Part 1:サイバー セキュリティ関連銘柄の本命とは?MITRE ATT&CKラウンド6の結果を通じて注目銘柄を徹底解説!
コンヴェクィティ - 本編は、最新のMITRE ATT&CKラウンド6の結果を通じて、注目の米国サイバーセキュリティ銘柄各社の将来性を詳細に分析した長編レポートであり、3つの章で構成されています。
- そして、本稿Part 1では、「サイバー セキュリティ関連銘柄の本命とは?」という疑問に答えるべく、MITRE ATT&CKラウンド6の概要とサイバーセキュリティ業界における評価結果について詳しく解説していきます。
- MITRE ATT&CKラウンド6はエンドポイントセキュリティ製品の性能評価を目的としたテストで、MITRE ATT&CKラウンド6の結果はエンドポイントセキュリティベンダーのパフォーマンスを浮き彫りにし、リアルタイム検知や防御能力における強みと課題を明確に示しています。
- パロアルトネットワークス(PANW)とセンチネルワン(S)は、自律型でAI駆動の脅威検知でリードする一方、マイクロソフト(MSFT)は設定変更への依存や過剰なアラートの生成が足を引っ張っています。
- また、クラウドストライク(CRWD)が予想外にテストへの参加を見送ったことで、製品のスケーラビリティや自動化に関する疑問が浮上し、設計上の課題や手動対応への依存が指摘されています。
- エンドポイントセキュリティ市場では、従来のアンチウイルス(AV)からEDR(エンドポイント検知と対応)やXDR(拡張検知と対応)への移行が進む中、ベンダー数の減少を伴う市場の統合が進行している状況です。
サイバーセキュリティ業界におけるMITRE ATT&CKラウンド6とは?
MITRE ATT&CKラウンド6の結果が最近公開され、各エンドポイントセキュリティベンダーがマーケティングで主張する性能を評価する上での重要なベンチマークとなっています。
MITRE ATT&CKラウンド6とは、MITREが実施するサイバーセキュリティ評価プログラムの一部で、特定の攻撃技術や防御能力を評価する最新のラウンドを指します。このプログラムは、MITREのATT&CKフレームワークを基にしており、エンドポイント検出および対応(EDR)ソリューションの有効性を検証する目的で行われます。
また、MITRE(マイター)とは、アメリカ合衆国に本部を置く非営利の研究・開発機関(Federally Funded Research and Development Center: FFRDC)で、主に政府や民間企業向けに技術、政策、セキュリティ、システム設計などの分野で支援を提供しています。MITREは1958年に設立され、現在は国家安全保障、ヘルスケア、サイバーセキュリティ、航空、金融など幅広い分野における課題解決を目的とした研究・開発を行っています。
今回のラウンドはこれまでで最も厳しいテストとなり、MITREはDPRK(Democratic People's Republic of Korea:北朝鮮)、CL0P(Clopランサムウェア)、LockBitといった高度で成功を収めているハッキンググループによる実際の攻撃を取り入れました。また、保護機能のテストも実施され、予想通りリアルタイム保護機能が欠如している一部のベンダーは、検知と可視性テストのみに参加する形で脱落しました。
また、CL0P(Clop)とは、サイバー犯罪者が使用するランサムウェアの一種で、データを暗号化して被害者に身代金を要求する攻撃手法に使用されます。
そして、LockBitは、現在最も活発で危険なランサムウェア・グループの一つであり、世界中の企業や機関を標的としています。
今回は難易度が上がったことで、多くのベンダーが最初はテストに参加したものの、最終結果が公表される前に撤退する事態が発生しました。その結果、ラウンド6は、試練に耐えられなかったプレイヤーを明らかにする貴重なデータポイントとしても役立っています。
以下は結果の概要です:
・パロアルトネットワークス(PANW)は自律型エージェントとデータエンジニアリングへの注力が功を奏し、マイクロソフト(MSFT)やクラウドストライク(CRWD)などの競合を大きく上回る成長を見せました。
・センチネルワン(S)はほぼ全ての面で引き続きトップのパフォーマンスを維持しましたが、LockBitテストでは100%の誤検知率という結果に終わりました。
・マイクロソフトは堅実な製品を提供していますが、特筆すべき強みはなく、平均的なパフォーマンスに留まっています。
・クラウドストライクは最終段階で予期せぬ脱落を見せましたが、脱退理由として妥当な説明がなされています。
・エラスティック(ESTC)、IBM(IBM)、フォーティネット(FTNT)、ラピッド7(RPD)などの弱小プレイヤーは、テストの最初の段階で脱落し、その脆弱性が浮き彫りとなりました。
全体として、参加ベンダー数はラウンド5の29社からラウンド6では19社に減少しました。このうち2社(Carbon Blackは現在ブロードコム(AVGO)傘下、SecureworksはSophosに買収)はM&Aによる退出が原因です。
サイバーセキュリティ業界のベンダーリストについて
MITRE ATT&CKは独立性と客観性を重視したテストではありますが、その主な目的は各ベンダーの優劣を評価・ランク付けすることではなく、全体の性能向上を促進することにあります。そのため、MITREのテスト結果から具体的で実用的なインサイトを得るのは難しい場合があります。
さらに、最近導入されたGUI(コンピューターや電子機器を操作する際に、視覚的要素を使用してユーザーとのやり取りを行うインターフェース)の可視化機能は設計が不十分で、一度に3つ以上のベンダーを画面上で比較するのが困難です。テストやシナリオを切り替えるたびにベンダーを選択し直す必要があり、分析プロセスに不要な手間が生じています。また、MITREは個別のベンダー結果をJSONやCSV形式で提供しておらず、全体データのみをJSON/CSVで提供しています。
そのため、ここでは重要だと思われるポイントを簡潔に可視化してご紹介します。
(出所:筆者作成)
MITRE ATT&CKテストから複数のベンダーが脱落したことは興味深い現象であり、マーケティング戦略だけに頼っている企業と、本気でベスト・オブ・ブリード(BoB)のソリューションを目指している企業との違いが明確に浮き彫りになりました。
エラスティック(ESTC)はかつて次世代SIEM(セキュリティ情報およびイベント管理)としてスプランク(SPLK)のような既存プレイヤーを置き換えることを目指し、さらに高度な文脈付けを武器にEDR市場で競争することを期待していました。しかし、同社のアプローチは異なる方向性からのものであり、エージェント技術に関するノウハウが欠け、ログ収集のみに依存しているため、保護機能が大きな弱点となっています。テスト結果と最終的な脱落は次の重要な点を強調しています。それは、セキュリティが深く専門的な分野であり、新規参入者が機能を揃えるだけでは、堅牢なEDR/XDR(エンドポイント検知および応答/拡張検知および応答)製品を名乗ることはできないという現実です。
同様に、ラピッド7(RPD)がEDR市場への進出を目指した背景には、成熟しつつある脆弱性管理(VM)市場での成長停滞があります。VM分野での競争力が弱い同社は、検知テストおよび保護テストの両段階で脱落しました。一方で、同じVM分野の競合であるクオリス(QLYS)は両テストに残りました。しかし、同社は非常に多くのアラートを生成するため、製品が実質的に使い物にならないという課題があります。実際、ユーザーからも「解決策としては機能するが、使い勝手が悪い」という不満が寄せられています。
ただし、エラスティックやラピッド7とは異なり、クオリスはテスト結果を公開しており、透明性を持って問題に向き合い、改善を図る姿勢を見せています。この点は、パフォーマンスの低さを隠すのではなく、課題解決を目指している姿勢として評価できます。
かつてBB(BlackBerry)傘下にあったCylanceは、セキュリティオペレーションにおける人間の労働を自動化することに注力しているMSSP(企業や組織のセキュリティ業務を外部から管理・運営する専門サービスプロバイダー)のArctic Wolfに買収されました。Arctic Wolfは2020年から2022年にかけて強い勢いを見せていましたが、その後成長が鈍化し、IPOも複数回延期されています。この原因として、完全に技術主導で標準化されたソフトウェアに特化していない点が挙げられます。
一方、パロアルトネットワークス(PANW)は、ITサービスを最小限に抑えつつ、100%ソフトウェア対応の自動化を目指しています。それに対して、Arctic WolfはITサービスとソフトウェア対応の自動化が約50%ずつというハイブリッド型のモデルに見えます。
Cylanceがラウンド6で脱落したことは、以前から予想されていた課題の継続を反映しており、Arctic Wolfの欠点がこれらの問題をさらに悪化させたように見受けられます。
スタートアップ企業の中では、UptycsやDeep Instinctも脱落しました。Deep Instinctは、強化学習(RL)や深層学習(DL)に大きく賭けて、優れたエンドポイントセキュリティの提供を目指してきました。しかし、OpenAIとは異なり、Deep Instinctはまだ初期の地道な研究開発(R&D)段階にあります。同社がかつてパロアルトネットワークスのCEOやゼットスケーラー(ZS)のCOOとしてこれらのサイバーセキュリティリーダーを成長させたLane Bess氏を採用した点は印象的でした。
当初、保護機能に完全に特化していたDeep Instinctは、テストの初期フィードバックで高い保護率を示したものの、誤検知率が高いという課題も抱えていました。最近の四半期では、AI駆動のエンドポイント保護を完璧に仕上げるために何年も費やす余裕はないと判断し、より迅速な市場展開(GTM)を目指しているようです。現在、EDR/XDRは必須の機能となっていますが、多くの新規参入企業と同様に、Deep Instinctもベスト・オブ・ブリード(BoB)のEDRソリューションを迅速に構築するのに苦戦している状況です。
MITRE ATT&CKラウンド6の結果
サイバーセキュリティ業界におけるレガシープレイヤー
19社が今回のテストに参加したものの、一部のベンダーはDPRKテストのようなより難易度の高いシナリオへの参加を見送りました。DPRK(朝鮮民主主義人民共和国)は最も高度なハッキンググループの一つと見なされているため、DPRKテストに参加したのは12社のみという結果は、ある程度予想されたものでした。
チェック・ポイント・ソフトウェア・テクノロジーズ(CHKP)やシスコシステムズ(CSCO)は意外にもラウンド6に参加しましたが、両社とも(クオリス(QLYS)も含め)DPRKテストには参加していません。しかし、CL0P、LockBit、保護機能テストを含む他のテストには参加しています。それでは、彼らのLockBitテストの結果を詳しく見ていきましょう。
CHKP/CSCO/QLYSのLockBitテスト結果:設定および遅延に関する分析
(出所:MITRE)
このレガシーながらも依然として重要なベンダー群の中で、シスコシステムズは非常に低い結果を出し、一方でチェック・ポイント・ソフトウェア・テクノロジーズとクオリスは一見良好な結果を示しました。しかし、ご覧のとおり、これらのアラートのほとんどは初回実行から1日後に生成され、その後に手動で設定変更が加えられています。現実のシナリオでは、ベンダーや顧客がリアルタイムでこのような手動変更を行うことは不可能であるため、手動変更なしでは3社とも性能が低い結果に終わりました。
CHKP/CSCO/QLYSのLockBitテスト結果:設定変更や遅延を考慮しない場合
(出所:MITRE)
MITRE ATT&CKはベンダーのサイバー対応能力を向上させることを目的としており、テストは2段階で実施されます。初回テスト後、MITREはベンダーに結果を提供し、ベンダーは製品を調整・再設定するための1日間が与えられ、その後2日目に再テストが行われます。このプロセスはMITRE ATT&CKの最も批判される点の一つであり、設定変更後にほぼ100%の検知率を主張できるようになる点が問題視されています。
実際には、初回のフィードバックを基に調整を行った後でも100%の検知率を達成できないベンダーがいる場合、それはほとんど恥ずべきことでしょう。なぜなら、ベンダーは見逃した攻撃ステップを「指紋化」して設定に組み込むことが事実上可能だからです。
設定変更を除いた場合、クオリスとシスコシステムズのパフォーマンスは低く、一方でチェック・ポイント・ソフトウェア・テクノロジーズは許容範囲内の結果を出しましたが、優れたものとは言えません。この問題はレガシーAVベンダーに共通して見られる課題であり、設定変更後に良好な結果を示せたとしても、それが実際の運用環境での性能を反映しているわけではありません。
意外なことに、チェック・ポイント・ソフトウェア・テクノロジーズ、シスコシステムズ、クオリスはいずれも保護機能テストに参加しました。ただし、チェック・ポイント・ソフトウェア・テクノロジーズの保護結果は「評価環境が参加者のソリューションを正確に反映していなかったため、このシナリオでの結果を取得できなかった」という理由で非公開となっています。一方、シスコシステムズとクオリスはそれぞれ10の攻撃ステップのうち6つをブロックし、許容範囲内の保護結果を示しました。シスコシステムズは誤検知が2件、クオリスは3件発生しています。
トップ4:センチネルワン(S)・クラウドストライク(CRWD)・パロアルトネットワークス(PANW)・マイクロソフト(MSFT)
エンドポイントセキュリティ市場は今後数年間でさらに統合が進むと考えられます。これは、業界が従来のシグネチャベースのウイルス対策(AV)からEDR、さらには最終的にXDRへと移行していることが主な要因です。
EDRは、膨大なデータと高度な研究開発が必要であるため、自然と統合を促進します。脅威インテリジェンスシステムに供給するためには、大量のログデータが必要であり、これにより新たな脅威を迅速かつ効果的に検出・対応することが可能になります。一方で、データクラウドが小さいTier-2プレイヤーは、検出できる脅威が少なく、対応も遅れがちです。これに対し、大手プレイヤーはより広範な脅威の可視性を活用し、迅速かつ包括的な対応が可能です。その結果、規模が大きいほどEDRソリューションの性能は強化され、より多くの脅威をタグ付け・分類し、新たな脅威に対応する能力も高まります。
さらに、EDRは単に導入して放置できるような製品ではありません。従来のウイルス対策(AV)は玄関の鍵のようなもので、大半の悪意ある侵入者を防ぐことはできますが、一度ハッカーが内部に侵入してしまうと、その鍵は意味をなさなくなります。一方、EDRは家にセキュリティカメラのネットワークを設置するようなものです。しかし、カメラを設置するだけでは不十分で、常に監視し、リアルタイムで怪しい動きを見つける必要があります。
EDRを最大限に活用するには熟練したオペレーターが必要であり、それぞれのベンダーのプラットフォームに特化したトレーニングや継続的なメンテナンスが求められるため、相応の努力が必要です。
その結果、エンドポイントセキュリティ市場のベンダー数は今後減少すると予想されます。現在、30以上のベンダーが存在しており、その多くは従来型のAV(アンチウイルス)や次世代AV(NGAV)のプレイヤーです。EDR市場では、センチネルワン(S)とクラウドストライク(CRWD)が主要なピュアプレイベンダーとして活躍しており、マイクロソフト(MSFT)は2019年にSentinel EDRでこの市場に参入しました。パロアルトネットワークス(PANW)とフォーティネット(FTNT)は、それぞれEDRスタートアップを買収して市場に参入しており、パロアルトネットワークスは2018年にSecdoを、フォーティネットは2019年にenSiloを買収しています。
かつて主要なプレイヤーだったCarbon BlackはVMwareに買収され、その後ブロードコム(AVGO)に渡りました。しかし、VMware傘下で競争力が徐々に低下していきました。当初、ブロードコムはCarbon Black事業を売却する意向を示していましたが、CEOのHock Tan氏が事業を再評価した結果、事業を維持し、より多くのリソースを投入して成功させる計画を立てました。私たちは、ブロードコムがCarbon Blackのパフォーマンス低下を食い止める能力に期待を寄せていますが、Carbon Blackがすぐにトップ4のエリートリストに加わる可能性は低いと見ています。
今後のエンドポイントセキュリティ市場は「2+2」の構図になると見ています。つまり、センチネルワンとクラウドストライクの2つが独立したベスト・オブ・ブリード(BoB)プレイヤーとして活躍し、マイクロソフトとパロアルトネットワークスの2つがプラットフォーム型プレイヤーとして台頭する形です。後者の2社はバックエンドのデータ運用に優れており、これが大きな強みとなっています。
マイクロソフトはAzureやDatabricksといったプラットフォームを通じて、コスト効率が高くデータエンジニアにとって扱いやすいツールを提供しており、その組み合わせは他に類を見ません。また、マイクロソフトとパロアルトネットワークスの両社は広範なサイバーセキュリティプラットフォームを持っており、特に大企業向けにおいて、独立型製品に対抗できる競争力を発揮しています。
パロアルトネットワークスは、アルファベット(GOOG)のBigQueryを活用して、次世代SIEM(NG-SIEM)および自律型SOCであるXSIAMを運用しています。XSIAMはアラートをより適切に文脈化し、多くのアラートを自動的に解決することで、人間による対応が必要な重要なアラートのみを強調表示するよう設計されています。
ただし、重要なのは、プラットフォームの幅広い機能を活用するためには、マイクロソフトやパロアルトネットワークスがエンドポイント製品とバックエンドデータ製品を併せて展開する必要がある点です。しかし、MITREのテストでは、エンドポイント製品がプラットフォームの統合コンポーネントなしで単独で評価されるため、その真のパフォーマンスが十分に反映されていない可能性があります。
また、クラウドストライクがテスト結果に含まれていなかったことは、多くの関係者にとって衝撃的な出来事でした。あるクラウドストライクの社員は次のように述べています:(原文)This is not an official statement or anything, but MITRE ATT&CK Evaluation tests are scheduled months in advance (you aren't allowed to reschedule). For CrowdStrike, our eval was set to take place shortly after the July 19th incident. Because of this timing, CrowdStrike decided not to participate in the evaluation so that all available resources could be committed to customers. CrowdStrike has participated in every single MITRE eval that has occurred dating back to 2018 (before it was cool and the "everybody wins!!" emails became the norm).
(日本語訳)これは公式な声明ではありませんが、MITRE ATT&CKの評価テストは数か月前からスケジュールが決まっており、日程の変更は許可されません。今回、クラウドストライクの評価テストは7月19日の事件直後に実施される予定でした。このタイミングのため、クラウドストライクは全リソースを顧客対応に専念させるため、評価への参加を見送る決断をしました。なお、クラウドストライクは2018年以降、すべてのMITRE評価に参加してきました(評価が注目を集める前や「みんな勝者だ!」的なメールが普通になる前からです)。
(原文)For whatever it's worth, I personally have participated in all of the evals as the hands-on-keyboard operator of the Falcon console. We greatly value the partnership we have with MITRE and I look forward to participating in the next evaluation.”
(日本語訳)参考になるか分かりませんが、個人的には、Falconコンソールの実際の操作担当者として、これまでのすべての評価に参加してきました。私たちはMITREとのパートナーシップを非常に大切にしており、次回の評価への参加を心待ちにしています。
クラウドストライクがMITRE ATT&CKラウンド6から脱退した決定は不可解です。特に、最終結果が発表される前日までベンダーリストに名前が残っていたことを考えると、なおさら疑問が残ります。同社は、2024年7月の障害に起因する問題解決に完全に集中する必要があったと説明していますが、この理由には疑問が残ります。というのも、MITREのテストは通常、比較的シンプルな評価プロセスとして設計されており、製品を提供するだけで参加可能な仕組みになっています。初期設定が完了した後であれば、大規模なチームを必要とするようなテストではないはずだからです。
MITREのテストは、エンドポイントセキュリティベンダーにとって非常に重要です。特に、高度な脅威を検知し対応する能力が評価されるため、その結果から得られる洞察は将来の研究開発や製品改善にとって欠かせないものです。そのため、クラウドストライクが障害対応に全チームを専念させる必要があったとしても、脅威研究や製品改善を完全に停止したという主張は納得がいきません。このテストは、特に高度な脅威への対応において、製品を洗練させ、検知の欠陥を補うための重要なツールとして活用できたはずです。
より説得力のある説明として考えられるのは、クラウドストライクがラウンド6に参加したものの、他の脱落したベンダーと同様に、テストで製品が苦戦した可能性です。これは、同社製品の自動化やスケーラビリティに課題があることを示しているのかもしれません。以前にも指摘したように、同社のソリューションは初回実行後に設定変更を行う際、大幅な手動作業を必要とします。過去のラウンドでは、こうした手動設定変更によって良好な結果を出していました。しかし、初回実行後に必要となる調整を大規模な手動作業なしで処理するには、同社のソリューションは十分な自動化がされていない可能性があります。
さらに、障害対応によるリソース不足が加わり、必要な設定変更にリソースを割くことができなかったために脱落した、という見方も考えられます。
最終的に、この状況はクラウドストライクのアーキテクチャに根本的な課題があることを示しています。同社の製品は依然として手動による最適化や設定変更に大きく依存しており、これが問題となっています。これに対し、他の競合他社はプロセスの自動化に投資しており、小規模なチームや自動化されたシステムだけでテスト中の必要な調整を行えるレベルに達しています。
昨年のラウンド5では、設定変更や遅延を考慮した場合、同社は検知能力において優れた結果を示しました。
ラウンド5におけるCRWD/PANW/SのATT&CKテスト結果:設定変更および遅延を考慮した場合
なお、第2シナリオ「Snake」では、Sには適用外のステップがいくつかあり、グレーで表示されています。
(出所:MITRE)
しかし、設定変更や遅延を除外すると、実際のユーザーが期待する本来の結果が見えてきます。この場合、クラウドストライクのパフォーマンスはセンチネルワンやパロアルトネットワークスと比較して劣ることが明らかになります。
ラウンド5におけるCRWD/PANW/SのATT&CKテスト結果:設定変更および遅延を考慮しない場合
(出所:MITRE)
本稿では、MITRE ATT&CKラウンド6の概要とサイバーセキュリティ業界における評価結果について解説しました。
そして、次章以降では、クラウドストライクの人員不足とテストパフォーマンスの課題、マイクロソフトやパロアルトネットワークスとの比較、さらにはエンドポイントセキュリティ市場全体の動向について詳しく解説していきますのでお見逃しなく!
また、弊社はテクノロジー銘柄に関するレポートを毎週複数執筆しており、弊社のプロフィール上にてフォローをしていただくと、最新のレポートがリリースされる度にリアルタイムでメール経由でお知らせを受け取ることができます。
加えて、その他のアナリストも詳細な分析レポートを日々執筆しており、インベストリンゴのプラットフォーム上では「毎月約100件、年間で1000件以上」のレポートを提供しております。
弊社のテクノロジー銘柄に関する最新レポートを見逃さないために、是非、フォローしていただければと思います!
※続きは「Part 2:米国サイバーセキュリティ銘柄の本命とは?クラウドストライク(CRWD)を筆頭に主要銘柄のテクノロジー上の強みを徹底分析!」をご覧ください。
アナリスト紹介:コンヴェクィティ
📍テクノロジー担当
コンヴェクィティのその他のテクノロジー銘柄のレポートに関心がございましたら、こちらのリンクより、コンヴェクィティのプロフィールページにてご覧いただければと思います。
インベストリンゴでは、弊社のアナリストが「高配当銘柄」から「AIや半導体関連のテクノロジー銘柄」まで、米国株個別企業に関する分析を日々日本語でアップデートしております。さらに、インベストリンゴのレポート上でカバーされている米国、及び、外国企業数は「250銘柄以上」(対象銘柄リストはこちら)となっております。米国株式市場に関心のある方は、是非、弊社プラットフォームより詳細な分析レポートをご覧いただければと思います。