マクニカネットワークスが忘れない CrowdStrike 三つのエピソード | ScanNetSecurity
2023.06.08(木)
コンテンツ
注目検索ワード
ホーム 製品・サービス・業界動向 新製品・新サービス 記事

マクニカネットワークスが忘れない CrowdStrike 三つのエピソード

柳下氏は、CrowdStrikeの脅威インテリジェンスの特長として、「世界中の脅威動向について、攻撃の背景などについても詳しく解説されている点」を挙げる。これは、技術者と同数程度のIT以外の専門家がレポート作成に携わっているからこそ可能なことだ。

製品・サービス・業界動向 新製品・新サービス
PR
 国内 EDR 市場で多くのシェアを占める CrowdStrike Japan株式会社。同社のサービスに早くから着目し、日本における総代理店として国内向けビジネスの立ち上げから関わるマクニカネットワークス株式会社だ。同社の技術統括部 セキュリティサービス室 室長代理の柳下 元氏に、CrowdStrike のサービスの特徴やその独自の価値について聞いた。

インテリジェンスの翻訳やインシデント対応支援まで

 マクニカネットワークスは、セキュリティを中心に、クラウド・仮想化関連製品などを取り扱う技術商社として、独自のポジションを確立している。

 「私が所属するセキュリティサービス室では、侵害調査サービスやインシデントレスポンスサービスなどを提供しています。取扱商材とお客様の間に立って、お客様の“ニッチ”なニーズに答えていくのがミッションです(柳下氏)」

 たとえば、侵害調査では、セキュリティベンダーによる詳細なマルウェア解析レポートよりも迅速に、簡易的に判定を行い、マルウェアの目的や挙動を報告する。その分「価格を抑え、問い合わせ回数を数多くできるようサービスを設計している」のだという。

 そのほかにも、簡易的なペンテストの実施や、社内ハッキングコンテストを開いてほしいといった要望が寄せられることもある。

 「ハッキングコンテストについては、実務で使う検体解析やネットワーク解析のニーズに応える内容を心がけている」と柳下氏。たとえば、マルウェアの中には、暗号化されたマルウェアファイルをダウンロードして感染させる攻撃手口があるが、同社がコンテストで使うのは、実際のマルウェアと同じ暗号方法を用い、中身だけ差し替えた「実際に近い検体」だ。これにより「お客様自身が実務の中でマルウェア分析を行う力がついてきているかどうか確認できる効果が期待できる」と柳下氏は説明する。

 柳下氏は、プログラマーからキャリアをスタートし、現在は侵害調査からマルウェア解析、CrowdStrike の脅威インテリジェンスからリリースされる英語のレポートやニュースを日本語に翻訳し、顧客に提供するサービスを担当している。

 「CrowdStrikeには『OverWatch』(オーバーウォッチ)というプロアクティブな脅威ハンティングサービスがあります。エンドポイントのイベントを24時間、365日体制で監視し、深刻な脅威についてアラートを通知するサービスですが、アラートは英語ですので、お客様によっては説明が必要な場合があります。このような、製品の技術サポートを超えたインシデント対応支援を行うこともあります(柳下氏)」

 顧客企業に導入した EDR(Endpoint Detection and Response)のログを調査したり、場合によってイベントログやネットワークログまで調べることもある。そして、侵入原因や経路まで徹底的に突き詰める必要がある場合は、CrowdStrike などのインシデントレスポンスサービスにエスカレーションすることも。

 こうした活動を通じて柳下氏が得た脅威に関する知見は、ブログや外部のセミナー、カンファレンスなどに登壇し、共有する。マクニカネットワークス株式会社主催のプライベートセミナーや、台湾の名門セキュリティカンファレンス HITCON 登壇歴も持つ。

 また、柳下氏は、CrowdStrike の脅威インテリジェンスの特長として、「世界中の脅威動向について、攻撃の背景などについても詳しく解説されている点」を挙げる。これは、技術者と同数程度の IT 以外(国際政治や弁護士、言語スペシャリスト等)の専門家がレポート作成に携わっているからこそ可能なことだ。

 たとえば、ユニークな事例として、最近の中東情勢に絡んだサイバーリスクの解説がある。これによると、イタリアの石油会社がイランのサイバー攻撃グループから攻撃を受けているのだという。

 この背景にあるのが、米国のトランプ政権が 2018 年 5 月、イランの核開発に関する「共同包括行動計画(JCPOA)」から離脱し、イランに対する経済制裁の再開を指示したことが挙げられる。イタリアも米国の経済制裁再開に関してイランとの関係を見直そうとしている動きがあることから、イランのサイバー攻撃の標的になったのではないかとの考察だ。

 「日本企業も各国に拠点を展開し、ビジネスがグローバル化していく中で、地政学的リスクが自社のサイバーセキュリティにどのような影響を及ぼすか、日本のお客様に伝えていくことは重要だと考えている」と柳下氏は述べる。

CrowdStrike の本質を:3 つのエピソード

 柳下氏は、「CrowdStrike Falcon Insight」についてこう語っている。CrowdStrikeのEDR製品である。

 「初めてCrowdStrike Falcon Insightを知った時、エンドポイントに侵入した検体の振る舞いや通信などの挙動を見て、検知を行うというコンセプトに共感しました(柳下氏)」

 サイバーセキュリティは多層防御の考え方が提唱されていたものの、実際にすり抜けるマルウェアの検体があるのは、ある意味「当たり前」のことだ。

 しかし、柳下氏は、CrowdStrike のエンドポイント製品を最初に見たとき、その検知率の高さに驚いたという。「これは、製品をスクラッチから作っていることが要因として挙げられる」と柳下氏。そして、早くからクラウドコンピューティングを前提にプラットフォーム設計され、カーネルモードで動作するモジュールである事にも言及する。

 「カーネルモードで動作させると、Windows が止まったり、ブルースクリーンになったりする影響が考えられますが、私が使った限りでは、CrowdStrike を動作させてブルースクリーンになったことは 1 度もありません(柳下氏)」

 マクニカネットワークスが、CrowdStrike の日本における総代理店となったのが2013年。柳下氏はエンジニアとして、CrowdStrike ビジネスの立ち上げから関わり、当時、主力サービスの脅威インテリジェンスの重要性を日本に広めることに取り組んだ。

 その後は、まだ β 版だったEDR 製品をラボで検証。実証用のマルウェア検体を作成し、性能を検証する取り組みを行った。柳下氏は、日本での CrowdStrike のビジネスを振り返ったときに、印象的な 3 つのエピソードがあると語る。

《阿部 欽一》

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

金正恩国家主席 サイバー戦力を2倍に拡充する方針 ほか [Scan PREMIUM Monthly Executive Summary 2023年5月度] 画像

金正恩国家主席 サイバー戦力を2倍に拡充する方針 ほか [Scan PREMIUM Monthly Executive Summary 2023年5月度]
ケービデバイス製デジタルビデオレコーダに複数の脆弱性 画像

ケービデバイス製デジタルビデオレコーダに複数の脆弱性
HP 社 PC のファームウェアに Windows OS での管理者権限への昇格が可能となるメモリアクセス不備の脆弱性(Scan Tech Report) 画像

HP 社 PC のファームウェアに Windows OS での管理者権限への昇格が可能となるメモリアクセス不備の脆弱性(Scan Tech Report)
WordPress Social Loginプラグインに脆弱性 画像

WordPress Social Loginプラグインに脆弱性
「日本で撮影されたUFO」写真からサポート詐欺に誘導 トレンドマイクロ注意喚起 画像

「日本で撮影されたUFO」写真からサポート詐欺に誘導 トレンドマイクロ注意喚起
WordPressサイトの複合的な強化を行う Jetpack プラグインに脆弱性 画像

WordPressサイトの複合的な強化を行う Jetpack プラグインに脆弱性

インシデント・事故 記事一覧へ

NHK放送文化研究所、世論調査対象者1,200人分の個人情報記載資料を紛失 画像

NHK放送文化研究所、世論調査対象者1,200人分の個人情報記載資料を紛失
エムケイシステムにランサムウェア攻撃、グループの業績に及ぼす影響については精査中 画像

エムケイシステムにランサムウェア攻撃、グループの業績に及ぼす影響については精査中
エーザイグループにランサムウェア攻撃、一部サーバが暗号化 画像

エーザイグループにランサムウェア攻撃、一部サーバが暗号化
業務委託先のサーバに不正アクセス、日本製紙クレシア「ポイズ 選べる試供品プレゼントキャンペーン」中止 画像

業務委託先のサーバに不正アクセス、日本製紙クレシア「ポイズ 選べる試供品プレゼントキャンペーン」中止
原因は推測可能なVPNのパスワード、村本建設へのランサムウェア攻撃 画像

原因は推測可能なVPNのパスワード、村本建設へのランサムウェア攻撃
海技教育機構職員のアカウントに不正アクセス、不審なSMSやメールに注意を呼びかけ 画像

海技教育機構職員のアカウントに不正アクセス、不審なSMSやメールに注意を呼びかけ

調査・レポート・白書・ガイドライン 記事一覧へ

ランサムウェア身代金支払率、日本は国際トレンドに逆行 ~ プルーフポイント年次レポート 画像

ランサムウェア身代金支払率、日本は国際トレンドに逆行 ~ プルーフポイント年次レポート
ランサムウェア身代金 払い続けた世界の末路 ~ ウィズセキュアが犯罪のプロ化警鐘 画像

ランサムウェア身代金 払い続けた世界の末路 ~ ウィズセキュアが犯罪のプロ化警鐘
中 露 北のサイバー攻撃主体を紹介、公安調査庁 サイバー脅威概況2023 画像

中 露 北のサイバー攻撃主体を紹介、公安調査庁 サイバー脅威概況2023
ランサムウェア攻撃の 93%がバックアップストレージを標的に 画像

ランサムウェア攻撃の 93%がバックアップストレージを標的に
IPA「内部不正防止ガイドライン」第5版改訂ポイント NTTデータ経営研解説 画像

IPA「内部不正防止ガイドライン」第5版改訂ポイント NTTデータ経営研解説
「セキュリティは制限や制約ではなく変革を支えるもの」日経デジタル人材 新卒研修資料 画像

「セキュリティは制限や制約ではなく変革を支えるもの」日経デジタル人材 新卒研修資料

研修・セミナー・カンファレンス 記事一覧へ

改訂 ISMS への移行や認証に必要な対策は? セコムトラストシステムズの現役コンサルタントが 6/22 解説 画像

改訂 ISMS への移行や認証に必要な対策は? セコムトラストシステムズの現役コンサルタントが 6/22 解説
NTTデータ先端技術が DMARC、BIMI 対応ウェビナー開催 ~ TwoFive 桐原氏講演 画像

NTTデータ先端技術が DMARC、BIMI 対応ウェビナー開催 ~ TwoFive 桐原氏講演
東京都が中小企業のセキュリティ対策支援 セミナーやワークショップ 専門家派遣 画像

東京都が中小企業のセキュリティ対策支援 セミナーやワークショップ 専門家派遣
ヤバいデモで会場沸かす ~ SMS で 2FA 迂回する「Smishsmash」 画像

ヤバいデモで会場沸かす ~ SMS で 2FA 迂回する「Smishsmash」
テーマは「次の30年」 Interop Tokyo 2023、幕張メッセで 6/14-16 開催 画像

テーマは「次の30年」 Interop Tokyo 2023、幕張メッセで 6/14-16 開催
サイバーセキュリティ対策のための統一基準 ガイドライン(案)に明記されたDMARC対応、その導入の実際~日本プルーフポイント講演レポート 画像

サイバーセキュリティ対策のための統一基準 ガイドライン(案)に明記されたDMARC対応、その導入の実際~日本プルーフポイント講演レポート

製品・サービス・業界動向 記事一覧へ

SHIFT SECURITY 創業7年、未経験採用/直接雇用の脆弱性診断士約250名体制に 画像

SHIFT SECURITY 創業7年、未経験採用/直接雇用の脆弱性診断士約250名体制に
脆弱性管理プラットフォーム「S4」無償プランの新規申込受付再開 画像

脆弱性管理プラットフォーム「S4」無償プランの新規申込受付再開
非エンジニアの文系ライターが挑んだSecuriST(セキュリスト)認定ネットワーク脆弱性診断士受験記 [前編] もしもう一度ゼロからやり直せるなら 画像

非エンジニアの文系ライターが挑んだSecuriST(セキュリスト)認定ネットワーク脆弱性診断士受験記 [前編] もしもう一度ゼロからやり直せるなら
最大16年の長期サポート、サイバートラストが「AlmaLinux OS」 を Neutrix Cloud 上で提供 画像

最大16年の長期サポート、サイバートラストが「AlmaLinux OS」 を Neutrix Cloud 上で提供
AI脆弱性診断サービス「ImmuniWeb Neuron」提供、回数無制限で利用可能 画像

AI脆弱性診断サービス「ImmuniWeb Neuron」提供、回数無制限で利用可能
6月4日まで「個人情報を考える週間」丹野委員長コメント 画像

6月4日まで「個人情報を考える週間」丹野委員長コメント

おしらせ 記事一覧へ

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄 画像

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄
「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ 画像

「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ
Scan PREMIUM 創刊24周年記念キャンペーン実施中 画像

Scan PREMIUM 創刊24周年記念キャンペーン実施中
ScanNetSecurity 創刊24周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊24周年御礼の辞(上野宣)
【当選確率3倍】2022年 CrowdStrike カレンダープレゼント 画像

【当選確率3倍】2022年 CrowdStrike カレンダープレゼント
創刊23周年記念イベント「ハッカージャーナリスト誕生譚」オンライン公開インタビュー 11/18 開催 画像

創刊23周年記念イベント「ハッカージャーナリスト誕生譚」オンライン公開インタビュー 11/18 開催
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×