1. 概要
近年、企業を取り巻くサイバー攻撃は従来の境界防御では捉えきれない潜伏型・ステルス型の攻撃が増加しています。
長期間潜伏していた脆弱性や国家級攻撃者によるバックドアの設置などの事例が相次ぎ、「侵害される前提で防御を考える必要性」が明確になっています。
境界防御だけに依存する従来のモデルでは、潜伏型攻撃やクラウド侵害などの新しい脅威に対応できません。
そのため、企業は境界防御から侵害前提防御を中心としたセキュリティ体制への移行が求められています。
本記事では、図1のように増加傾向のある潜伏型攻撃の実例を踏まえながら境界防御が抱える課題とSOCを中心とした侵害前提防御の方向性を整理して紹介します。
図1非マルウェア攻撃(Malware-free)の割合推移
2. 事例紹介
①9年間潜伏していたLinuxの脆弱性「Copy Fail(CVE-2026-31431)」
この脆弱性は、一般ユーザ権限から管理者権限を奪取でき、攻撃者はRAM上のページキャッシュのみを改ざんすることでディスクに痕跡を残さずに権限昇格を実現できます。AIによる数百万パターンのメモリ挙動解析を行う過程で偶然検出されたもので、従来の手法では見つけられなかったタイプの潜伏型脆弱性で、長期間にわたり見過ごされてきた理由もここにあります。この脆弱性は攻撃者が悪用した場合コンテナ隔離を突破してKubernetesホスト全体を乗っ取られる可能性があります。
これは、境界で攻撃を止める従来の防御モデルでは内部で発生する異常や潜伏を検知できないことを示す象徴的な事例と言えます。
②Ciscoの事例:国家級攻撃者による境界装置バックドア「Firestarter」
この攻撃では過去に利用していたツール群とコード構造が一致していたことからArcaneDoorと呼ばれる国家支援型の攻撃者グループが関与したと考えられています。
Firestarterは、認可チェック欠如(CVE‑2025‑20333)とバッファオーバーフロー(CVE‑2025‑20362)を組み合わせて侵入し、ファームウェア更新後も生き残るバックドアを設置するという巧妙な手法を取っていました。Firestarterの特徴は、ログをほとんど残さないステルス性とメモリ常駐型でディスクに痕跡を残さない構造にあります。ログが残らないため侵害に気づくまで時間がかかり、パッチ適用後もバックドアが残り続けるケースも確認されています。
この事例は、境界装置そのものが攻撃対象となる時代に突入したことを示す象徴的な出来事であり境界防御モデルの限界を強く浮き彫りにしています。
Ciscoについては以下のセキュリティニュースもご参照ください。
「【号外】【更新】注意喚起:Cisco ASAおよびFTDにおける複数の脆弱性
(CVE-2025-20333、CVE-2025-20362)について」
(https://www.ssk-kan.co.jp/topics/?p=16283)
3. セキュリティ動向
・境界防御の限界
現代の攻撃は図2のような外部から内部への侵入を防ぐ「境界で止める」ことを前提とした防御モデルでは対応しきれなくなっています。
図2従来の境界防御
痕跡を残さない攻撃やファイアウォール自体にバックドアを仕込む攻撃は、境界防御の想定を根本から覆すもので、クラウドサービス利用の一般化により「社内=安全、社外=危険」という従来の境界モデルが成立しなくなっています。
また、EDRを回避するマルウェアやShadow ITの増加により、内部の可視性が低下しています。
図3のようにVPNアカウントの乗っ取りも境界外で発生するため、境界防御では検知できません。
図3 MFA疲労攻撃プロセス
※境界防御は依然重要ですが、攻撃面が広がる現代に対応するため内部監視(SOC)やゼロトラストとの併用が不可欠です。
・侵害前提防御の必要性
企業は「入口を守る」だけでは不十分であり内部の異常を検知し、攻撃者の行動を追跡できる体制を整えることが求められています。アラートを待つだけではなく、潜在的な脅威を能動的に探し出すハンティングの取り組みも必要です。
そんな侵害前提防御の中心となるのがSOC(Security Operation Center)です。ログ監視・相関分析・脅威インテリジェンスを組み合わせたSOCは境界防御では捉えきれない内部の異常や潜伏を可視化し攻撃の早期発見と対応を可能にします。当社SOCでは、お客様が導入している監視基盤に応じて多様なログや検知情報を扱い、それらを分析することで内部の異常や潜伏の兆候を可視化しています。端末内部のメモリ挙動、認証の異常、クラウドアカウントの不審操作、横展開の兆候など、各環境で取得できる情報をもとに攻撃者の活動を早期に把握することが可能です。
・侵害前提防御の構成要素
侵害前提防御は単一の製品ではなく、複数の仕組みを組み合わせて成立します。
その中心となるのが以下の4つの要素です。
(1)SOC(SIEM+XDR+TI+ハンティング+AI)
・SIEM(Security Information and Event Management)は、企業内のさまざまなログを一元的に収集し、相関分析によって異常な振る舞いを可視化する仕組みです。単体のログでは気づけない攻撃の兆候を、複数のイベントを組み合わせて検出できるため攻撃者の行動を早期に把握するための"監視の土台"となります。
・XDR(Extended Detection and Response)は、端末・ネットワーク・クラウドといった複数の領域を横断して攻撃を検知する仕組みです。従来のEDRが端末に限定されていたのに対し、XDRは広範囲を監視できるため境界装置の侵害やクラウドアカウントの乗っ取りなど、攻撃面が広がる現代において欠かせない存在です。
・TI(Threat Intelligence:脅威インテリジェンス)は、世界中で観測される攻撃手法やマルウェア情報をSOCの分析に取り込む役割を担います。これにより既知の攻撃者グループのTTP(戦術・技術・手順)を踏まえた検知が可能になり、攻撃者の活動を早期に察知する助けとなります。
・ハンティング(Threat Hunting)は、アラートを待つのではなく潜伏している可能性のある攻撃者を能動的に探し出す取り組みです。ゼロデイ脆弱性の悪用やステルス型攻撃など、従来の検知では見つからない脅威を発見するために重要なプロセスです。SOCの成熟度を示す指標でもあり、侵害前提防御において特に重要な役割を果たします。
・AI SOC(高度化する攻撃への対応)
AI SOCは、従来のSOCにAIを組み合わせ、膨大なログの自動分析・異常検知・攻撃パターンの推定を行う仕組みです。Copy Failのように痕跡を残さない攻撃やFirestarterのようなステルス性の高い攻撃に対してAIによる相関分析が有効に働きます。
(2)ゼロトラスト(ID・デバイス・アプリの継続的検証)
ゼロトラストは図4のように「信頼できる境界」を前提とせず、ユーザ・デバイス・アプリケーションの状態を常に検証するアプローチです。VPNアカウント乗っ取りやクラウドアカウント侵害など境界外で発生する攻撃に対して有効です。
図4ゼロトラストの考え方
(3)CASB/SSPM(クラウド・SaaSの可視化)
SaaSの設定不備やShadow ITは従来の境界防御では把握できず情報漏えいやアカウント侵害につながる可能性があります。こうしたクラウド特有のリスクを可視化し適切に管理するために重要となるのがCASBとSSPMです。
・CASB(Cloud Access Security Broker)は企業とクラウドサービスの間に位置し、SaaSの利用状況を可視化しながらデータ保護やアクセス制御を行う仕組みです。CASBを導入することで、社員がどのSaaSを利用しているか、機密情報のアップロード検知など、クラウド利用に伴うリスクをリアルタイムで制御することができます。
境界外で発生するデータ流出リスクに対して、CASBは"可視化と制御"の両面で大きな役割を果たします。
・SSPM(SaaS Security Posture Management)は、SaaSアプリケーションの設定そのものに着目し、誤設定や脆弱な構成を継続的に監査・修正する仕組みです。M365やGoogle Workspaceのような大規模SaaSは設定項目が非常に多く、管理者が意図せず外部共有を許可してしまい、不要な権限を付与してしまうケースが少なくありません。SSPMはこれらの設定を自動的にチェックし、ベストプラクティスに沿って改善することでクラウド環境のセキュリティ姿勢を健全に保ちます。
(4)ZTNA(ゼロトラストネットワークアクセス)
従来のVPNは、一度接続するとネットワーク全体に広い権限が付与されてしまうため、アカウントが乗っ取られた場合に大きなリスクとなっていました。
ZTNA(Zero Trust Network Access)は、従来のVPNに代わる新しいアクセス制御の仕組みであり、ゼロトラストの考え方をネットワークアクセスに適用したものです。ユーザがどこからアクセスしているかに関係なく、複数の要素を基にアクセス可否を判断することにより細かな制御が可能になります。攻撃者が侵入したとしても、横展開を防ぎやすくなる点が大きな特徴です。
ZTNAはユーザの状態を一度だけ確認するのではなく、接続中も継続的に検証を行うため、デバイスが危険な状態になった場合や異常な挙動が見られた場合には即座にアクセスを遮断できます。リモートワークやクラウド利用が当たり前になった現代において、ZTNAは安全なアクセスを実現するための重要な仕組みとなっています。
4. まとめ:境界防御の限界を踏まえた侵害前提防御とSOCの重要性
近年のサイバー攻撃は、AIにより企業の想定を超える速度と手法で多様化しており「うちは狙われない」という前提は通用しない為組織の防御体制にはこれまで以上の柔軟性と深い可視性が求められています。企業は内部異常を早期に察知できる体制を整える必要があります。
SOCを導入することで、企業は24 時間体制でシステム全体を監視でき、異常が発生した際に早期に察知でき、被害を最小限に抑えることができます。クラウド・SaaS・IDといった境界外の領域も含めて可視化できるため、従来の境界防御では見えなかったリスクを一元的に管理できる点も大きなメリットです。外部のMSS(マネージドセキュリティサービス)を活用すれば、中小企業でも現実的なコストで SOCと同等の監視体制を構築できます。
現代の攻撃は「侵入されないこと」を前提にした防御では対応できません。重要なのは、侵害を前提にいかに早く気づき被害を最小化するかです。SOCは、そのための基盤となり企業規模を問わずこれからの脅威環境に適応するために欠かせない存在だといえます。
5. 参考文献
[1] ENISA Threat Landscape(公式)
https://www.enisa.europa.eu/publications/enisa-threat-landscape-2025
[2]Copy Fail
https://copy.fail/
[3]Cisco Japan Blog
https://gblogs.cisco.com/jp/2026/05/uat-4356-firestarter/
[4]securityaffairs
https://securityaffairs.com/191241/hacking/cisa-reports-persistent-firestarter-backdoor-on-cisco-asa-device-in-federal-network.html
[5]Cisco Security Advisory
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-persist-CISAED25-03
[6]ZTNA
https://www.arteria-net.com/business/column/ztna
[7]Microsoft Defender for Cloud Apps(CASB)とは
https://learn.microsoft.com/defender-cloud-apps/what-is-defender-for-cloud-apps
[8]NTT
https://www.ntt.com/bizon/glossary/e-c/casb.html
[9]CrowdStrike: Global Threat Report
https://www.crowdstrike.com/en-us/blog/crowdstrike-2026-global-threat-report-findings/
6. SSKの総合セキュリティサービスについて
SSKでは総合セキュリティサービスとして、セキュリティ運用監視サービス、脆弱性診断サービス、デジタル・フォレンジックサービスなどのセキュリティサービスを展開しております。
セキュリティ運用監視サービスでは、24時間365日、リアルタイムでセキュリティログの有人監視を行っております。サイバー攻撃対策としてセキュリティ機器を導入しても、継続的な運用監視と分析・判断が伴わなければ十分な効果は得られません。セキュリティ運用監視サービスでは、不審な通信やアラートを継続的に分析し、迅速な通知によって、インシデント発生時に適切に対処できるよう支援いたします。
脆弱性診断サービスでは、お客様のシステムを診断し、検出された脆弱性への対策をご提案させていただいております。テレワークの常態化やIoT等のデバイスの多様化が進む昨今、特定の攻撃経路だけを想定した「境界防御」に加えて、脆弱性を把握・管理・対処する『本質防御』も必須となっています。脆弱性診断サービスのご活用により、お客様のシステムにおける脆弱性の存否が明らかになります。
デジタル・フォレンジックサービスでは、万が一のインシデント発生時に、コンピュータやセキュリティ機器などに残された情報を分析し、侵入経路や情報窃取の痕跡等を特定するフォレンジックサービスを提供しております。また、平時の備えとして証拠保全の訓練などを実施する事前アドバイザリーサービスも提供しております。
これらの総合セキュリティサービスにより、インシデントの予防と、発生時の迅速な対処を両立し、対策コストや被害の抑制に貢献します。
【参考URL】
セキュリティ運用監視サービス:
https://www.ssk-kan.co.jp/e-gate#e-gate--02
脆弱性診断サービス:
https://www.ssk-kan.co.jp/vulnerability-assessment
デジタル・フォレンジックサービス:
https://www.ssk-kan.co.jp/digital-forensics
※本資料には弊社が管理しない第三者サイトへのリンクが含まれています。各サイトの掲げる使用条件に従ってご利用ください。
リンク先のコンテンツは予告なく、変更、削除される場合があります。
※掲載した会社名、システム名、製品名は一般に各社の登録商標 または商標です。
≪お問合せ先≫
サービス&セキュリティ株式会社
〒151-0051
東京都渋谷区千駄ヶ谷5丁目31番11号
住友不動産新宿南口ビル 16階
TEL 03-4500-4255
FAX 03-6824-9977
sales@ssk-kan.co.jp