サマリ

• この記事を読んでわかること
  • エンドポイントセキュリティってどうして必要？
  • CrowdStrikeって他のエンドポイントセキュリティ製品と何が違う？

こんにちは！CrowdStrike製品営業担当です。

こちらの記事ではエンドポイントセキュリティについて知りたい！という方向けに、　以下の2点についてお届けします。

• なぜエンドポイントセキュリティが必要なのか？
• CrowdStrikeは他のエンドポイントセキュリティ製品と何が違う？

別途、技術担当からの「使ってみた」記事も公開予定ですので併せて御確認頂けますと幸いです。

エンドポイントセキュリティの必要性

さて、改めてエンドポイントセキュリティの必要性について考えてみると、大きく2つの要素があるかと思います。1つ目はセキュリティ環境の変化、2つ目はエンドポイントの特性です。

• セキュリティ環境の変化
  テレワークやクラウドサービスの普及により、社内ネットワークの外で業務を行うことが一般的になりました。これにより、従来の「社内＝安全」という前提が崩れ、PCなどのエンドポイント自体が攻撃の入口として狙われやすくなっています。
• エンドポイントの特性
  例えばPCはユーザーが直接操作する場所であり、メールの添付ファイルやWeb経由など、最初に攻撃を受ける可能性が高い場所です。しかも持ち運びやネットワークの移動が多いため、一元的な保護が難しく、個別に防御を強化する必要があります。

こういった事情から必要になったエンドポイントセキュリティですが、
では、どのような機能が求められるのでしょうか？ポイントを大きく4つの観点で整理してみましょう。

• 守ること（予防）
  まず大切なのは、「そもそも攻撃を受けないようにすること」です。ウイルスやマルウェアを事前にブロックしたり、危険なWebサイトやメールを開かせないようにしたりする機能が必要です。
  従来のウイルス対策ソフトのように、あらかじめ登録された「既知の脅威（ウイルスのパターン）」に基づいて防御するのが基本ですが、今はそれだけでは不十分です。なぜなら、最近の攻撃はどんどん進化していて、新しいウイルスや見た目が普通のファイルに見える攻撃（ファイルレス攻撃）も増えているからです。
  そのため、最近の製品ではAIや機械学習を使って「未知の攻撃」も予測してブロックできるようになってきています。
• 見つけること（検知）
  完全に攻撃を防ぎきることは現実的には難しいため、何か異常が起きたときに「すぐ気づけること」が重要です。これが「検知」と呼ばれる機能です。
  例えば、不審なプログラムの動作や、社内のPCが外部に異常な通信をしている、といった「いつもと違う挙動」をいち早く検知できれば、被害が広がる前に対応できます。
  このため、エンドポイントセキュリティには「行動の監視（ふるまい検知）」や「リアルタイムの通知機能」、さらに「どこで何が起きたかをすぐに見えるようにする可視化機能」が求められます。
• 対応すること（レスポンス）
  攻撃に気づいたら、すぐに止めることが大切です。例えば、感染したPCをネットワークから自動的に切り離したり、怪しいプログラムの実行を止めたりする機能があると、被害を最小限に抑えることができます。
  さらに、「どの端末で何が起きたのか」「どうしてそれが起きたのか」を調査して、再発を防ぐ対策を立てるためにも、エンドポイントの情報を正確に記録・分析できる機能があると理想的です。
• 運用しやすいこと
  セキュリティ製品は導入して終わりではなく、使い続けていく必要があります。そのため、できるだけ管理しやすく、担当者の負担が少ないことも大切です。
  例えば、クラウド型でどこからでも管理できたり、自動で最新の情報にアップデートされたりする製品であれば、少人数のITチームでも安心して運用できます。

CrowdStrikeで解決できること

我々の取り扱うCrowdStrikeは、上記のようなポイントを押さえお客様の端末を攻撃者から強力に守ることのできるエンドポイントセキュリティソリューションです。

具体的には攻撃から守る侵入前の対策としての「NGAV」、攻撃を見つけ対応するための「EDR」の機能はもちろん、より高度な攻撃に関してはプロフェッショナルの人の目を使って監視する「脅威ハンティング」の機能を有しており、安心してご利用いただくことが可能です。また、運用の観点ではマクニカが提供する運用監視サービスはもちろん、CrowdStrikeが提供する「Falcon Complete」と呼ばれる監視サービスの提供もあり、お客様の御要望に合わせてご利用いただけます。

実際の活用に向けて、機能面についても触れていきたいと思います。これはNGAV・EDRに共通する点ですが、CrowdStrikeでは攻撃の一連の流れをプロセスツリー表示することにより、直感的に何が発生したか把握可能になっています。これにより、運用者の方の効率的な調査を実現し、インシデント対応に要する時間を短縮することにもつながります。

また、無償のSOAR機能（Falcon Fusion）がついているのもポイントです。これにより、GUIから簡単にワークフローが作成でき、お客様のセキュリティ運用の自動化を図ることが可能です。例えば、平日夜間帯または土日に重大度「クリティカル」の検知が発生した場合、対象端末を隔離しTeamsのチャネルに通知するなど、自社の体制に合わせた自動化を活用することで、限られた工数でも運用が回る用に運用負荷を軽減することができます。

また将来的な活用幅の拡張についても考えてみます。昨今のサイバーセキュリティを考える上では、考慮すべき領域、ポイントは無数にありますが、その度に別々の製品を導入することは、運用面を考えた時に課題になるポイントの1つです。

CrowdStrikeでは、ご紹介しているエンドポイントセキュリティを中心に1エージェント、1コンソールで幅広いセキュリティ領域を対応できる拡張性を備えていることも製品選定を頂く際の1つのポイントになっています。今後詳細情報は別途記事でも公開されていきますので楽しみにお待ちください。

まとめ

• エンドポイントセキュリティは、働き方の変化や端末の特性から今や必須の対策です
• CrowdStrikeは求められる予防・検知・対応・運用すべての面で高い機能性を備え、特に直感的な可視化や自動化機能が強みです
• 1エージェントで幅広いセキュリティに対応できる拡張性もあり、将来的な活用にも柔軟に対応可能です