Part 2：米国サイバーセキュリティ銘柄の本命とは？クラウドストライク（CRWD）を筆頭に主要銘柄のテクノロジー上の強みを徹底分析！

※「Part 1：サイバー セキュリティ関連銘柄の本命とは？MITRE ATT&CKラウンド6の結果を通じて注目銘柄を徹底解説！」の続き

前章では、「サイバー セキュリティ関連銘柄の本命とは？」という疑問に答えるべく、MITRE ATT&CKラウンド6の概要とサイバーセキュリティ業界における評価結果に関して詳しく解説しております。

本稿の内容への理解をより深めるために、是非、インベストリンゴのプラットフォーム上にて、前章も併せてご覧ください。

クラウドストライク（CRWD）の人員不足とテストパフォーマンスの課題

クラウドストライク（CRWD）がMITRE ATT&CKテストで手動設定に依存していることが、競合他社と比較した際のパフォーマンスの足枷になっているのは明らかです。テスト2日目に必要な調整や設定変更を行うための人員が不足している場合、そのパフォーマンスが劣るのは当然です。特に初回実行直後のこの段階は、最適化において非常に重要なフェーズです。

この状況は、同社のアーキテクチャに根本的な課題があることを浮き彫りにしています。それは、テスト初日に発生する設定変更や調整を行うために、多大な人的リソースを必要とする点です。

興味深いことに、センチネルワン（S）も2日目に一部設定変更を行っていたことが確認されました。これは、テストの複雑性が増していることを考えると、クラウドストライクにとって一層厳しい状況を浮き彫りにしています。テストの難易度が上がる中で、同社が十分なエンジニアを投入して製品を手動で設定・調整できない場合、さらに大きな課題に直面することは明らかです。

さらに、リソースの増加した需要を考えると、2024年7月の障害による問題を解消するために、研究者や専門家を単調で反復的な作業に充てるのは現実的ではないでしょう。これらのエンジニアは、本来、障害後のアップデート提供や顧客保護の強化に専念すべきです。そうでなければ、CRWDは顧客の防御と自社製品の開発において遅れを取るリスクを抱えることになります。

さらに、クラウドストライクは2022年後半まで主にWindowsに注力しており、その結果、MacOSやLinuxに対する専門知識やサポートが限られています。今年のMITREテストではこれらのプラットフォームが含まれており、このクロスプラットフォーム対応の不足が、クラウドストライクを含む多くのベンダーが今回のラウンドを突破するのに苦戦した主な理由の一つです。

こうした専門知識やサポートの欠如は、同社の脆弱性をさらに浮き彫りにしています。特に、より包括的なエンドポイントセキュリティソリューションが求められる市場において、この課題は重大な弱点となっています。

マイクロソフト（MSFT） vs パロアルトネットワークス（PANW） vs センチネルワン（S）

MITREは個々のベンダーの全結果をJSONやCSV形式で提供していません。そのため、以下のスナップショットから手動で一部のデータを抽出しています。また、次のセクションでは、Bitdefenderのエンジニアが提供した簡単な表も含めます。

以下は、設定変更と遅延を考慮したDPRK（Democratic People's Republic of Korea：北朝鮮）、CL0P（Clopランサムウェア）、LockBitのテスト結果です。

マイクロソフトとパロアルトネットワークスはクリティカルおよび高優先度アラートがゼロ、センチネルワンは高優先度アラートが2件

（出所：MITRE）

マイクロソフトとパロアルトネットワークスはクリティカルアラートがゼロ、センチネルワンはクリティカルアラートが1件

（出所：MITRE）

マイクロソフトとパロアルトネットワークスはクリティカルアラートがゼロ、センチネルワンはクリティカルアラートが10件

（出所：MITRE）

以下は、設定変更や遅延を考慮しない場合のDPRK、CL0P、Lockbitテスト結果です。

（出所：MITRE）

（出所：MITRE）

（出所：MITRE）

マイクロソフト（MSFT）とアラート疲労：レガシーベンダーの課題

全体的に見て、マイクロソフト（MSFT）のパフォーマンスは他のレガシーベンダーと似た傾向を示しています。設定変更や遅延を考慮した場合には良好な結果を出しますが、それらを除外するとパフォーマンスが低下します。マイクロソフトのアプローチで特に問題となるのは、生成されるアラートの数が他社と比べて桁違いに多い点です。パロアルトネットワークス（PANW）もアラートの数は多いものの、センチネルワン（S）に比べて少ない結果となっています。

理論的には、効果的な文脈付けを行うセキュリティソリューションは、単一のハッカーによる複数の攻撃を追跡・追尾・関連付けし、一つの包括的で高優先度のアラートとして統合することが可能です。個々の攻撃ステップごとに大量のアラートを生成するのではなく、より効果的なシステムはこれらの行動をまとめ、より少ない数で包括的なアラートを生成します。これにより、セキュリティチームは全体像を把握しやすくなり、より効率的に対応できるようになります。

マイクロソフトのアプローチは、攻撃のすべてのステップを検知することで、数千件にも及ぶ膨大なアラートを生成します。一見すると非常に徹底した検知のように思えますが、これは諸刃の剣でもあります。SOC（セキュリティオペレーションセンター）のアナリストがアラートの洪水に直面すると、「アラート疲労」に陥ります。アナリストは膨大なデータを精査しなければならず、その多くが誤検知や低優先度のアラートである場合もあります。この時間のかかる作業は、真の脅威の検知や対応に割ける時間を減少させてしまいます。

センチネルワン（S）の優れた文脈付け能力

対照的に、センチネルワン（S）は脅威の文脈付けにおいて群を抜いています。アナリストに大量のアラートを押し付けるのではなく、複数の攻撃ステップを統合し、少数の高レベルなアラートとして提示します。このアプローチにより、プロセスが簡略化され、アナリストが真の脅威を迅速に発見し対応することが可能になります。センチネルワンはノイズを減らすことで、アナリストが本当に重要な高優先度のインシデントに集中しやすくしているのです。

このアプローチが重要なのは、SOC（セキュリティオペレーションセンター）のアナリストが、通常の環境で生成される膨大なアラートの量にすでに圧倒されているためです。日々対応する誤検知や低優先度の脅威が、真の危険を検知するための能力を妨げる可能性があります。多くの場合、アラートの量が多すぎて、アナリストはクリティカルや高優先度のインシデントにしか注力できなくなり、その間に低優先度のアラート—たとえば、DPRKのような高度なグループによるAPT（持続的標的型攻撃）を含むもの—がノイズの中に埋もれてしまいます。これらの高度な脅威が複数のアラートを引き起こしたとしても、低優先度と見なされるため、アナリストが他の差し迫った問題に集中する中で見過ごされたり無視されたりする可能性があります。

同社の優れたポイントは、アラート疲労を軽減し、具体的に対応すべき高優先度のインシデントに集中できる点です。低価値のアラートでSOC（セキュリティオペレーションセンター）を埋め尽くすのではなく、同社は真の脅威をより的確に特定し、効果的な対応を可能にし、インシデントの見逃しを減らします。DPRKのような攻撃者が活発に活動する環境では、効率的な検知と対応が不可欠です。過剰なアラートや不十分な文脈付けは、その妨げにしかなりません。

マイクロソフト（MSFT）トップ4社の中では最も弱いが依然として有力なプレイヤー

マイクロソフト（MSFT）はエンドポイントセキュリティ分野のトップ4ベンダーの中で最も弱い存在と見られますが、いくつかの要因から依然として重要なプレイヤーとしての地位を維持すると予想されます。

1. コストに敏感な企業や中小企業にとって魅力的なプラットフォーム

マイクロソフトの幅広いプラットフォーム提供は大きな強みであり、特にコストに敏感な企業や中小企業（SMB）にとって魅力的です。これらの企業は、統合された低コストなソリューションを優先する傾向があり、同社のセキュリティ製品はそのニーズに合致しています。とはいえ、同社の製品は表面的には安価に見えるものの、適切な設定や継続的なメンテナンスに必要な投資を考慮すると、実際には必ずしも低コストではない点に注意が必要です。

2. Sentinel EDRの不参加

今回のテストにはSentinel EDR製品が含まれていませんでしたが、将来的にこの製品がテストに含まれることで、マイクロソフトの評価が変わる可能性があります。このデータバックエンドは、マイクロソフトのエコシステム全体から幅広くデータを取り込み、より優れた文脈付けを可能にします。これにより、リスクの優先順位付けが改善され、結果としてアラートの量を減らしつつ精度の高いアラートを提供できるようになります。これは、ラウンド6で指摘されたマイクロソフトの弱点を補うものです。しかし、今回の比較ではこの要素は考慮されていません。

3. Security Copilotの役割と限定的な影響

マイクロソフトのSecurity Copilotは、GPT-4や高度なRAG（Retrieval-Augmented Generation）を活用することで、人間のアナリストの作業を効率化する可能性を秘めています。しかし、Security Copilotは、センチネルワンやパロアルトネットワークスのようにEDRを自動化するものではありません。脅威の特定を迅速化するサポートは提供しますが、完全な「自動操縦システム」ではなく、文字通り「副操縦士」のような役割を果たします。そのため、人間による介入が依然として必要です。要するに、アナリストの作業を補助するツールではあるものの、手動での監視や管理の必要性を完全に排除するものではありません。

さらに興味深いのは、真のAI駆動型セキュリティソリューションを提供するには、私たちが以前レポートで述べたような単なる深層学習（DL）だけでは不十分だということです。ラウンド5でのDeep Instinctの低調な結果と、その後のラウンド6での撤退は、このことをさらに裏付けています。本当に効果的なソリューションを提供するには、人間によるロジックのコード化、厳選されたテスト済みの機械学習（ML）アルゴリズム、そして精選されたデータセットを用いてトレーニング後にファインチューニングされた深層学習（DL/LLM）の適切な組み合わせが必要です。

マイクロソフトが優位性を持つのはLLM（大規模言語モデル）へのアクセスだけで、それ以外は特に強みがありません。さらに、同社は主にCopilotに焦点を当てており、人間のアナリストを支援することには役立ちますが、製品の性能をより直接的に向上させる「エージェント」への投資が少ないのが実情です。また、MLや人間によるロジックに対する徹底的な研究開発がなければ、CopilotをAutopilot（完全自動化）に変えることは難しいでしょう。なぜなら、純粋にLLMに依存したエージェントはまだ実用化の準備が整っておらず、適切な人間の関与を伴わない場合、さらなる問題を引き起こす可能性があるからです。

4. 設定変更で依然として一定の結果を出せる

設定変更なしでは比較的弱いパフォーマンスを示すものの、マイクロソフトの製品は適切な調整を行えば、許容範囲内の結果を出す能力を持っています。この点が、セキュリティサービスプロバイダーにマイクロソフトのツールが評価される理由の一つです。これらのプロバイダーは、同社の安価なソフトウェアを基盤に付加価値サービスを提供できるからです。

つまり、マイクロソフトのセキュリティ製品は表面的には安価に見えますが、実際には適切な設定やメンテナンスへの投資が必要となり、それが実質的なコストとなります。この投資がなければ、セキュリティ侵害のリスクが高まる可能性があります。

マイクロソフト（MSFT）への結論

まとめると、マイクロソフト（MSFT）はその広範なプラットフォームと、中小企業（SMB）向けの手頃な価格設定により、有力なプレイヤーであり続けるでしょう。しかし、エンドポイントセキュリティソリューションにおいては、センチネルワン（S）やパロアルトネットワークス（PANW）に依然として後れを取っています。Sentinel EDRやSecurity Copilotにより改善の可能性はあるものの、現時点では設定変更や遅延への依存、アラートの過剰発生といった課題があり、「ゴールドスタンダード」とは言えない状況です。そのため、マイクロソフトは引き続き重要な存在である一方、自動化されたリアルタイム防御の分野で主導的な地位には立っていません。

センチネルワン（S） vs パロアルトネットワークス（PANW）：パフォーマンスと戦略の違い

センチネルワン（S）は、大半の指標で依然としてリーダーの地位を保っていますが、高い誤検知率という課題があります（これは後述します）。それでも、優れた検知・保護性能と市場で最も優れた文脈付け機能を提供しており、これにより重複したアラートを削減し、重要な脅威を優先することが可能です。

興味深いことに、過去数年のラウンドとは異なり、センチネルワンは100％のカバレッジを達成するためにいくつかの設定変更を行いました。これは、MITREのテストがトップレベルのハッキンググループの洗練された手口に対応するため、ますます高度化している兆候です。この設定変更なしでは、特に高度なハッカーによる攻撃ステップのいくつかを見逃してしまいます。それでもなお、センチネルワンのアラートシステムはクリーンで実用的であり、SOCアナリストが効果的に攻撃をトリアージできるよう、高優先度およびクリティカルなアラートが非常に役立つものとなっています。

センチネルワンはAIに大幅な投資を行い、脅威に対して積極的に防御を行うAIエージェントの構築を目指しています。その堅牢なデータ基盤と、自動化されたワークフローやカスタムスクリプトを展開する能力により、新たな脅威への迅速な適応が可能です。この強みは、設定変更後に高優先度やクリティカルなアラートを発動できる点に表れています。一方で、パロアルトネットワークス（PANW）のような他のベンダーは、より低レベルなアラートを多く生成する傾向があります。

全体として、センチネルワンとパロアルトネットワークスは自律型エージェントを活用し、リアルタイムかつAI駆動の脅威検知に注力する分野でリードしています。

パロアルトネットワークス（PANW）：リアルタイム検知と設定変更不要の実力

パロアルトネットワークス（PANW）は、ここ数年でパフォーマンスを大幅に向上させ、現在ではセンチネルワン（S）と同等のレベルに達しています。ラウンド6では、パロアルトネットワークスはマイクロソフト（MSFT）を上回る結果を出し、総合的な有効性ではセンチネルワンに非常に近い位置につけています。特筆すべきは、パロアルトネットワークスが2回連続で100％の検知率を達成したことです。しかも、いかなる設定変更も必要とせずにこの成果を収めた点は注目に値します。これは、リアルタイムかつ自律型の検知を実現するための同社の取り組みを示すものです。

この「設定不要」「遅延ゼロ」へのこだわりは、CEO就任後間もないNikesh Arora氏が示したビジョンに由来していると考えられます。同氏は、SOCアナリストが日々対応しなければならない膨大なアラートの数を劇的に削減したいという意向を示していました。このビジョンに基づき、パロアルトネットワークスはセキュリティ分野での自律型ワークフローを優先事項とし、設定変更なしでそのまま使用できるエンドポイントセキュリティ製品を開発しました。この取り組みが、長年にわたりMITREテストで優れたパフォーマンスを発揮する結果につながっています。

しかし、センチネルワンと比較すると、パロアルトネットワークスは依然として多くのアラートを生成しており、その結果、システムの有効性がやや低下しています。センチネルワンは攻撃の複数のステップを1つのアラートに統合することで、アナリストが脅威を迅速にトリアージできる能力を高めています。一方、パロアルトネットワークスは1つの攻撃シーケンスに対して50〜100以上のアラートを生成することがしばしばあります。XSIAM（パロアルトネットワークスのバックエンド統合ソリューション）はこれらのアラートの優先順位付けやグループ化を支援しますが、パロアルトネットワークスの単独製品では、アラート疲労を軽減する点でセンチネルワンにやや遅れを取っています。

センチネルワン（S）とパロアルトネットワークス（PANW）に対する結論

センチネルワン（S）とパロアルトネットワークス（PANW）は、リアルタイムの自律型脅威検知において市場をリードしていますが、センチネルワンはより洗練されたアラートシステムとAI駆動のワークフローによって一歩リードしています。一方で、パロアルトネットワークスも設定変更不要の方針や自律的なリアルタイム検知への注力によって、非常に近い競争相手となっています。両者の競争は激しく、自律型エージェントの未来はまさにこの2社の手に委ねられていると言えるでしょう。

次章では、保護テストの結果を中心に、各ベンダーが示したパフォーマンスの詳細やアラート分類、誤検知率、検知カバレッジの違いについて詳しく解説し、それぞれの強みや課題、セキュリティ対策としての有効性を深掘りしていきます。

また、弊社はテクノロジー銘柄に関するレポートを毎週複数執筆しており、弊社のプロフィール上にてフォローをしていただくと、最新のレポートがリリースされる度にリアルタイムでメール経由でお知らせを受け取ることができます。

加えて、その他のアナリストも詳細な分析レポートを日々執筆しており、インベストリンゴのプラットフォーム上では「毎月約100件、年間で1000件以上」のレポートを提供しております。

弊社のテクノロジー銘柄に関する最新レポートを見逃さないために、是非、フォローしていただければと思います！

※続きは「Part 3：注目のアメリカ株サイバーセキュリティ銘柄一覧：MITRE ATT&CKテストの結果を通じて各社の競争優位性を徹底解説！」をご覧ください。

アナリスト紹介：コンヴェクィティ

📍テクノロジー担当

コンヴェクィティのその他のテクノロジー銘柄のレポートに関心がございましたら、こちらのリンクより、コンヴェクィティのプロフィールページにてご覧いただければと思います。