事後対応型セキュリティからの脱却：モバイルデバイスの継続的な監視が不可欠な理由

脅威の動向はめまぐるしく変化し、進化を続けています。Kaspersky社の調査によれば、2024年にはモバイルデバイスを標的とするマルウェア攻撃、アドウェア攻撃、迷惑ソフトウェア攻撃が月平均で計280万件行われました。これは、1日あたり9万件以上の攻撃が行われたことを意味します。

このように、モバイルデバイスが攻撃者のメインの標的になっていることは疑いようもありません。

調査対象組織の85％が、モバイルデバイス攻撃が増加傾向にあると回答。

— Verizon社の2025年版Mobile Security Index

Verizon社によれば、調査対象の組織の75％が昨年にモバイルデバイスのセキュリティ費用を増加させました。こうした組織の狙いは、攻撃の増加に対処するとともに、従業員のモバイルデバイスの利用が増えている状況へ対応することです。

さて、サイバー脅威が増えていることは事実ですが、すべての希望が失われたわけではありません。Verizon社の調査で、以下のベストプラクティスを実践することで状況を大きく改善できることがわかったのです。

• モバイルデバイス管理（MDM）と統合エンドポイント管理（UEM）

• モバイル脅威防御（MTD）

• ゼロトラスト

• セキュアアクセスサービスエッジ（SASE）

• セキュアエンタープライズブラウザとセキュアWebゲートウェイ

• Endpoint detection and response (EDR、エンドポイント検出・対応)

• Managed detection and response (MDR、マネージド検出・対応)

• サイバーリスク定量化（CRQ）

では、これらを実践するとどれほどの効果があるのでしょうか。Verizon社の調査対象になった組織のうち、46％がセキュリティ侵害によりシステムの停止に追い込まれました。しかし、上記8つのベストプラクティスを実践していた組織では、この割合は22％低下しました。またこうした組織は全体に比べ、セキュリティ侵害による重大な影響を受けた割合が51％低下しました。

当然ながら、上記ベストプラクティスの実践は、言うほど簡単ではありません。しかし、これらのいくつかには共通する特徴があります。それは「能動的」です。MDMがあれば、構成と制限をエンドポイントに適用し、セキュリティを強化できます。ゼロトラストなどのネットワーク構成を導入すれば、ネットワークを保護し、脅威の拡大を防止できます。サイバーリスクを定量化すると、サイバー脅威の影響を未然に把握できます。EDRやMDRなどのツールを利用すると、重大な被害を受ける前に脅威を検出し対応できます。

攻撃者から絶えず最新の脅威を仕掛けられている（1日9万件以上）現在では、受動的な対策では十分とは言えません。常に後手に回ることになってしまうからです。そこで、本記事では上記8つのベストプラクティスを一つひとつ取り上げるのではなく、継続的な監視と監査を導入し、能動的なセキュリティ体制を構築するための具体的な手法を紹介します。この手法を導入すると、業務停止やデータ損失へと至る前に問題を素早く特定し、対応できます。

継続的な監査と監視を実施すべき理由

定期的な監査が重要であることは間違いありません。脆弱性を見つけ、リスクを評価し、プロセスを更新して、内外のコンプライアンス基準を遵守しやすくなるからです。しかし、監査と監査の間の期間には多くの変化が起きるものです。例えば、デバイスやユーザが増減したり、ユーザの役割や権限が変更されたりする可能性があります。また言うまでもなく、日々新しいサイバー脅威が開発されています。

業務用の全デバイスの挙動を継続的に監視し、プロセスを監査すれば、脅威の進化に対応できる見込みが生まれます。分析を自動化しテレメトリをリアルタイムに測定することで、可視性を高め、セキュリティを強化し、コンプライアンスを改善できます。これにより、デバイスやデータを保護できるだけでなく、事業の継続性を維持し、デバイスの価値を最大限に引き出せます。

継続的な監査と監視の導入

継続的な監査と監視の導入にあたっては、事前にいくつかの機能を用意する必要があります。

デバイスの構成と管理

どのデバイスを監視し、どのような状態を目的ととするかがわかっていなければ、導入を始めることすらできません。モバイルデバイス管理（MDM）ソリューションを利用すると、以下のようにデバイスの構成を設定できます。

• アプリのインストールとアップデート

• 証明書とプロファイル

• オペレーティングシステム（OS）のアップデート

• ユーザと場所の情報（ID/ディレクトリ統合を使用）

• セキュリティの制限とポリシー

リアルタイムのインベントリと可視性

デバイスの設定が完了したら、次は各デバイスが基準を満たしているか監視します。EDRやMDR、セキュリティ情報とイベント管理（SIEM）プラットフォームを導入すると、エンドポイントで起きている事態を把握し、悪意のあるアクティビティを特定しやすくなります。最大限の成果を得るには、OSごとの挙動と脅威を詳細に可視化する必要があります。このようなテレメトリがあれば、監査の準備を強化し、いつでも監査に対応できます。

さらにMDMも組み合わせると、NIST、HIPAA、PCI DSS、GDPRなどの規制フレームワークやデータ保護要件にデバイスを対応させられるようになります。デバイスで脆弱なソフトウェアが実行されていたり、パスコード要件に違反していたり、不審な挙動が見られた場合などに、自動で問題を検出できます。

修復と対応

上記の準備を完了すると、修復が可能になります。修復は、継続的な監視と監査の導入で得られる大きなメリットです。サイバー攻撃やセキュリティギャップの解消といった懸念事項に対処できなければ、増加の一途をたどる脅威を防止することはできません。

継続的な監視と監査を導入すれば、デバイスの健全性と脅威エクスポージャーの詳細を把握して、リスク評価を進めやすくなります。また、セキュリティ体制の潜在的な穴を特定し、解消することも可能になります。

IBMの「2025年データ侵害のコストに関する調査」レポートによれば、世界全体におけるデータ侵害による平均被害額は444万ドルにも上ります。しかし、セキュリティ分析と脅威インテリジェンスを活用すれば、この被害を抑えられます。さらにAIや機械学習を活用して知見を得れば、損害を一層軽減できます。

能動的戦略を導入すると、金銭的な被害を緩和するだけでなく、業務停止に至る可能性を下げ、理想的にはサポートへの問い合わせも削減できます。デバイスが健全な状態にある場合、特にコンプライアンス状態が継続的に監視され自動で修復されていれば、従業員の生産性とデータのセキュリティを維持できます。