6つの柱をもつ「CrowdStrike Falcon プラットフォーム」とは
最初に川上氏はクラウドストライクについて紹介した。同社は、かつてMcAfeeでCTOを務めていたジョージ・カーツ(George Kurtz)氏が2011年に立ち上げたセキュリティベンダーだ。「We Stop Breaches」(侵害を止める)をミッションに、1)セキュリティプラットフォーム、2)脅威インテリジェンス、3)専門家による防御、と3つの事業を展開している。2019年にはNASDAQ市場に上場している。
3つある事業の1つがセキュリティプラットフォーム「CrowdStrike Falcon」だ。Falconは、次世代アンチウイルス(NGAV)、ファイアウォール管理などを含む「エンドポイントセキュリティ&XDR」、クラウドセキュリティポスチャ管理(CSPM)やクラウドワークロード保護(CWP)などの「クラウドセキュリティ」、デジタルリスク管理やマルウェア分析などの「脅威インテリジェンス」「アイデンティティ保護」、ITハイジーンや脆弱性管理などの「セキュリティ&ITオペレーション」、ログ管理の「オブザーバビリティ」と6つの柱を持ち、クラウドとして提供する。
顧客は軽量なシングルエージェントを導入し、ライセンスを購入後にクラウド上で有効化することで、すぐに機能を使えるという。
「次世代アンチウイルス(NGAV)などを含むエンドポイントセキュリティ&XDRでよくお声がけいただくが、ハイブリッド環境やマルチクラウド環境に適したクラウドセキュリティ、アイデンティティ管理など包括的に提供している」と川上氏は説明する。
変化する「働く環境」にも対応
Falconのようなクラウドセキュリティプラットフォームが必要とされる背景には、企業のIT環境の変化がある。
コロナ禍で急増したリモートワーク、プライベートクラウド/パブリッククラウドの利用などにより、「オフィス環境以外で、どうやって安全に業務を行うかが重要な課題になっている」と川上氏。ファイルへのアクセス、ユーザーの認証、クラウドを含むアセット(資産)の管理、IaaSを含む設定などを考え直さなければならない。また、コンピューティングリソースがどの環境で動いているのかも考えなければならないと説明する。
では、そのような環境をどのように保護するべきか。
川上氏はまず、Falconを使ったハイブリッド環境の保護について説明した。Falconのエージェントは様々なOS、モバイル端末、コンテナなどで動くことで、マルウェアであればNGAVで検知・ブロックする。NGAVの過検知対策については、検知感度を変更したり、EDRのテレメトリーデータによる検知などで対応する。
マルウェア経由ではなく、認証基盤を経由して不正アクセスが行われることも想定される。これについては、オンプレ環境のドメインコントローラー、クラウド上の認証基盤などに対して悪意ある認証行為が行われていないのかを検知できるという。
このほか、脅威ハンティングとして、OSの標準コマンドのみを使う攻撃など、EDRで検知できないようなものに対応する仕組みもあるという。また、NGAVでブロックできなかったものに関して、自動修復や“強制ブロック・ルール適用”のソリューションもあるとのこと。NGAV、EDR、アイデンティティ保護などのソリューションについては、運用管理を任せるマネージドサービスも提供している。
最後に紹介したのが、「スキャンレスのリスクアセスメント」だ。「リアルタイムに攻撃を検知・ブロックすることも大切だが、普段からどのようなアプリケーションがどこで動いているのか、どのようなアセットがあるのか、どのようなアカウントがあるのか、オンプレ環境、クラウド環境にどのような脆弱性が潜んでいるのかなどのリスクを評価することも大切」と川上氏は説明する。Falconにはそれを可能にするITハイジーンや資産管理などの機能も備わっている。
クラウド環境についても、ワークロードを可視化したり、コンテナイメージを本番環境に展開する前に脆弱性やマルウェア混入がないかスキャンすることもできる。さらに、ポスチャ管理を使って、攻撃につながるIaaSの設定不備がないかも管理できるという。
Falconのエージェントはクラウド環境にも展開できる。つまり、コンテナ、サーバーレス環境についても脅威を検知できることになる。これら機能を紹介しながら、「IaaS環境にもクラウドストライクのソリューションを適用できる」と川上氏はまとめる。
“1つの力”で組織全体を保護する
Falconがハイブリッド環境、クラウド環境の脅威に対応できる機能を備えることがわかった。では、組織全体をどのように守ることができるのか。
川上氏はまず、CrowdStrike Falcon Platformの6つの柱の1つである脅威インテリジェンス「Falcon Intelligence」を紹介する。デジタル・リスク・モニタリングとして、どのような攻撃者がどのような企業や産業に対して攻撃しているのかの情報を収集・研究しており、手作業によるインシデント調査がなくなることで時間とスキル面でのメリットが得られる。
クライアントPC、モバイル、データセンターなどのオンプレ環境は、エージェントを展開することで「エンドポイントセキュリティを中心に、ITハイジーンのソリューションなども展開できる」と川上氏。データセンターについては、サーバーのレジストリやファイルが変更されたといった改ざん検知のソリューションもあるという。
オンプレ環境では、OA環境に加え、工場などのOT環境についても資産を可視化できる。さらには、脅威を検知するサードパーティソリューションからFalconに情報を取り込むことも可能だ。
パブリッククラウドについては、先述のIaaSの設定不備などへの対策となるポスチャ管理(CSPM:Cloud Security Posture Management)の機能を備えるという。
ワークロード部分については、Cloud Workload Protection(CWP)として、コンテナを含むワークロードの保護ができる。「現在、クラウドストライクのソリューションをPCやサーバーで使っているお客様で、クラウド環境でも使いたいという要望にお応えできる」と川上氏。
そのほかにも、インターネットにつながっているすべての資産を継続的に検出して攻撃対象領域を削減できる外部攻撃対象管理(EASM)の「Falcon Surface」なども紹介した。クラウドストライクのEDRなどを使っていない場合でも利用できるという。また、Okta、ServiceNow、Zscaler、Netskopeなど外部サービスとの連携も可能だ。
これらオンプレ環境、クラウド環境で動くアプリケーション、ミドルウェア、OSなどのログを長期保管できる機能が「Falcon LogScale」だ。クラウドネイティブなログ保管基盤で、次世代のインデックスフリーな検索技術により高速に分析もできるという。
組織全体を協調しながら保護できるFalconの機能を紹介した後、川上氏は「1つに集約された力」を強調する。
「これら多様な機能を1つのエージェント、1つのコンソールで、非常に少ないコンピューティングリソースで提供できる」と川上氏。「お客様の組織全体を守ることで、我々のミッションである『お客様のビジネスのすべての場所でサイバー攻撃者からの侵害を食い止める』を実現したい」と締め括った。
