BAS(侵害シミュレーション)とは?一言で言うと
BAS(Breach and Attack Simulation、侵害・攻撃シミュレーション)とは、実際のサイバー攻撃者が使用する手法を安全に再現し、組織のセキュリティ防御体制がどの程度有効に機能しているかを継続的・自動的・定量的に評価するセキュリティサービスです。
EDR(エンドポイント検知・対応)、SIEM(セキュリティ情報・イベント管理)、ファイアウォール、SOC(セキュリティオペレーションセンター)といった防御ツールを導入しても、「それが実際の攻撃に対して本当に機能しているか」は、導入しただけではわかりません。BASはこの問いに数値で答えるためのサービスです。
具体的には、MITRE ATT&CKフレームワークに基づく数百〜数千の攻撃シナリオをシステムに対して自動実行し、「何%の攻撃を検知・ブロックできたか」「どの攻撃経路が通り抜けたか」をレポートとして可視化します。
BASの「Breach and Attack Simulation」は「侵害シミュレーション」「攻撃シミュレーション」などと訳されます。本記事では以降「BAS」で統一します。
なぜ今BASが注目されているのか
セキュリティ投資の「効果」が問われる時代に
日本企業のセキュリティ投資額は年々増加しています。EDRを導入した、SIEMを構築した、SOCを立ち上げた。しかし経営層からは必ず同じ質問が飛んできます。
「それで、本当に守れているのか?」
この問いに答えるための手段として、BASへの注目が急速に高まっています。ITR(アイ・ティ・アール)の調査によれば、ペネトレーションテスト市場は2024年度に前年比31.6%増という急成長を記録しており、BASはその延長線上に位置するサービスとして国内でも導入が始まっています。
攻撃の「多様化・自動化」に防御側が追いつけていない
2025年のサイバーセキュリティ状況を見ると、攻撃者はAIを活用した多態型マルウェアや自動化された攻撃キットを使い始めており、攻撃手法の更新スピードが人間の対応速度を超えつつあります。
IPA「情報セキュリティ10大脅威2026(組織編)」では、ランサムウェア攻撃が4年連続1位を維持し、AIを悪用したサイバーリスクが初めて3位にランクインしました。これに対して、年に1回のペネトレーションテストや定期的な脆弱性スキャンだけでは対応しきれないという課題が顕在化しています。
BASが解決するのはまさにこの「防御の鮮度」問題です。攻撃シナリオを継続的に更新し、常に最新の攻撃手法に対して自組織の防御が有効かどうかを確認できます。
BASの仕組み:3つの評価モード
BASには評価対象に応じて3つの主なモードがあります。
1. エンドポイント評価
PCやサーバーなどのエンドポイントに対して、実際のマルウェアの振る舞いを模倣した安全なシミュレーションコードを実行します。EDRが正しく検知・隔離できるかを確認します。
評価の観点:
- マルウェアのプロセス実行・インジェクションを検知できるか
- 横展開(ラテラルムーブメント)の試みを遮断できるか
- 認証情報の窃取行為(クレデンシャルダンピング)を検知できるか
2. ネットワーク評価
ネットワーク上を流れる攻撃トラフィックを再現し、ファイアウォール・IDS/IPS・プロキシが適切にブロックできているかを確認します。
評価の観点:
- C2(コマンド&コントロール)通信を検知・遮断できるか
- データ持ち出し(データ・エクスフィルトレーション)トラフィックを検出できるか
- 既知の悪性ドメインへの通信をブロックできるか
3. フィッシング・メール評価
実際のフィッシングメールに近い形式のメールを送信し、従業員の開封率・クリック率とともに、メールセキュリティゲートウェイがどの程度フィルタリングできているかを評価します。
BASのシミュレーションは「無害化」された模倣コードを使用するため、実際のシステムに被害を与えることなく安全に実施できます。本番環境での実施が可能な点もBASの大きな特長です。
ペネトレーションテスト・脆弱性診断・BASの違い
この3つは「セキュリティを評価するサービス」という点で共通していますが、目的・アプローチ・成果物が大きく異なります。
比較項目 | 脆弱性診断 | ペネトレーションテスト | BAS |
|---|---|---|---|
目的 | 脆弱性の発見・リストアップ | 実際に侵入できるかの証明 | 防御体制の実効性を定量評価 |
アプローチ | 網羅的・広範囲 | 目的指向・深掘り型 | 自動・継続・シナリオベース |
実施頻度 | 定期的(半期・年次) | 単発(重要システム前など) | 継続的(月次・四半期・随時) |
実施者 | 専門エンジニアまたはツール | 専門エンジニア(人手) | 主に自動化ツール(専門家が設定) |
成果物 | 脆弱性一覧・優先度・推奨対策 | 侵入証跡・攻撃タイムライン | 防御カバレッジスコア・ギャップレポート |
費用 | 比較的低コスト | 規模・シナリオにより変動 | ツール費+設定費(継続利用型) |
向いているケース | 定期チェック・リリース前 | 経営判断前・重要資産の証明 | 防御ツールの効果測定・継続的改善 |
3つを組み合わせるのが理想
BASはペネトレーションテストの代替ではなく、補完的な関係にあります。
- 脆弱性診断で「どこに穴があるか」を発見
- ペネトレーションテストで「その穴から本当に侵入できるか」を証明
- BASで「防御ツールが攻撃を検知・ブロックできているか」を継続的に確認
3つを組み合わせることで、「発見→証明→継続改善」というセキュリティのPDCAサイクルが完成します。
BASとMITRE ATT&CK:なぜこのフレームワークが重要か
BASの多くはMITRE ATT&CK(マイター・アタック)フレームワークに準拠して設計されています。
MITRE ATT&CKとは、米国の非営利研究機関MITREが公開している、実際のサイバー攻撃で観測された「戦術(Tactic)・技術(Technique)・手順(Procedure)」のナレッジベースです。2025年時点で14の戦術・200以上の技術・数千のサブテクニックが網羅されており、世界中のセキュリティチームが共通言語として使用しています。
BASがMITRE ATT&CKを活用することで、以下が可能になります。
防御のカバレッジが「見える化」される:
「ATT&CKの技術のうち、自社の防御スタックで検知・ブロックできているのは何%か」という形でスコア化されます。たとえば「初期アクセス(Initial Access)のうち73%をカバーできている」「横展開(Lateral Movement)は41%しかカバーできていない」といった具合に、防御の弱点が一目瞭然になります。
攻撃グループ別のシミュレーションができる:
MITRE ATT&CKには、実際の攻撃グループ(APT)がどの技術を使うかのマッピングデータがあります。BASを使えば「自組織を狙う可能性のある脅威アクターと同じ手法でシミュレーションする」ことができます。
MITRE ATT&CKのカバレッジ率が高いほど安全というわけではありません。自組織の業界・資産・脅威モデルに合わせて優先すべき技術を選定することが重要です。
BASが特に必要な企業・組織の特徴
以下に当てはまる場合、BASの導入を検討するタイミングです。
1. EDRやSIEMを導入済みだが、効果を測定できていない
防御ツールを導入した後、「本当に機能しているか」を確認する手段がなければ投資対効果が不明なままです。BASはこの評価を定量的に行います。
2. 年1回のペネトレーションテストだけでは不安になってきた
1回のペンテストで「合格」しても、その後に新たな攻撃手法や設定変更によって防御に穴が開いている可能性があります。継続的な評価が必要だと感じている組織に向いています。
3. 金融庁・経産省ガイドラインへの対応を求められている
2024年10月に公表された金融庁サイバーセキュリティガイドラインでは、ペネトレーションテストやTLPT(脅威ベースのペネトレーションテスト)への対応が「望ましい事項」として明記されました。BASはこうした規制対応の文脈でも活用されています。
4. セキュリティチームがアラートの大量発生(アラート疲れ)に悩んでいる
SIEMやEDRが大量のアラートを発生させ、優先度の判断ができなくなっているケースがあります。BASを使うと「実際の攻撃で使われる手法のうち、どのアラートが本当に重要か」を整理できます。
5. セキュリティの成熟度を上げたい大企業・金融機関・重要インフラ事業者
脆弱性診断・ペンテストを一通り実施し、次のステップとして防御の高度化・自動化を目指している組織に適しています。
BASの導入ステップと費用感
導入ステップ
Step 1:現状の防御スタックの棚卸し
BASでシミュレーションする前に、現在どのような防御ツールが稼働しているかを整理します(EDR・SIEM・FW・プロキシ・SOCの有無など)。
Step 2:脅威モデルの定義
自組織にとって最も現実的な脅威は何かを定義します。業界・規模・保有データに応じて、優先すべきMITRE ATT&CK技術カテゴリが変わります。
Step 3:初回シミュレーションの実施
BASツールを対象環境に展開し、定義した攻撃シナリオを実行します。初回の結果がベースライン(現状値)になります。
Step 4:ギャップ分析と防御の改善
「検知できなかった攻撃技術」を優先度付けし、EDRのポリシー調整・SIEM検知ルールの追加・ファイアウォール設定の見直しなどを実施します。
Step 5:継続的なシミュレーションと改善サイクル
改善後に再度シミュレーションを実施し、スコアの変化を確認します。この「評価→改善→再評価」サイクルを継続することがBASの本質的な価値です。
費用感
BASの費用は、使用するツール・評価対象の規模・実施頻度によって変わります。大まかな目安として、初回セットアップ費用と月次・四半期ごとの継続利用費用が発生する形式が一般的です。
費用対効果の観点では、「年1回のペネトレーションテストを補完する継続的な評価手段」として位置づけると検討しやすいです。ペンテスト単発の費用と比較しながら、年間のセキュリティ評価予算の中でどう配分するかを検討することをおすすめします。
詳細な費用はシステム構成・評価範囲によって異なるため、AEVUSへの無料相談でご確認ください。
BASの導入・ペネトレーションテストとの組み合わせについて、専門家に相談したい方はこちらからどうぞ。
よくある質問(FAQ)
Q1. BASとレッドチーム演習の違いは何ですか?
BASは攻撃シナリオを自動的に実行するのに対し、レッドチーム演習はセキュリティ専門家が人手で攻撃者を模倣します。BASはカバレッジの広さと継続性が強みで、レッドチームは創造的な攻撃経路の発見や経営層向けの実証に強みがあります。理想的には、BASで継続評価しながら、年1回程度レッドチーム演習を実施するという組み合わせが効果的です。
Q2. 本番環境で実施しても問題ありませんか?
BASのシミュレーションは実際のマルウェアではなく「無害化」されたコードを使用するため、本番環境への影響は最小限に抑えられます。ただし、対象環境や実施内容によってはリスクがゼロではないため、事前に導入支援ベンダーと十分な確認を行うことが重要です。AEVUSでは事前ヒアリングで環境を確認した上で実施範囲を設計します。
Q3. EDRやSIEMを持っていない企業でも意味がありますか?
EDR・SIEMなどの防御ツールを持っていない場合、BASの評価対象がなくなるため効果は限定的です。まずは基本的な防御ツールの導入・脆弱性診断の実施を優先することをおすすめします。BASは「防御ツールを導入した後、それが機能しているか確認する」フェーズで最も効果を発揮します。
Q4. どのくらいの頻度でシミュレーションを実施すべきですか?
推奨は月次または四半期ごとです。攻撃手法の更新・社内ネットワーク構成の変更・新たなツールの導入などがあった際には、都度実施することが望ましいです。初回はベースラインの確立のために詳細なシミュレーションを実施し、その後は継続的なモニタリングに移行するパターンが一般的です。
Q5. 中堅企業でも導入できますか?大企業向けのサービスですか?
BASはもともと大企業・金融機関向けのサービスとして発展してきましたが、近年はクラウド型ツールの普及により中堅企業でも導入しやすくなっています。EDRやSOCを持つ中堅企業であれば、費用対効果が十分見込める場合があります。規模感についてはAEVUSにご相談ください。
Q6. BASの結果レポートは経営層への報告に使えますか?
はい、BASの主要な成果のひとつは「防御カバレッジのスコア化」です。「自社の防御体制はMITRE ATT&CKの攻撃技術に対してX%をカバーしている」「前回比でY%改善した」という形で経営層に説明できるため、セキュリティ投資の効果を可視化する手段として有効です。
Q7. ペネトレーションテストを実施済みの場合、BASも必要ですか?
ペネトレーションテストは「ある時点での侵入可否」を証明しますが、その後に設定変更・新規ツール導入・パッチ適用などが行われると、評価結果が変わる可能性があります。BASはペンテストの代替ではなく「ペンテストの実施後も継続的に防御を確認し続ける仕組み」として機能します。両方を組み合わせることで、セキュリティ評価の継続性と深度の両立ができます。
まとめ
この記事では、BAS(Breach and Attack Simulation、侵害シミュレーション)について以下の内容を解説しました。
- BASとは:実際の攻撃シナリオを自動的に模倣し、防御体制の実効性を継続的・定量的に評価するサービス
- 注目される背景:セキュリティ投資の「効果の可視化」ニーズ、攻撃の多様化・自動化への対応
- 3つの評価モード:エンドポイント・ネットワーク・フィッシング
- ペンテスト・脆弱性診断との違い:BASは「継続的な防御確認」、ペンテストは「侵入可否の証明」と役割が異なる
- MITRE ATT&CKとの関係:防御カバレッジをスコア化・可視化するための共通フレームワーク
- 向いている組織:EDR・SIEMを導入済みで効果測定できていない企業、継続的なセキュリティ改善を目指す組織
「ツールを導入した」から「ツールが機能していることを証明できる」へ——BASはそのための重要な一歩です。
AEVUSでは、BASの初回相談から環境設計・実施・改善提案まで一貫して支援しています。「自社に必要かどうかまだわからない」という段階のご相談も無料でお受けしています。
主要BASプラットフォーム 機能・特徴比較【2026年版】
国内企業が検討しやすい主要BASプラットフォームの特徴を比較します。いずれも評価版(PoC)提供が可能なため、本格導入前に自社環境での検証を推奨します。
製品・サービス | 提供形態 | ATT&CKカバレッジ | 強み | 注意点 |
|---|---|---|---|---|
Palo Alto Cortex BAS | SaaS | 高(継続更新) | Cortex XDRとの統合・自動対応連携が強力 | Palo Alto製品との親和性が前提 |
Cymulate | SaaS | 高(1,000+テクニック) | フィッシング・エンドポイント・ネットワークを網羅。日本語対応あり | シナリオ数が多くレポートが複雑になりがち |
SafeBreach | SaaS | 高 | ハッカーのプレイブック数が業界最多クラス。CISO向けダッシュボード充実 | 国内サポート体制は限定的 |
AttackIQ | SaaS・オンプレ両対応 | 中〜高 | MITRE ATT&CKとの整合性が高く米国政府機関・金融機関での採用実績 | カスタムシナリオ作成には技術スキルが必要 |
国内MDRベンダー提供BAS | マネージドサービス | 中 | 日本語サポート・日本の脅威インテリジェンス・SOCとの一体運用 | 海外ツールと比べシナリオ数・更新頻度が劣る場合あり |
BAS・ペネトレーションテスト・レッドチーム・パープルチームの比較
評価手法 | 頻度 | コスト | 自動化度 | 人的創造性 | 適した用途 |
|---|---|---|---|---|---|
脆弱性診断 | 年1〜2回 | 低〜中 | 高(スキャナー中心) | 低 | 既知の脆弱性の網羅的な発見 |
ペネトレーションテスト | 年1〜2回 | 中〜高 | 中(手動中心) | 高 | 特定システムへの侵入可能性の検証 |
BAS | 継続(週次・月次) | 中(サブスク) | 非常に高 | 低(シナリオ範囲内) | 防御ツールの継続的・定量的な有効性検証 |
レッドチーム演習 | 年1回程度 | 非常に高 | 低(完全手動) | 非常に高 | 高度な標的型攻撃への組織全体の対応能力評価 |
パープルチーム演習 | 年1〜2回 | 高 | 低〜中 | 高 | 攻撃・防御チームが協働してTTPを改善 |
BASは「継続的・自動的な計測」に特化しており、ペネトレーションテストやレッドチームが「点検」とすれば、BASは「常時モニタリング」に相当します。セキュリティ成熟度の高い組織では、BASで継続監視しながら年1回のレッドチーム演習で人的創造性による高度なシナリオを検証する組み合わせを採用しています。
BAS導入を成功させるための3つの前提条件
1. EDRまたはSIEMが導入済みであること
BASはあくまで「既存の防御ツールがどれだけ機能しているか」を測定するツールです。EDR・SIEM・NDR等の防御ツールが何もない環境でBASを実行しても、「検出率0%」という当然の結果が出るだけで改善につなげられません。まず最低限のエンドポイント保護(EDR)とログ収集基盤を整えることがBAS導入の前提です。
2. シナリオを更新し続ける運用体制
BASの価値は「継続的な計測」にあります。導入初期に設定したシナリオを1年以上更新しないまま「毎月同じシナリオでスキャン→検出率は高い」という運用を続けると、最新の攻撃手法への防御が確認されないまま安心してしまうリスクがあります。四半期に1回以上、最新のCISA KEV(Known Exploited Vulnerabilities)やベンダー脅威レポートを参照してシナリオを更新する体制が必要です。
3. 結果を改善アクションにつなげるプロセス
BASのダッシュボードに「未検出ATT&CKテクニック:47件」と表示されていても、その情報をEDRポリシー担当やSIEM運用チームに伝えるプロセスがなければスコアは改善されません。BASの未検出テクニックを起点に、担当者・対応方針・期限を決めたチケットを発行するプロセスを確立することが導入効果を最大化するカギです。
