サイバーセキュリティの2大問題高度化する攻撃と人材不足に対応するMDRとは？

中西氏

【図1】にそれぞれの特徴を示しました。「FFRI yarai」は、インシデントレスポンスやふるまい検知のエンジンを搭載しているため、NGAVの要素が一番濃く最も力を入れていますが、それぞれのいいとこ取りをしています。そういう意味では、すでに「FFRI yarai」をEDRに分類しても差し支えないかもしれません。市場を見ても、すでにアンチウイルス（Anti-Virus：以下：AV）やEDRだけの機能を搭載した製品は淘汰され、それぞれの機能を兼ね備えた製品が主流です。

2024年にリリースした「IOAレコード」機能は、検知したふるまいの中で悪意を持った挙動だと考えられる痕跡を記録します。まさにEDRに該当する機能です。現状は記録するのみで、自動ブロックには対応していませんが、開発のロードマップに組み込んでいます。今後は、よりEDRの特徴を取り込んだサービスになっていく予定です。

中西氏

アップデート作業の頻度が少なく、運用がシンプルなところです。AVのようなパターンマッチングの製品は、データを更新するために頻繁なアップデートが必要で、更新漏れがないかをチェックする作業も発生します。少しでも運用コストを下げたいというのは、規模や業種に関係なく、共通の思いです。そして、当然ですが世の中で話題になっている攻撃をブロックしている結果をご覧になると喜ばれます。

また、脆弱性対策に注力しても避けられない、ゼロデイのような未知の攻撃に対しての効果を期待できる点も、ふるまい検知技術を搭載した「FFRI yarai」が選ばれる理由です。

中西氏

MDRが必要とされるようになった背景の一つは、攻撃手法の変化です。近年の主流は、OSの正規のファイルを悪用する環境寄生型と呼ばれるLiving off the landに変わっています。これらの攻撃は、AVやNGAV、EDRなどのエンドポイントセキュリティの検知を回避しやすく、攻撃者にとってはメリットが大きいといえるでしょう。さらに、エンドポイントセキュリティのプロセスを停止して監視機能を無力化する攻撃も増加しています。専門的な知識を持った人材の確保が難しい一般の組織では、攻撃からの防御がこれまで以上に難しくなりました。

そこで求められるようになったのが、MDRです。高度な技術と専門知識を持ったセキュリティのプロによる、脅威の監視・検知・分析から、インシデント発生時の対応まで一貫して提供します。MDRが提供されるようになった当初は、エンドポイントセキュリティのメーカーが提供するサービスでした。自社で開発した製品をマネジメントするサービスですから、ほかのどこよりもプロフェッショナルなサービスを提供しているといえます。

中西氏

一言でSOCサービスといっても、その内容は多種多様です。AVが検知したマルウェアしか対応範囲に含まないサービスもあれば、EDRのログを分析して、悪意を持ったふるまいを見つけ出すところまで提供しているサービスもあります。MDRをシンプルに考えるなら、SOCという大きな枠に含まれていると考えて構いません。つまり、サービス提供ベンダーが、MDRまで対応できる体制を有し、サービスとして提供しているか。さらに、契約しているSOCサービスにMDRが含まれているか次第です。

SOCは、ネットワークやデバイスを24時間365日体制で監視します。従来は、サイバー攻撃を検知したら、分析結果を基にアドバイスするところまでが提供範囲でした。現在は、エンドポイントまで対応できるサービス提供事業者の増加と、ネットワークまで対応できるMDR/XDRサービス提供事業者の増加により、境界がなくなりつつあります。

中西氏

「FFRI yarai」の特徴の一つは、他社のAVとお互い邪魔せず同じ環境に同居できることです。当社の品質保証部が検証した他社製品は、Webサイトの「FFRI yarai システム要件」ページで公開していますので、ぜひご確認ください。「FMS」ではMicrosoft Defenderの検知内容もモニタリング対象に含んでいるため、過検知が疑われる際にはお客様から検体をお預かりして、安全性を確認するところまで対応します。「FFRI yarai」の管理コンソール「FFRI AMC」で、Microsoft Defenderの稼働状況や脅威検知情報の確認、シグネチャアップデートなど「FFRI yarai」と同様の管理や監視が可能です。

中西氏

そのとおりです。先ほど申し上げたように、攻撃者は自分たちに都合の悪いサービスを停止しますから、検知されることなく自由に活動できます。今後の対策には、このようなEDRによるブロックが難しい状況の考慮が必要です。

ファイルレスマルウェアに対抗するには、ふるまいの分析が欠かせませんが、そもそも正規のファイルを悪用しているため、ほかの正しい処理が含まれた大量のログから見つけ出す必要があります。この作業は、専門的な知識がなければ不可能ですから、MDRを頼っていただきたいですね。

中西氏

お客様との商談で、必ずと言っていいほど出るのがその話です。多くの組織では、投資した資本に対してどれだけの利益が生じたかを示す指標、ROI（Return on Investment）を意識されています。自前でアラートの分析ができるアナリストを採用するコストに比べると、定額の利用料で契約できるサブスクリプションモデルのMDRやSOCにコストメリットを感じていただけるようです。

中西氏

SOCを自前で運用される企業の多くが、システムトラブルへの対応もSOC担当者に任されています。残念ながら、ソフトウェアやハードウェアが何の問題もなく動き続けることは考えられません。多くの組織で、環境への依存やOSのバージョンアップに伴うトラブルなど、何かしら問題が発生します。また、セキュリティ製品では避けられない、過検知・誤検知の問題に対処するのもSOC担当者です。しかし、それらに関わるコストや労力まで考慮されている企業は多くありません。

実はMDRを採用すれば、少なくともその大半から解放されます。なぜなら、MDRのアナリストが代わって対応するからです。あるセキュリティベンダーが公開している調査結果を見ると、SOC担当者の57％がデータ管理のギャップから調査管理のための貴重な時間が奪われていると感じ、55％が多すぎる過検知・誤検知に何かしら対処する必要性を感じると回答しています。そういった現場の方々の運用負荷の軽減に役立つのがMDRです。

中西氏

「FFRI yarai」には、当社への検体送付から分析までを自動で行う「自動検体解析システム」があります。システムでは白黒判定できず分析しきれなかった場合、アナリストによる解析も実施します。最終判定までの間は、同じ検体を検知するとブロックし続けますが、再検証で過検知と判定すれば、自動的に例外リストに登録されるのでその後は検知されません。初めから単なる過検知と切り捨てることは、重大な侵入の見逃しにつながります。検知エンジンを過信せず、自動で検体を再解析し判定できるシステムと、アナリストによる解析がセットになったサービスは、お客様から高評価をいただいています。

中西氏

国内のセキュリティ市場は、海外製品・サービスへの依存度が高い状況が続いていますが、それらが収集したデータの送信先は海外です。国内でデータを分析できれば、新たな国産製品の創出や技術研究、人材育成に活用できるのはもちろん、日本の法人に役立つ対策への活用が期待できます。しかし、海外では日本に特化した対応が難しいことは想像に難くありません。私どもでは、当社製品が収集した情報を分析した脅威情報を、高い透明性を持ってお客様に共有するとともに、製品開発にフィードバックしています。日本のセキュリティ自給率^※向上に寄与することも国産ベンダーとしての使命です。

• 株式会社ＦＦＲＩセキュリティは、NICTの推進するサイバーセキュリティ情報収集・分析に係る実証事業に参加しています。https://cynex.nict.go.jp/interview/cynex.html

中西氏

「FMS」のお客様には、分析結果を月次レポートとしてお渡ししていますが、状況はその月によって変化します。【図2】はFFRI yaraiで検知されたマルウェアの統計ですが、2025年8月のトップ3を抜き出したものです。その中でも「Mimic」は、リモートデスクトップを介した侵入や横展開を行い、Windows用ファイル名検索エンジンを悪用します。NetScanやMimikatzによる認証情報の取得だけでなく、Microsoft Defenderを無効化し、オンラインストレージサービスにデータを持ち出した後、痕跡を削除するといった複雑な侵害チェーンを組んでいる点も特徴です。

中西氏

かなり以前から注意喚起されていましたが、FakeUpdateも悪用するClickFixには注意が必要です。Webサイトにログインしようとする際、人間とbot（自動プログラム）を判別するために、画面に「私はロボットではありません」と表示されることがありますよね。ほとんどの方は、ためらうことなくチェックボックスをクリックされていると思います。合わせて、PowerShellスクリプトなどを使った悪意あるコマンドを、ユーザーが自らの手で実行するよう仕向けた手口が使われます。これは攻撃者が用意した偽の画面でreCAPTCHAというセキュリティサービスを利用したソーシャルエンジニアリングの一つです。このタイプの攻撃は、ユーザー自身に実行させていることから、エンドポイントセキュリティでの検知が困難なケースもあります。

中西氏

そうです。インフォスティーラーはCookieを盗むことで多要素認証をすり抜けるなど、あらゆる情報を盗んでいきます。証券各社は、多要素認証の導入など相次いで対策に乗り出していますが、依然として完全に安心できる状況にはなっていません。また、証券口座の乗っ取りだけがインフォスティーラーによる被害ではありませんから、自組織への被害を防ぐためにも従業員への注意喚起が必要です。

中西氏

実際にそのように活用されているお客様もいらっしゃいます。レポートには、検体の解析結果だけでなく、話題になっている攻撃について解説する、今月のホットトピックスをご紹介するコーナーもあり、従業員への注意喚起用の資料として利用しやすいと感じていただけているようです。

「FMS」をご利用のお客様には、高いレベルのセキュリティ意識を持っていただきたいと考えていますので、アップデートの内容を説明する資料の送付はもちろん、年に1回、振り返りミーティングを実施します。内容は、検知した検体についての報告やインシデントの説明だけでなく、運用上改善すべきポイントのアドバイスや市場動向についての解説など、多岐にわたります。時々チケットの対応が滞ってしまうお客様がいますが、被害を受けてしまうのはお客様ですから、何度でも連絡します。私どもが目指すのは、お客様から“しつこい”と思われるくらいのMDR提供ベンダーです。

中西氏

「MDRプラスパック」は、SKYSEA Client Viewが収集したログも分析対象に含みますから、より短時間で詳しい分析が可能になります。プロのアナリストにとっても、時系列に並んでいるSKYSEA Client Viewのログは、解析の効率化に役立つと感じているようです。

また、MDRのサービスを含まない「FFRI yarai」との連携オプション「EDRプラスパック」を契約されているお客様からは、確認作業が一つの管理コンソールで完結できる点をメリットに挙げられることが多いですね。使い慣れたSKYSEA Client Viewの管理コンソールで、「FFRI yarai」が検知した結果も含めて時系列で確認できることは、お客様にとっても効率化につながります。このメリットは、「MDRプラスパック」も同様です。お忙しいセキュリティ担当者にとって、日々いくつものシステムを立ち上げ、それぞれを横断してチェックすることは負担に感じられる作業ですから、多くのお客様にこのメリットを感じていただけたらと思います。

中西氏

今回、主に侵入されることを前提としてお話ししました。ウイルス対策が最新の状態で適切に動作する環境が継続できていることはもちろんですが、そもそも侵入されなければ被害は発生しません。侵入されないためには、資産管理や構成管理をあらためて確認し、脆弱性管理の強化も重要です。その際、運用保守の委託契約を見直すことも必要になるかもしれません。

また、アクセス権について、今一度見直しをお願いします。攻撃者に管理者権限を奪われないために、特権管理の権限は最小限にしましょう。アクセス権は“鍵の配布”と同じ。誰にでも配るのではなく、必要な人にだけ渡す。それが安全の基本です。さらに、従業員のミスを責めないことも報告しやすい組織を作るためには重要です。従業員への教育を徹底するだけではミスは防げませんから、ミスが多いと感じたら、仕組みを見直す時期かもしれません。

しかし、それでも100％侵入を防げるわけではありません。脆弱性を悪用されたり、ソーシャルエンジニアリングでの侵入に備え、異常行動を見つけるだけでなく、その後のシステム管理者の対応まで支援するMDRの導入もご検討ください。