と位置づけ、橋を渡り終えたら(=パッチ適用が済んだら)役目を終える、という運用が健全です。
仮想パッチを作るときに迷いやすいのが、ルールの広さです。広すぎるルールは正規の利用まで巻き込んで業務を止め、狭すぎるルールは少し変形した攻撃をすり抜けさせます。実務上は、対象の脆弱性が悪用される際の具体的な特徴(特定のパラメータ、特定のパスへの異常な入力など)に絞った、狭く正確なルールから始め、遮断ログを観察しながら調整するのが安全です。最初から完璧を狙うより、誤検知を監視しつつ段階的に精度を上げる方が、業務影響を抑えられます。
迅速なパッチ運用こそ土台
ここまでゼロデイ特有の備えを説明してきましたが、現実の被害統計が繰り返し示しているのは、被害の多くがゼロデイではなく「公開済みのパッチを適用していなかったNデイ」で起きているという事実です。したがって、ゼロデイ対策を語る前提として、既知脆弱性への迅速なパッチ運用を確立することが、最もコスト対効果の高い土台になります。派手なゼロデイ対策製品を導入する前に、まず足元のパッチ運用が回っているかを点検すべきです。
迅速なパッチ運用は、単に「こまめに更新する」という心がけではなく、仕組みとして回す必要があります。
- 1
資産を把握する
どの機器・ソフトウェア・ライブラリが、どのバージョンで動いているかを一覧化します。守る対象が分からなければ、パッチの要否も判断できません。これがすべての出発点です。
- 2
脆弱性情報を継続的に受け取る
JPCERT/CCの注意喚起や早期警戒情報、各ベンダーのセキュリティ情報を購読し、自組織に関係する情報を取りこぼさない経路を作ります。
- 3
深刻度で優先順位を付ける
すべてを同時には直せません。CVSSなどの指標と、自組織での実際の影響(公開しているか、攻撃が観測されているか等)を併せて優先度を決めます。
- 4
検証して適用する
重要システムでは、適用前に動作確認できる環境で影響を確認します。一方で、緊急性が極めて高い場合は、検証の重さと放置のリスクを天秤にかける判断も必要です。
- 5
適用結果を記録し振り返る
どの脆弱性に、いつ、どう対応したかを残し、対応の遅れがあった箇所を次の改善につなげます。
優先順位付けで悩むことは多いはずです。CVSSの数値だけを見て高い順に直そうとすると、件数に押しつぶされます。実務では、CVSSの基本値に加えて「そのシステムがインターネットに露出しているか」「実際に悪用が観測されているか」を重ねて判断するのが現実的です。CVSSスコアの読み解き方そのものは あわせて読みたい CVSSスコアの読み方と脆弱性対応の優先度付け。基本値だけで判断しないために
注意喚起は毎週のように届くが、自社のどの資産が該当するのかを照合する作業に時間がかかり、対応が後手に回りがちだ。結局「いつか直す」が積み上がってしまう。
この詰まりは、技術ではなく資産管理の問題であることが多いです。「どの資産が、どのバージョンか」が即座に分かる状態になっていないと、注意喚起のたびに人手の照合が発生し、対応が遅れます。逆に言えば、資産インベントリを整えておくだけで、ゼロデイ・Nデイ双方への反応速度が大きく上がります。地味ですが、ここへの投資が効きます。
検知と備えの両輪を回す
ゼロデイは「最初の一撃を防ぐ」ことが難しい以上、「悪用された後にいかに早く気づき、被害を抑えるか」が勝負になります。そのためには、平常時のふるまいを把握しておき、異常を検知できる状態を作ることが欠かせません。EDRやログ監視は、未知の脆弱性が悪用された後の不審な挙動(見慣れないプロセスの起動、内部の探索、外部への不審な通信など)を捉える層として機能します。
加えて、検知できたときに動ける備え、すなわち対応手順とバックアップも事前に用意しておきます。誰が、何を、どの順で判断し、どこへ連絡するのかを決めておかないと、いざ攻撃が成立したときに初動が遅れます。ゼロデイ攻撃を受けたと気づいた場合の情報提供先として、JPCERT/CCのような調整機関の窓口を把握しておくことも、被害拡大を防ぐうえで役立ちます。
つまりゼロデイ対策は、「事前にどう防ぐか(多層防御・仮想パッチ・パッチ運用)」と「事後にどう気づき動くか(検知・対応・復旧)」の両輪で考えるのが正解です。どちらか一方に偏ると、防御に穴ができます。
よくある質問
ゼロデイは未知の攻撃だから、対策しても無駄では?
高機能なセキュリティ製品を入れればゼロデイは防げますか?
仮想パッチを当てれば正規パッチは不要ですか?
限られた人員で、まず何から手を付けるべきですか?
まとめ
ゼロデイに備えるための確認
- ゼロデイとNデイの違いを理解し、被害の多くがNデイで起きていることを踏まえているか
- 資産インベントリを整備し、注意喚起と自組織の資産を素早く照合できるか
- 深刻度と露出・悪用状況を併せた優先順位付けで、迅速にパッチを適用できているか
- WAF/IPSによる仮想パッチを、正規パッチまでの橋渡しとして使う運用ができているか
- 境界・端末・権限分離・検知・復旧の各層が、空白なく配置されているか
- 攻撃成立後に動ける対応手順・バックアップ・連絡先を事前に用意しているか
ゼロデイ脆弱性は、修正プログラムが間に合わない瞬間が必ず生じるという点で厄介ですが、「防ぎようがない」わけでも「特定の製品で解決する」わけでもありません。多層防御で被害の成立を妨げ、仮想パッチで時間を稼ぎ、迅速なパッチ運用という土台を固める。この三つを地道に積み上げることが、結局は最も確実な備えになります。攻撃手法の段階的な理解を深めたい場合は あわせて読みたい MITRE ATT&CKで攻撃を体系的に理解する。戦術と技術のマトリクスを検知・防御にどう活かすか あわせて読みたい CVSSスコアの読み方と脆弱性対応の優先度付け。基本値だけで判断しないために
出典・参考
関連する記事
CVSSスコアの読み方と脆弱性対応の優先度付け。基本値だけで判断しないために
CVSS v3.1とv4.0の構成を整理し、基本値(Base)だけで優先順位を決める落とし穴と、KEVやEPSSなど実際の悪用情報を組み合わせた実務的な脆弱性対応の判断軸を、運用担当者目線で解説します。
MITRE ATT&CKで攻撃を体系的に理解する。戦術と技術のマトリクスを検知・防御にどう活かすか
攻撃者の行動を戦術と技術のマトリクスで整理するMITRE ATT&CKを、原理から実務での使い方まで解説します。検知ルールの評価やレッドチーム演習、脅威インテリジェンスへの活用の勘所を具体的に示します。
Log4Shellに学ぶ、依存ライブラリ脆弱性の怖さとSBOM・SCAによる対策
Apache Log4jのCVE-2021-44228(Log4Shell)を題材に、依存ライブラリの脆弱性がなぜ広範な被害を生むのかを原理から解説し、SBOMとSCAを軸にしたサプライチェーンの脆弱性管理を実務目線で整理します。