2025 年 6 月 11 日 Sam Manjarres 著

過去 1 年間で、サイバー犯罪者の活動は企業の境界部やインフラシステムの脆弱性を悪用する方向にシフトしています。攻撃のスピードもますます速くなっています。

2024 年の Google Threat Intelligence Group（GTIG）のデータによれば、ゼロデイ攻撃の 44％ が企業向けテクノロジに影響を与えており、これは 2023 年の 37％ から増加しています。さらに、これらの脅威の多くは、ファイアウォールや仮想プライベートネットワーク（VPN）、クラウドサービスに接続されたデバイスなど、セキュリティおよびネットワーク製品を標的にしていました。

攻撃対象がシフトしている理由

VPN、業務用ルータ、ロードバランサ、Web アプリケーションファイアウォール（WAF）などの境界セキュリティ機器は、高い権限を持っていることが一般的であるため、一度侵害されると攻撃者にネットワーク全体への広範なアクセスを許してしまいます。このようなデバイスは、ウイルス対策ソフトや、場合によってはエンドポイントに導入された EDR（エンドポイント検知・対応）ソリューションといった、従来のセキュリティツールの監視対象外で動作することも多くあります。そのため、セキュリティやネットワーク機器を標的にすることで、攻撃者は環境全体をさらに効率的に侵害でき、成功したエクスプロイトから得られるリターンも大きくなります。一方で、ブラウザやモバイルアプリを侵害する場合には、通常は個々のユーザへの影響のみにとどまるため、被害の規模は小さくなります。

こうした状況を踏まえ、企業は進化していく脆弱性の悪用が自社のセキュリティ体制にどのような影響を与えるのかを理解し、強化すべき領域を明確にする必要があります。

• パッチ管理の改善：
  攻撃者は、迅速かつ選別的に行動します。重要な脆弱性はすぐに悪用されるため、企業は特に重要なシステムに対し、パッチ適用の手順を改善する必要があります。
• 境界システムが攻撃された際の隔離：
  VPN やファイアウォールなどの技術には、多要素認証（MFA）、常時監視、そしてパッチが適用されるまでの一時的な防御（IPS ルールなど）が必要です。また、これらのデバイスは Active Directory による完全な制御からも隔離されるべきです。
• 監査と高度な検知：
  ハイブリッド環境では死角が増えるリスクがあります。オンプレミス環境とクラウド環境を接続している場合、可視性が複雑になります。社内ネットワークとクラウドの両方で監査とアラート生成を行い、不審なアクティビティを効果的に検出することが重要です。

XDR：防御の強化

境界からクラウドまで、脅威がさまざまな層をまたいで移動するような環境では、独立したツールを使っていると効果的な対応が困難です。だからこそ、複数の情報源からのシグナルを相関させ、攻撃パターンを検出し、迅速に対応するための統合的な視野が求められます。

XDR（拡張検知・対応）ソリューションは、エンドポイント、境界デバイス、クラウドサービスからのデータを統合し、インシデントの検知精度を高め、対応の迅速化を図ります。マネージドサービスプロバイダ（MSP）にとっても、XDR は複数の顧客環境を単一のプラットフォームから監視するための重要なツールです。これによって早期の脅威検知が可能になるだけでなく、分断されたシステムに頼ることなく連携的な封じ込め対応ができるため、ユーザのセキュリティ体制をより強固なものにすることができます。

XDR についてのさらなる詳細をお読みになりたい方は、以下の記事をご覧ください。

AI を活用した XDR：より高度なサイバーセキュリティへの一歩
How to Choose the Right XDR Provider for Your Organization（英語）
XDR を活用してより強力なマネージドサービスを構築
What is the Difference between XDR and SIEM?（英語）