「週刊BCN　創刊40周年記念特集　進化するセキュリティ市場　前編」はこちら

　一時期はコモディティー化が指摘されたエンドポイントセキュリティ市場だが、EDR（Endpoint Detection and Response）や、AI技術などを活用しマルウェアを駆除する次世代型EPP（Endpoint Protection Platform、アンチウイルスソフトを中心としたエンドポイントセキュリティ製品群）の登場とともに新興ベンダーの市場参入も相次ぎ、活況を取り戻している感がある。さらに、エンドポイントやネットワーク、クラウド環境から情報を収集・分析してセキュリティ対策を行うXDR（Extended Detection and Response）という概念が誕生したことで、ネットワークセキュリティベンダーもエンドポイントセキュリティへの取り組みを強化している。競争が激化する市場の最新動向を追う。
（取材・文／岩田晃久）

週刊BCNは今年10月、創刊40周年を迎えます。本紙が長年取材してきたITビジネスの現在を分析し、未来を占う記念特集を連載形式でお届けします。

エンドポイントセキュリティ市場の大きな転機となったEDRの浸透

　シグネチャベースでのマルウェア対策の限界が指摘されたことや、「Windows 10」の標準機能としてマイクロソフトが無償で提供しているアンチウイルスソフト「Windows Defender」の高機能化により、有償のEPP製品には不要論までささやかれた時期もあった。

　しかし、ランサムウェアを筆頭にサイバー攻撃はより巧妙化し、リモートワークの普及により多くの企業がエンドポイントセキュリティの強化を迫られている。そうしたニーズと軌を一にして、近年、EDRや次世代EPPをメイン商材とする新興ベンダーの参入も相次いだ。さらに目下の動きとしては、シマンテックが2019年に法人事業を売却したことで、同社の製品を利用していた企業が他社製品に乗り換える案件が増加しており、市場は活性化している。

　特に直近のエンドポイントセキュリティ市場の拡大を後押ししたのが、EDRの浸透だ。EDRが登場した当初はアンチウイルスと混同されることも多く、機能を十分に理解できている企業は少なかった。そのため、導入した企業から「ウイルスの駆除はしないのか」「アラートが鳴るが対応の仕方が分からない」という声が多く挙がっていたという。

　特に課題となったのが運用だ。ラックの佐藤敦・サイバー救急センターグループマネージャーは「当初はEDRを導入したが運用できない企業が多かった」と振り返る。その結果、「SOCによる運用を組み合わせたMDR（Managed Detection and Response）が主流となった。運用の不安が解消されたことで、一気にEDRの普及は進んだ」と見ている。
 
　EDRは新興ベンダーによる積極的な販促で企業の採用が増加した背景もある。特に米サイバーリーズン、米クラウドストライク、米カーボンブラックの3社はEDRの普及に大きく貢献した。

　サイバーリーズン日本法人であるサイバーリーズン・ジャパンの渡部洋史・執行役員副社長パートナー営業本部長は、現在のEDRの立ち位置について「エンドポイントセキュリティを強化する上で重要な製品だということが浸透している」と語る。現状では同社の顧客は大手企業が中心だが、「中堅中小に裾野を広げていくことは十分に可能で、戦略としても重視している」と述べ、販売パートナーとの連携をはじめSMB向けの販売戦略の見直しを図るという。また、スマートフォンのビジネス利用が当たり前になったことから、モバイル端末にEDR機能を実装できる「Cybereason Mobile」を20年5月に発売し、拡販に注力している。
 
　一方、クラウドストライク日本法人の古川勝也・リージョナル・マーケティング・ディレクターは「EDR専業ベンダーというイメージを変えていく」と意気込みを語り、同社のビジネスが新たなフェーズに入ったことをうかがわせる。クラウドストライクは一つのプラットフォームでEDR、EPP、IT資産管理などの機能を提供しているが、今後はさらに機能の拡充を進め、EDR機能単体のユーザーに対してクロスセルを狙う。加えて「他社製品との連携を強化しユーザーの利便性を向上させていくことで、顧客獲得を加速させる」（古川リージョナル・マーケティング・ディレクター）という。既に米サービスナウや米オクタなど多くの利用者を抱えるベンダーとの協業に積極的に取り組んでおり、今後もパートナーエコシステムの拡充に注力していく方針だ。
 

老舗ベンダーは次世代型EPPとEDRの組み合わせが標準に

　エンドポイントセキュリティ市場の老舗有力ベンダーも市場の変化に追随している。かつて主力だったアンチウイルス製品を次世代EPPにアップデートするとともに、EDRも揃えて包括的なエンドポイントセキュリティソリューションをラインアップする動きがスタンダードになりつつある。

　例えばトレンドマイクロが提供する「ウイルスバスター」はシグネチャベースのアンチウイルス製品というイメージが強かった。しかし同社の宮崎謙太郎・エンタープライズソリューション部部長は「AIの研究は10年以上前から行っており、その成果は製品に反映していた。当時は公表していなかっただけ」だと強調する。19年に法人向けウイルスバスターの後継製品としてリリースした「Apex One」では、AIによるウイルス対策やEDR機能を前面に打ち出している。「シグネチャは古いという声もあるが、既知の脅威はシグネチャの方が素早く検知できる。AIは未知の脅威に強みを発揮するため、組み合わせて使うことが有効だ」と宮崎部長は説明する。EDRについては「EPPのコンソールでEDRの管理も行える。既存ユーザーには運用面での負荷が少ないことをアピールし利用を促進している」という。
 
　カスペルスキーも次世代EPPとEDRを中心としたポートフォリオ整備を進めてきたが、佐藤輝幸・パートナー営業本部本部長は直近の市場環境について冷静に見る必要があると指摘する。近年、EDRに対して実態と乖離した「幻想」とも言える期待が高まっているとの声も聞かれる。佐藤本部長は「もちろんEDRは重要だが、その前に脆弱性やパッチを管理することが大切だ」と話す。その上で、「当社では提案の際に脆弱性を把握し対策することで、多くのリスクは未然に回避できることを説明し、段階を踏んでセキュリティ環境を構築することを推奨している」という。
 
　クラウド需要の高まりも、市場を取り巻く大きな変化だ。従来、EPP製品はオンプレ版が主流だったが、トレンドマイクロもカスペルスキーも、最近ではクラウド版の引き合いが急増していると口を揃える。トレンドマイクロは21年12月期第2四半期のクラウド版の販売ライセンス数が前年同期比で60％以上伸長したという。宮崎部長は「中堅中小企業を中心にクラウド版の需要は年々伸びていたが、新型コロナ過によりリモートワークが定着したことでクラウド版の採用が加速した」と分析する。製品のクラウド対応も進めており、例えばカスペルスキーはクラウド型管理コンソール「Kaspersky Japan Free Cloud KSC」を無償提供するなどして、この需要を取り込もうとしている。

XDRは普及にハードルも市場のさらなる変化を誘発？

　さらに近年、市場の成長余地が大きいセキュリティ商材として注目されているのがXDRソリューションだ。XDRはエンドポイントセキュリティにも関連が深い。エンドポイントやネットワーク、クラウドに設置したセキュリティ製品からの情報を収集して分析し、包括的なセキュリティ対策を実現するというコンセプトだ。今まで見えなかった攻撃が可視化できたり、一つのコンソールで設置した場所にかかわらずセキュリティ機器の統合管理が可能になるといったメリットが期待される。

　XDRを実現するには、各環境に設置しているセキュリティ製品をシングルベンダーで統一することが必須となる。そうした事情もあり、米パロアルトネットワークスや米フォーティネットなど、ネットワークセキュリティで強みを持つベンダーがエンドポイントセキュリティへの取り組みを強化し、XDRソリューションベンダーとしての存在感を高めようとする動きが目立つ。

　例えば、パロアルトネットワークスは自社の次世代ファイアウォールやSASEソリューション「Prisma Access」を利用している企業に対して「Cortex XDR」の提案を進めている。日本法人の鈴木康二・チャネル営業本部本部長は「エンドポイントセキュリティは専業ベンダーの製品を利用している企業が多いが、XDRについて説明すると興味を示し、当社製品に切り替えるユーザーも増えつつある」と手ごたえを語る。
 
　ただし、「XDRは実現が難しい」という声もある。あるセキュリティベンダーの幹部は「日本企業はベストオブブリードの考え方が浸透しており、エンドポイントセキュリティもネットワークセキュリティも、その分野で強い製品が選択される傾向が強い。その考え方が簡単に変わるとは思えない」と指摘する。また、あらゆるレイヤーのセキュリティ対策を一つのベンダーに依存することで、そのベンダーのサービスに障害が発生した際の対応も課題となる。

　XDRが主流となれば、これまである程度棲み分けができていたエンドポイントセキュリティベンダーとネットワークセキュリティベンダーの垣根がなくなり、競争が一気に激化する可能性もある。ネットワークセキュリティのSASE（Secure Access Service Edge）と同様にXDRも誕生したばかりの考え方だが、今後のセキュリティ市場に与える影響を注視する必要がありそうだ。

脅威を増すランサムウェア「二重脅迫型」が主流に

　独立行政法人情報処理推進機構（IPA）が発表した「情報セキュリティ10大脅威 2021」の組織編では、「ランサムウェアによる被害」が1位となるなど、ランサムウェアの脅威は高まっている。

　ランサムウェアは16年ごろから国内で急増したが、当時はデータやハードディスクを暗号化し身代金を要求するという手口が一般的だったため、バックアップが有効な対策として推奨された。

　しかし19年ごろから、身代金の支払いに応じなかった場合に盗んだデータを公開すると脅す「二重脅迫型」のランサムウェアが目立ち始めた。加えて、従来はメールを不特定多数にばら撒き無差別に攻撃していたが、明確に標的を企業・組織に定めるいわゆる標的型攻撃と同様の手法が用いられるようになった。その結果、大手企業や重要情報を保持する組織への攻撃が増加し、身代金も高額化している。

　ランサムウェアは進化しており、もはやバックアップに頼った対策では不十分だ。IPAは「ウイルス対策、不正アクセス対策、脆弱性対策など、基本的な対策を確実かつ多層的に適用することが重要だ」としている。

　各エンドポイントセキュリティベンダーがランサムウェア対策として推奨しているのは、EDRの利用だ。ランサムウェアは一般的なマルウェアと違い、感染してから被害が顕在化するまでの期間が短い。素早く見つけ出すためにもEDRが有効だという。例えばサイバーリーズンは、ランサムウェア特有の挙動パターンをいち早く検知できる専用の仕組みを実装して、検知力の向上を図っている。

　ランサムウェアの被害は今後も増加する可能性が高い。手口が悪質化していることから、これまで以上にエンドポイントセキュリティにおける重要テーマとして対策を強化する必要があるだろう。