Vectra AIプラットフォーム
リスクを低減し、攻撃を阻止し、セキュリティ態勢を強化するAI駆動型プラットフォーム
Vectra AI vs その他のすべて
比較ガイド
セキュリティ運用のユースケース
最新のアタックハブ
産業
セキュリティ運用のユースケース
すべてのユースケースを見る
プロアクティブな脅威検知とは、アラートが発生するのを待つのではなく、侵害に発展する前に攻撃者の活動、脆弱性、早期警告の兆候を探し出す、行動ベースの継続的なセキュリティ体制のことです。これは単一のツールではなく、一連のプログラムです。malwareを使用せずに、有効なアカウントやOSの標準ツールを悪用して活動することが増えており、シグネチャベースのアラートでは対応が遅れがちです。 本ガイドでは、「プロアクティブ」と「リアクティブ」という一貫した軸を用いて、侵害発生前のセキュリティ態勢がどのように機能するか、ドウェルタイムなどの脅威検知指標を用いてそれをどのように測定するか、そして脅威ハンティングや予測インテリジェンスとどのように異なるかを解説します。この変化を裏付けるデータもあります。あるキャンペーンでは、国家主体の攻撃者が組み込みツールのみを使用して、少なくとも5年間にわたり活動を継続していました。
「プロアクティブな脅威検知」とは、アラートやインシデントが発生してから対応するのではなく、影響が生じる前に、攻撃者の行動や脆弱性、早期警告の兆候を継続的に探知するセキュリティ対策のことです。これは単なる製品を有効にするだけの話ではなく、プログラムであり、考え方そのものです。
脅威の状況が変化したため、事後対応型の防御との区別が重要になります。事後対応型の検知は、既知のシグネチャや侵害の兆候がルールをトリガーするのを待ちます。一方、予防的な検知は、高度な攻撃者がすでに探りを入れている、あるいはすでに内部に侵入していることを前提とし、攻撃者が残す行動の痕跡を探します。だからこそ、これを定義するのはツールではなく「セキュリティ態勢」なのです。その目的は、侵入から発見までの時間を短縮することで、全体的なセキュリティ態勢を向上させることにあります。
「Living off the land(LOTL)」――有効な認証情報とOSに組み込まれたユーティリティを利用してmalware 展開を回避する攻撃手法malware 待機型防御が機能しない最も明白な理由であるmalware 攻撃者の活動が通常の管理業務のように見える場合、それを検知するためのシグネチャは存在しない。 CISAの2024年のアドバイザリによると、中国と関連するVolt Typhoon 、この手法を用いて、少なくとも5年間にわたり米国の重要インフラのIT環境へのアクセスを維持していた。シグネチャ主導の事後対応型プログラムでは、このパターンを見抜くことは事実上不可能である。
このガイドの残りの部分では、2つの用語が重要な概念となります。「侵害前(Pre-breach)」とは、侵入が報告義務のある情報漏洩となる前の段階、つまり「bangの左側」で起こるすべての事象を指します。「潜伏時間(Dwell time)」とは、攻撃者が発見されるまで検知されずに潜伏し続ける時間のことです。これら両方を自組織に有利に働かせるために、予防的な姿勢が求められます。
これがこのトピックの核心です。事後対応型の検知は、アラートを基に、シグネチャやインジケーターによってトリガーされ、事後に行われるものです。つまり、何かがすでに発生したことを知らせるものです。一方、予防的な検知は、行動を基に、ベースラインに基づいて行われ、影響が発生する前に実施されます。つまり、対応する時間がまだあるうちに、攻撃者の行動を明らかにするものです。 「プロアクティブなセキュリティとリアクティブなセキュリティ、どちらが優れているのか」というよくある質問に対する答えは明確です。それは「両方を、適切な順序で組み合わせること」です。リアクティブな対応を完全に排除することはできませんが、強力なプロアクティブな体制を構築することで、リアクティブな対応に頼らざるを得なくなる頻度と深刻度を軽減することができます。
スピードが重要である理由は明白です。『M-Trends 2026』によると、最初の侵入から二次的な脅威グループへの引き継ぎまでの時間の中央値は、2022年の8時間以上から、2025年には22秒にまで短縮されました。攻撃者がこれほど迅速に動く場合、純粋に事後対応型のプログラムでは、常に「昨日」の侵害に対処することになってしまいます。
鮮明で直感的な例を考えてみましょう。2026年に明らかになった「オペレーション・フックドウィング」では、特注のphishing を用いて500以上の組織から2,000件以上の認証情報を盗み出しました。その目的malwareではなく、有効なログイン情報そのものでした。シグネチャベースの事後対応型ツールから見れば、その後の活動は正当なユーザーによるログインのように見えます。 不自然な移動経路、初めて確認された地域、あるいは非典型的なアクセス経路などを監視する、行動分析およびID分析のみが、こうした悪用を検知できる。事後対応型の検知にはトリガーとなる要素がないが、予防的な検知にはそれがある。
表:6つの運用面における、反応型と予防型の脅威検知の違い。
事後対応型検知は、強力なインシデント対応能力と表裏一体のものであり、今後も常にその役割は存在し続けるでしょう。重要なのは順序付けです。つまり、事後対応の段階に至るインシデントの数を減らすために、事前の投資を積極的に行うことです。
プロアクティブな検知は、平たく言えば次の3つのステップで機能します。すなわち、「正常な状態を学習する」、「有意な逸脱を監視する」、そして「最も重要なシグナルに優先順位をつける」ことです。まず、行動のベースライン設定から始まります。ホスト、ID、ネットワークエンティティの典型的な活動をモデル化し、そのベースラインに対して際立つ、まれな、あるいは異常なシーケンスを抽出します。この仕組みは、既知の悪意ある行動と照合することよりも、そのユーザーにとって「通常とは異なる」行動を認識することに重点を置いています。
重要な概念の一つは、「侵害の兆候(IOC)」から「行動の兆候(IOB)」への移行です。IOCとは、悪意のあるIPアドレスやファイルのハッシュ値といったインフラストラクチャ上の痕跡であり、攻撃者はこれらを容易にすり替えることができます。一方、IOBとは、権限の昇格や横方向の移動を行うための一連の行動といった行動パターンであり、攻撃者がこれを変更することははるかに困難です。 IOBsは耐久性が高いからこそ、予防的な検知はIOBsに依存しているのです。
早期警告の兆候こそが原動力となります。これには、防御境界に対する偵察活動、類似ドメインや認証情報の漏洩に関連する活動、不可能な移動経路や初めて確認された地域からのログインといった異常なログイン、機密データへの非典型的なアクセス経路やデータ流出経路などが含まれます。これらの一つひとつが、被害が発生する前に悪意を検知する機会となります。
これは単なる曖昧な主張ではありません。査読済みの研究が、侵害発生前のベースライン設定を裏付けています。2025年の『Scientific Reports』誌に掲載された研究では、教師なし機械学習を用いてホストおよびアプリケーションのベースラインを学習し、侵害の評価のために稀なイベントシーケンスを抽出する方法が紹介されています。メカニズムの詳細については、一から解説するのではなく、関連分野を参照してください。トラフィックベースの手法についてはネットワーク異常検知、エンティティの行動モデリングについては行動分析、ユーザーおよびエンティティのベースライン設定の詳細についてはUEBAを参照してください。
脅威の積極的な検知は、単一の手法ではなく、一連の手法の集合体です。その中核となる手法は以下の通りです:
行動ベースおよび異常ベースの検知は、ホスト、ID、ネットワークエンティティについて、学習済みのベースラインからの逸脱を検知します。現代の侵入攻撃の多くは正当な活動の中に隠れているため、これは主力となる手法です。2025年、Bitdefenderが分析した70万件のインシデントにおいて、深刻度の高い攻撃の84%が「リビング・オフ・ザ・ランド(LoL)」バイナリを伴っていたことが判明しましたが、これこそが従来のシグネチャでは検知できない攻撃手法なのです。
脅威情報を基にした検知エンジニアリングでは、一般的なチェックリストではなく、実際の攻撃者が使用する具体的な手法に対応した検知ルールを構築します。これが、次のセクションで取り上げる運用上の基盤となります。デセプション技術では、正当なユーザーが決して触れることのないおとりやハニートークンを配置するため、それらとのあらゆるやり取りが高精度な早期の兆候となります。露出および攻撃面の監視により、攻撃者よりも先に脆弱性を発見し、後述する「侵害前の突破口」を事前に把握することができます。
「人間主導の脅威ハンティング」は5つ目の手法です。これは、自動検出を補完する、アナリスト主導の仮説駆動型調査です。これは、より広範なセキュリティ対策の一手法であり、その同義語ではありません。詳細な方法論については、「人間主導の脅威ハンティング」をご覧ください。これらの手法におけるツールの選択や比較については、本ページを製品ガイドとして扱うのではなく、購入を検討している場合は「脅威検出ソフトウェア」に関する質問を参照してください。
「滞在時間」と「侵害ライフサイクル」は、予防的なプログラムが改善を目指すKPIであり、2026年のデータは、対応を先延ばしにすることの代償がいかに大きいかを示しています。 『M-Trends 2026』によると、世界の滞留時間の中央値は2025年に14日となり、2024年の11日から増加しており、 この結果はHelp Net Securityによっても裏付けられています。この増加は検知能力の低下によるものではなく、事件の構成を反映したものです。長期にわたるスパイ活動や北朝鮮のIT労働者による事件は、中央値が122日と大幅に長く、この数値を押し上げているためです。
これと並んで、より心強い兆候も見られます。2025年には、侵入の52%が内部で検知されており、前年の43%から増加しています。組織は、外部から侵害の事実を知らされるのではなく、自力でより多くの侵害を検知するようになっており、これは予防的な姿勢が成熟してきたことによる直接的な成果と言えます。
コスト面からもその緊急性が浮き彫りになっています。ポネモン研究所の「データ侵害のコスト」に関する調査によると、2025年のデータ侵害の平均ライフサイクルは241日に達し、これは9年ぶりの低水準となりました。一方、世界平均のデータ侵害コストは488万ドルから9%減の444万ドルとなりました。 低ければ低いほど良いとはいえ、241日という期間は依然として8ヶ月に相当し、この期間を活用すれば、予防的な対策プログラムによって早期に検知し、サイバーリスクを低減する余地があります。より広範なKPIセットについては、「サイバーセキュリティ指標」をご覧ください。
表:主要なプロアクティブKPI、2026年の目標値、およびプロアクティブプログラムが各KPIに対してどのような取り組みを行うか。
方法論上の注意点として、M-Trendsの中央値滞在時間(インシデント対応案件数の中央値)と、データ漏洩ライフサイクルの数値(データ漏洩事例全体を広く捉えた指標)は、それぞれ異なる対象を記述するものであり、混同してはならない。それぞれが、その方法論の枠組み内では一貫性を持っている。
脅威情報を基にした防御は、予防的な検知を測定可能なプログラムへと変えます。実際の攻撃者が用いる手口に対して検知エンジニアリングの優先順位を付け、検知範囲の最大のギャップを特定し、反復的にそのギャップを埋めていきます。一般的なチェックリストを追いかけるのではなく、観測された攻撃者の行動に即した検知機能を構築し、時間の経過とともにその検知範囲を証明することが可能になります。
積極的な姿勢では、侵害が発生する前の戦術、すなわち「left of bang」の領域に特に重点が置かれます。MITRE ATT&CK 言えば、これは「偵察(Reconnaissance)」(0043)、アクティブスキャン(T1595)、および資源開発(0042)、Acquire Infrastructure(T1583). こうした戦術を分析することで、初回ログイン前の攻撃者の準備状況が明らかになります。公開時点で最新のATT&CKバージョンを確認してください。フレームワークは進化しますが、脅威に基づいた実践方法は変わらないからです。
この手法自体は単純なループであり、「Center for Threat-Informed DefenseMappings Explorer」やそのロードマップといった中立的な機関によって詳細に文書化されています。既存の検知項目を MITRE ATT&CKにマッピングし、上位3つのギャップを特定し、週に1つの検知ルールを構築し、カバレッジが向上するにつれてその推移を測定します。ここで、検知エンジニアリングは単なるその場しのぎの活動ではなく、一つの専門分野として確立されるのです。
表:プロアクティブな姿勢で監視すべき、侵害発生前のATT&CK戦術および手法の例と、それぞれに対する防御的な検知手法のアイデア。
仮に、あなたのチームが「類似ドメイン」および「認証情報漏洩」の監視体制を構築したとしましょう。あなたのブランドを酷似させた新規登録ドメインが出現し、漏洩情報フィード上に従業員の認証情報が大量に浮上しました。防御策として、その早期警告シグナルはリソース開発(0042) — 攻撃者は、後で利用するためにインフラや資材を確保しています。このシグナルを追跡対象の検知情報に変換します。つまり、情報を補完し、トリアージに回して、その後の認証上の異常を監視します。このシグナルはあくまで観察・防御的なものです。その価値は、ログイン試行が行われる前に、準備の兆候を早期に察知し、アカウントのセキュリティを強化し、検知設定を調整できる点にあります。
以下のモデルは、公認の標準ではなく、実用的なフレームワークです。これは、チームが自チームの現状を自己評価し、「より良い」状態とはどのようなものかを把握するためのものです。このモデルでは、予防的な姿勢を5つの段階(低い段階から高い段階へ)に分けて説明しており、各段階には観察可能な基準が設けられています。検知エンジニアリングや学術的な検知レベルに関する成熟度モデルはすでに存在しますが、予防的な検知姿勢を枠組みとして捉えたものはなく、このモデルはまさにそのギャップを埋めるものです。
表:5つの成熟度レベルと、各レベルで見られる特徴。
簡単な自己診断 — 「はい」か「いいえ」で答えてください:
ほとんどのチームはティア2または3に分類されます。このモデルの価値はラベルそのものではなく、モデルが可視化する次の観測可能なステップにあります。
予防的な態勢を構築することで、「攻撃発生前」の攻撃対象領域を縮小し、検知までの時間を短縮するとともに、検知すべき対象の量そのものを減らすことができます。侵害発生前の態勢は、「検知の準備態勢」と「露出の低減」という2つの要素から成り立っています。攻撃者が到達できる露出範囲が狭ければ狭いほど、そもそも追跡すべき早期警告のシグナルも少なくなります。
継続的脅威露出管理(CTEM)は、露出管理の側面における標準的なフレームワークであり、継続的な脆弱性発見のために攻撃面管理および攻撃面モニタリングと組み合わされています。ガートナーは2022年、CTEMプログラムを通じてセキュリティ投資の優先順位を決定している組織は、2026年までにセキュリティ侵害を受ける可能性が3分の1に低くなると予測しました。これは現時点での予測であり、実測された結果ではありませんが、方向性としては非常に説得力のあるものです。 サポート終了間際のエッジデバイスは、その重要性を如実に示しています。VulnCheckの報告によると、2025年に悪用された脆弱性の42.5%は、サポート終了済みまたは間もなくサポート終了となるデバイスに影響を及ぼしていました。また、CISAのBOD 26-02(2026年2月5日発行)は、連邦民間機関に対し、サポート終了間際のエッジデバイスの棚卸しを命じており、これはまさに教科書的なエクスポージャー低減策と言えます。
「プロアクティブな検知」が基本姿勢であり、「人間主導の脅威ハンティング」はその中にある仮説駆動型でアナリスト主導の手法の一つであり、「予測型脅威インテリジェンス」はそのためのインプットです。これらは互いに同義語ではありません。ハンティングの手法は「人間主導の脅威ハンティング」に属します。予測型インテリジェンスは発生の可能性が高い脅威を予測し、検知エンジニアリングに情報を提供しますが、検知のように環境内の攻撃者の行動を監視するものではありません。その分野については、脅威インテリジェンスツールを参照してください。
表:3つの隣接する用語と予防的検知との関係。
成熟したプロアクティブな検知は、いくつかの基本的な指針に基づいています。具体的には、行動のベースラインを確立すること、脅威情報を踏まえた検知エンジニアリングを採用すること、リスク低減策を統合すること、ドウェルタイムとMTTDを測定すること、自動化とアナリストの専門知識を組み合わせること、そして成熟度モデルに沿って改善を繰り返すことです。これらはいずれも特別な手法ではありませんが、その価値は、単なるツールの寄せ集めではなく、ガバナンスの効いたプログラムとしてこれらを実践することにあります。
GRCの読者の皆様にとって、このアプローチはNIST CSF 2.0と明確に整合しています。プロアクティブな検知は、「検知(DE)」機能――具体的には継続的モニタリング(DE.CM)および有害事象分析(DE.AE)――を運用化しており、CSF 2.0では「ガバナンス(GV)」機能が追加されました。これにより、検知はガバナンスが適用され、リスク優先順位付けされたプログラムとして位置づけられています。 このガバナンスの枠組みこそが、本ガイドが提唱する姿勢の視点そのものです。プログラムをより広範なコンプライアンスやフレームワークの取り組みと相互に関連付けることで、この対応関係を監査可能なものにしましょう。
表:予防的な検知体制とNIST CSF 2.0の「検知(Detect)」機能要素との対応関係。
なお、CSF 2.0 には DE.CM-04 は存在しません。以前の「悪意のあるコードが検出された」という結果は、2.0 版のリビジョンにおいて DE.CM-09 に統合されました。
業界では、行動を重視し、アイデンティティを認識し、侵害発生前の態勢をデフォルトとする方向へと収束しつつある。 ベンダーやフレームワークを問わず、3つの方向性が際立っている。それは、サイロ化された単機能ツールではなく、ネットワーク、アイデンティティ、クラウドにまたがる統合された行動シグナル、スリムなセキュリティチームの生産性を倍増させるAIと自動化、そして単一のプログラムとして、ATT&CKのカバレッジ測定とエクスポージャー低減を組み合わせたアプローチである。最新のアプローチを評価する際は、ロゴではなく機能に注目すべきだ。すなわち、攻撃対象領域全体にわたる統合された行動シグナル、カバレッジ測定、エクスポージャー低減、そしてノイズよりも実際の攻撃を優先してランク付けするAI支援によるトリアージである。
Vectra AIは、「すでに侵害されている」という前提に基づいた哲学から、予防的な脅威検知に取り組んでいます。つまり、手腕のある攻撃者は侵入してくるものだと考え、ネットワーク、ID、クラウドといった現代の攻撃対象領域全体において、攻撃者の行動を迅速に特定することを最優先としています。 Vectra AIはAttack Signal Intelligence」を通じて、シグネチャや静的な指標ではなく攻撃者の行動に焦点を当て、アラートのノイズよりも実際の攻撃を優先的に検知します。これにより、人員が限られたチームでも、横方向の移動によって侵入が情報漏洩へと発展する前に迅速に対応することが可能になります。この行動主導型のAI脅威検知アプローチこそが、すべてを同時に監視できないチームにとって、先制的な防御態勢を持続可能にする鍵なのです。
4つの主要な予防的アプローチとして、行動および異常ベースの検知、脅威情報を活用した検知エンジニアリング、デセプション技術、そして露出面(アタックサーフェス)の監視が挙げられます。5つ目のアプローチである「人間主導の脅威ハンティング」は、自動検知に加えて、アナリスト主導の仮説に基づく調査を加えたものです。
答えは「両方」であり、順序立てて行う必要があります。どちらか一方というわけではありません。積極的な姿勢を徹底することで、事後対応に頼らざるを得ない頻度やその深刻度を軽減し、対応にかかる時間、事後対応の作業負荷、そして最終的には侵害によるコストを削減することができます。
主要なKPIは「ドウェルタイム」と「平均検知時間(MTTD)」であり、これらは攻撃者が検知されずに潜伏している期間と、攻撃者を検知するまでの速さを測定する指標です。2025年の世界のドウェルタイムの中央値は14日間でした(『M-Trends 2026』)。これを短縮することで、侵害のライフサイクルを短縮し、サイバーリスク全体を低減することができます。
「予防的な脅威検知」が全体的な姿勢であり、人間主導の脅威ハンティングは、その姿勢の中で、仮説に基づいてアナリストが主導する手法の一つです。要するに、脅威ハンティングは予防的なプログラムの一環として行うものであり、その代わりとなるものではありません。
予測型脅威インテリジェンスは、外部データに基づいて発生の可能性のある脅威を予測し、検知対象を特定します。一方、予防的検知は、自社環境内における攻撃者の実際の行動を監視するものです。インテリジェンスが検知を導く役割を果たしますが、この2つは同じものではありません。
CTEMは、攻撃が実行される前の「bangの直前」の段階でリスクを発見・低減するための継続的なプログラムであり、侵害発生前の防御態勢におけるリスク低減の側面を担っています。5段階にわたる詳細な手順については、CTEMをご覧ください。