CrowdStrike
クラウドストライク
インシデントレスポンス、実際どうしてる?【ファルコミ Meetup 開催レポート】
はじめに
みなさん、こんにちは!
マクニカでは、クラウドストライクのユーザーが集うコミュニティ「ファルコミ」を運営しています!
今回は、2025年5月30日に東京(品川)開催したユーザーイベント、ファルコミMeetup Vol.1の開催レポートをお届けします。クラウドストライク Falconのユーザー企業様限定で開催したこのイベントには、定員いっぱいの40名もの方々にご参加いただき、会場は熱気に包まれました!
Meetup初回のテーマは「インシデントレスポンス、実際どうしてる?」
本記事では、当日の様子とインシデントレスポンスのポイントをご紹介します。
セガサミーホールディングスさま、Sansanさま、アカツキさまの取り組み事例
当日は各社さまより、「実際にどのようにFalconを活用しているのか?」「インシデント対応で苦労したこと・工夫したこと」など、実際のFalconご活用事例をご紹介いただきました。
- セガサミーホールディングス様:迅速なインシデントレスポンスのための具体的な体制と実事例、経営層巻き込みのポイント、今後のセキュリティ施策ロードマップなど。
- Sansan様:Sansan社のセキュリティ運用の組織体制、検知からインシデント対応のフロー、本当にあって良かった機能、自動化の取り組み、今後のロードマップなど。
- アカツキ様:利用モジュール群と対策の具体例、ダッシュボード例、ワークフローを用いたEOS・RFM(Reduced Functionality Mode: 機能制限モード)の検知方法、今後のロードマップなど。
どのセッションも、現場で奮闘されているからこその「ココだけ」の具体的なお話が満載。
会場の皆さんも夢中でメモをとる姿が印象的でした!
テーブルトーク:ユーザー同士の本音ディスカッション
後半は4~5名ごとのテーブルに分かれ、「インシデント対応の学び・気づき」「もやもや・課題」「自社の取り組み」「これからの実践アクション」をテーマに付箋・ホワイトボードを使ってディスカッションを実施しました。
- 具体的にどんなポリシー設定をしている?
- 検知後の対応や体制は実際どうする?
- 夜間のインシデント発生時の緊急連絡や社内調整は?
- フォレンジックの自動化はできるか?
…など、普段なかなか聞けない具体的な悩みや知見がテーブルごとに飛び交いました。
発表タイムでは、「うちではこんな工夫してます!」「○○が分からず困ってます」「早速スクリプトを作ってみたいと思います!」「RFM検知の話が参考になった!」「Falcon Pyやworkflowのサンプルスクリプトがほしい!」など、現場目線の声が共有され、参加者同士で多くの気づきにつながる場となりました。
インシデントレスポンスで重要なコトとは?
皆さんの白熱した議論から、事務局が印象に残っているポイントをまとめてみました。
<ポイント1> 日常的な“備え”がインシデント対応を左右する
- クリティカルな侵害は、深夜に起こる可能性も高い!上長への報告フローを整理しておこう!
- 海外拠点を含め、緊急連絡先の確認はもちろん、いつでも連絡対応ができるよう相互認識を持とう(Falcon OverWatchからのHighアラートが届いたらすぐに動けるようにしよう)
- 普段からのインシデント演習は大事!
<ポイント1> 日常的な“備え”がインシデント対応を左右する
- クリティカルな侵害は、深夜に起こる可能性も高い!上長への報告フローを整理しておこう!
- 海外拠点を含め、緊急連絡先の確認はもちろん、いつでも連絡対応ができるよう相互認識を持とう(Falcon OverWatchからのHighアラートが届いたらすぐに動けるようにしよう)
- 普段からのインシデント演習は大事!
<ポイント2> 運用自動化・仕組み化でヒューマンエラーを減らす
- Slackで自動通知、FalconPyでのAPI連携(利用は無料)、端末隔離の自動化など、効率化を検討しよう
- 端末ログはRTR (Real Time Response機能)で取得可能
<ポイント3> 「EDRだけでは100%のインシデントは防げない」は、当たり前
- 日頃から致命的な脆弱性は適切に対処しておこう!
※脆弱性管理は、Falcon Spotlightが効果的です! - EDRは必要なホストに導入されているか、機能は正常に動作しているか、サポート切れしていないかを確認しよう
インシデントレスポンスで重要なこと
<マクニカからのお願い>Overwatchの通知先を忘れずに設定ください・・!
OverWacthのアラートは、重大インシデントの懸念が非常に高いものが実績として出ております。特に日本時間の深夜、海外拠点を狙った攻撃は増加しており、対応が遅れたことで情報漏洩につながってしまうリスクがかなり高いです。
そして、OverWatchを導入したのにアラート通知先の設定をお忘れの企業様がちらほらいらっしゃいます。自社の設定が正しくされているかをこの機会にご確認ください。
設定方法
※マクニカのサポートサイトに掲載しております。閲覧にはIDが必要です。
※OverWatchとは?
詳細はこちら
CrowdStrikeの Falcon OverWatchは従来のSoCサービスでは対応できない新たな脅威にも対応できるように、人の目による検知、クリティカルな内容があれば直接お客様にご連絡する脅威ハンティング機能です。
NGAV&EDRでの機能的検知をすり抜けた高度な脅威が存在することを前提に通常ログからプロアクティブに脅威を見つけ出すことで多層防御を支援します。
ファルコミとは?&今後のイベント予告!
<ファルコミとは?>
ファルコミは、クラウドストライク Falcon(ファルコン)を導入いただいている企業様限定のコミュニティです。マクニカ経由でのご利用企業様限定で、ユーザー同士ならではの情報交換や運用ノウハウの共有を通じて、より効率的・効果的にFalconを活用できる場として誕生しました。
<ファルコミの特徴>
- 「ちょっと聞いてみたい」を気軽に相談できる
例:「この設定、他社はどうしてる?」「こういうアラートが出たときの対処は?」といった日々の疑問を、ユーザー同士で解決し合えます。 - コミュニティ限定のイベントが充実
今回開催したようなMeetupや、CTF形式でFalcon活用を学ぶ「FalconTech」など、コミュニティメンバー向けの勉強会やセミナーを定期的に企画しています。 - 導入直後の設定方法など、初心者向けコンテンツも豊富
Falcon導入後、最初につまずきやすい設定の疑問を解消するための動画やドキュメントを用意。手間なくスタートダッシュを切れます。
▼ファルコミの実際の画面イメージはこんな感じです!
<次回のイベント予告!>
- 7/4(金)ファルコミユーザー会 モジュール紹介編「Falcon Discover & Spotlight」
事例講演でも登場したモジュールを深堀していきます!
脆弱性管理、IT資産管理にご興味をお持ちの方はぜひご参加ください(^^)/
※お申込みはファルコミユーザー限定となります。
- 8月~9月:FalconTech東京&大阪
CTF形式で問題を解いていくFalconTech!
大阪8/6あたり、東京9/5開催予定です。申込サイトオープンでき次第ご案内いたしますのでぜひご予定をブロックしてお待ちください!
昨年の様子はSansan様のブログをぜひご覧ください
ファルコミは、ユーザー企業同士でリアルな運用の知見やTipsを交換できることが、ファルコミ最大の魅力です。目前の疑問をすぐに相談できる仲間や、イベントでの深い学びの機会が得られます。
「もっとFalconを活用したい」「他社の事例を知りたい」という方は、ぜひファルコミに参加してみませんか?
※クラウドストライクユーザー企業様限定、マクニカ経由でのご購入企業様に限ります。
※マクニカからご購入いただいているかご不明な方は、まずは申請ください(^^)/
お問い合わせ・資料請求
株式会社マクニカ CrowdStrike 担当
- TEL:045-476-2010
- E-mail:crowdstrike_info@macnica.co.jp
平日 9:00~17:00