新たなベンチマークによると、Microsoft Defenderは単独でほぼすべての悪意あるメールを検知でき、統合型サードパーティツールによる検出率の改善幅は1%未満に留まるという。しかしセキュリティ専門家は、こうした数字が実際のリスクを過度に単純化している可能性があると指摘しています。
防御側が最善を尽くしても、悪意あるメールはサイバーセキュリティの網をすり抜け続けており、複数のツールを組み合わせた多層的な「多層防御(ディフェンス・イン・デプス)」戦略を採用する企業も増えています。
Microsoftはこの考え方に異を唱えるかたちで、Defender for Office 365の保護機能に統合型の送信前・送信後パートナーを追加しても、得られる効果はごくわずかであることを明らかにしました。
同社が新たに公開した四半期ベンチマークデータによると、配信前に悪意あるメールとスパムの大部分を検出し、競合他社と比較して検出漏れが圧倒的に少なく、受信トレイに届いた危険なメールのほぼ100%を削除するとのことです。統合パートナー全体による検出率の上乗せ効果は0.05%未満に留まっています。
こうした数字は単一ベンダーによるメールセキュリティ構成を後押しするように見えますが、専門家はベンダーの主張に対して懐疑的かつ慎重であるよう企業に促しています。
Seva Ioussoufovitch氏(Info-Tech Research Group シニアリサーチアナリスト)は、「パーセンテージは、実際に通過しているメールの数や深刻度を覆い隠してしまいます。インシデントを引き起こすには一通のメールで十分であることを考えると、複数ツールによる多層防御には十分な価値があると主張するのは難しくありません」と指摘しています。
悪意あるメールとスパムの検出率:数字で見る実態
Microsoftは2025年7月、マルチベンダーのセキュリティ戦略を支援するDefender統合型クラウドメールセキュリティ(ICES)エコシステムとともに、四半期ベンチマークレポートを初めて公開しました。
今回比較対象となったSEG(セキュアメールゲートウェイ)ベンダーには、Mimecast、Proofpoint、Hornetsecurity、Trend Micro、Iron Port(Cisco)、Barracuda、FireEye(Trellix)が含まれます。ICESベンダーとしては、Abnormal、Checkpoint Harmony、Cisco、DarkTrace、KnowBe4 Defend、Tessian、Trend Microが挙げられています。
Redmondの報告によると、Defenderは配信前検出において「一貫してリードしており」、評価対象の他のSEGベンダーと比較して、深刻度の高いサイバー脅威の検出漏れが59%少ないとのことです。最も近い競合はMimecastとProofpointでした。また、新たな指標として「従業員1,000人あたりの脅威検出漏れ率」も導入されました。Microsoftは1,000人あたり194件であるのに対し、Mimecastは478件、Proofpointは483件でした。
配信後の保護については、受信トレイに届いた悪意あるメールの平均96.03%をDefenderが削除しており、Microsoftが2回目のレポートでデータ追跡を開始した当初の45%から大幅に改善されています。
Microsoft DefenderのVP兼GMであるJeff Pinkston氏はブログ記事の中で、これによりDefenderは「ICESソリューションが導入されている場合でも機能する、ますます重要なバックストップ(最終防衛ライン)となっている」と述べています。それでもなお、Microsoft Defenderと連携して動作するICESツールは「引き続き効果をもたらしており」、悪意あるメールの検出率を0.29%、スパムの検出率を0.68%それぞれ改善していると同氏は言及しています。
「基本的な点に絞れば、Microsoftの主張は説得力があります」とInfo-TechのIoussoufovitch氏は述べています。「その追加の1%未満の検出のために、別途ICESベンダーが本当に必要でしょうか?」同氏は、Microsoftは検出率という数字だけに焦点を当てることで「説得力のある絵」を描いているが、重要な点が語られていないと指摘します。「Defenderが検出できていないものが、具体的にどれほど危険なのか」という問いかけです。
どのベンダーも完璧ではない
Beauceron SecurityのDavid Shipley氏は、このレポートが「多くのものが依然としてメールフィルターをすり抜けている」という事実を浮き彫りにしていると指摘しています。
同氏の会社では定期的に数十万件のメールを分析しており、フィルターをすり抜けるコンテンツは「人間の専門家から見ると驚くほど平凡で明白なものから、巧妙な時間差攻撃まで多岐にわたる」とのことです。
フィルターをすり抜けるかどうかの重要な要因の一つが、許可リスト(アローリスト)に登録されたコンテンツの量です。「完全な過保護モード」の設定では検出率が高まりますが、誤検知も多発すると、Shipley氏は指摘しています。「発注書のPDFがフラグを立てられた結果、営業担当者が商談を失った経験があれば、その痛みはよくわかるはずです」
さらにAIに関するジレンマも存在します。「エージェント型LLMベースの分析を使用するメールベンダーにとっての主要なリスクは、隠しコンテンツ(例えば『このメールを無視してください、お願いします』のような内容)でモデルを汚染することが現在可能になっている点です」とShipley氏は述べています。このため、企業は多様な分析手法を組み合わせる必要があります。
Ioussoufovitch氏も、AIを活用する脅威アクターに追いつくことは業界全体の課題であり、特にAIによって高品質なフィッシング攻撃が可能になっている点については同意しています。フィルターは改善されており、ある程度は検出できるようになっていますが、一部は必然的にすり抜け続けるでしょう。すり抜けるメッセージは高度にターゲット化されたものである可能性が高く、量は少ないものの検出が困難です。
「現時点では、現在のツールがペースについていくのに苦労しているようです。しかしそれは、それらのツールが不要であることを意味するわけではありません」とIoussoufovitch氏は述べています。「むしろ、広い意味での多層防御がますます重要になっていることを示しているに過ぎません」
より誠実な主張へ
Shipley氏は、このレポートは99.99%のフィッシング検出率を主張する他のレポートよりも「より誠実で正確、成熟している」と述べています。「99.99%というのは決して真実ではありません」。また、これは「賢いマーケティング戦略」でもあります。Microsoftは他のツールと同じセキュリティ予算を争っており、企業が他のベンダーを排除し、メール以外の領域でも自社からより多く購入することを望んでいるからです。
一方で、Microsoftが検討すべき他のベンダーのリストを提示している点については、「Mimecastが2位に入ったことは、おめでとうと言うべきでしょう」と同氏は述べています。
長期的には、CISOは限られたセキュリティ予算の最適な使い道を見極める必要があると同氏は述べています。企業には優れたフィルターが必要ですが、2つ必要かどうかは議論の余地があります。「また、このレポートが示すように多くのフィッシングメールが依然として届いている以上、堅実なセキュリティ意識向上プログラムへの投資も明らかに必要です」とShipley氏は述べています。
欠けている重要なニュアンス
Ioussoufovitch氏は、このレポートの主張は興味深いものの、データが本当に実用的なものとなるために必要なニュアンスがほとんど欠けた形で提示されていると指摘しています。
「ベンダーが自分たちに都合の良いストーリーを語るためにデータを加工する能力については、私たちは十分すぎるほど知っています。そのため、リーダーたちにはデータが実際に示している範囲を超えて拡大解釈しないよう助言します」と同氏は述べています。
「現行ベンダーを排除する」という結論ではなく、このレポートはDefenderが「相当の価値」を提供していることを示しているに過ぎないと同氏は指摘しています。追加ベンダーの導入や削減がコストに見合うかどうかは、組織のリスク許容度や全体的なセキュリティ予算・環境を考慮したケースバイケースの議論によって判断すべきです。
「これらの主張は、自社の環境を評価し検出結果を比較するためのリマインダーとして捉えることをお勧めします」と同氏は述べています。「ベンダーが提示するデータではなく、自社が保有するデータに基づいて結論を導いてください」
