AIを活用する攻撃者が
前年比で89%も増加
前年比で89%も増加
セキュリティー企業のクラウドストライクは毎年、世界の脅威動向を調査して報告書にまとめている。最新版である「2026年版グローバル脅威レポート」からは様々な脅威の傾向が見えてきた(図1)。
1つは「攻撃のスピード化」だ。AIを活用する攻撃者からの攻撃が前年比で89%も増え、正規アカウントを窃取して悪用する手法も定着した。これにより、2025年の金銭目的の攻撃者のブレークアウトタイム※は平均29分、最速で27秒まで縮んだ。「2024年と比べて平均65%も高速化しています。防御側が誤検知を選り分けている時間的な余裕はほとんどないのです」と同社の山田 彩乃氏は言う。
もう1つは「クロスドメイン攻撃の増加」である。攻撃者は、強固に守られているエンドポイントを避けつつ、アイデンティティ、SaaS、クラウド、管理されていないデバイスなどの守りの手薄なところを横断的に探して攻撃してくる。そして、それらをつなぎ合わせながら侵入経路を構築し、侵入活動を続ける。従来型のセキュリティーツールや運用体制は、このような複数領域をまたぐ攻撃手法への対応を前提として設計されていない。結果として、サイロ化したセキュリティー対策の隙間を突かれる形となっている。
「攻撃を受けるとセキュリティーツールはそれぞれアラートを発報します。しかし、多くの企業・組織には、大量のアラートを選別して詳細に分析するための時間や余力、知識が十分にありません。そのため、脅威の全体像を把握して先手を打つことができず、どうしても後手に回ってしまうのです」(山田氏)。それがサイバー攻撃の被害を右肩上がりに増加させている要因になっているという。
加えて、AIシステム自体を狙う攻撃も登場している(図2)。これらのリスクに網羅的に対応することが、不可欠といえるだろう。
クラウドストライク合同会社
セールスエンジニアリング本部
コーポレートSE部
コーポレートセールスエンジニア
セールスエンジニアリング本部
コーポレートSE部
コーポレートセールスエンジニア
山田 彩乃氏
もう1つは「クロスドメイン攻撃の増加」である。攻撃者は、強固に守られているエンドポイントを避けつつ、アイデンティティ、SaaS、クラウド、管理されていないデバイスなどの守りの手薄なところを横断的に探して攻撃してくる。そして、それらをつなぎ合わせながら侵入経路を構築し、侵入活動を続ける。従来型のセキュリティーツールや運用体制は、このような複数領域をまたぐ攻撃手法への対応を前提として設計されていない。結果として、サイロ化したセキュリティー対策の隙間を突かれる形となっている。
「攻撃を受けるとセキュリティーツールはそれぞれアラートを発報します。しかし、多くの企業・組織には、大量のアラートを選別して詳細に分析するための時間や余力、知識が十分にありません。そのため、脅威の全体像を把握して先手を打つことができず、どうしても後手に回ってしまうのです」(山田氏)。それがサイバー攻撃の被害を右肩上がりに増加させている要因になっているという。
加えて、AIシステム自体を狙う攻撃も登場している(図2)。これらのリスクに網羅的に対応することが、不可欠といえるだろう。
※サイバー攻撃者がシステムに侵入してから横展開(ラテラルムーブメント)を始めるまでの時間
脅威の検知、分析、対処を
1プラットフォームで実現
1プラットフォームで実現
猛烈なスピードでクロスドメイン攻撃を仕掛けてくる脅威に、どう対応するべきなのか。解決策となるのが、クラウドストライクの統合プラットフォーム「CrowdStrike Falcon® プラットフォーム」(以下、Falcon プラットフォーム)である。
「Falcon プラットフォームは、EDRやアイデンティティ保護、クラウドセキュリティーなどの幅広いセキュリティーモジュールを単一プラットフォームで提供しています。特に関心の高いモジュールの1つに次世代SIEM(Security Information and Event Management)がありますが、これは分散したセキュリティーデータやアラートを統合し、AIと自動化によって迅速な分析と対応を実現するものです」と山田氏は説明する。
同社のセキュリティー製品に限らず、サードパーティ製も含めたあらゆる製品・サービス、デバイスからログを収集し、脅威の検知、分析、対処を1つの管理コンソールで行えるようにする。これにより、クロスドメイン攻撃も追跡して迅速に可視化・対処することが可能だ。
具体的には、IDaaSやネットワーク機器、IaaS、PaaS、SaaS、エンドポイントデバイスなど、様々なツール/機器から上がってくる検知内容を管理コンソール上で紐付けて、瞬時に可視化したり、相関分析によって調査したりできる。「複数の領域の担当者がコラボレートして1つのインシデントに取り組むことも容易になります」と山田氏は話す。
これらのデータ活用と運用の高度化を支えているのが、プラットフォームに実装された生成AIアナリスト「CrowdStrike® Charlotte AI™︎」(以下、Charlotte AI)である。
Charlotte AIは、クラウドストライクが独自に収集・蓄積したセキュリティーデータセットを基に訓練されており、自然言語での質問に対してAIが文脈を理解し、調査、トリアージ、レポート作成など、様々なセキュリティー運用の自動化が可能だ。特に注目すべきは、AIエージェントによるワークフローの自動化機能で、このレベルの統合的な自動化を実現している企業は限られている。実際に確認された攻撃者の手法を学習することで、高精度に脅威を検知することが可能だ。
「アラートの優先順位付けや誤検知の判定支援を98%以上の精度で実行できます。これにより、平均して週40時間以上の人による作業を解消することが可能です。お客様は手動で重大リスクを選別する際の負担を軽減しながら、対処方法の検討・実施により多くの時間を充てられるようになります」と山田氏は述べる。
またCharlotte AIは、検知したアラートに対してコンテキストの分析やより踏み込んだ詳細調査なども自動で実行できる。例えば、ある端末でマルウエアがダウンロードされたことを検知した場合、それに関連するアクティビティが行われたかどうかの追跡調査と、結論の導出までをCharlotte AIが自動で行うことが可能だという。
さらにSOAR(Security Orchestration, Automation and Response)と連携すれば、事前に定義したシナリオやインシデントに対するアクションも自動化できる。能動的に脅威を探す脅威ハンティングの実施や脆弱性対応、インシデントの発生から調査結果までをレポートにまとめる作業も含めて、セキュリティーアナリストや管理者が実施するワークフローを自動化し、煩雑な運用を大幅に合理化することができるだろう。
「なお、Falcon プラットフォームの背後では、24時間体制の専門家チーム『CrowdStrike Falcon® Adversary OverWatch™︎』も稼働しています。AIと人の協働により、製品による機械的な検知からすり抜けてしまうようなステルス性の高い攻撃に対しても、人間のアナリストが能動的に脅威を見つけにいくことで脅威の早期発見を可能にします」と山田氏は強調する。
「Falcon プラットフォームは、EDRやアイデンティティ保護、クラウドセキュリティーなどの幅広いセキュリティーモジュールを単一プラットフォームで提供しています。特に関心の高いモジュールの1つに次世代SIEM(Security Information and Event Management)がありますが、これは分散したセキュリティーデータやアラートを統合し、AIと自動化によって迅速な分析と対応を実現するものです」と山田氏は説明する。
同社のセキュリティー製品に限らず、サードパーティ製も含めたあらゆる製品・サービス、デバイスからログを収集し、脅威の検知、分析、対処を1つの管理コンソールで行えるようにする。これにより、クロスドメイン攻撃も追跡して迅速に可視化・対処することが可能だ。
具体的には、IDaaSやネットワーク機器、IaaS、PaaS、SaaS、エンドポイントデバイスなど、様々なツール/機器から上がってくる検知内容を管理コンソール上で紐付けて、瞬時に可視化したり、相関分析によって調査したりできる。「複数の領域の担当者がコラボレートして1つのインシデントに取り組むことも容易になります」と山田氏は話す。
これらのデータ活用と運用の高度化を支えているのが、プラットフォームに実装された生成AIアナリスト「CrowdStrike® Charlotte AI™︎」(以下、Charlotte AI)である。
Charlotte AIは、クラウドストライクが独自に収集・蓄積したセキュリティーデータセットを基に訓練されており、自然言語での質問に対してAIが文脈を理解し、調査、トリアージ、レポート作成など、様々なセキュリティー運用の自動化が可能だ。特に注目すべきは、AIエージェントによるワークフローの自動化機能で、このレベルの統合的な自動化を実現している企業は限られている。実際に確認された攻撃者の手法を学習することで、高精度に脅威を検知することが可能だ。
「アラートの優先順位付けや誤検知の判定支援を98%以上の精度で実行できます。これにより、平均して週40時間以上の人による作業を解消することが可能です。お客様は手動で重大リスクを選別する際の負担を軽減しながら、対処方法の検討・実施により多くの時間を充てられるようになります」と山田氏は述べる。
またCharlotte AIは、検知したアラートに対してコンテキストの分析やより踏み込んだ詳細調査なども自動で実行できる。例えば、ある端末でマルウエアがダウンロードされたことを検知した場合、それに関連するアクティビティが行われたかどうかの追跡調査と、結論の導出までをCharlotte AIが自動で行うことが可能だという。
さらにSOAR(Security Orchestration, Automation and Response)と連携すれば、事前に定義したシナリオやインシデントに対するアクションも自動化できる。能動的に脅威を探す脅威ハンティングの実施や脆弱性対応、インシデントの発生から調査結果までをレポートにまとめる作業も含めて、セキュリティーアナリストや管理者が実施するワークフローを自動化し、煩雑な運用を大幅に合理化することができるだろう。
「なお、Falcon プラットフォームの背後では、24時間体制の専門家チーム『CrowdStrike Falcon® Adversary OverWatch™︎』も稼働しています。AIと人の協働により、製品による機械的な検知からすり抜けてしまうようなステルス性の高い攻撃に対しても、人間のアナリストが能動的に脅威を見つけにいくことで脅威の早期発見を可能にします」と山田氏は強調する。
24時間365日の
フルマネージドサービスも提供
フルマネージドサービスも提供
このようにFalcon プラットフォームは、高度なAIをフル活用することで、攻撃者を上回るスピードでの対策運用を可能にする。「ただ、現状ではまだ完全な自律運用レベルには達していません。やはり最後は責任を持った人間の判断が発生する領域が残っています」と山田氏は語る。例えば、サーバーのネットワーク隔離を実施する場合、検知の直後に自動でネットワーク隔離をすると多大な業務影響が発生する可能性がある。そういった状況では人間がセキュリティーと業務継続の最適なバランスを考えた上で、責任を持って判断することが必要だ。
そこで同社が提供するのが、専門家による24時間365日のマネージドサービス「CrowdStrike Falcon® Complete」だ。クラウドストライクの専門アナリストチームが、Falcon プラットフォームを用いた脅威の検知・分析から調査、封じ込め、修復(復旧)までを顧客に代わって実施する。環境によっては、ネットワーク隔離などを実施する前にIT管理者に承認を得てから隔離を実施するなど、業務影響とのバランスを考えた守り方が可能だ。セキュリティー対策そのものを専門家に任せたい、あるいは自社リソースでの運用に不安があるという企業にとって、心強いサービスといえるだろう。
攻撃のスピード化、クロスドメイン攻撃など、サイバー攻撃の手法がますます高度化する中、システムやセキュリティー対策環境のログ、各社個別の脅威状況を集約して対応することが、もはや必須の時代になりつつある。サイロ化したセキュリティー対策の課題を解決し、セキュリティー運用を一段高いレベルへ引き上げるために、AIネイティブな次世代SIEMの導入を検討してみることをお勧めする。
そこで同社が提供するのが、専門家による24時間365日のマネージドサービス「CrowdStrike Falcon® Complete」だ。クラウドストライクの専門アナリストチームが、Falcon プラットフォームを用いた脅威の検知・分析から調査、封じ込め、修復(復旧)までを顧客に代わって実施する。環境によっては、ネットワーク隔離などを実施する前にIT管理者に承認を得てから隔離を実施するなど、業務影響とのバランスを考えた守り方が可能だ。セキュリティー対策そのものを専門家に任せたい、あるいは自社リソースでの運用に不安があるという企業にとって、心強いサービスといえるだろう。
攻撃のスピード化、クロスドメイン攻撃など、サイバー攻撃の手法がますます高度化する中、システムやセキュリティー対策環境のログ、各社個別の脅威状況を集約して対応することが、もはや必須の時代になりつつある。サイロ化したセキュリティー対策の課題を解決し、セキュリティー運用を一段高いレベルへ引き上げるために、AIネイティブな次世代SIEMの導入を検討してみることをお勧めする。
