Google Cloud / Mandiant が毎年公表する 『M-Trends』 は、世界のインシデント対応実績を集約した最も信頼性の高い脅威動向レポートのひとつ。2026 年版では「攻撃の工業化(Industrialization)」「滞在時間(Dwell Time)の短縮」「クラウド攻撃の爆発的増加」の 3 つが主要トレンドとして整理されている。
本記事では、日本企業の情シス・セキュリティ責任者向けに、M-Trends 2026 の要点と、今すぐ着手すべき対策を整理する。レポート全文は英語で 300 ページ級のため、実務に効くエッセンスだけを抽出した。
さらに、中堅(100〜1,000 名)企業が現実的に実装できる 30 / 60 / 90 日アクションプラン を新規追加した。「読んだけど何から手をつければいいか分からない」を解消する設計だ。
目次
- M-Trends とは
- 2026 年版の 3 大トレンド
- 日本企業への示唆
- 実務で取るべき 3 つの対策(基本編)
- 中堅企業の 30 / 60 / 90 日アクションプラン(詳細編)
- 体制・予算・KPI の設計指針
- まとめ
- FAQ
- 参考情報
1. M-Trends とは
Mandiant は Google Cloud 傘下のインシデント対応専門企業で、世界中の侵害対応実績を年次集計したレポートを公表している。特徴は以下。
- 実際の侵害対応データ が元(アンケート調査ではない)
- 攻撃者の TTP(戦術・技術・手順) を具体的に記述
- 業界別・地域別 の動向が整理される
セキュリティ業界では「M-Trends を見ずに年間計画を立てない」と言われるほどの基準資料だ。要約版(Executive Summary)が公開されているため、まずは要約版から読み始めるのが現実的だ。
セクションまとめ: M-Trends は世界最大級の侵害対応実績に基づく脅威動向レポート。年次計画策定の基準資料として位置付けられる。
2. 2026 年版の 3 大トレンド
トレンド 1:攻撃の工業化
攻撃者のエコシステムが分業化・商業化している。
- 初期侵入ブローカー(IAB) がアクセス権を販売
- ランサムウェア as a Service(RaaS) で実行役が分離
- マネーロンダリング を専門とする組織がネットワーク化
影響: 攻撃コストが下がり、中小・中堅企業も等しく攻撃対象になる。「うちは狙われない」は通用しない。
トレンド 2:滞在時間(Dwell Time)の短縮
- 2024 年:中央値 11 日
- 2025〜2026 年:中央値 7〜9 日
- ランサムウェア事例では 24 時間以内に展開されるケースも
影響: 侵入から検知までに使える時間が短くなり、検知の自動化 + 対応の自動化が不可欠。
トレンド 3:クラウド攻撃の爆発的増加
- クラウド環境を標的にした攻撃が前年比で大幅増
- Entra ID / Azure AD のトークン窃取、S3 / Storage の設定ミス、Kubernetes クラスターへの侵入 など多様化
影響: オンプレだけ守っても意味がない。クラウド側の設定と運用が防御の主戦場。
セクションまとめ: 攻撃の工業化で全企業が対象に。滞在時間は 1 週間。クラウドが主戦場。2026 年のセキュリティ投資はこの 3 軸で考える。
3. 日本企業への示唆
1. 中堅企業も標的になる
2024 年以前は大企業・重要インフラが中心標的だった。2026 年は攻撃の工業化で誰でも標的になる時代に入った。
日本の中堅企業(100〜1,000 名)が特に狙われやすい構造的理由は 3 つある。
- 大企業ほどの予算はないが、ある程度のデータは持っている
- 取引先(大企業)のサプライチェーンに組み込まれている
- 専任セキュリティ人材が少なく、初期侵入後の検知が遅れやすい
2. 検知までの時間との戦い
7〜9 日で侵害が顕在化するということは、EDR による早期検知 + SOC / MDR の 24h 監視がないと手遅れになる可能性が高い。
3. Microsoft 365 / Azure / AWS の設定不備が致命傷
クラウド攻撃の大半が「設定ミス」起因。Entra ID の条件付きアクセス・権限割当・トークン管理が重要な検討事項になる。
セクションまとめ: 日本企業への直接の警鐘は「中堅企業が狙われる」「1 週間以内に検知できるか」「クラウド設定不備で致命傷」の 3 つ。
「M-Trends 2026 を読んだが、自社で何から始めるべきか分からない」
自社の EDR 導入状況・クラウド設定・インシデント対応体制を伺い、M-Trends 2026 の知見に基づく 30 / 60 / 90 日アクションプランをご提示します。Microsoft 365 E5 環境の活用や MDR 連携もご相談可能です。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK
4. 実務で取るべき 3 つの対策(基本編)
対策 1:EDR + SIEM の整備
- Defender for Endpoint + Sentinel(Microsoft 365 E5 環境)
- もしくは CrowdStrike / Forticlient EMS + 独立 SIEM
- 24/365 の監視運用 を自社 or MDR 委託
対策 2:クラウド設定の棚卸し(CSPM)
- Microsoft Defender for Cloud / AWS Security Hub / Prisma Cloud などで継続的に設定をチェック
- Entra ID 条件付きアクセス の見直し
- 特権アクセス管理(PIM) の導入
対策 3:インシデント対応訓練の年次実施
- テーブルトップ演習 で対応フローを確認
- ランサムウェア想定 の机上訓練
- 経営層も参加する ビジネスインパクト分析
5. 中堅企業の 30 / 60 / 90 日アクションプラン(詳細編)
「対策の方向性は分かった、でも 100〜1,000 名規模の自社で何から、どの順番で手をつけるか」が実務担当者の悩みだ。ここからは、現有人員(情シス 3〜10 名、専任セキュリティ 0〜2 名を想定)で実行可能なアクションを、30 日 / 60 日 / 90 日の 3 フェーズで整理する。
Day 1〜30:可視化と緊急対応の基盤づくり
目的:自社の現状を可視化し、すぐに穴を塞ぐべき箇所を特定する。
| アクション | 担当 | 工数目安 | 成果物 |
|---|---|---|---|
| 1. 全エンドポイントの EDR 導入状況棚卸し | 情シス担当 | 2 人日 | EDR カバレッジ表 |
| 2. Entra ID / Azure AD 条件付きアクセスの設定棚卸し | 情シス担当 | 3 人日 | 条件付きアクセスポリシー一覧 |
| 3. グローバル管理者・特権ロール保有者の棚卸し | 情シス課長 | 1 人日 | 特権アカウント台帳 |
| 4. 公開系サーバ(Web / VPN / メール)の脆弱性スキャン | 情シス担当 + 外部支援 | 5 人日 | 脆弱性レポート |
| 5. バックアップの稼働確認・リストアテスト | 情シス担当 | 3 人日 | リストア成功レポート |
| 6. インシデント対応窓口(連絡先・エスカレーション)を文書化 | 情シス課長 | 1 人日 | 対応窓口表 |
- 全端末の EDR カバレッジが 95% 以上か
- グローバル管理者が必要最小限(5 名以下が目安)に絞られているか
- 公開系サーバの Critical 脆弱性が 0 件か
- バックアップから実際にリストアできることが確認済みか
Day 31〜60:検知と監視の体制化
目的:「侵害が起きたら気づける」状態をつくる。
| アクション | 担当 | 工数目安 | 成果物 |
|---|---|---|---|
| 7. EDR アラートの優先度ルール策定(High / Medium / Low) | 情シス担当 | 3 人日 | アラート分類ルール |
| 8. SIEM(Sentinel 等)のデータ収集対象を定義 | 情シス担当 + 外部支援 | 5 人日 | ログ収集対象一覧 |
| 9. 24/365 監視の体制を決定(自社 / MDR 委託 / ハイブリッド) | 情シス課長 + 経営 | 経営判断 | 監視運用方針書 |
| 10. クラウド CSPM(Defender for Cloud / AWS Security Hub)導入 | 情シス担当 | 5 人日 | CSPM ダッシュボード |
| 11. PIM(特権アクセス管理)の導入と運用ルール策定 | 情シス担当 | 5 人日 | PIM 運用ルール |
| 12. ゼロデイ対応 SLA(48 時間以内に Critical 適用)の明文化 | 情シス課長 | 1 人日 | パッチ管理 SLA |
- EDR アラートが分類されて、夜間・休日もエスカレーションが回る体制になっているか
- クラウド設定の継続監視(CSPM)が稼働しているか
- 特権アカウントの利用申請・承認フローが回っているか
- ゼロデイ対応の SLA が文書化され、関係者全員が認識しているか
Day 61〜90:訓練と継続改善のサイクル化
目的:「インシデント発生時に組織が動ける」状態にする。
| アクション | 担当 | 工数目安 | 成果物 |
|---|---|---|---|
| 13. ランサムウェア想定のテーブルトップ演習を実施 | 情シス + 経営 + 業務部門 | 半日 × 1 回 | 演習レポート、改善課題リスト |
| 14. ビジネスインパクト分析(重要業務の停止許容時間 RTO 定義) | 情シス + 業務部門 | 5 人日 | BIA レポート |
| 15. インシデント対応プレイブック(ランサム / フィッシング / 情報漏えい)作成 | 情シス担当 + 外部支援 | 10 人日 | 対応プレイブック 3 本 |
| 16. 経営層向け月次セキュリティレポートの定型化 | 情シス課長 | 3 人日 | 月次レポートテンプレート |
| 17. サイバー保険の見直し(補償範囲・付帯サービス) | 経営 + 保険ブローカー | 経営判断 | 保険契約見直し結果 |
| 18. 次の 90 日改善計画の策定 | 情シス課長 + 経営 | 3 人日 | 次期計画書 |
- 1 回はテーブルトップ演習を実施し、改善課題が抽出されているか
- 重要業務ごとの RTO(目標復旧時間)が定義されているか
- インシデント発生時の対応手順書が整っているか
- 経営層が月次でセキュリティ状況を把握できる仕組みになっているか
90 日終了後:継続運用フェーズへ
90 日でゼロから整えた基盤を、四半期サイクルで見直していく。具体的には以下を四半期ごとに実施する。
- 月次:パッチ適用率、EDR アラート対応状況、CSPM 検出件数のレビュー
- 四半期:テーブルトップ演習、特権アカウント棚卸し、プレイブック更新
- 年次:BIA 見直し、サイバー保険更新、外部脆弱性診断
6. 体制・予算・KPI の設計指針
体制:3 ロール構成が現実的
| ロール | 主担当 | 主な責務 |
|---|---|---|
| セキュリティ責任者 | 情シス課長 / CISO 兼務 | 投資判断、経営報告、外部連携 |
| セキュリティ運用担当 | 情シス担当 1〜2 名 | EDR / SIEM / CSPM の日次運用 |
| 業務部門連絡担当 | 各部門の代表者 | 業務影響評価、訓練参加 |
予算:年間セキュリティ予算の配分目安
中堅企業のセキュリティ予算は、IT 予算全体の 8〜12% が目安と言われる。配分の考え方は以下の通り。
| カテゴリ | 配分目安 | 主な項目 |
|---|---|---|
| 検知・監視 | 35% | EDR、SIEM、MDR |
| アイデンティティ管理 | 20% | Entra ID、PIM、MFA |
| クラウドセキュリティ | 15% | CSPM、CWPP |
| バックアップ・復旧 | 10% | バックアップ製品、リストアテスト |
| 訓練・演習 | 5% | テーブルトップ演習、教育 |
| インシデント対応・保険 | 10% | サイバー保険、IR リテイナー |
| その他(脆弱性診断等) | 5% | 外部診断、ペネトレーションテスト |
KPI:4 つの指標で組織を動かす
| KPI | 目標値の目安 | 経営への意味 |
|---|---|---|
| EDR カバレッジ率 | 95% 以上 | 守るべき端末を守れているか |
| ゼロデイ対応 SLA 遵守率 | 95% 以上(48 時間以内に Critical 適用) | 攻撃トレンドへの追従速度 |
| CSPM 検出 Critical 件数(月末残) | 0 件 | クラウド設定の健全性 |
| テーブルトップ演習実施回数 | 年 2 回以上 | 組織としての対応力 |
7. まとめ
- M-Trends 2026 の 3 大トレンド:攻撃工業化 / 滞在時間短縮 / クラウド攻撃増加
- 日本企業、特に中堅企業(100〜1,000 名)が新たな主戦場
- 対策の核は EDR+SIEM、クラウド設定棚卸し、インシデント訓練
- 中堅企業は 30 / 60 / 90 日のフェーズに分けて段階的に整備するのが現実的
- 体制は「3 ロール」、予算配分の目安は IT 予算の 8〜12%、KPI は 4 指標で運用品質を可視化
8. FAQ
Q1. M-Trends と IPA の「情報セキュリティ 10 大脅威」はどう使い分けるべきですか?
IPA 10 大脅威は日本の実情、M-Trends は世界の最新動向を捉えるために使い分けます。年次計画では IPA、四半期の動向把握では M-Trends が参考になります。
Q2. レポート全文(英語)を読む必要がありますか?
サマリー版(Executive Summary)だけ読めば十分です。全文は IR(インシデントレスポンス)専門家向けで、300 ページ超あります。情シス管理者層は要約版+本記事のような日本語解説で 1 時間以内に要点を押さえるのが現実的です。
Q3. 中堅企業が優先すべき対策は?
EDR(Defender / CrowdStrike / Forticlient)+ Microsoft 365 E5 + MDR 連携が費用対効果の最良解の一つです。自前 SOC は人員確保が難しいため、MDR を前提とした設計が現実的です。本記事の 30 / 60 / 90 日プランは、この前提で組んでいます。
Q4. 30 / 60 / 90 日プランを完遂するのに必要な工数はどのくらいですか?
合計で 60〜80 人日が目安です。情シス担当 2 名で 90 日かけて回す場合、各人の業務時間の 30〜40% をセキュリティ整備に充てる計算になります。外部支援(CSPM 導入支援、プレイブック作成支援、テーブルトップファシリテーション)を活用することで、内部工数を 30〜40% 圧縮できます。
Q5. テーブルトップ演習はどのように設計すれば効果的ですか?
「ランサムウェアによる本番システム停止」を想定したシナリオが、最も学びが多いとされます。経営層・情シス・業務部門・広報の 4 者が参加し、半日かけて「発見から復旧までの意思決定」を時系列でロールプレイする形式が一般的です。重要なのは「正解を出すこと」ではなく「自社の弱点を見つけること」です。
Q6. MDR 委託の費用感はどのくらいですか?
中堅企業向けの MDR は、エンドポイント数・監視対象範囲・SLA 水準により大きく変動します。一般的には月額数十万円〜百万円台のレンジで、内製で 24/365 監視体制を構築する人件費(年間数千万円〜)と比較すると経済合理性が出やすい領域です。複数社から見積を取り、SLA・レポート粒度・エスカレーション体制を比較するのが選定のポイントです。
9. 参考情報
- Google Cloud / Mandiant「M-Trends 2026」公式ページ https://cloud.google.com/security/resources/m-trends
- IPA「情報セキュリティ 10 大脅威 2026」 https://www.ipa.go.jp/security/10threats/
- MITRE ATT&CK Framework https://attack.mitre.org/
- NIST Cybersecurity Framework 2.0 https://www.nist.gov/cyberframework
- JPCERT/CC「インシデント対応に関する公開情報」 https://www.jpcert.or.jp/
関連記事
- エンドポイントセキュリティ製品選定ガイド 2026
- Microsoft Defender × Sentinel B2B SOC 運用ガイド
- サイバー保険 2026 年 引受条件厳格化
- ゼロトラストセキュリティ導入ガイド
「30 / 60 / 90 日プランを自社の状況に合わせて具体化したい」
M-Trends 2026 の知見をベースに、自社の現状(EDR 導入状況、クラウド利用範囲、人員構成)に合わせた段階的アクションプランを共同で策定します。MDR 委託先選定、CSPM 導入、テーブルトップ演習の実施までワンストップでサポート可能です。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK