短期間で脅威をハンティング最先端EDR「CrowdStrike Falcon」の実力 - CrowdStrike クラウドストライク

組織を狙うサイバー攻撃の手口が高度化している昨今、その脅威に対抗するセキュリティ対策として注目されているのがEDR(Endpoint Detection and Response)だ。EDRの中でも、第三者評価で業界をリードする存在として認められているのが米国CrowdStrikeの「CrowdStrike Falcon」だ。

その優位性や期待される導入効果などについて、日本市場における総代理店であるマクニカの中島卓氏と井形文彦氏に聞いた。

エキスパートによる脅威ハンティングで未知の脅威を検知

ゲートウェイでのセキィリティ対策やエンドポイントのアンチウイルスなど既存のセキュリティ対策をすり抜けて侵入した攻撃者は、エンドポイントにおいて感染拡大や情報収集などの様々な不正活動を密かに行う。EDRを活用することで、こうした隠れた不正活動をあぶり出し、不正活動の詳細を見極め、適切に対処することで、被害の拡大を食い止めることができる。

EDRの選定においては、高度な分析機能を備えていることはもちろん、ベンダーが優れたインテリジェンスを備えているかどうかも重視すべきポイントだ。EDRがエンドポイントから得る情報は非常に膨大なもので、そのほとんどがエンドポイントの正常な処理の結果である。攻撃者は、この大量のログの中に自らの不正な活動を紛れさせようと、次々に新たな隠蔽の手口を編み出している。不正活動を検知し、正しい対処法を見極める上では、そういった最新の手口についての情報を持っているかどうかが鍵を握る。

「EDRにおいては、攻撃者のアクティビティに詳しい、エキスパートの視点に立ったインテリジェンスが必要なのです。その点、CrowdStrike社は、優れた脅威インテリジェンスを有しています。同社の脅威インテリジェンス部隊が収集した最新のインテリジェンスは、EDR製品『CrowdStrike Falcon』にも一早く反映され、検知に生かされています。その結果、最新の手口を用いた高度な攻撃に対しても、素早く気付き調査できるようになっています」(中島氏)

CrowdStrike社が擁する多数のセキュリティエキスパート人材は、CrowdStrike Falconが提供しているマネージドハンティングサービス「Falcon OverWatch」(以下、OverWatch)にも投入されている。

中島氏は本サービスについて、「一般的なSOCサービスは、セキュリティ製品のアラートを受けて初動対応や解析などを行いますが、OverWatchはそうした受動的なサービスではありません。世界中のCrowdStrike Falconユーザー環境から集められた情報をセキュリティエキスパートたちがリアルタイムに監視し、能動的に脅威をハンティングしていくのです」と説明する。

エキスパートによる脅威ハンティングで未知の脅威を検知

センサーの機械的な検知のみに依存しない、熟練者の経験を生かした24時間365日の能動的な脅威ハンティングを行うOverWatch。本サービスを利用している企業は、既存セキュリティ対策を回避して侵入された脅威を発見できる。

「近年、攻撃者が組織のネットワーク内で感染を拡大する横展開のスピードが格段に速まっています。CrowdStrike社がリリースした2018CROWDSTRIKE GLOBAL THREAT REPORTによると2時間弱とも言われるほどです。これに対し、防御側が攻撃に気付くまでの時間は平均100日前後とされ、しかも組織外からの指摘でようやく認識するケースも少なくありません。このように、攻撃する側とされる側の間には大きな格差があります。そして、この守り手側が気付けない脅威への対抗手段が脅威ハンティングです。」(中島氏)

可視化から防御、検知、対処まで、一つのエージェントで実現

CrowdStrike Falconには、もう一つ大きな特徴がある。EDRだけでなくEPP(Endpoint ProtectionPlatform)、すなわちエンドポイントを保護するための様々な機能も、一つのエージェントで提供するアーキテクチャになっていることだ。

「このエージェントには、次世代アンチウイルス(NGAV)に加え、脆弱性可視化や、USBデバイスの利用を制限する機能なども備わっています。もちろん、EDRの機能として管理者がリモートで端末をネットワークから隔離したり、不正なプロセスを停止したりするなどの応急処置も実行できます。さらには、同一セグメント上に存在するエージェント未導入のエンドポイントを検出することも可能です。EDRに加え、アンチウイルスやIT資産管理などの機能も網羅しているのです」と、井形氏は説明する。

このシングルエージェントアーキテクチャなら、野良デバイスや脆弱性の可視化、USBデバイスの制御といった予防部分から、脅威の検知やブロック、その後の対処まで一連の対策を一つにまとめることができる。NGAV、EDR、IT資産管理、USBデバイス管理などを個別に導入するより、運用面で格段に有利であることは言うまでもない。このようなメリットから、EDRの新規導入を検討している組織が、今まで使ってきたアンチウイルスやIT資産管理を置き換えるような形でCrowdStrike Falconを導入するケースもある。

しかも、CrowdStrike Falconはクラウドサービスとして提供されているので、LANでなくインターネットに直接つながっているエンドポイントも全く変わりなく管理することができる。

「エンドポイントを管理するソリューションの中には、LAN内の端末でないと管理できないものもありますが、そうした仕組みは働き方改革やデジタルトランスフォーメーション(DX)などの取り組みにおいて課題となるケースがあります。そこで、既存ソリューションでの対応が困難な持ち出し端末や、リモートワーク用端末、また海外や小規模拠点などを効率的に保護するためFalconを導入する、といった使い方も考えられます」(井形氏)

日本でも多数の採用実績。10万ライセンス以上の大規模ユーザーも

マクニカは、CrowdStrikeFalconの可能性をいち早く認識し、2013年にはCrowdStrike 社との間で日本総代理店契約を締結、日本市場での販売活動を行ってきた。

日本国内のユーザーは現時点で100社ほど。マクニカのサイトでは、日本のユーザーとして常陽銀行、横浜国立大学などの事例が紹介されているほか、10 万ライセンスを利用している大規模ユーザーもある。

「そもそもEDRは、これまでのセキュリティ製品より深く分析するため運用の負荷も大きくなりがちですから、アウトソースも一つの重要な選択肢になります。多くの企業で、エンドポイントのセキュリティ要件が大きく変化している今、運用も含めて今後の環境を考えてみてはどうでしょうか」(井形氏)

お問い合わせ・資料請求

株式会社マクニカ CrowdStrike 担当

月~金 8:45~17:30