BASとは？【2026年版】ツール比較・導入費用・ペネトレーションテストとの違い完全ガイド

ペネトレーションテストは年1回実施しているのに、なぜ侵害は防げないのか――そう疑問を感じるCISOやIT部長は少なくないでしょう。攻撃者は365日、24時間、組織のわずかな隙を探し続けています。一方、従来の単発テストでは「その瞬間の断面」しか見えません。この時間的ギャップを埋める手段として近年注目されているのが、BAS（Breach and Attack Simulation）です。本記事では、BASの定義・仕組み・主要ツールの比較・導入費用の相場・ペネトレーションテストとの違いを、中堅企業のIT担当者・CISOが意思決定できるレベルで解説します。

BAS（Breach and Attack Simulation）とは

BAS（Breach and Attack Simulation）とは、実際の攻撃者が用いる戦術・技術・手順（TTP）をソフトウェアエージェントや仮想マシンによって自動再現し、組織の防御制御（EDR・SIEM・Firewallなど）が正しく機能しているかを継続的かつ定量的に評価するセキュリティ検証フレームワークです。

1. エージェント配置: 評価対象のネットワークセグメントにソフトウェアエージェントを設置する。
2. 攻撃シナリオ実行: クラウド上のシナリオライブラリから攻撃手順を選択し、無害化された形で再現する。
3. 防御検出率の測定: EDRやSIEMが各シナリオをどの割合で検出・ブロックできたかをスコアリングする。
4. ギャップレポート生成: 見逃された攻撃ステップと推奨改善策をダッシュボードで提示する。

MITRE ATT&CKフレームワークとの関係

MITRE ATT&CKは、実際のサイバー攻撃から体系化された戦術（Tactics）・技術（Techniques）の知識ベースです。2026年現在、Enterprise版だけで14の戦術・200以上の技術が収録されています。主要BASツールはこのATT&CKを攻撃シナリオの索引として活用しており、「T1566（フィッシング）が自社のメールゲートウェイで何件検出されたか」を技術番号単位で追跡できます。これにより、経営層への報告を「攻撃技術カバレッジ率：68%→82%に改善」という定量的な言葉で伝えられるようになります。

ペネトレーションテスト・レッドチームとの違い

BASはペネトレーションテストやレッドチームを「代替」するものではなく、年1〜2回の深掘り調査と継続的な防御体制モニタリングを組み合わせることで最大の効果を発揮します。詳しいペネトレーションテストの費用感についてはペネトレーションテスト費用ガイドも参照ください。

BASツールの主要機能と選定ポイント

① 攻撃シナリオ数・更新頻度

主要ツールのシナリオ数は2026年時点で2,000〜10,000件以上に達します。重要なのは件数よりも更新頻度です。新しいランサムウェアグループのTTPやゼロデイ悪用手法が数週間以内に追加されるかどうかを確認してください。特にCISA KEV（Known Exploited Vulnerabilities）カタログとの連動を持つツールは実際の脅威インテリジェンスとの整合性が高く評価されます。

② 対応フレームワーク

MITRE ATT&CKへの対応はほぼ必須ですが、加えてNIST CSF、CIS Controls、PCI DSSへのマッピングがあると、コンプライアンス要件への回答にも活用できます。

③ レポート品質・ダッシュボード

「検出漏れ率」「平均修復時間（MTTR）」「スコアの時系列推移」がグラフで確認できるツールは、改善活動のPDCAサイクルを回しやすくなります。

④ 既存ツールとの統合性

SIEM（Splunk、Microsoft Sentinel等）やSOARとのAPI連携が可能かどうかを確認してください。BAS単体で運用すると「BASは検出しているのにSIEMのアラートが上がらない」というケースが見落とされます。

国内外の主要BASツール比較

BAS導入費用の相場

SaaS自己運用型

• 初期費用: 導入支援・エージェント設定で50万〜100万円
• 年間ライセンス費用: エンドポイント数に応じて年間150万〜450万円
• 内部工数: 週1〜2時間程度のダッシュボード確認・四半期ごとのシナリオ見直し

マネージドサービス型

• 月額費用: 10万〜40万円
• 年間費用合計: 120万〜480万円

Webアプリケーションのセキュリティ検証コストについてはWebアプリ脆弱性診断費用ガイドも参考にしてください。

BASで防御検証できる攻撃シナリオの例

① フィッシング・メール配信（ATT&CK T1566）

実際に無害なテストファイルをメール添付またはリンク形式で送信し、メールゲートウェイ・URLフィルタリング・EDRのどの層でブロックされたかを検証します。2025年の国内インシデント調査では、フィッシングを初期侵入経路とするケースが全体の43%を占めており、最優先で検証すべきシナリオです。

② ランサムウェア横展開（ATT&CK T1486）

エンドポイント上でランサムウェアの動作を模倣したファイル操作を実行し、EDRのビヘイビアブロッキングが機能するかを確認します。SMBやWMIを使った横展開がファイアウォールやNDRで検出されるかも同時に検証します。

③ データ漏洩・Exfiltration（ATT&CK T1048）

テストデータをHTTPS・DNS・クラウドストレージ経由で外部に転送するシミュレーションを行い、DLPやプロキシのポリシーが正しく機能しているかを検証します。

④ 認証情報窃取・権限昇格（ATT&CK T1003）

MimikatzやLSASSダンプの動作をシミュレートし、EDRのメモリ保護機能が検出するかを確認します。Active Directory環境のKerberoasting検出は見落としが多いポイントです。

BAS導入の進め方・ROI計算の考え方

1. 現状ベースラインの把握: 導入前のATT&CKカバレッジ率を測定する。多くの組織で初期値は30〜50%程度です。
2. 優先シナリオの設定: 自社業界に多い脅威を中心にシナリオセットを選定する。
3. 防御ツールのチューニングサイクル確立: 月次または四半期ごとにBAS実行→ギャップ特定→ルール改善→再実行のサイクルを回す。
4. ROI計算: 国内中堅企業のランサムウェア被害平均損失は2〜5億円。BAS年間投資200万円でカバレッジが50%→80%に改善し、発生確率が20%低下すれば期待損失低減効果は4,000万円超となり、ROIは20倍以上になります。

AEVUSでは、MITRE ATT&CK対応の攻撃シナリオを活用したBASサービスを提供しており、ペネトレーションテストと組み合わせた段階的な防御体制強化を支援しています。

よくある質問（FAQ）

Q1. BASは小規模企業でも導入できますか？

A. 従業員100名未満の小規模企業では、まずEDRやSIEMの整備を優先し、セキュリティ基盤が整った段階でBASを検討するのが現実的です。マネージドサービス型であれば月額10万円前後から導入できるプランもあります。

Q2. BASを導入すれば脆弱性診断は不要になりますか？

A. BASと脆弱性診断は目的が異なります。BASは「既存の防御制御が攻撃を検出・ブロックできるか」を検証するものであり、個別システムの脆弱性を発見するWebアプリ脆弱性診断とは補完関係にあります。

Q3. BAS実行中に本番環境に影響はありますか？

A. 主要なBASツールはすべて無害化されたペイロードを使用しており、実際のマルウェアが実行されることはありません。初回導入時はステージング環境または業務時間外での実行を推奨します。

Q4. BASのレポートをどのように経営層に報告すればよいですか？

A. 「ATT&CKカバレッジ率（前四半期比+15ポイント）」や「検出漏れが発生している攻撃フェーズのリスク金額換算」が有効です。多くのBASツールはエグゼクティブサマリー用のPDFレポートを自動生成する機能を備えています。

Q5. ペネトレーションテストと組み合わせる場合、どちらを先に実施すべきですか？

A. まずBASで防御体制のベースラインと主要なギャップを特定し、そのギャップを重点的に深掘りする形でペネトレーションテストを実施するアプローチが費用対効果に優れています。

まとめ

• BASはMITRE ATT&CKフレームワークに基づく攻撃シナリオを自動実行し、防御制御の有効性をスコアリングする。
• ペネトレーションテスト・レッドチームとは「実施頻度」「目的」「コスト」が異なり、組み合わせることで最大の効果を発揮する。
• 主要ツールの年間費用は150万〜450万円が目安で、マネージドサービス型なら120万〜480万円。
• ROIはATT&CKカバレッジ改善による期待損失低減で試算でき、年間投資200万円に対して数千万円単位の効果が見込める。
• 導入成功の鍵は「測定する基準の設計」と「月次または四半期ごとのPDCAサイクル」にある。