『EDRでは防げない脅威を見逃していませんか？』というテーマのウェビナーを開催

■サイバー攻撃の進化に追いつかない従来の防御手法
近年のサイバー攻撃は、侵入した事実をできるだけ長く隠しながら活動を継続し、最終段階で一気に被害を顕在化させる方向へと進化しています。多くの組織がEDRやアンチウイルスを導入している一方で、攻撃者もそれらの検知や監視を前提に回避手法を磨いており、「EDRで防げないことがある」のは例外ではなく、現実的な前提になりつつあります。したがって、守りをEDRに一本化するのではなく、侵入され得ることを前提に、侵入後の兆候を早期に捉えて被害拡大を止める“プロアクティブな対策”へと運用を段階的にシフトしていく必要があります。加えて、経済安全保障の文脈でも、重要な業務やサービスの安定提供を揺るがすリスクへの備えが強く意識されるようになり、単に「入口で止める」だけではなく、「侵入後に早く気づき、広げない」実務能力が求められる流れが加速しています。国内でも脅威インテリジェンス活用に関する整理や指針整備が進み、組織のセキュリティ運用を“脅威起点”へ寄せていく重要性が明確化されつつあります。

■インシデント発覚の遅れが被害拡大を招く
攻撃者は侵入後すぐに派手な活動を行うとは限りません。むしろ、目立たない形で静かに潜伏し、その間に認証情報の窃取や権限昇格、ネットワーク内での横展開などを進め、攻撃の準備を整えます。ここで問題になるのは、従来の防御策だけでは潜伏期間中の不審な兆候を捉えにくく、異常に気づいたときにはすでに影響範囲が広がっているケースが少なくないことです。さらに現場では、「何かおかしい」と感じても、どの端末から調査すべきか判断がつかず、アラートやログの山に埋もれて初動が遅れる、あるいは調査の進め方が担当者の経験に依存して属人化し、再現性が出ないといった課題が発生しがちです。結果として、対応の遅れが被害拡大を招き、復旧や説明責任の負担が一気に増大します。被害を最小化するには、侵入の“決定的証拠”が出るまで待つのではなく、攻撃者が残す小さなサインを早い段階で捉え、限られた時間と人員でも回せる形で調査と判断を前に進める仕組みが不可欠です。

■EDRの弱点を補う、ThreatSonarによる高度な脅威検出
本セミナーでは、EDRを否定するのではなく、EDRの限界を前提にしたうえで、侵入後の兆候を能動的に見つけにいく「脅威ハンティング」という考え方と、その実装として脅威ハンティングツール「ThreatSonar」を活用した現実的なアプローチをご紹介します。脅威ハンティングとは、アラートを待つ運用ではなく、「攻撃者はどのような手口で入り、どんな痕跡を残すのか」という仮説を立て、端末やサーバの状態を点検しながら潜伏の兆候を早期に発見していく取り組みです。そして、その精度と効率を大きく左右するのが脅威インテリジェンスです。どの脅威が増えているのか、どの手口を優先して警戒すべきか、いま何を見るべきかという判断軸がなければ、調査は広く浅くなり、時間だけが消費されます。
そこで本セミナーでは、TeamT5が保有する脅威インテリジェンスを起点に「いま優先して見るべき兆候」に調査軸を寄せる考え方を整理したうえで、メモリフォレンジックも含めた観点から、攻撃者が痕跡を残しにくい“見えない手口”を短時間で特定していく具体的な進め方を解説します。さらに、ThreatSonarを用いて調査結果を分かりやすく整理し、怪しさの度合いに応じて優先順位を付けながら深掘り調査へつなげる運用イメージを提示し、経済安全保障など外部環境の変化も踏まえつつ、EDR頼みの受け身の運用から、侵入後の兆候を能動的に把握して早期に手を打つ運用へ移行する際の勘所までを具体的にお伝えします。これにより、EDR単体では見逃し得る高度な攻撃や潜伏の兆候を早期に捉え、セキュリティ担当者が状況を素早く理解し、対応判断を前倒しできる状態を目指します。

■主催・共催
 TeamT5株式会社
■協力
 株式会社オープンソース活用研究所
 マジセミ株式会社

---

マジセミは、今後も「参加者の役に立つ」ウェビナーを開催していきます。
 過去セミナーの公開資料、他の募集中セミナーは▶こちらでご覧いただけます。