6つの柱をもつ「CrowdStrike Falcon プラットフォーム」とは
最初に川上氏はクラウドストライクについて紹介した。同社は、かつてMcAfeeでCTOを務めていたジョージ・カーツ(George Kurtz)氏が2011年に立ち上げたセキュリティベンダーだ。「We Stop Breaches」(侵害を止める)をミッションに、1)セキュリティプラットフォーム、2)脅威インテリジェンス、3)専門家による防御、と3つの事業を展開している。2019年にはNASDAQ市場に上場している。
3つある事業の1つがセキュリティプラットフォーム「CrowdStrike Falcon」だ。Falconは、次世代アンチウイルス(NGAV)、ファイアウォール管理などを含む「エンドポイントセキュリティ&XDR」、クラウドセキュリティポスチャ管理(CSPM)やクラウドワークロード保護(CWP)などの「クラウドセキュリティ」、デジタルリスク管理やマルウェア分析などの「脅威インテリジェンス」「アイデンティティ保護」、ITハイジーンや脆弱性管理などの「セキュリティ&ITオペレーション」、ログ管理の「オブザーバビリティ」と6つの柱を持ち、クラウドとして提供する。
顧客は軽量なシングルエージェントを導入し、ライセンスを購入後にクラウド上で有効化することで、すぐに機能を使えるという。
「次世代アンチウイルス(NGAV)などを含むエンドポイントセキュリティ&XDRでよくお声がけいただくが、ハイブリッド環境やマルチクラウド環境に適したクラウドセキュリティ、アイデンティティ管理など包括的に提供している」と川上氏は説明する。
変化する「働く環境」にも対応
Falconのようなクラウドセキュリティプラットフォームが必要とされる背景には、企業のIT環境の変化がある。
コロナ禍で急増したリモートワーク、プライベートクラウド/パブリッククラウドの利用などにより、「オフィス環境以外で、どうやって安全に業務を行うかが重要な課題になっている」と川上氏。ファイルへのアクセス、ユーザーの認証、クラウドを含むアセット(資産)の管理、IaaSを含む設定などを考え直さなければならない。また、コンピューティングリソースがどの環境で動いているのかも考えなければならないと説明する。
では、そのような環境をどのように保護するべきか。
川上氏はまず、Falconを使ったハイブリッド環境の保護について説明した。Falconのエージェントは様々なOS、モバイル端末、コンテナなどで動くことで、マルウェアであればNGAVで検知・ブロックする。NGAVの過検知対策については、検知感度を変更したり、EDRのテレメトリーデータによる検知などで対応する。
マルウェア経由ではなく、認証基盤を経由して不正アクセスが行われることも想定される。これについては、オンプレ環境のドメインコントローラー、クラウド上の認証基盤などに対して悪意ある認証行為が行われていないのかを検知できるという。
このほか、脅威ハンティングとして、OSの標準コマンドのみを使う攻撃など、EDRで検知できないようなものに対応する仕組みもあるという。また、NGAVでブロックできなかったものに関して、自動修復や“強制ブロック・ルール適用”のソリューションもあるとのこと。NGAV、EDR、アイデンティティ保護などのソリューションについては、運用管理を任せるマネージドサービスも提供している。
最後に紹介したのが、「スキャンレスのリスクアセスメント」だ。「リアルタイムに攻撃を検知・ブロックすることも大切だが、普段からどのようなアプリケーションがどこで動いているのか、どのようなアセットがあるのか、どのようなアカウントがあるのか、オンプレ環境、クラウド環境にどのような脆弱性が潜んでいるのかなどのリスクを評価することも大切」と川上氏は説明する。Falconにはそれを可能にするITハイジーンや資産管理などの機能も備わっている。
クラウド環境についても、ワークロードを可視化したり、コンテナイメージを本番環境に展開する前に脆弱性やマルウェア混入がないかスキャンすることもできる。さらに、ポスチャ管理を使って、攻撃につながるIaaSの設定不備がないかも管理できるという。
Falconのエージェントはクラウド環境にも展開できる。つまり、コンテナ、サーバーレス環境についても脅威を検知できることになる。これら機能を紹介しながら、「IaaS環境にもクラウドストライクのソリューションを適用できる」と川上氏はまとめる。