情報システムの変化に合わせて、セキュリティ対策も4~5年前とは異質の発想と技術が不可欠といっても過言ではありません。時代のニーズに呼応したソリューションとして評価を受けるエンドポイント保護プラットフォーム「CrowdStrike Falcon」について本ブログで取り上げたいと思います。
必須要件は環境変化への呼応
働き方改革の実践、そして2020年は新型コロナウイルス感染症対策もあって、多くの企業でテレワークが進展しました。自宅やサテライトオフィス、支社・支店、提携先など、情報機器を使う拠点が急増した企業も多いと思います。
数年前までのセキュリティ対策は、社内LANとインターネットとの間にファイアウォールやIDS/IPS(侵入検知/侵入防止システム)などを設置し、境界の内側を守る方法が軸になっていましたが、現在のビジネス環境では、1人1人が使うエンドポイント(PCやサーバなどネットワークの構成機器)単位でのガードが重視されています。
エンドポイントの重視と並列で進んでいるのが、先鋭化するサイバー攻撃に対する防御体制の確立。ゼロデイ攻撃やファイルレス攻撃など、従来のウイルス対策だけでは防ぎきれない手口が増えており、情報機器をどこで使うにしても、こうしたリスクに対処しなければならないのです。現在の企業社会における情報セキュリティに対するニーズは、以下の2点に集約できます。
- 環境変化への対応
リモートワーク、拠点の増加・多様化
⇒ 新しい防御体制の整備 - 攻撃の先鋭化に対応
ゼロデイ攻撃、ファイルレス攻撃、標的型攻撃
ここから先は、環境変化とニーズを踏まえた上で、この2~3年の間にCrowdStrike Falconを導入した企業・団体の例から、採用の決め手になった要素を見ていきましょう。
急務は水際対策の強化
“従来のウイルス対策は限界に来ている”
ある企業(A社)では、偽装ウイルスを用いた診断サービスを受けたところ、長年利用していたアンチウイルス(AV)製品はこれを見逃しました。数年前から各所で被害を出し、よく知られたマルウェアでさえ、亜種であればブロックできないケースも増加傾向にあったようです。
また防御・検知製品はチューニングして精度を上げるとアラートの数が激増し、結局は手が回らない……2017年頃からこうした声がよく届くようになってきました。
AVも既知のマルウェアのパターンで検出するシグネチャ方式だけでなく、機械学習なども採り入れ、新種に対する検出力を高めた製品が登場していますが、毎日数万ともそれ以上とも言われる新種や亜種が生まれている状況では、すべては捉えきれません。特にプログラムの実体がないファイルレス攻撃への対策は喫緊の課題になっています。
CrowdStrikeが検知したサイバー攻撃を精査した結果、2019年の攻撃のうち半数程度はファイルレス。「CrowdStrike Falcon」のプラットフォームからは、攻撃の痕跡を活用した振る舞い検知、脆弱性に対する攻撃のブロックなど、ファイルレス攻撃を含めた脅威に対する検出精度を上げた次世代アンチウイルス(NGAV)「Falcon Prevent」が利用できます。
Falcon Preventを導入したA社においても、亜種や未知のマルウェア、ゼロデイ、ファイルレス攻撃など、あらゆる脅威に対する耐性は確実に向上しています。
Falcon Preventの機能と特長
防御網を超えた攻撃への対処を
“侵入を前提とした対策も不可欠”
また別の企業、B社では、1年前に標的型攻撃を受け、一部のPCがランサムウェアに感染した経験から、万一の侵入時に備えた対策も必要と考え検討を進めていました。セキュリティシステムに求めた要件は、エンドポイントに発生した異常の早期検知と詳細な状況が把握できることです。
従来のセキュリティシステムでは、侵害が顕在化してからでないと行動を起こせないため対応が後手に回り、被害が拡大したケースもありましたが、EDR(エンドポイントでの検知と対応)ソリューション「Falcon Insight」の導入後は改善されています。
Falcon Insightは、世界中の脅威情報が集積される「脅威インテリジェンス」とも連動し、攻撃者グループの属性、攻撃手法などの情報を元に、実害を与えた行動だけでなく、攻撃の痕跡が発見できた時点で、ユーザー企業にアラートを発信。管理部門では、エンドポイントで発生している状況を、攻撃者の後ろから見るように観察し適切な対処ができます。
Falcon Insightが攻撃の兆候を捉えたモニター画面(この例ではFancy Bear:ファンシーベアー ロシアの攻撃者グループに関連した攻撃の検知を表示しています)
拠点の拡張にもフレキシブルに対応
B社がInsightを選択する上で、もう一つの決め手になった要素は事業拠点の拡張です。数年前の事業拡大に伴い、支社や営業所への出張も急増。こうした事業拠点に加え、自宅や移動中のデバイスにもEDRを適用する場合、システムの再設計が課せられるとしたら、継ぎ接ぎの対応になってしまい、コストと運用負荷も軽視できないでしょう。
クラウドベースのFalcon Insightは、クライアント側は「センサー」と呼ぶエージェント、ソフトを1つ搭載するだけで、すべてのエンドポイント上の活動を監視できます。社内ネットワークに接続していない状態でも、デバイスが稼動する場所を問わず、何が起きているかを正確に把握。もちろん、事業拠点が海外にあっても構いません。
従来のAVソフトは、パターンファイルの更新やスキャンの際に端末へ負荷がかかり、業務効率が落ちる点が課題とされてきました。Insightのエージェントは“見張り”に専念し、脅威の分析と追跡はクラウド上のリソースに引き継ぎますから、エンドポイントに大きな加わる負荷が加わることはありません。
インシデントの原因と攻撃手法、対策を可視化
“セキュリティ侵害の全貌を正確に知りたい”
あるC大学では、セキュリティインシデントが発生したときの対応に、大きな負荷がかかっていました。前出の企業と同様、既存で利用していた次世代AVソフトでは検知精度を上げるとアラートが増え、攻撃の原因を追いきれないケースも発生。侵害が顕在化した際も、状況の詳細な把握に時間がかかり、迅速な行動の足かせにもなっていました。
公的機関や大企業では、セキュリティ侵害が発生した際、管轄する省庁や経営層に対し、レポート提示など説明責任が生じます。CrowdStrike Falconのプラットフォームは、攻撃の発生から侵害、不正な行動の阻止など、一連のプロセスを時系列で可視化できます。
インシデントの原因と侵害の実態、そして今後の対策の立案に必要な情報を明示できるFalconの可視化機能は、特に教育機関や大企業で高い評価を得ています。
クラウドネイティブならではの拡張性
様々な組織でのFalconの導入では、Falconに備わる拡張性も決め手になったとされています。当初は本社機関やスタッフの活動拠点におけるエンドポイントへの侵入防止を強化。 さらに標的型攻撃やランサムウェアの増加など、攻撃が先鋭化する状況を見てFalcon Insightを追加し、万一の侵入時における検知と対応を強化しました。
同一プラットフォーム上で、事業エリアの拡大、拠点の拡張、そして脅威の増大など、その組織とそのときどきのニーズに合わせて柔軟に追加できる点も、クラウドネイティブならではのメリットです。
プラットフォーム CrowdStrike Falcon シングルエージェントで利用
エキスパートが24時間365日脅威を逃さぬ様活動
今回、採り上げたA社とB社、C大学が共通して挙げていたFalconのアドバンテージは、専門家による24時間365日のプロアクティブな脅威ハンティングです。NGAVやEDRなどエンドポイント保護の稼動で、攻撃のブロックや追跡、対応が強化されても、特に新手の攻撃が多発した際などは、技術で検知ができない、アラートの判断に迷ったりマンパワーが足りなかったりするケースはあるでしょう。
CrowdStrike Falconでは、専門家が24時間365日体制で、導入企業のアクティビティをプロアクティブに分析し、攻撃と思われる脅威を見つけ出します。場合によってはユーザー企業の状況に応じたアドバイスを行い、世界市場でも高い評価を得ています。
もう一つ付け加えると、セキュリティ対策にかかるコスト。数年前までのオンプレミス主体のシステムでは、AVなどのツールを管理するサーバ、社内LANとの境界に設置するゲートウェイ、プログラムの検閲を行なうサンドボックスの運用などで、多額のコストが発生していました。一方、クラウドネイティブのFalconの場合、シングルエージェントから先進のソリューションを利用できるため、導入と運用にかかるコストを大幅に短縮できます。
クラウドネイティブの優れた機能とコストメリット。二つの視点から、エンドポイント保護プラットフォーム”CrowdStrike Falcon”の評価が高い理由かと思います。