セキュリティマネジメント Summit
Summer 2021 - Review -
クラウドストライク

エンドポイントからクラウドに至るまで
脅威を丸ごと極小化できる次世代セキュリティとは

進化するサイバー攻撃に対抗するには大きく2つのポイントがある。1つは脅威インテリジェンスだ。世界中で頻発する攻撃情報を即時に共有し、防御や検知に活用できる仕組みがあれば、企業の被害を最小限に抑えることが可能になるからだ。もう1つはエンドポイントからIaaS上のインスタンス、コンテナまで含めたIT環境が常に正しい設定で稼働しているか確認すること。クラウドストライクの講演ではこうした考え方に基づいた次世代セキュリティのアプローチが示された。

さらに重要度が高まっている
脅威インテリジェンス

クラウドストライク株式会社 セールスエンジニアリング部 セールス・エンジニア 川上 貴史氏
クラウドストライク株式会社
セールスエンジニアリング部
セールス・エンジニア
川上 貴史
 クラウドストライクが発表した2021年版グローバル脅威レポートによれば、最近のランサムウエアの攻撃対象は、産業・エンジニアリング業界から製造業界、テクノロジー業界、小売業界、ヘルスケア業界、金融業界まで幅広い業界に広がっている。

 攻撃を仕掛けているのは金銭目的のサイバー犯罪者たちで、米国の石油パイプライン会社は約5億円もの身代金を支払うことになったほか、日本のゲーム会社も約11億円を要求されるなど、被害額はますます増大している傾向にある。

 このように日本も決して安全ではない。クラウドストライクの川上 貴史氏は、「私たちが世界で存在を確認した155の攻撃者のうちの45が日本を狙っています」と警鐘を鳴らす。

 例えばリモートワークを行う際にSSL VPNを利用している企業は日本でも多く見られるが、一昨年あたりから、その脆弱性を突いた不正アクセスが頻発している。

 こうした中で重要性が高まっているのが脅威インテリジェンスだ。「クラウドストライクのセキュリティ製品は世界180カ国以上のお客様が使っており、毎分1億4000万のIOA(Indicator of Attack:攻撃の痕跡)判定を行うとともに、毎週5兆件を超えるイベントを処理しています。このデータを基礎として、サイバー犯罪者の標的や攻撃パターンを分析しています」と川上氏は語る。

 もちろん分析するだけでは意味がなく、攻撃に対するソリューションが欠かせない。クラウドストライクが提供するEDR製品は、例えばMITRE ATT&CK(米国MITRE社が運営しているセキュリティに関するフレームワーク)において、その攻撃ステージ全体で100%の検知率を達成している。「CarbanakとFIN7(CARBON SPIDER)という2つの攻撃者グループを模した侵入を両方とも阻止するとともに、非常に高度かつステルス性の高い攻撃も検知しています」(川上氏)。

 さらに攻撃を受けたエンドポイントを自動で復旧するAutomated remediationという機能も実装済みだ。「例えばWindows上で攻撃の痕跡を検知したなら、悪意のあるプロセスを自動で強制停止し、該当のファイルを自動で隔離し、レジストリASEPに書き込まれたエントリーを自動で削除します」と川上氏は説明する。

セキュリティ対策の中心はコンテナの保護へ

 ただし、エンドポイントのセキュリティ対策のみでは、昨今の悪質化する脅威に対応しきれない。「これまでオンプレミスで運用してきた様々なシステムがクラウドに移行している現在、クラウドを考慮せずしてワークロード保護はありえません」と川上氏は訴える。

 中でも今後のセキュリティ対策の主流となるのがコンテナだ。大手調査会社ガートナーも「2025年までに世界の企業の85%が本番環境でコンテナを運用するようになる」という予測を発表している。実際に「本番環境におけるKubernetesの使用率は、2018年から2019年の1年間で58%から78%に増加」(CNFC調査、2020年3月)、「Docker Hubのプル回数は6カ月で約2倍に増加」(Docker Index、2020年7月)といった状況だ。

 この課題に対してクラウドストライクでは、大きく2つのクラウドセキュリティ・ソリューションを提供している。

 1つはIaaS/PaaS上の実行環境の構成の可視化とマルウエア対策を担う「Falcon Cloud Workload Protection」だ。これはCWPP(Cloud Workload Protection Platform:クラウドワークロード保護プラットフォーム)という領域のソリューションである。

 「クラウドを利用している企業の実態を調査すると、『セキュリティ対策が漏れているインスタンスを把握できていない』『コンテナを含むインスタンスのインベントリを把握できていない』『コンテナへの攻撃を把握できていない』など、適切な対策ができていないケースが数多く散見されます」と川上氏は強調する。

 これに対し、Falcon Cloud Workload Protectionは、クラウド側で提供しているAPI経由による脆弱性の可視化、シングルエージェントによるインスタンス上での脅威の検知・防御、インスタンス内で生成されたイベントの可視化、アクティビティおよび検知ダッシュボードを通じたアラート表示といった機能を提供する。

 もう1つは「Falcon Horizon」だ。こちらはIaaS/PaaS上の各サービスの設定の可視化および設定ミス対策を担うCSPM(Cloud Security Posture Management:クラウドセキュリティ状態マネジメント)という領域のソリューション。「クラウド上で利用されている特権アカウントを把握できていない」「外部からアクセス可能なインスタンスを把握できていない」「各クラウドサービスが提供するベースラインセキュリティとの乖離を把握できていない」といった状況に対応する。

 Falcon Horizonもクラウド側で提供しているAPI経由により状況を可視化するほか、AWSやMicrosoft Azureのベンチマーク標準であるCIS(Center for Internet Security)との乖離を把握し、さらにその乖離に対して緩和策を提示する機能を提供するという(図1)。

すべてのワークロードを可視化して保護

 ここまで紹介してきたエンドポイントセキュリティ、およびクラウドセキュリティを包括したクラウドネイティブなソリューションとして、クラウドストライクが提供しているのが「Falcon Platform」である。

 これは個別にサーバーを立てることなく、必要な製品や機能を選んで利用できる次世代セキュリティを実現するプラットフォーム。Falcon Platformに接続するだけで、先に紹介したソリューションも含め、多彩な機能群から必要なものを選んで利用することが可能だ。

 実装方法も容易だ。具体的には軽量なシングルエージェントを様々な端末やサーバー、仮想マシン、コンテナ、クラウド、モバイル、IoTのOSに展開するのみ。これによりランサムウエアや不正アクセスなどの最新のサイバー攻撃に対して、攻撃者をリアルタイムに認知し、脅威の検知からブロック、復旧までの一連の処理を実行することが可能となる。つまり、社員が働く場所や使うデバイスに関係なく、あらゆる攻撃に対する防御ができるわけだ。

 「Falcon Platformはオンプレミスかクラウドかといった場所やサイズ、アーキテクチャの違いに関係なく、すべてのワークロードを一貫して可視化し、制御できるようにする次世代のセキュリティ対策を実現します。そして実行環境におけるアンチウイルスのみに依存していたこれまでのセキュリティ戦略を、コンテナも含めたワークロード保護に対する “ゼロトラスト実行” を基本としたアプローチに転換していくことにも貢献します」と川上氏は語る(図2)。  なお、2021年5月にガートナーが発表した「Magic Quadrant for EPP(Endpoint Protection Platforms)」において、クラウドストライクはリーダーに選出されるとともに、ビジョンの完全性において最高位を獲得した。こうしたクラウドストライクに対する業界からの高い評価も、Falcon Platformの有用性を裏付けているといえるだろう。
資料ダウンロードはこちら
資料ダウンロードは
こちら
セキュリティマネジメント Summit
Summer 2021 - Review -
TOPへTOPへ
資料ダウンロードはこちら
資料ダウンロードはこちら
お問い合わせ
クラウドストライク株式会社 URL:https://www.crowdstrike.jp/request-information/