【セミナーレポート】アンチマルウェアの仕組みから考える「既存防御の限界」—「多層防御」構造が持つセキュリティ対策の可能性とは—

サイバーセキュリティラボでは、中堅・中小企業向けに、サイバーセキュリティに関する情報発信の場としてセミナーを不定期開催しています。

2025年10月22日（水）には「多層防御」をテーマにセミナーを実施いたしました。

第一部では、アルテリア・ネットワークス株式会社の越智氏より、多層防御の全体像と進め方について紹介いただきました。第二部では、サイバーセキュリティラボ エヴァンジェリストの髙橋にて、サイバー攻撃の現状とEPP／EDRの役割、振る舞い検知の仕組み、EDRが持つ課題、そして今後必要になるセキュリティ対策について解説しました。

本記事ではセミナーの内容を一部抜粋してお届けします。アーカイブ配信も行っておりますので、ぜひご覧ください↓

^{※本記事の内容は、セミナー開催時点の情報です。}

第一部では、ゼロトラストの概念に基づいた多層防御の全体像と、その実現に不可欠な脆弱性診断の活用法について解説します。

まず、現代のサイバー攻撃に対応するために不可欠な「ゼロトラスト」の概念とそれを実現するための多層防御の考え方を解説していきます。

ゼロトラストとは、「誰も信頼しない」を前提としたセキュリティ対策モデルです。クラウドサービスの利用増加、社外アクセスやデバイスの多様化、内部不正による情報漏えいの増加といった背景から普及しました。

NIST（米国国立標準技術研究所）が提唱する「ゼロトラスト・アーキテクチャ」では、「ネットワークの場所に関わらず通信を保護すること」「組織が保有する全デバイスの継続的な監視」「アクセス許可前の厳密な検証と認可」などの原則が挙げられています。これらは、従来のセキュリティソリューションのみでは対応が困難で、多層防御が必要と考えられています。

ゼロトラストの考え方を取り入れた包括的なセキュリティソリューションを以下の4要素に分類しました。これらを組み合わせることで有効的な多層防御がかないます。

ユーザーやその権限の管理を厳格に行い、不正アクセスを防ぎます。

端末のセキュリティ状態を常に監視し、脅威から保護します。

ネットワーク全体のログを収集・分析し、異常を早期に検知して対応します。

外部との接続点や内部の通信を監視・制御し、セキュアなアクセス環境を提供します。

当日のセミナーでは、ゼロトラストの要素を含む具体的なネットワーク構成例もご紹介しました。

アーカイブ配信は以下よりご覧いただけます。

多層防御を検討する上では、自社のセキュリティリスクを正確に把握する必要があります。そこで有効できるのが「脆弱性診断」です。診断対象は、主にネットワークやWebサイトがありますが、今回はネットワーク脆弱性診断に焦点を当ててご紹介していきます。

ネットワーク脆弱性診断とは、ネットワーク機器やシステムに潜む「弱点＝脆弱性」を発見する調査で、自社のセキュリティリスクを外部・内部双方の観点から診断できます。内部ネットワークの安全確保、法令遵守と信頼性向上、攻撃手法の高度化への対応、セキュリティ対策の優先順位付けのために必要とされます。

ネットワーク脆弱性診断では以下のような内容がわかります。

これらの結果をもとに、セキュリティの現状を把握することで必要なセキュリティ対策が明確になり、効果的な対策を進めることができます。

サイバーセキュリティラボを運営するUSEN ICT Solutionsでも「脆弱性診断」を提供していますので、ご興味のある方は以下サービスページをご覧ください。

第二部では、サイバー攻撃の現状とEPP／EDRの役割について掘り下げ、特にEDRの振る舞い検知の仕組みと、それが持つ技術的な課題、そして今後のセキュリティ対策の基本的な考え方について解説します。

攻撃者は好きなタイミングで様々な手法を使い制約なく攻撃を仕掛けることができます。対して防御側は限られたリソースで常に守り続けなければならず、一点でも突破されたらそこから攻撃が広がってしまうという非常に不利な状況に置かれています。

さらに、攻撃手法は日々進化しており、AIによる攻撃の自動化やダークウェブの活用が進んでいるため、防御側も防御手法を進化させる必要があります。

従来のアンチウイルスは、組織の内外に境界を設けその境界を防御することで、既知のマルウェアを内部に侵入させない「境界防御」が主流でした。しかしサイバー攻撃が高度化・多様化する中で、毎日何十万と生まれる未知のマルウェアを管理することは現実的では無くなり境界防御だけでは不十分となりました。そこで生まれたのが、怪しい動きそのものを検知する振る舞い検知を備えたNGAV（次世代型アンチウイルス）です。

また侵入を完全に防ぐことはできないという前提に基づき、侵入後の検知を行うEDRも登場しました。これはゼロトラストの考え方に基づいた防御策であり、セキュリティの要とされています。

EDRの振る舞い検知の仕組みについて技術的な側面をご紹介します。

Windows OS は、主に「ユーザーモード」（アプリケーション実行環境）と「カーネルモード」（システム中核部）の二層で構成されています。

ほぼすべてのシステム操作は、最終的にntdll.dll（ダイナミックリンクライブラリ）を介してカーネルモードに命令を渡します。多くのEDR製品は、このntdll.dllのAPIに「フック（Hooking）」をかけ、システムコールが実行される前に監視カメラのように挙動を監視します。

フックとは、プログラムの流れを一時的にEDRが用意した別の領域（トランポリン領域）にジャンプさせ、そこで挙動を調査し、怪しければ停止させる仕組みです。

具体的には、ntdll.dllの命令列にjmp（ジャンプ）命令を挿入し、EDRのトランポリン領域へ処理を飛ばします。そこでプログラムの挙動をサンドボックス的に検知し、問題なければ再びjmp命令で元のAPIに戻します。

次に、EDR製品ごとの検知性能と機能差を見ていきましょう。

EDRは製品によってパフォーマンスが異なるという事実があります。以下は MITRE ATT&CK Evaluations にて行った各製品の比較評価です。

MITRE ATT&CK Evaluations とは、米国の非営利研究機関である MITRE が実際の攻撃シナリオ（例：LockBit、DPRK、CLOPなど）を再現し、各EDR製品がどのアクションにどの程度反応できたかを比較評価するプログラムです。

ある製品では全ての攻撃を「Critical」として検知できた一方で、別の製品では検知のアラートレベルが異なったり、一部の攻撃を検知できなかったりと、製品ごとに得意・不得意の差が大きく、検知ロジックやベンダーの技術力に依存することが明らかになっています。

サイバー攻撃はビジネス化・自動化されており、攻撃者グループは自動スキャンを日常的に行い、そこで得た脆弱な企業情報をリスト化してダークウェブ上で売買しています。

このリストには「セキュリティ対策が甘い」企業の情報が並び、リストを購入した別の攻撃者が自動スクリプトで攻撃を仕掛けます。つまり、攻撃者の「意志」とは関係なく、脆弱な企業は誰でも標的となります。

2025年10月現在、世間を騒がせている「Qilin」では、LOLBAS^※1やBYOVD^※2といった高度な手法が当たり前のように使われています。

^{※1 LOLBAS（Living Off the Land Binaries and Scripts）：LotL（Living off the Land）攻撃の一種。Windows にあらかじめ搭載されている正規の実行ファイル（バイナリ）だけでなく、スクリプトやDLLなども含めて悪用する手法を総称したもの。
※2 BYOVD（Bring Your Own Vulnerable Driver）：脆弱性を持つドライバーを悪用してシステムへの権限を奪取する攻撃手法。}

Qilin については以下の記事でも詳しくまとめていますので、あわせて確認してみてください。

また、サイバー攻撃に先立ち、少なくとも一年以上前から情報窃取が行われていたというケースも発生しています。このような計画的な犯行を全て検知し防ぐことはもはや不可能なため「侵入される前提での対策」が重要となります。

しかし、ゼロトラストのような大規模な投資をすぐに実現できる企業は多くありません。特に中小企業では、限られたリソースの中で優先順位をつける必要があります。

従業員が日常的に触れるエンドポイント端末は最もリスクが高い領域であるため、ここを中心に防御を固めることが現実的です。EDRの基盤をしっかり整えた上で、段階的にゼロトラストの考え方に基づいた多層防御を広げていくことが推奨されます。

サイバーセキュリティラボを運営するUSEN ICT Solutionsでは、複数のEDR製品を取り扱っています。お客様の環境やご要望に合わせて、最適なソリューションを提案いたします。