2026 年 3 月に開催される Security Days Spring 2026 で、クラウドストライク合同会社(以下、クラウドストライク) エンタープライズ第一 SE 部 部長の森 美智雄 氏(写真)が「最新の脅威動向から読み解く、AIネイティブ時代のセキュリティ戦略」と題した講演を行う。EDR だけでは対応が困難になりつつあるクロスドメイン攻撃の実態と、次世代SIEM および生成 AI を活用した防御の実践手法について解説される予定だ。講演に先立って森氏に話を聞いた。
攻撃者はアイデンティティ、クラウド、ネットワーク、エンドポイントといった複数の領域を横断的に侵害する「クロスドメイン攻撃」へと戦術を進化させている。さらにその侵害スピードは年々加速しており、従来の分断された監視体制では対応が間に合わないケースも増えてきている。この新たな脅威に対し、企業はどのような対策を講じるべきなのか。クラウドストライクが提唱する Next-Gen SIEM、Next-Gen Identity Security、そしてAIDRを活用したセキュリティ運用とは。
● 従来型攻撃とクロスドメイン攻撃の本質的な違い
森氏はクロスドメイン攻撃の具体的なシナリオを示しながら、その特徴を解説した。
「まずアイデンティティを侵害して正規の認証情報を窃取します。次にその認証情報を使ってクラウド環境に入り込み、クラウドベースの情報共有プラットフォームに保存されている社員向けの VPN アクセス方法といったドキュメントを探し出します。そこで得た情報をもとに VPN 経由でネットワークに侵入し、最終的にエンドポイントへと横展開していくのです」
この攻撃手法の厄介な点は、各領域を個別に監視していても、それぞれの動きが正常な業務活動と区別できないことにある。森氏は「現在の攻撃は『点』ではなく『流れ』を見る必要がある」と強調した。ログやツールが分断されている環境では、調査や対応が追いつかず、被害が拡大してしまうリスクが高まっている。
● 身分を偽った就職者による内部犯行
クロスドメイン攻撃に加え、森氏は近年日本企業でも懸念となっている脅威動向についても言及した。身分を偽って企業に就職し、正規の従業員として内部犯行を行うサイバー犯罪者グループの存在である。生成 AI で大量のプロフィールを作成し、ディープフェイク動画を面接に使用するなど、その手口は巧妙化している。2025年版クラウドストライクグローバル脅威レポートによれば、北朝鮮系攻撃者グループ FAMOUS CHOLLIMA が2024年に関与したとされるインシデント304件のうち、40%が正規従業員を装った攻撃者によるインサイダー脅威であったという。そのため、入社後であっても社員を過信せず、ID・端末・行動を継続的に監視する仕組みの構築が求められている。
● クラウドストライクがクロスドメイン攻撃に対応できる 4 つの理由
では、こうしたクロスドメイン攻撃に対して クラウドストライクはどう対応するのか、できるのか。森氏は 4 つのアプローチを挙げた。
第 1 にソリューションの網羅性と単一プラットフォームへの統合力である。「EDR」「アイデンティティ保護」「クラウドセキュリティ」「次世代SIEM(Next-Gen SIEM)」を単一プラットフォームで提供しており、クロスドメイン攻撃が通過する各領域をカバーしている。
第 2 は Next-Gen SIEM による相関分析の能力である。エンドポイント、アイデンティティ、クラウド、SaaSのログを単一プラットフォームで相関分析することで、点から線が浮かび上がる。また、各ソリューションの検知ロジックを有効活用することで、従来型 SIEM で必要とされた個別ルール設計の負荷も大幅に削減している。
第 3 に、マネージドサービスによる迅速な対処である。Falcon Complete(MDR)は、専門家とAIを組み合わせ、24時間365日体制で高度な脅威を継続的に検知・調査・対応する仕組みを備えている。これにより、攻撃者が侵入後に横展開にいたる前に、速やかな封じ込めと修復を可能にする。
第 4 に、脅威ハンティングサービスである Falcon OverWatch が Next-Gen SIEM に対応したことだ。製品による自動検知だけでは発見が困難な脅威を、自社製品およびサードパーティ製品のログを横断しながら、脅威ハンティングの専門家が人間の知見も活用して潜在的な脅威を見つけ出している。
● Falcon Complete(MDR)が提供する運用範囲
MDR サービス Falcon Complete は、24 時間 365 日の監視とトリアージ、すべてのアラートの調査、脅威ハンティング、ポリシー設定などの運用に必要な設定までをカバーする。さらに、他社セキュリティ製品やクラウド関連ログを含むサードパーティログも含む Next-Gen SIEM 全体を統合的に監視可能となっている。
ユーザー企業が対応する範囲は、エージェントの配布と、自社で運用している他社セキュリティ製品への対応のみに限定される。
森氏は、他社 MDR との差別化ポイントについて次のように語った。「 MDR サービスの中には、誤検知かどうかの判断をお客様に委ねるケースもありますが、我々は誤検知の判断からホワイトリストへの登録まで能動的に対応しています。さらに、攻撃者がレジストリやスケジュールタスクを改ざんして永続化を図っている場合、それらを検知し、詳細を調査して修復する作業まで行います。ファイルの除去や永続化の修復といった領域まで対応する点が特長です。導入後は管理コンソールを見ることなく安心して任せられるというお客様の声を多くいただいています」
● Next-Gen SIEM が従来 SIEM と異なる点
従来のSIEM は、人が手作業でルールを書いて検知する方式が基本であり、個別ルール設計の負荷が大きかった。CrowdStrike Falcon Next-Gen SIEM では、クラウドストライクの各ソリューションのルールで自動的に検知する設計となっていることに加えて、サードパーティログに対するビルトインの創刊分析ルールも備わっており、ユーザー負荷を大きく削減できる。
SIEM の有無による調査効率の違いについて、森氏は次のように説明した。「SIEM がない環境では、EDR で何かを検知したら、次は別の画面でアイデンティティの情報を確認し、さらに別の画面で脆弱性管理を確認するという作業が必要でした。画面を切り替えながらの調査は非効率です。Next-Gen SIEM 導入後は、端末・ユーザー・脆弱性の情報が一つの画面でグラフィカルに確認でき、調査分析のスピードが大幅に向上します。データが 1 ヶ所にまとまっているからこそ、AI も効率的に活用できるのです」
● Charlotte AI によるセキュリティ運用の変革
クラウドストライク は生成 AI 機能「Charlotte AI」を提供しており、自然言語での質問に対して AI が文脈を理解し、調査・トリアージ・レポート作成を自動化している。特に注目すべきは、AI エージェントによるワークフローの自動化機能である。森氏は具体例を示しながら説明した。
「今後リリースされるAIエージェント作成機能では、たとえば『検知の優先順位付け調査を行って、悪意のある IP やドメインをブロックするエージェントを作成してくれ』と自然言語で指示すると、AI がワークフローを自動作成します。クラウドストライクだけでなく、 サードパーティ製品へのブロック連携も提案しますし、Slack 連携を発見すると承認フローの自動作成まで提案してきます。テスト用データも自動で用意され、実際にアラートが発生した際には Slack で承認を得てブロックリストに登録するところまで自動化できます」
将来的には、AI Agent が CrowdStrike Falcon の運用を自動化、SOC 担当者の業務を代行していく方向で開発が進行しているという。森氏は「このレベルの統合的な自動化を実現しているベンダーは限られている」と自信を見せた。
講演は東京・名古屋・大阪で同一内容にて実施される。ブース出展は名古屋・福岡・大阪の 3 ヶ所で行われ、最新の脅威動向と製品のケイパビリティを紹介するほか、同社の個性のひとつでもある、アメコミ風のアクター(サイバー攻撃組織)をあしらった同社独自のノベルティ(ボールペン、ステッカー、ノート)等も用意されている。なお、東京会場でのみブース出展は行われない。
超余談となるが同社ノベルティはファンが多く、ちなみに ScanNetSecurity 編集部では過去、毎年同社の壁掛けカレンダーを愛用していた時期があったことをここに付記しておく。通常のカレンダーであれば「先勝」だの「友引」だのと書いてある欄に、過去の大規模サイバー攻撃にまつわる地政学的記念日がまがまがしく印刷されており、とても気分が上がるものだった。
--
Security Days Spring 2026
東京講演 3.26(木) 11:10-11:50 | RoomA
最新の脅威動向から読み解く、AIネイティブ時代のセキュリティ戦略
クラウドストライク合同会社
エンタープライズ第一SE部 部長
森 美智雄 氏
