Keenadu バックドア事案、SolarWinds 事件、3CX 改竄、MOVEit 脆弱性連鎖など、サプライチェーン攻撃は 2020 年代以降の中堅企業にとって主要な脅威となった。本記事では、年商 50 億円から 500 億円規模の中堅企業を想定し、サプライチェーン攻撃を検知する主要ツールを EDR(Endpoint Detection and Response)MTD(Mobile Threat Defense) の二つの軸で整理し、選定基準を解説する。

ツール導入は単に製品を選ぶ話ではなく、検知運用体制(SOC を内製するか SOC マネージドを外注するか)と一体で設計する必要がある。この観点も含めて中堅企業の現実解を提示する。

サプライチェーン攻撃の特徴と検知の難しさ

サプライチェーン攻撃は、自社が直接攻撃されるのではなく、信頼している第三者経由で侵入される 攻撃形態である。具体的には以下のパターンが代表例となる。

パターン具体例
ファームウェア改竄Keenadu バックドア(中国 OEM Android のプリインストール)
ソフトウェア更新の改竄SolarWinds Orion アップデート、3CX Desktop
OSS パッケージの汚染npm の event-stream、PyPI の typosquatting
MSP(マネージドサービスプロバイダ)侵害REvil による Kaseya VSA 攻撃
ハードウェアサプライチェーンUSB デバイス、ネットワーク機器の偽造
これらは 正規の流通経路で正規の署名付きで配布される ため、従来のシグネチャベース AV では検知が極めて困難である。検知のためにはふるまい検知、異常通信検知、整合性検証を組み合わせる必要があり、それを実現するのが EDR と MTD というカテゴリのツール群となる。

比較対象ツールの位置づけ

ツールカテゴリ主な強み
CrowdStrike FalconEDR / XDRクラウドネイティブ、軽量エージェント、業界トップ評価
SentinelOne SingularityEDR / XDRAI ベースのふるまい検知、自動修復
Microsoft Defender for EndpointEDR / XDRMicrosoft 365 E5 同梱、コスパ最強、Entra ID 連携
Lookout Mobile Endpoint SecurityMTDモバイル特化、Android / iOS、Keenadu 系のリスク評価に強い
これらは競合関係にあるが、EDR(PC 主体)と MTD(モバイル主体)は相互補完 であり、中堅企業では両方を組み合わせるケースも多い。

CrowdStrike Falcon

強み

  • クラウドネイティブのアーキテクチャで、エージェントが約 50MB と軽量
  • Threat Graph と呼ばれる脅威インテリジェンスエンジンで、世界規模の攻撃パターンを学習
  • MITRE ATT&CK 評価で歴年トップクラス
  • Falcon OverWatch(24時間 365日のマネージド SOC)が利用可能

中堅企業での適性

  • 国内エンタープライズ・大企業中心の採用実績、中堅でも上位レイヤー(年商 300 億円以上)で導入が増えている
  • ライセンス価格は他社比でやや高め、Falcon Pro / Enterprise / Premium のティア構成
  • SOC 内製化が難しい中堅では Falcon Complete(フルマネージド SOC)を組み合わせるケースが現実的

サプライチェーン攻撃検知の観点

  • IOC(侵害指標)の登録から数分で全エージェントに配信される即応性
  • ファイルハッシュの世界規模監視で、Keenadu のような既知のバックドアが社内に出現すれば即時検知
  • アプリケーションコントロール機能で、未知の実行ファイルをブロック可能

SentinelOne Singularity

強み

  • AI ベースのふるまい検知が中核で、シグネチャに依存しない
  • ストーリーライン技術により、攻撃の発端から影響範囲までを自動で関連付け
  • Rollback 機能で、ランサムウェア感染を自動で巻き戻し可能

中堅企業での適性

  • 中堅から大企業まで広く採用、特に製造業・小売業での実績多数
  • ライセンス価格は CrowdStrike と同等水準、Singularity Core / Control / Complete のティア構成
  • Vigilance Respond(マネージド SOC)で運用負荷を外部化可能

サプライチェーン攻撃検知の観点

  • 正規署名付きでも挙動が異常なら検知する設計のため、ソフトウェアサプライチェーン攻撃に強い
  • スクリプト実行、PowerShell、WMI などのファイルレス攻撃を高精度で検知
  • IoT デバイスの可視化機能(Singularity Ranger)で、社内ネットワーク上の未管理 Android 端末も発見可能

Microsoft Defender for Endpoint

強み

  • Microsoft 365 E5 ライセンスに含まれる(Defender for Endpoint Plan 2)
  • Entra ID(旧 Azure AD)、Intune との統合が深く、条件付きアクセスとシームレス連携
  • Microsoft Sentinel(SIEM)との組み合わせで XDR を構築可能
  • Threat & Vulnerability Management で資産の脆弱性管理も可能

中堅企業での適性

  • すでに Microsoft 365 を導入している中堅企業にとって コスパが圧倒的
  • 単体ライセンス Defender for Endpoint Plan 2 でも他社比で安価
  • ただし設定の自由度・運用ノウハウが Microsoft エコシステムに最適化されているため、Mac / Linux / モバイルは別ツール併用が前提

サプライチェーン攻撃検知の観点

  • Microsoft Threat Intelligence による既知の脅威 IOC の即時反映
  • Defender for Cloud と連携することで Azure / AWS / GCP のクラウド資産も統合監視可能
  • SBOM(Software Bill of Materials)連携で OSS 脆弱性の検知も可能

Lookout Mobile Endpoint Security

強み

  • モバイル特化(Android / iOS)の MTD ソリューション
  • Lookout Cloud(モバイル脅威データベース)に世界の数億台の端末データが蓄積
  • アプリリスク分析、デバイスリスク分析、ネットワークリスク分析の三層構造
  • Keenadu のようなプリインストール型バックドア検出に直接強み

中堅企業での適性

  • 営業・現場など外勤社員が多い企業、BYOD 比率が高い企業に最適
  • ライセンス単価はモバイル 1 デバイスあたり月額数百円から千円台、コストインパクト小
  • MDM(Intune、Jamf、Workspace ONE)と連携して非準拠デバイスの自動隔離が可能

サプライチェーン攻撃検知の観点

  • Android 端末のシステム整合性検証で、ファームウェア改竄を検知
  • 既知のマルウェア配布元 IP / DNS への通信を即時遮断
  • 中華 OEM 端末のリスクスコアを自動で算出、棚卸しの優先順位付けに活用可能

中堅企業向け選定マトリクス

中堅企業の状況別に推奨組み合わせを整理する。

自社状況推奨組み合わせ想定月額(500 ユーザー)
Microsoft 365 E5 導入済み、SOC は外部委託Defender for Endpoint + マネージド SOC約 100 万円から 200 万円
Microsoft 365 E3、SOC は外部委託CrowdStrike Falcon Complete約 150 万円から 300 万円
製造・現場業、Mac / Linux 混在、SOC 内製化を志向SentinelOne Singularity Complete約 100 万円から 250 万円
外勤・BYOD 主体、モバイル端末多数Lookout MES(EDR と併用)約 30 万円から 80 万円(モバイル分)
ハイブリッド(PC + モバイル両軸)Defender for Endpoint + Lookout MES約 130 万円から 250 万円
価格は概算であり、ボリュームディスカウント、契約期間、付帯サービスにより変動する。重要なのは単価より「検知から対応までの運用が回るか」 である。

選定時のチェックリスト

中堅企業情シスが RFP で確認すべき項目を整理する。

機能面

  • ふるまい検知の精度(MITRE ATT&CK 評価結果)
  • IOC(侵害指標)の取り込み速度
  • カバー OS(Windows / Mac / Linux / Android / iOS)
  • クラウドワークロード保護(Azure / AWS / GCP)
  • SBOM、OSS 脆弱性検知
  • モバイル端末の Manufacturer / Model 取得

運用面

  • 24 時間 365 日のマネージド SOC オプション有無
  • 日本語サポート(特にインシデント発生時の窓口)
  • 既存の SIEM、SOAR、ITSM との連携
  • レポート出力(経営層向け、監査向け)
  • 教育・トレーニング体制

コスト面

  • ユーザー単価か端末単価か
  • 最低契約期間(多くは 1 年から 3 年)
  • 初期費用、構築費用
  • マネージド SOC オプション料金
  • 教育、トレーニング、コンサルティング費用

導入後の運用体制

ツールを導入しても、アラートを処理する人がいなければ意味がない。中堅企業の現実的な運用体制を 3 パターン整理する。

パターン 1: 完全内製

情シス内に SOC アナリストを 3 名以上配置し、24 時間 365 日のシフト体制を組む。年間人件費 3,000 万円以上が必要となるため、年商 300 億円以上の企業向け。

パターン 2: ハイブリッド

平日日中は内製、夜間休日は MSSP(マネージドセキュリティサービス)にエスカレーション。中堅企業の最大ボリュームゾーンが採用するパターン。年間追加費用 500 万円から 1,500 万円程度。

パターン 3: 完全外注

CrowdStrike Falcon Complete、SentinelOne Vigilance Respond、Microsoft Defender Experts などのフルマネージド SOC を契約。情シスは月次レポートをレビューし、重大インシデント時のみ意思決定する。年間費用 1,000 万円から 3,000 万円。

関連記事

参考資料・出典

  • 独立行政法人情報処理推進機構(IPA)「情報セキュリティ 10 大脅威 2026」
  • JPCERT コーディネーションセンター「サプライチェーンリスク対策ガイドライン」
  • 経済産業省「サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)」
  • MITRE ATT&CK Framework 公式
  • 各製品ベンダー公開ドキュメント(CrowdStrike、SentinelOne、Microsoft、Lookout)

サプライチェーン攻撃対策のご相談

EDR / MTD ツール選定は、自社の Microsoft 365 ライセンス状況、既存 MDM、SOC 体制、年商規模によって最適解が変わります。GXO 株式会社では、中堅企業向けに、ツール選定の RFP 作成支援、PoC 設計、導入後の運用体制設計、サプライチェーン攻撃対策ヒアリングを無料でご提供しています。検知ツール選定にお悩みの場合は、お気軽にご相談ください。