メールセキュリティの有効性を正しく測定する方法

これは当然の疑問かもしれませんが、あえて問い、そして答える価値があると思います。ベンダー自身が、自社ソリューションの有効性を他社と比較したレポートを公開した場合、それを信じるべきなのでしょうか。私たちの答えはシンプルです。鵜呑みにすべきではありません。しかし、そのデータ自体には価値があります。メール脅威対策のような重要なサイバーセキュリティの課題では、比較データは比較的簡単に取得できます。通常はAPIへの読み取り専用アクセスとわずかな時間があれば十分です。プルーフポイントは長年にわたり、アーキテクチャや製品を選定する前に、すべての組織がProof of Value（POV）を実施することを推奨してきました。そして現在もその考えは変わりません。今回ご紹介するデータは、こうした数百件に及ぶ分析結果を集約したものであり、何を比較すべきか、そしてどのように比較すべきかを考えるうえで有益な指針となります。 

本題に戻ると、2026年版Verizon DBIRでは、人的要因が関与した侵害の割合が今年は62%にまで増加したことが示されました。メールは依然として攻撃者が人を狙うための最も一般的な手段であり、メールセキュリティの有効性によって、そのリスクのどれだけが実際にユーザーへ到達するかが決まります。Microsoft 365のようなクラウドネイティブプラットフォームを標準採用する組織が増える中で、ベンチマークチャート以上に重要な問いがあります。自社のユーザーを標的とした悪意のあるメールのうち、受信トレイに届く前に何通を阻止できたのか。これは、「配信されたメールのうち、その後どれだけを削除・隔離できたのか」という問いとは異なります。そして、この違いこそが本質なのです。 

プルーフポイントは、透明性があらゆる取り組みの基盤であると考えており、それを長年にわたって実践してきました。検知データを公開しようという業界全体の機運が高まっていることを歓迎しています。測定が増えることは、顧客にとっても、セキュリティエコシステム全体にとっても有益です。しかし、より多くのベンダーが数値を公開するようになった今だからこそ、実際に何を測定しているのか、メールフローのどの段階で測定しているのか、そしてその検知実績を誰の成果として評価すべきなのかを正確に理解することが重要です。こうした文脈を欠いた数値は、誤解を招く可能性があります。 

測定する場所によって見えるものは変わります 

有効性を示す数値を正しく解釈するには、まず導入アーキテクチャを理解する必要があります。多くのプルーフポイント導入環境では、当社のSecure Email Gateway（SEG）はSMTPメールフローにおいて、Microsoft 365やGoogle Workspaceの手前に配置されます。組織のMXレコードはゲートウェイを指し、そこで悪意のあるコンテンツを検査・フィルタリング・ブロックした後にMicrosoft Defender for OfficeやGoogleへメールを渡します。つまり、上流でブロックされたメールはMicrosoftやGoogleには一切届かないため、メールプロバイダー側のスタック内で行われる測定では、これらの脅威は完全に見えなくなります。 

このため、ゲートウェイが役割を果たした後に残ったメールだけを対象にしたベンチマークには、構造的な死角が生まれます。上流でのフィルタリングを通過したメールだけを評価することは、ディフェンダーがすでに防いだシュートを数えず、ゴールキーパーまで到達したシュートだけを評価するようなものです。最も危険な脅威ほど早い段階で遮断されることが多く、残ったメールだけを見る手法では、それらを把握することはできません。公平な比較を行うには、残存したメールではなく、受信したすべての脅威を対象にする必要があります。 

このことは、ベンダーのベンチマークを読む際に導入形態が重要である理由でもあります。Microsoft、Google、あるいはその他のメールプロバイダーの後段に配置されるAPI連携や配信後連携は、設計上、すでに配信されたメールしか検査できません。そのため、プルーフポイントのAPIソリューションを含め、どの製品であっても、最前線のゲートウェイが確認できる脅威量の一部しか見ることができません。メールボックス後段の連携ソリューションと、インラインで動作する完全なゲートウェイを比較し、その付加価値は「わずか」であると結論づけることは、導入形態と検知能力を混同しています。適切な1対1の比較では、各エンジンを同じ受信メールフローの前段に配置して評価する必要があります。 
 

プルーフポイントはどのように有効性を測定しているのか
― 2つの視点から 

プルーフポイントは2年以上にわたり、Efficacy Analysisを通じて、透明性が高く厳密な測定手法を提供してきました。推定値ではなく、実際の本番環境データを用いて、プルーフポイントと既存ソリューションとの間で固有の脅威IDを照合しています。これにより、「既存ソリューションをすり抜けた脅威のうち、プルーフポイントが検知したものは何か」、そしてその逆は何か、という2つの問いに正確に答えることができます。推測でもラボ環境のトラフィックでもなく、実環境に存在するまったく同じ脅威を対象とした真の1対1比較です。 

2025年7月から2026年4月までの696件の本番環境への導入を対象とした最新の集計データでは、Microsoft Defenderの前段でプルーフポイントを運用している顧客は、中央値で27.1%多くの脅威を検知しています。一方、Microsoft Defenderの後段で測定すると、ユーザー1,000人あたり年間中央値で408件の高度な脅威が配信されていました。これらの脅威は、Microsoft上でプルーフポイントが悪性と判定するまでの滞留時間の中央値が41.7分であったため、MicrosoftのZero Hour Auto Purge（ZAP）によって対処されることはありませんでした。また、Microsoftの後段に配置した場合、受信トレイまで到達した高度な脅威の内訳は、フィッシングが70.5%、マルウェアが22.3%、ビジネスメール詐欺（BEC）が5.4%、TOAD（Telephone-Oriented Attack Delivery：電話を利用した攻撃誘導）が1.8%でした。 

これは特定の既存ベンダーだけに当てはまるものではありません。各ベンダーの後段で、ユーザー1,000人あたりに見逃された高度な脅威数という同じ基準で、過去365日間を通じて一貫して測定すると、SEG市場全体で同程度のリスクが確認されています。私たちは、一部の都合の良い結果だけではなく、全体像を公開しています。 

プルーフポイントが検知した高度な脅威数を保護対象ユーザー数で割った値（ユーザー1,000人あたり）
対象期間：過去365日間
出典：プルーフポイントが集計したPOVデータ
 

セキュアメールゲートウェイ	ユーザー1,000人あたりに見逃された高度な脅威数
Google	505
Barracuda	494
Mimecast	455
Microsoft	408
Trend Micro	320
Cisco	238

また、プルーフポイントは、自社にとって最も不利になり得る指標についても測定・公開しています。それが、誤検知（False Positive）と検知漏れ（False Negative）です。プルーフポイントは顧客環境全体を通じて、実運用における99.999%の検知率を維持しており、誤検知は3,000万通あたり1件未満、検知漏れは約500万通あたり1件という水準で、公開しているSLAを大きく上回っています。これらの数値はマーケティング用のSLAに記載されているだけではなく、顧客向けダッシュボードで毎週継続的に公開されています。透明性とは、見逃した脅威についても包み隠さず示すことなのです。 
 

配信後の検知は最後の防御策であり、評価指標ではありません 

ユーザーの受信トレイに届いた後に脅威を検知することにも価値があります。プルーフポイントは他のプラットフォームと同様に、後から悪性と判定された脅威に対して、自動的に配信後の修復（Post-Delivery Remediation）を実施しています。しかし、配信後の検知件数を用いて優位性を主張する際には、2つの点に注意する必要があります。 

第一に、配信後の検知は「防いだ脅威」ではなく、「すり抜けた脅威」を示す指標です。配信後に修復された割合が高いということは、それだけ多くの悪意あるメールが最初にユーザーへ届き、一定時間そこに留まっていたことを意味します（当社のデータでは滞留時間の中央値は約42分）。その間にユーザーがメールを開いたり、操作したりする可能性があります。ユーザー保護という観点では、配信前にブロックする方が明らかに優れており、CopilotやGeminiのようなAIアシスタントを標的とする脅威を防ぐ唯一の方法でもあります。目指すべきは、配信後の修復件数を誇ることではなく、その必要性自体を限りなく減らすことです。 

第二に、検知の成果は実際に検知したエンジンに帰属させるべきです。あるベンチマークが、自社の配信後検知だけを集計し、連携しているパートナー製品による修復を除外、または過小評価している場合、その結果は保護性能ではなく集計方法によるものにすぎません。適切な分析では、双方について、検知実績は、実際に検知したエンジンとして評価されるべきです。
 

アーキテクチャ上の死角
― まったく検査されない脅威 

一部の脅威は、ネイティブフィルターをすり抜けるだけではありません。そもそも検知スタックを通過しないため、検知履歴が残らず、どのベンチマークにも現れません。このような見えないリスクの大半は、次の3つの経路によって生じます。 

1. Direct Sendの悪用 

Microsoft 365のDirect Send機能では、本来プリンターやレガシーアプリケーション向けに、認証されていないメッセージを社内ユーザーへ配信できるようになっています。攻撃者はこれを悪用し、社内送信者になりすまして認証を回避し、悪意あるメールを信頼できるメールのように見せかけます。当社は評価プロセスにおいて、認証エラーと判定されたにもかかわらず、こうしたメールがスコアリングもログ記録もされないまま配信されていた事例を確認しています。 

2. Direct Delivery（テナント間配信によるバイパス） 

テナント間配信では、Microsoft 365テナント同士が、受信側のメールセキュリティスタックを経由せずに直接メールを送信できます。多くの正規SaaSサービスがこの経路を利用していますが、攻撃者も同様に利用し、インライン防御による検査を受けることなくフィッシングメールやマルウェアを配信できます。私たちは、この問題は解決可能であると考えています。テナント間配信を含むすべてのメールは、受信側のセキュリティスタックを経由するべきです。 

3. TDS回避とマルウェアの再拡大 

脅威アクターは近年、侵害されたWebサイト、悪用されたクラウドストレージ、時間差で実行される環境認識型ペイロードなど、信頼されたサービスを経由してマルウェアを配信するケースを増やしています。これらは、サンドボックスや脅威インテリジェンスによる照合を回避するよう設計されています。2024年後半には、こうした回避手法を背景として、Microsoft 365経由で配信される高度な脅威の中でマルウェアがフィッシングを上回り、最も多いカテゴリとなる状況を確認しました。その後もこの傾向は続いていますが、2026年にはGenAIによって作成されるケースも多いフィッシングキットの急増により、認証情報を狙う攻撃が再び最多となっています。 

これらの脅威はいずれも、検知エンジンがスコアリングしたものだけを集計するベンチマークには現れません。しかし、まさにこうした脅威こそ、多層的なインライン防御によって阻止すべき対象なのです。 
 

公平な並行評価を実施する方法 

測定結果を製品選定の判断材料とするのであれば、その評価方法自体が公平でなければなりません。比較対象がどのベンダーであっても、以下の原則を満たすことを求めるべきです。これらは、どの製品が優れているという結果になった場合でも、公平な評価を実現するための重要なポイントです。 

1. 同一期間で評価すること。すべてのソリューションをまったく同じ期間で測定することで、脅威量や攻撃キャンペーンの状況を同一条件に揃えることができます。異なる期間を比較すると、対象となる脅威が異なるため、公平な比較にはなりません。 
2. 生データをエクスポートできること。ベンダーによって集計方法は異なり、メール単位で数える場合もあれば、URLや添付ファイル単位で数える場合もあります。送信者、受信者、件名、配信時刻、検知時刻、メッセージIDを含むエクスポート可能なデータセットの提供を求め、自ら集計結果を照合できるようにすべきです。購入後でなければ生データを取得できない製品や、実質的な分析ができないほどエクスポートに制限を設けている製品には注意が必要です。 
3. 自動処理と手動処理を明確に区別すること。有効性の評価は、システムが自動的に検知した結果を反映すべきであり、裏側で担当者が手作業で対応した結果を含めるべきではありません。各ベンダーに対し、自動検知とアナリストまたはセールスエンジニアによる手動判定を区別して示すよう求めるとともに、評価結果が事前に選別・加工されていないことを確認すべきです。 
4. 評価開始時から完全な可視性を確保すること。評価開始直後から、見逃したメール、ブロックしたメール、修復したメールを含めたすべての情報を確認できる必要があります。概要の集計値だけではなく、コンソールへの完全なアクセス権が提供され、アクセス制限や時間差、条件付き公開などがないことが重要です。 

これこそが、プルーフポイントのEfficacy Analysisが採用している評価モデルです。本番環境の実データを用い、プルーフポイントと既存ソリューションで検知した固有の脅威をリアルタイムで照合し、その根拠となる脅威データも確認できます。この手法を8四半期にわたって継続的に実施した結果、プルーフポイントがブロックした脅威の約4分の1はMicrosoftをすり抜けていたという、一貫した結果が得られています。 
 

プルーフポイントとMicrosoft
― 組み合わせることで、より強固なセキュリティを実現 

これらは、単一ベンダー構成または多層防御構成のいずれかだけが唯一の正解であることを意味するものではありません。重要なのは、顧客が意思決定を行う前に、全体像を把握できることです。Microsoft Defender for Officeは十分な価値を提供する製品であり、Microsoft 365環境を最も強力に保護する構成は、ネイティブのセキュリティ機能と、アーキテクチャ上のギャップを補い、効果を定量的に示せるサードパーティ製品を組み合わせることです。 

Proofpoint Core Email Protectionは、Secure Email Gateway（SEG）とAPIベースの両方の導入形態に対応しており、組織は自社のクラウド戦略に合わせて最適なモデルを選択できます。Microsoft 365の前段にSEGとして導入した場合、プルーフポイントは以下の価値を提供します。 

• 脅威の99.999%を配信前にブロックし、スパムや不要メールを削減するとともに、ユーザーの生産性を向上 
• 見逃したメール、ブロックしたメール、修復したメールを包括的に可視化し、誤検知（False Positive）および検知漏れ（False Negative）のリアルタイムおよび履歴データを提供 
• Nexus AI、振る舞い分析、URLおよび添付ファイルのサンドボックス解析を活用し、BEC、認証情報窃取型フィッシング、ランサムウェア、マルウェア、サポート詐欺（TOAD：Telephone-Oriented Attack Delivery：電話を利用した攻撃誘導）を高度に検知 
• 配信後に悪性と判定された脅威に対する自動修復機能 
• CrowdStrike Falcon、SentinelOne、Microsoft Defender for Endpointなどのベスト・オブ・ブリード製品との連携により、可視性と実用的なインサイトを強化 

プルーフポイントをMicrosoft 365テナントの前段に配置することで、脅威はMicrosoftへ到達する前に阻止されます。その上で、Defenderがインラインおよび配信後の制御を提供し、保護をさらに強化します。この2つは互いに補完し合うレイヤーであり、顧客は自社データを通じて、それぞれのレイヤーがどのような価値を提供しているのかを正確に把握できます。 
 

結論：部分的な可視性だけで満足してはいけません 

上流のフィルタリングを通過したメールだけを測定対象とし、配信後の修復をあたかも事前防御であるかのように評価し、さらに検知スタックをまったく通過しなかった脅威を集計から除外してしまうと、一見すると安心できる数値が得られるかもしれません。しかし、それは全体像を示したものではありません。真の防御力は、ユーザーを標的としたすべての脅威を対象に、配信前・配信後の両方を含めて測定し、その根拠となるデータを確認できる状態で評価されるべきです。 

それが、プルーフポイントが自らに課している基準であり、また私たち自身を含め、すべてのベンダーに対してお客様に求めていただきたい基準でもあります。 

自社環境で全体像を確認してみませんか？ 

プルーフポイントの担当者までお問い合わせいただき、お客様の環境に合わせたEmail Security Efficacy Analysisをご依頼ください。迅速かつデータに基づき、透明性の高い分析によって、どのような脅威がユーザーを標的としているのか、そしてそのうちどれだけがユーザーに届く前に阻止されているのかを正確に把握できます。