Part 3：注目のアメリカ株サイバーセキュリティ銘柄一覧：MITRE ATT&CKテストの結果を通じて各社の競争優位性を徹底解説！

※「Part 2：米国サイバーセキュリティ銘柄の本命とは？クラウドストライク（CRWD）を筆頭に主要銘柄のテクノロジー上の強みを徹底分析！」の続き

前章では、「米国サイバーセキュリティ銘柄の本命とは？」という疑問に答えるべく、MITRE ATT&CKラウンド6の結果を通じて、クラウドストライク（CRWD）を筆頭に主要銘柄のテクノロジー上の強みに関して詳しく解説しております。

本稿の内容への理解をより深めるために、是非、インベストリンゴのプラットフォーム上にて、前章も併せてご覧ください。

保護テスト

検知テストの結果を一部確認した後、以下はマイクロソフト（MSFT）、パロアルトネットワークス（PANW）、センチネルワン（S）の保護テスト結果の概要です。

アラート分類の概要

このグラフは、各ベンダーにおけるアラートの深刻度の分布を示しています。

（出所：筆者作成）

マイクロソフト（MSFT）のアラート分布では、中程度および低優先度のアラートが高い割合を占めており、クリティカルやその他の分類はありません。一方、パロアルトネットワークス（PANW）も似たような割合ですが、全体のアラート数は少なめです。センチネルワン（S）は中程度のアラートが明らかに多いものの、低優先度のアラートが非常に少なくなっており、これにより調査担当者が高プロファイルの攻撃に早く気付ける可能性が高まります。

ノイズステップ

このグラフは、MITREが意図的にノイズとなる信号を挿入した全ステップ数と、それに対する各ベンダーの誤検知の応答状況を視覚化したものです。

（出所：筆者作成）

保護テスト全体では、センチネルワン（S）は誤検知が多いものの、それが必ずしも悪いことかどうかは判断できません。一方、マイクロソフト（MSFT）はセキュリティが緩すぎるため、悪意のあるものも善意のあるものもそのまま通してしまう傾向があります。パロアルトネットワークス（PANW）は誤検知がゼロですが、28件中19件が「適用外」となっています。この理由として、パロアルトネットワークスのエージェントにはOSレベルのファイアウォールが組み込まれているため、MITREが生成した異常なコマンドやプロセスなどのノイズとなるペイロードがエンドポイントシステムに届く前に遮断されている可能性が高いと推測されます。言い換えれば、パロアルトネットワークスの組み込みファイアウォールがOS周辺で発生する異常な動作を完全にブロックすることで、MITREではこれを「適用外」として記録していると考えられます。

これに対し、センチネルワンには組み込みのファイアウォールがないため、こうしたペイロードがセンチネルワンのエンドポイントシステムに到達し、プロセスを検査した上でブロックするかどうかを選択する機会が与えられます。しかし、特にLockbitテストでは、MITREが挿入した異常だが無害なプロセスに対し、センチネルワンがそれらをブロックするという応答を示したため、誤検知が多く記録されてしまいました。

さらに、Cybereasonも保護テストで6件の誤検知と5つの「適用外」ステップが記録されています。現実の環境では、もし企業内ユーザーの行動がLockbitに似たものだった場合、センチネルワンは100%の誤検知アラートを発生させます。ただし、これらは高優先度やクリティカルなアラートにはなりません。全ての実行チェーンがLockbitのパターンと一致した場合にのみ、センチネルワンは複数の低優先度アラートを1～2件の高優先度アラートとして統合します。

また、保護機能が有効になっている状態（通常は有効にされています）では、センチネルワンは脅威をブロックすることが可能であり、誤検知率は適度とみなされる場合があります。これは、パロアルトネットワークスの「適用外」とされるイベント数を誤検知として再分類した場合にも適用されます（実際には、それらも誤検知とみなせるものであり、単にパロアルトネットワークスがシステムに到達する前にそれらをブロックしたという違いに過ぎません）。

要するに、センチネルワンの誤検知率はそれほど深刻な問題ではありません。というのも、MITREが実行したプロセスは特殊であり、特権を持つIT管理者であっても、まずブロックしてから状況を確認したいと思うようなものだったからです。

保護率

（出所：MITRE）

※上記はMITRE ATT&CK ラウンド6 保護テスト：10ステップの内訳。左からマイクロソフト、パロアルトネットワークス、センチネルワン。青は「良好」、黄色は「普通」、灰色は「不十分」を示します。

保護結果の詳細を見ると、マイクロソフト（MSFT）はすべてのステップを保護しましたが、具体的な保護アラートを出せたのは2件のみでした。一方、パロアルトネットワークス（PANW）は初回実行のステップ7で、10ステップ中7ステップを正確なアラートとともに保護できています。

アラート数 vs. 検知カバレッジ vs. 誤検知率

すべてのベンダーのデータを抽出する時間はありませんが、Bitdefenderのエンジニアが以下の3つの指標を公開しています：

1. アラート量（生成されたアラートの総数）

2. アラートの網羅性（ハッカーによるすべてのステップをカバーするアラートの割合）

3. 誤検知率（MITREが挿入したノイズステップで、実際にはハッカーが使用していないものの検知率）

MITRE ATT&CK ラウンド6：アラート量・検知カバレッジ・誤検知率の結果

（出所：Bitdefender）

Bitdefender: アラート量戦略

Bitdefenderのエンジニアは、自社製品に有利な指標、つまりアラート量の少なさを選んで強調しているようです。アラート量を抑えることで、競合他社と比較した際の優位性を示しています。この点は、Cybereasonやセンチネルワン（S）といった他のベンダーと比べると確かに印象的です。しかし、検知カバレッジ（アラートの網羅性）が100％に満たない点は大きな欠点と言えます。

Bitdefenderはアラート数が少ないものの、すべての脅威を検知できていないため、アラート数が多くても100％の検知カバレッジを誇るパロアルトネットワークス（PANW）のようなベンダーに後れを取っています。選択肢があるなら、アラートが多くてもすべての脅威をカバーする方が、アラートが少なくても検知に穴があるよりもはるかに望ましいと言えるでしょう。

センチネルワン（S）: 低アラート量、高い検知率、しかしLockbitでの誤検知率は100%

センチネルワン（S）は、アラート量が少なく、3つのテストすべてで100%の検知カバレッジを達成しており、非常に優れたパフォーマンスを示しています。しかし、大きな欠点として、Lockbitランサムウェアに対して100%の誤検知率を記録しています。これは、ランサムウェアのような挙動に対して過度に敏感になり、正当なアクティビティを悪意あるものと誤って判断する可能性があるため、同社にとって重要な課題となるでしょう。

Lockbit以外では、センチネルワンは良好な結果を出しており、CL0Pでの誤検知率は10%、DPRKでは0%でした。この検知精度と誤検知のバランスは、Sをトップパフォーマーの一つとして際立たせていますが、Lockbitでの誤検知の問題には取り組む必要があります。

全体を見渡すと、Lockbitテストで高い誤検知率を記録しているのはセンチネルワンだけではありません。一方、パロアルトネットワークス（PANW）は唯一、0%の誤検知率と100%の検知カバレッジを達成しています。

これは、おそらくLockbitに似たランサムウェアが非常に広く普及しているため、大手ベンダーがLockbitに似た挙動や戦術をデフォルトでブロックするようにしていることが背景にあります。このアプローチには正当なユースケースも含まれるため、誤検知につながる可能性があります。また、先に触れたように、MITREのLockbitにおけるノイズステップが現実のシナリオを完全に反映しているとは言い切れないという議論もあります。

MITREによれば、評価中にエミュレーション計画外の無害な活動（良性アクティビティ）が実行される一方で、Red Team（セキュリティ分野で組織の防御力をテストするために、意図的に攻撃者の役割を担うチーム）が悪意のある／疑わしい活動を実行しました。もしツールが無害なアクティビティを誤って悪意のあるもの、または疑わしいものとしてアラートを出したり、ブロックしたりした場合、それは誤検知として報告されました。

MITREはLockbitテストにおけるノイズステップの具体的な内容を明示していませんが、エンドポイントセキュリティ製品の仕組みや高レベルのセキュリティ対策を考えると、OS内であまり使用されない機能や操作をデフォルトでブロックすることで、セキュリティを強化する傾向があります。これにより、不正な鍵によるディスク全体の暗号化や管理者権限でのリモートデスクトップアクセスといった行為を完全に回避することができます。

そのため、Lockbitでの高い誤検知率（FP）が悪いことなのかどうかは断言できません。ただし、一般的には、アラート量の少なさ、100%の検知率、低い誤検知率という3つの条件をすべて満たすベンダー（例えばパロアルトネットワークス）を評価したいと考えます。

パロアルトネットワークス（PANW）アラート数は多いが依然として高水準を維持

パロアルトネットワークス（PANW）はセンチネルワン（S）よりもはるかに多くのアラートを生成しますが、100%の検知カバレッジと低い誤検知率により、平均を大きく上回るパフォーマンスを示しています。センチネルワンと同様に、パロアルトネットワークスはDPRKで0%の誤検知率、CL0Pでも10%の誤検知率を記録し、優れたパフォーマンスを発揮しています。驚くべきことに、パロアルトネットワークスはLockbitでも誤検知率0%を達成しており、これが大きな強みとなっています。

パロアルトネットワークスはアラート数が多い（例えば、DPRKでセンチネルワンの2件に対して35件）が、それでも全体的には信頼性が高いパフォーマンスを維持しています。これは、低い誤検知率とテスト中に設定変更を必要としない点に起因しています。

Cybereason: 問題を抱えながらも意外な強さを発揮

Cybereasonは最近のテストで意外にも優れたパフォーマンスを示しています。誤検知（FP）ゼロ、アラート量の少なさ、そして印象的な検知カバレッジを誇り、Lockbitでの2%の検知漏れを除けば、非常に競争力のある製品です。リスク優先度の評価もセンチネルワン（S）にほぼ匹敵しており、競争力の高い製品となっています。

特筆すべきは、設定変更後のアラート数が他のベンダーの2倍に達する点ですが、それでも検知カバレッジは設定変更の有無に関わらず維持されています。この点が、Cybereasonを特に興味深い存在にしています。

Cybereasonは有望な検知結果を示していますが、その実績と過去の課題に懸念が残ります。同社はかつて30億ドルの評価を受け、8億5000万ドルを調達しましたが、売上の成長や利益率の拡大に苦戦してきました。2021年には50億ドルの評価でIPOを試みましたが、2022年のVC市場の低迷やその後の財務上の困難により、その展望は暗転しました。

この状況をさらに悪化させたのが、ソフトバンクの関与です。ソフトバンクは2023年3月に同社に1億ドルを追加投資し、評価額を30億ドルに据え置きました。この動きは、WeWorkでの失敗と同様に批判されており、基盤となる事業の改善よりも再建戦略に重点を置いていると指摘されています。

2023年4月、創業者のLior Div氏がCEOを辞任し、ソフトバンクの幹部であるEric Gan氏が後任に就任しました。そして、2024年11月にはTrustwaveと合併しましたが、この動きには疑問の声が上がっています。Trustwaveは2015年に770百万ドルでSingtelに買収された後、2024年にはわずか205百万ドルでプライベートエクイティファンドに売却されたレガシーベンダーです。

CybereasonとTrustwaveの合併により、両社は独立した運営を維持していますが、シナジーや統合がほとんど見られず、戦略的な潜在力が弱まっています。CybereasonはTrustwaveのMDR（マネージド検知・対応）および北米での強力なGTMチャネルを活用することを目指しています。しかし、業績不振、創業者の退任、レガシープレイヤーとの合併という状況から、Cybereasonの将来は不透明です。この軌跡は、失敗に終わったNGAVベンダーであるCylanceと似ているようにも見えます。

結論

パロアルトネットワークス（PANW）は、設定変更なしで100%の検知カバレッジを実現しています。他社と比較して、アラートの量は適度で、誤検知率も低く抑えられています。さらに、バックエンドにXSIAMを統合すれば、高レベルな統合アラートの優先順位付けがさらに向上し、同社がトップのエンドポイントセキュリティソリューションとしての地位を確立するための最後のピースが完成するでしょう。

当社が詳しく解説しているパロアルトネットワークスのプラットフォーム化戦略では、各製品がBoB（Best-of-Breed：特定のカテゴリや用途において、最高の性能や品質を持つと評価される製品やサービス）として機能するだけでなく、プラットフォーム全体を採用することで、単体のBoB製品を超えるパフォーマンスを発揮します。今回の最新テスト結果を受け、パロアルトネットワークスがこの約束を果たす能力を持っていることが確認されました。

とはいえ、同社のエンドポイントセキュリティ事業は、プラットフォーム全体の中で依然として最小規模であり、性能的にも最も弱い部分であると言えます。しかし、エンドポイントセキュリティとSecOpsを組み合わせることで、同社の次の成長曲線を描き、長期的に見て大きな株主価値を創出する原動力になると考えています。詳細な分析については、当社のレポートをご覧ください。

一方で、センチネルワン（S）は、わずかな設定調整を加えることで100%の検知カバレッジを実現していますが、以前の「設定不要」のアプローチからの変化が見られます。この変化は、特に世界的に評価の高いUnit 42 Threat Research Labを擁するパロアルトネットワークスと比較した場合、センチネルワンの脅威インテリジェンス研究リソースがそれほど強力ではない可能性を示唆しています。

それでも、センチネルワンはリスク優先度において群を抜いており、これには広範なデータレイクを基盤とした機械学習駆動の相関エンジンと文脈化アルゴリズムの強さが反映されています。DPRKやCL0Pでは誤検知率が低いものの、Lockbitや保護テストでの高い誤検知率は、セキュリティ性能がユーザーエクスペリエンスとのトレードオフを伴うことを示しています。

また、マイクロソフト（MSFT）は改善を見せているものの、依然として「まあまあ」のカテゴリーにとどまっています。数年前であれば、平均以下で非常にコスト効率の良い選択と見なされていたでしょう。現在では、コストリーダーとしてやや平均を上回るパフォーマンスを示しています。適切なマネージドサービスがあれば高度な脅威にも対抗可能ですが、その代償として一部の攻撃が検知されなかったり、低優先度のアラートが大量に発生したりします。これらのアラートは、下流のSecOpsツールやオペレーターが精査し、重要な脅威を特定する必要があります。

コストに敏感な顧客がマイクロソフトを選択する場合、適切なチューニングや管理が行われなければ、高度なハッカーによる攻撃が高優先度やクリティカルなアラートを発することなく、エンドポイントセキュリティが容易に侵害される可能性があります。AIがこの課題を解決する助けになる可能性はありますが、GPT-4を単に導入するだけでは十分ではありません。人間によるロジックのコード化、微調整されたLLM、機械学習モデル、エージェントのワークフローを統合した複雑なAIスタックが不可欠です。

特に、OpenAIのo1やo3が人間の介入なしにアラート調査を進化させる可能性が示されており、将来的にはこのダイナミクスが大きく変わる可能性があります。

そして、予想通り、エンドポイント市場では大規模な統合が進んでおり、2024年には多数のM&Aが行われています。

Cybereasonの共同創業者であるDiv氏とStriem-Amit氏は、現在、新たなサイバーセキュリティスタートアップ「Seven AI」を立ち上げました。同社はシードラウンドで3600万ドルを調達し、エージェント型セキュリティプラットフォームの構築に注力しています。我々は、彼らがCybereasonを超える成果を達成する可能性が高く、Ripplingのような成功を模倣し、エージェント型AI駆動のセキュリティ分野で拡大を続けるスタートアップを構築できると考えています。

Seven AIは、AI駆動型SOC（セキュリティオペレーションセンター）やSecOpsの構築に注力しており、私たちはこれがサイバーセキュリティ分野における次の大きなトレンドになると確信しています。

エンドポイントセキュリティにおける次のイノベーションの波は、人手や機械自動化によって実現されるマネージドサービスです。来年のラウンド7ではMDR（マネージド・ディテクション＆レスポンス）のテストが実施される予定で、サービスと人による管理が認められる中で、どの企業が最高のパフォーマンスを発揮するか注目されます。この条件では、人手に大きく依存しているクラウドストライク（CRWD）がトップに立つ可能性があります。しかし、MITREがMDRを「人手によるMDR」と「自律型MDR」の2つに区分する場合には、センチネルワンとパロアルトネットワークスがリーダーの座を維持するかもしれません。

3つの章から成る本編は以上となります。

弊社はテクノロジー銘柄に関するレポートを毎週複数執筆しており、弊社のプロフィール上にてフォローをしていただくと、最新のレポートがリリースされる度にリアルタイムでメール経由でお知らせを受け取ることができます。

加えて、その他のアナリストも詳細な分析レポートを日々執筆しており、インベストリンゴのプラットフォーム上では「毎月約100件、年間で1000件以上」のレポートを提供しております。

弊社のテクノロジー銘柄に関する最新レポートを見逃さないために、是非、フォローしていただければと思います！

アナリスト紹介：コンヴェクィティ

📍テクノロジー担当

コンヴェクィティのその他のテクノロジー銘柄のレポートに関心がございましたら、こちらのリンクより、コンヴェクィティのプロフィールページにてご覧いただければと思います。