クラウドストライク

多様な対策をクラウド上から一元提供
シンプルかつ高度なサイバー攻撃対策を実現

激化するサイバー攻撃に対応するため、多くの企業がセキュリティ対策を継続的に追加・強化している。しかし、そのことが運用上の複雑さを生み、攻撃者に付け入る隙を与えているのもまた現状だ。クラウドストライクは、このような状況を脱却する方法として、クラウドネイティブな運用への移行を提案。網羅的なソリューションを提供することで顧客を支援している。

セキュリティ対策がパッチワーク化し、
盲点や弱点が発生

クラウドストライク株式会社 首席上級セキュリティアドバイザー・マーケティングディレクター 古川 勝也氏
クラウドストライク株式会社
首席上級セキュリティアドバイザー・
マーケティングディレクター
古川 勝也
 「マルウエアからの防御を主眼とした旧来型のセキュリティ対策では高度化・巧妙化したサイバー攻撃を防げません」。クラウドストライクの古川 勝也氏は、このように指摘する。同社は、次世代エンドポイントおよびクラウドワークロードの保護、脅威インテリジェンス、24時間の監視とインシデント対応サービスを提供する米クラウドストライクの日本法人。グローバルの企業および政府機関に対して先進的なセキュリティ対策を提供するほか、国内でも大手企業を中心に同社ソリューションの採用が進んでいる。

 巧妙化した攻撃の一例が、マルウエアを使わない攻撃だ。Windowsに標準で組み込まれているツールを駆使するファイルレス攻撃や、修正パッチが提供されていない脆弱性を突くゼロデイ攻撃、リモートデスクトップをターゲットとした攻撃などが次々登場している。これらはいずれも、既存のシグネチャ型の対策ソフトウエアでは検出が困難で、大きな被害につながる可能性が高いものだ。

 「新手のサイバー攻撃から組織を守るため、多くの企業が最新のセキュリティツールをパッチワークのように追加しています。ただ、複数のセキュリティ対策が複雑に絡み合ってくると、運用負荷が増大し、必ず盲点や弱点が生まれてきます」と古川氏は指摘する。加えて現在は、クラウドサービスやモバイルデバイスなど、守るべき対象が多様化・増加していることも、それに拍車をかけている。一昔前ならば、守るべきデータはすべて社内ネットワーク上に存在していたが、現在はインターネット上を含む様々な場所に散在しているのだ。

包括的なセキュリティ機能を
クラウド上から提供

 そこでクラウドストライクが提案するのが「CrowdStrike Falcon」である。

 CrowdStrike Falcon は、包括的なセキュリティ対策機能をクラウド上から一元的に提供するクラウドネイティブソリューション(図1)。PC、サーバーなどのエンドポイントがどこにあっても、インターネットに接続するだけでデータを守ることが可能だ。個々のエンドポイントには軽量のエージェントをインストールするだけで、エンドポイントに負荷をかけるソフトウエアをインストールする必要はない。  「パブリッククラウド上のワークロードを防御することも可能です。あらゆる守りをクラウド上から一元的に提供し、かつ局面ごとの自動化を実現することで、ソリューションの管理・運用工数を極小化します。複雑化したセキュリティ運用を脱却し、さらに守りを強固にすることが可能です」(古川氏)

 ソリューションの核となるのが、クラウド上で動作する「Falconプラットフォーム」である。このプラットフォームには、世界中のユーザーのエンドポイントデバイスから収集した情報と独自の脅威インテリジェンスが蓄積されている。これを分析することで、必要な対策の立案・実施につなげる。「これが実現できるのはクラウドネイティブなアーキテクチャーだからこそ。すべてのお客様に、最新かつ適切な防御をリアルタイムに提供することが可能です」と古川氏は説明する。

 具体的な検知・防御の仕組みは大きく3つのテクノロジーで実現されている。①IOA(Indicator of Attack:攻撃の痕跡)とIOC(Indicator of Compromise:侵入の痕跡)に基づく自動防御 ②脅威インテリジェンスによる標的型攻撃の自動判定 ③24時間365日稼働する脅威ハンティングである。

 ①のうち、IOAによる自動防御では、侵害が発生したときに残された様々な情報をエンドポイントから吸い上げ、それを分析・共有化して次の攻撃を防ぐ。いわばリアクティブ(事後対応的)な防御策といえる。それに対し、IOCによる自動防御は、プロアクティブ(事前予防的)な防御策。コード実行などの攻撃の兆候や、ネットワーク内のラテラルムーブメントなどを自動的に判別して攻撃を防ぐ。このIOCベースの防御が行える点は、クラウドストライクの特長だ。

 ②の脅威インテリジェンスは、攻撃者の動機や標的、攻撃パターンを理解するためにクラウドストライクが収集・分析したデータのことだ。これを活用して、標的型攻撃を自動的に判定する。

 ①と②が、機械が自動的に判定するものであるのに対し、③の脅威ハンティングは人間が行うものである。「現在は、正規ユーザーと同じ通路を使って侵入してくるような高度な攻撃が増えています。このような手口は機械では容易に判別できないため、人間の目で監視することが不可欠です」と古川氏。例えば、Windowsの標準コマンドツールを使うようなファイルレス攻撃は、IT管理者の操作によるものか、攻撃者が仕組んだスクリプトが実行しているものかを機械は判別できないという。

 これを担うのが「Falcon OverWatch」というマネージドサービスだ。攻撃者のクセを熟知したクラウドストライクの精鋭チームが24時間365日体制で稼働。最新の脅威インテリジェンスやカスタムツールを駆使してログを監視することで、自動検知が難しい攻撃や、既に組織内に侵入している脅威をあぶり出すという。

セキュリティ運用を
さらにシンプル化する機能も提供

 またCrowdStrike Falconは、セキュリティ対策の信頼性を向上させるために「ゼロトラスト」モデルを採用している。このモデルは、ネットワークの出入り口を防御する従来の境界防御型モデルと異なり、すべてのエンドポイントやアプリケーションを「信頼できないもの」と考えて、アクセスがあるたびに検証を行うものだ。

 具体的には、エンドポイントのみならず、IDおよび認証情報の信頼度をリアルタイムで判定しブロックする。その信頼度は、他社の連携ソリューションにも活用される。

 セキュリティ運用をさらにシンプル化する機能も用意されている。それが「Falcon Fusion」だ。これは、Falconプラットフォームに統合された、セキュリティ運用を統合し対応を自動化する機能(SOAR)。セキュリティ運用、インシデント対応などを単一のコンソール上で自動化することができる。

 「複雑なワークフローのオーケストレーションが容易に実現できます。また、一貫性のある繰り返し可能なタスクは自動化できるので、セキュリティオペレーションセンター(SOC)におけるインシデント調査や対応、修復の作業も合理化できるでしょう。リスクに対し速やかに対処することが可能です」と古川氏は説明する。

 クラウドストライクの社名は「Crowd(集まって)」「Strike(打つ/たたく)」の意味を持つ。統合されたプラットフォーム上に世界中の情報を集約し、サイバー攻撃と戦う――。同社のクラウドネイティブソリューションは、まさにその名を表わしたものといえる。
セキュリティマネジメント Summit 2021 Winter ~ウィズコロナ時代にサイバーリスクとどう向き合うか、先進企業の事例に学ぶ~
お問い合わせ
クラウドストライク株式会社 URL:https://www.crowdstrike.jp/request-information/