サイバー攻撃は日々複雑に進化しており、従来のセキュリティ対策だけではマルウェアの侵入は防げません。そこで新たに登場した技術が、マルウェア侵入を前提としたEDR(イーディーアール:Endpoint Detection and Response)です。
EDR製品は多く、中でも「CrowdStrike Falcon」はマルウェアの侵入前・侵入後に対する総合的な脅威対策が行えます。
CrowdStrike Falconは、高度なインテリジェンスと分析機能を備えた、次世代エンドポイントセキュリティプラットフォームです。従来のアンチウイルスソフトでは対応しきれない、ランサムウェアやファイルレス攻撃などの高度な脅威から組織を守ります。
この記事では、CrowdStrike Falconの特徴を詳しく紹介します。
CrowdStrike Falconとは
CrowdStrike Falconとは、クラウドストライク社がクラウドベースで提供する、高度な脅威から組織を守るためのEDRソリューションです。
そもそもEDRとは、PCやサーバーなどのエンドポイント(ネットワークに接続された末端装置)を守るセキュリティ対策のテクノロジーを指します。
EDRの技術は「脅威の侵入をすべて防ぐのは困難」との前提のもと、脅威侵入後の素早い検知と対処をサポート。
従来のアンチウイルスソフトでは対応できない、ランサムウェアやファイルレス攻撃など、巧妙化するサイバー攻撃に対しても、詳細なインテリジェンスと分析に基づいて、迅速かつ効果的に防御します。
CrowdStrike Falconについて、さらに詳しく解説します。
クラウドネイティブな設計による高度な脅威検知力
CrowdStrike Falconは、クラウドとエンドポイントの連携を想定して設計されています。エンドポイントの利用状況を監視し、ログはすべてCrowdStrike Falconが管理するクラウド上に集約される仕組みです。
脅威インテリジェンスと機械学習により、CrowdStrike Falconユーザーの膨大なデータをクラウドで解析することで、脅威の検知レベルを日々向上させ、既知・未知の脅威をリアルタイムで検知します。
EDR以外の豊富なセキュリティ機能
CrowdStrike Falconは、EDR機能に加えて、NGAV(Next Generation Anti-Virus、次世代型アンチウイルス)、脅威ハンティングなど、エンドポイントセキュリティ機能をひとつのプラットフォームで提供します。
単一プラットフォームであるため、セキュリティ製品をいくつも導入する必要がありません。そのため、CrowdStrike Falconと複数のセキュリティソフトとの競合による不具合が起きず、ライセンス管理などの運用負担も軽減できます。
NGAV、EDR、MDRなど、エンドポイントセキュリティに必要な機能をすべて網羅しています。
NGAVについてさらに詳しい記事をご用意しております。
▼NGAV(次世代型アンチウイルス)とは? 従来型対策やEPP・EDRとの違いも解説
軽量・快適なシングルエージェント
CrowdStrike Falconは複数の機能を持ちながら、各エンドポイントにインストールするエージェントはひとつのみです。機能ごとに複数のエージェントを常駐させる製品の場合、エンドポイントの動作が重くなりがちです。その点、CrowdStrike FalconはシングルエージェントなためPCのCPU使用率が低く、システムリソースをほとんど消費せず、エンドポイントのパフォーマンスに影響を与えません。機能追加のたびに再インストールする手間もかかりません。
ここからは、CrowdStrike Falconの機能を詳しく解説します。
他にもCrowdStrike Falcon関連の記事をご用意しております。
▼CrowdStrike Falconとは? 価格や導入前に知るべき機能を解説
Falcon Prevent(NGAV)で侵入を阻止
CrowdStrike Falconの1つ目の機能が、NGAVの役割を持つ「Falcon Prevent」です。NGAVとは、既知と未知のマルウェアを検出できる次世代アンチウイルス技術です。プログラムの挙動やコードの構造を検査する「振る舞い検知」により、疑わしいファイルを発見して駆除します。
従来のアンチウイルス(AV)は「パターンマッチング方式」を採用しており、既知のウイルスしか検出できませんでした。パターンマッチング方式とは、既知のマルウェアの特徴を示した定義ファイルを使用する方法です。定義ファイルと一致するプログラムをマルウェアとして検出します。そのため、既知のマルウェアは確実に検出できる一方で、定義ファイルにない未知のマルウェアは検出できません。
CrowdStrike Falconが備えるNGAVは定義ファイルを用いずプログラムの振る舞いを監視するため、未知のマルウェアであっても見つけ出せるのです。
NGAVならファイルレス攻撃も対応
CrowdStrike Falconの機能であるNGAVは、ファイルレス攻撃(マルウェアフリー)も検知・駆除できます。
ファイルレス攻撃とは、名前の通り実行ファイルを持たないマルウェアです。定義ファイルが存在しないため、従来のアンチウイルスでは検知が難しく防御できません。NGAVなら、ファイルの有無を問わないため、侵入を阻止できます。
ところでクラウドストライク社は、2022年に確認できた攻撃のうち、ファイルレス攻撃の割合は71%だったと見解を示しています(クラウドストライク社「2023年版グローバル脅威レポート」より)。今後もファイルレス攻撃が増えると見込まれる現在、Falcon Prevent(NGAV)による脅威対策は必至といえるでしょう。
関連の記事もご用意しております。ぜひご確認ください。
▼ファイルレスマルウェア攻撃とは? 痕跡のない脅威への対策
Falcon Preventがほとんどの脅威をブロック
一般的なEDRはNGAV機能がなく、EDRのみの運用では脅威の侵入と検出が頻発し、膨大なアラートの対応に追われてしまいます。CrowdStrike FalconにはNGAV機能のFalcon Preventが搭載されており、ほとんどの脅威を侵入前に自動でブロックします。EDRのアラートが減るため、運用負荷を格段に軽くできるでしょう。
Falcon Insightで重大脅威を迅速に検知・対処
近年のサイバー攻撃は、次のような理由から完全な防御が困難とされています。
- 特定のターゲットを狙い、オリジナルのマルウェアを作る標的型攻撃の頻発
- ゼロデイ攻撃やファイルレス攻撃などの検知が困難なマルウェアの登場
- クラウドサービスやリモートワークにより、社内ネットワークの外に重要な端末やデータがある
こうしたビジネス環境に対応するため、脅威侵入後の対策に軸足を置いたEDRの需要が高まっています。
EDRの役割はエンドポイントにおける脅威侵入後の迅速な対応支援ですが、CrowdStrike Falconは、EDR機能を「Falcon Insight」に集約しています。Falcon Insightを利用すれば、侵入を防ぎきれなかった脅威を素早く検出し、被害を最小限に抑えられます。
リアルタイムな状況を可視化
Falcon Insightは、エンドポイントの動作を常に監視し、リアルタイムに状況を可視化します。脅威を検知した場合、検知した攻撃の全体像を時系列順にわかりやすく表示。不審なアクティビティを即座に通知することで、被害拡大の阻止が可能です。
迅速な対応を可能にする効率的な設計
Falcon Insightが検知した脅威は自動的に優先順位が付けられ、危険度の高い順でスピーディに対応できます。また、リモート機能もあり、ウイルス感染したエンドポイントをネットワークから隔離するといった応急措置が可能です。
モバイルデバイスもFalcon for Mobileで保護
スマホやタブレットなどのモバイルデバイスは、「Falcon for Mobile」によって保護できます。Falcon for MobileはFalcon Insight上に構築され、CrowdStrike Falconプラットフォームから他のエンドポイントと同様にモバイルデバイスを一元管理できます。
モバイルデバイスだけを個別管理する必要がないため、エンドポイントセキュリティの運用を効率化できるでしょう。
Falcon OverWatchで24時間365日監視
「Falcon OverWatch」とは、情報セキュリティの専門化チームです。高度な知識を持つエキスパートたちが、24時間365日体制で脅威を監視する「脅威ハンティング」を行います。Falcon OverWatchチームは脅威を発見すると、侵入経路や方法、被害範囲を調査し、ユーザーへ迅速に情報共有します。
システムが見逃した脅威を人の手で見つけ出す
CrowdStrike Falconは、NGAVによって大半の脅威をブロックし、すり抜けた脅威はEDRが検知する仕組みです。しかし、一部の脅威は、AI(人工知能)や機械学習、振る舞い検知すらすり抜けてしまう場合があります。これに対処するため、Falcon OverWatchチームは「攻撃者はすでにエンドポイントやネットワーク内部に侵入している」と仮定し、システムが見逃してしまった脅威を見つけ出します。
ネットワークに侵入した攻撃者を見逃さない
NGAVやEDRをすり抜けた脅威は、ネットワーク内部に潜伏します。密かに機密データを収集するだけでなく、他のシステムに不正アクセスするためにログイン情報を盗もうとします。
Falcon OverWatchチームがネットワーク内を徹底的に調査することで、潜伏する脅威の発見と駆除が可能です。また、発見した脅威の情報はクラウド基盤に反映され、システムによる検知性能の向上に活用されます。
Falcon Completeで運用負担減
CrowdStrike Falconの導入後は、何もしなくていいわけではありません。CrowdStrike Falconのアラート内容を理解し、適切に対応できるIT人材が必要です。したがって、CrowdStrike Falconの運用には、一定の情報セキュリティ知識が求められます。
とはいえ、すべての企業が情報セキュリティを任せられるIT人材を確保できているわけではありません。自社による運用が難しい場合、MDR(Managed Detection and Response)サービス「Falcon Complete」を検討してみてはいかがでしょうか。
MDRとは、セキュリティ監視と対応をセキュリティベンダーにアウトソーシングするサービスです。
Falcon Completeを利用すると、クラウドストライク社の専門家チームが、24時間365日体制でCrowdStrike Falconを運用します。エンドポイントの状況をモニタリングし、不審なアクティビティは迅速に処理。インシデント対応の方針を記した「プレイブック」に沿って実行するため、スピーディな対応が可能です。
CrowdStrike Falconを導入するには?
CrowdStrike Falconは機能性が高く、運用にも比較的手間がかからないことから、以下のような企業におすすめです。
- サイバー攻撃の被害に遭いやすい企業
- セキュリティ対策にコストをかけられない企業
- セキュリティ人材不足に悩む企業
テクバンでは、Falcon Completeも含めたCrowdStrike Falconの導入支援を行っています。お客様の既存システムやニーズを丁寧に調査し、最適なライセンスを提案いたします。「CrowdStrike Falconは自社の環境に合っている?」「何からセキュリティ対策をすれば良いかわからない」など、ぜひお気軽にお悩みをご相談ください。
CrowdStrike Falcon導入支援サービス
また、他のEDR製品について、さらに詳しくお知りになりたい方は、こちらの記事もご参照ください。
▼EDR製品でどのようなセキュリティを実現できる? 概要や仕組み、具体的な製品を紹介
CrowdStrike Falconでセキュリティ対策を効率化
CrowdStrike Falconについて解説してきました。CrowdStrike Falconは単一プラットフォームで利用できるEDR製品ですが、EDRの他、NGAVや脅威ハンティングなどの機能も備えています。これらすべての機能はシングルエージェントで使用できるため、エンドポイントの動作が重くなるといったトラブルを回避しやすいといえるでしょう。
一般的なEDR製品は事後対策のみ対応していますが、EDRとNGAVを併せ持つCrowdStrike Falconは、単一製品で事前と事後の対策を行えます。さらに、運用を一任できるMDRサービスもあります。
どのような企業でも無理なくセキュリティ体制を強化できるCrowdStrike Falconの導入を、一度検討してみてはいかがでしょうか。
