TD SYNNEX
ブロードコムビジネス部門 セキュリティビジネス開発部
シニアプリセールスコンサルタント 片尾隆宏氏
中小企業を標的にしたデータ主導型の恐喝モデルが主流に
ランサムウェアをはじめとするサイバー攻撃手法の高度化に伴い、企業の被害が拡大している。標的は大企業にとどまらず、中小企業やサプライチェーン全体へと広がっており、今やあらゆる企業が標的となりうる状況だ。
2024年に猛威を振るった「LockBit」や「RansomHub」といったランサムウェアグループは、摘発や監視の強化により現在は活動が衰えている。ただし、脅威そのものが減少したわけではなく、再編や後継グループへの移行が進み、2025年だけで96以上の新たなグループが確認されている。攻撃者はより小規模化・分散化しつつあるようだ。
攻撃の手法も変化した。かつて主流だったファイルを暗号化して復号キーと引き換えに身代金を要求する手口は、現在では全体の半分以下にまで減少している。代わって主流となっているのが、機密情報の暴露を盾にした「情報公開脅迫」である。暗号化よりも早く、確実に金銭を引き出せるためだ。
さらに警戒すべきは、データの扱い方の変化である。攻撃者は窃取したデータを即座にばらまくのではなく、事前にデータを分析してターゲット企業の事情を理解し、何を取り引きすれば最も効果的かを見極める。単なる破壊行為ではなく、極めてビジネス指向の恐喝モデルへと移行しているのだ。
「その結果、最も狙われているのが従業員数1,000人未満規模の企業です。これらの企業は大企業ほどセキュリティ対策が整っておらず、事業継続のために身代金の支払いを選ぶ可能性が高いためです」(片尾氏)
大企業が狙われなくなったということではない。防衛体制が手薄で被害を受けた際の事業への影響が大きく、なおかつ支払い判断が早い中小企業が、格好のターゲットとして狙われる時代に入ったのである。
攻撃のライフサイクルを断つ多層防御とエンドポイントの重要性
こうした攻撃による被害を防ぐには、攻撃者が侵入から目的達成に至るまでの「サイバーキルチェーン」を早期に断ち切る必要がある。攻撃者が防衛線を突破していくにつれて、企業側のリスクは段階的に高まるからだ。
この防衛の中核となるのがエンドポイントセキュリティである。サイバー攻撃の多くはソフトウェアによるものであり、その実行環境となるエンドポイントが直接狙われる。ランサムウェアや標的型攻撃も、メールの添付ファイルや不正なWebアクセスをきっかけにした端末への侵入から始まる。ネットワークやクラウドの防御をどれほど強化しても、エンドポイントが感染すれば攻撃は成立してしまう。
従来型のアンチウイルスや振る舞い検知による事前防御は現在も重要だが、正規ツールを悪用する攻撃や未知の手法による侵入が増加している今、事前の防御だけで全てを防ぎ切るのは現実的ではない。そこで不可欠となるのがEDR(Endpoint Detection and Response)である。万一、攻撃が防御をすり抜けた場合でも、端末内の挙動を詳細に可視化して不審な動きを検知する仕組みがあれば、被害の拡大を抑え込める。事前防御とEDRは、必ずセットで導入する必要がある。
「エンドポイントに事前防御とEDRが導入されていれば、インシデント発生時にどの端末で何が起き、どこまで広がっているのかを把握することが可能となります。その結果、全社ネットワーク遮断や長時間の業務停止といった過剰な対応を避けることができます」(片尾氏)
強固なエンドポイントを基盤とし、ゼロトラストに基づくネットワークセキュリティ(ZTNA:Zero Trust Network Access)でアクセス制御を行い、情報漏洩対策(DLP)によってデータの流れを横断的に監視する──攻撃の流れに沿ったこうした多層的な防御が、高度化するサイバー脅威から企業を守るうえで不可欠なのである。
個別最適による運用は限界。求められるXDRのアプローチ
エンドポイントからネットワーク、クラウド、データ保護まで、今日のセキュリティ対策がカバーすべき範囲は確実に広がっている。これはサイバー脅威への対応として必然の拡大だが、運用の現場には大きな負担を強いている。
現在、多くの企業では各種のセキュリティ製品が個別に導入され、運用が分断されているのが実情だ。製品ごとに管理画面が異なり、各所で発生するアラートがバラバラに通知されるため、全体像を面で捉えることが難しい。アラートの数は増え続ける一方であり、どれが本当に対処すべき重要なものなのか判断がつかず、状況の把握や対応が後手に回るケースが少なくない。
セキュリティ人材が不足する中、こうした状況に担当者の増員で対応するアプローチは非現実的だ。また、特定の担当者に依存した属人的な運用は継続性の面で大きなリスクとなる。個別に管理するポイントソリューションの寄せ集めから脱却して、検知や可視化、ポリシー管理を統合し、自動的に関連付けて判断できる仕組みへの移行が求められる。
「統合の起点として、やはり重要なのがエンドポイントです。攻撃の多くはエンドポイントから始まるため、ここで得られる高品質な情報を軸にネットワークやDLPと連携させることが効率的な運用につながります」(片尾氏)
守る範囲が広がっても、管理はシンプルにしたい。そこで、次世代の運用として求められるのがXDRのアプローチだ。XDRとは、PCやサーバだけでなく、ネットワークやクラウド、メールなど、企業の全IT環境のセキュリティデータを一個所に集めて分析し、サイバー攻撃を迅速に見つけて対処する仕組みを指す。強固なエンドポイント防衛から得た信頼できるデータを基礎とし、ネットワークやデータセキュリティの情報を統合して相関分析を行うことが、アプローチの鍵となる。
エンドポイント防御、EDR、ネットワーク、
DLPを一つの基盤に統合する「Symantec CBX」
広範な領域のセキュリティ対策を、いかに運用負荷を抑えながら実現するか──その解としてブロードコムが2026年3月に発表したのが、次世代セキュリティプラットフォーム「Symantec CBX」である。同社は精力的な企業買収によって製品ポートフォリオを拡充しており、現在、その傘下にはセキュリティ業界を牽引してきたシマンテックとCarbon Blackが集結している。
シマンテックは、これまでエンドポイントやネットワーク、情報漏洩対策など各分野で高い専門性を持つ技術を買収し、機能を拡張してきた。優れた技術を集める“ベストオブブリード”のアプローチだが、一方で製品や運用が分断されやすいという側面も抱えていた。そこで、2019年にブロードコムの一員となって以降、同社はGoogle Cloud Platform(GCP)を活用したインフラの統合を進め、各製品のエージェントやコンソールの統合に継続的に取り組んできた。
一方のCarbon Blackも、高度なEDR技術で高く評価されてきたベンダーである。同社も買収を経て2023年にブロードコムのポートフォリオに加わり、2025年には製品基盤がシマンテックと同じGCPへと統合された。これにより、従来は異なるベンダーが提供していた優れたセキュリティ技術が、同じ基盤上でシームレスに連携する環境が整ったのである。
その統合の成果であるSymantec CBXは、シマンテックの強固なエンドポイント防衛と、Carbon Blackの高度なEDRによる挙動分析を一体化したプラットフォームである。単一のエージェントとコンソールにより、エンドポイント対策にとどまらず、ネットワーク連携やDLPまで一元的に管理できるように設計されている。
「CBXは単なる新製品ではありません。これまでに積み重ねてきた技術と製品統合の成果として生まれたベストオブソリューションを体現したプラットフォームなのです」(片尾氏)
CBXはAIを活用した分析機能も提供する。エンドポイント、ネットワーク、データといった複数領域のイベントを自動的に関連付けて整理するため、運用担当者は大量のアラートに惑わされることなく、本当に対処が必要なインシデントに集中できる。強固な防衛力と効率的な運用性を両立させ、人手を増やさずに回し続けられるセキュリティ基盤を実現するのだ。
TD SYNNEXが約束する、安心と信頼の国内サポート体制
ブロードコムは現在、シマンテック事業に関しては製品開発に特化し、販売やサポートは国ごとのトップパートナーに委任するモデルを採用している。TD SYNNEXは日本市場におけるカタリストパートナー(総代理店)として、ブロードコムに代わってエンドユーザーとパートナーを支援する役割を担っている。ライセンスの販売のみならず、導入時の設計・構築から保守サポートに至るまで、全フェーズで広範なサービスを提供する。
海外ベンダーの製品を導入するにあたり、特価申請の遅れや為替変動による価格の不安定さ、サポート品質への懸念を抱く企業は少なくない。TD SYNNEXはカタリストパートナーとしての裁量権を生かし、迅速な見積もり発行と安定した価格での提供に取り組む考えだ。
「サポート面でも、シマンテック製品に精通したエンジニアによる体制を構築しており、安心してご利用いただけます。企業におけるセキュリティ対策は今日、多層防御の徹底と運用負荷の軽減という大きな課題に直面しています。複数のベストオブブリード技術を単一の基盤に統合したSymantec CBXは、この課題に対する現実的かつ強力な選択肢となるでしょう」(片尾氏)
関連記事:【特別連載】TD SYNNEX × Broadcom
