3つのエディションで展開されるCrowdStrikeの脅威インテリジェンス、セキュリティの自動化を提供する「CrowdStrike Falcon X」、エンドポイント製品との連携による独自価値とは? | ScanNetSecurity
2020.07.13(月)

3つのエディションで展開されるCrowdStrikeの脅威インテリジェンス、セキュリティの自動化を提供する「CrowdStrike Falcon X」、エンドポイント製品との連携による独自価値とは?

今回は、クラウドベースで提供される同社の脅威インテリジェンス、セキュリティの自動化を提供する「CrowdStrike Falcon X」の概要や、具体的なユースケースについて話を聞いた。

製品・サービス・業界動向 新製品・新サービス
 CrowdStrike アジア環太平洋地域担当 脅威インテリジェンス ディレクターを務めるScott Jarcoff(スコット・ジャーカフ)氏へ2回目のインタビューを実施した。

 前回は、CrowdStrikeの脅威インテリジェンスサービスのバックボーンとなる「敵を知り、己を知る」ためのアプローチや、情報収集能力について聞いた。今回は、クラウドベースで提供される同社の脅威インテリジェンス、セキュリティの自動化を提供する「CrowdStrike Falcon X」の概要や、具体的なユースケースについて話を聞いた。


●CrowdStrike Falcon Xの概要

──CrowdStrike Falcon Xについて教えてください。

 CrowdStrike Falcon Xは、弊社で提供している脅威インテリジェンス製品の名称で、次の3つのエディションで構成されます。

(1)Falcon X(以下スタンダート)
(2)Falcon X Premium (以下プレミアム)
(3)Falcon X Elite(以下エリート)

 プレミアム、プレミアムエリートと進むにつれ、分析のコンテキストや深さが増し、お客様の状況に固有のインテリジェンスを提供することが可能になります。









3つのエディションで構成されるCrowdStrike Falcon X
3つのエディションで構成されるCrowdStrike Falcon X

 たとえば、金融機関のお客様であれば、「プレミアム」を選ぶと、金融業界に特化したインテリジェンスを得ることができ、個社ごとにカスタマイズされたインテリジェンスが得られるのは「エリート」ということになります

──それぞれのエディションについて教えてください。

 我々のサービスは、どのエディションもクラウドベースで提供されます。すなわち、Webブラウザさえあれば利用できます。また、すでにCrowdStrikeのエンドポイント製品を利用していれば、エンドポイント製品とインテリジェンスを連携させることができ、より効果的に利用できます。

 Falcon X自体、スタンダードに提供されるのは次の5つの機能です。

(1)Indicators Of Compromise(侵害の痕跡情報)
(2)Adversary Profiles(攻撃者グループのプロファイル)
(3)Malware Sandbox(マルウェアサンドボックス)
(4)Falcon Malquery (マルウェアサーチ)
(5)Weekly Threat Report(週次の脅威レポート)

 特筆すべきは2つあります。 1つめは、IOC(Indicators Of Compromise)データベースです。これは、2,100万ものハッシュやURL、ドメイン、IPアドレスに関するデータベースです。

 例えば多くの組織においてログ集約の仕組にSIEMを使いますが、IOCデータベースをSIEMと連携させることで、収集したデータから共通する何らかのパターンを見出すことができます。これにより、脅威の兆候に対するレスポンスのスピードや質の向上に寄与します。

 2つめは「Adversary Profiles」です。私たちは130以上もの攻撃者グループを調査監視しており、彼らが誰で、何を目的にどこで行動し、どういう国や業種を標的にしているか、あるいは、コミュニティの中での識別子は何かなどを分析しています。

 お客様は、プロファイルのページで、攻撃者グループの情報を参照することができます。

攻撃者グループ一覧
攻撃者グループ一覧


攻撃者グループ詳細例(STONE PANDA-ストーンパンダ:中国の国家主導攻撃者グループということで、画面内にも中国語の情報が見られる)
攻撃者グループ詳細例
(STONE PANDA-ストーンパンダ:中国の国家主導攻撃者グループということで、画面内にも中国語の情報が見られる)

 それ以外にも、3つめの「Malware Sandbox」機能は、実際にマルウェアを実行させ、振る舞いを見る「動的解析」と、デコンパイルして文字列を抽出しインデックス化、マルウェアサーチを利用した検査を可能にする「静的解析」の2つの解析方法を提供します。

 また、4つめの「Falcon Malquery」は、脅威を調査、分析する際に利用する機能です。現在、13億のマルウェアのサンプルを保持し、その数は増える一方ですが、Falcon Malqueryでは、自身では何かわからないマルウェアについて、このデータベースを検索し、情報を得ること、検体サンプルや亜種を入手することができます。そして、5つめの「Weekly Threat Report」は、インテリジェンスチームから金曜日に配信される脅威レポートです。

CrowdStrike Falcon X スタンダード
CrowdStrike Falcon X スタンダード

●よりきめ細かい、カスタマイズされたサービスが利用可能なプレミアム、エリート

──プレミアム特有の機能は何ですか?

 スタンダード機能に加え、次の4つの機能が加わります。

(1)Intelligence Reports(インテリジェンスレポート)
(2)YARA & SNORT RULES
(3)Tailored Intelligence(お客様のためにカスタマイズしたインテリジェンス)
(4)Malware Analysis(マルウェア分析)

 「Intelligence Reports」は、マルウェアやフォレンジックなど、お客様の関心の高そうなテーマを取り上げ、スピード重視で簡易情報を配信する「ALERT」、「TIPPER」と呼ばれる週次の包括的なレポート、そして、月次や四半期、年次ベースのインテリジェンスレポートで構成されます。

 「YARA & SNORT RULES」は、脅威ハンティングの機能で、テレメトリーをベースに、お客様のネットワークの挙動から週次単位で脅威ハンティングを手動で行い、「YARA」「SNORT」ルールとしてアップデートされます。振る舞いによる防御を行うことも可能になります。

 「Tailored Intelligence」は、お客様のためのカスタムインテリジェンスであり、インターネット上のお客様に関する様々な脅威、状況のモニタリングを提供します。TwitterやFacebookといったWebの情報もインプットとして取り扱い悪意のある言及を認識することなどにも活用可能です。

 そして「Malware Analysis」は、我々の専門家にマルウェアを送信し、その専門家が手動で行った解析のレポートを提供するものです。攻撃者は常に一歩先に行動しています、自動化された解析だけでは得られない知見を提供することができます。

CrowdStrike Falcon X Premium
CrowdStrike Falcon X Premium

──最後のエリートはどんなサービスですか?

 プレミアムに対するアドオンとの位置づけで、「Elite Analyst」と呼ばれる専門家をリモートでアサインします。彼らはCrowdStrikeが有するテクノロジー、データ、インテリジェンスを活用し、複数のお客様にサービスを提供するのですが、顧客企業のセキュリティチームの一員であるかのように、インテリジェンスチームの延長線上で動きます。

 初日から、顧客企業との間でSlack、SMSやEmail、電話などのコミュニケーション手段を確立します。このアナリストを通して、お客様が望んでいるインテリジェンスを提供することが可能になります。お客様に必要な固有のサービスを提供できる点が、このアナリストサービスの独自価値といえるでしょう。

CrowdStrike Falcon X Elite
CrowdStrike Falcon X Elite

──エリートエディションはどのように導入されますか。

 利用開始に伴いオンボーディングセッションという会議を行い、お客様がインテリジェンスに望む要件を確認します。たとえば、重要インフラのお客様であれば、ICS/SCADAに関しての固有のインテリジェンスが必要などの要求を伺い、それを月次単位で提供します。

 さらに、お客様に合致する、あるいは関連する有益なインテリジェンスが得られたときは、積極的にこちらから通知も行います。

 それ以外にも、Request For Intelligence(RFI)というメニューがあります。より背景を深く知りたいなどの要望がある場合に利用することができ、アドホックなリクエストに対して、より深いアナリティクスを提供します。

 お客様の多くは、定期的に経営幹部にレポートを行わなければならないケースがありますが、経営層に対するブリーフィングを、お客様に変わって我々が行うこともできます。

 アナリストは毎月、お客様の要望、要件にあわせたコンテクスト豊かな知見を提供し、さらに、エグゼクティブセッションを通じて、四半期に一度、脅威の状況についてブリーフィングを行います。

●日本語サポートが受けられる点も独自価値

──具体的なFalcon Xの導入、活用のされ方について教えてください。

 一般的な脅威インテリジェンスは、SOCやインテリジェンスチームに提供され活用される形態となるでしょう。しかし、私たちCrowdStrikeの脅威インテリジェンスは、セキュリティ関連の特定の部署やグループが活用するように設計されたものではなく、組織全体で活用されるように設計されています。

 たとえば、SOCであれば、あらゆる部分から価値を享受できますし、経営企画や危機管理チームであれば、インテリジェンスレポートを参照しながら、地政学的リスクや業種固有のリスクを評価し、組織全体に対するリスクベースの意思決定を行えます。

 そして、脆弱性に関しては、攻撃者グループのプロファイルから、どういう業種を標的にし、どんな脆弱性を悪用しているかを理解し、どのパッチから優先的に適用すべきかが判断できます。

──脅威インテリジェンスとCrowdStrikeのエンドポイント製品の連携によって、他社にはない価値を提供することが可能でしょうか。

 その点が我々のユニークな価値であり、インテリジェンスとエンドポイントの連携を、我々のようなレベルで提供している競合はないといってよいでしょう。

簡単な例をお伝えしましょう。CrowdStrikeの次世代AVやEDR製品は、脅威を検知した際に、攻撃者グループに関わる攻撃であれば、攻撃者グループ名、概要を表示します。この様な製品は他にはありません。脅威インテリジェンスの一部が製品で利用されているのです。
このエンドポイントにFalcon Xを連携して利用すれば、さらに深いプロファイル情報が得られ、攻撃者グループが利用する脆弱性を確認して対処もできます。検知したマルウェアの分析もサンドボックスですぐに行えます。

──想定されるCrowdStrike Falcon Xの顧客層は?

 政府や重要インフラだけでなく、金融、製造、自治体などのお客様に対し、ニーズに合わせてスタンダード、プレミアム、エリートと適材適所に活用いただくことができます。日本のユーザー企業については、数は非公開ですが着実に増えています。

 最後に大事なことをつけ加えますが、エリートアナリストは、日本にもおります。海外の脅威インテリジェンスは英語が主で母国語で利用できないという話をよく聞きますが、その点、日本語でのサポートが得られるのも、私たちの差別化要因の一つです。

──ちなみに、前回の取材で横田基地での勤務経験があると伺いましたが、エドワード・スノーデン氏とは同僚だったのですか?

 エドワード・スノーデン氏とは、同じ時期に横田基地で勤務していたことがあり、私は、彼が働く建物の、道を挟んだ反対側のビルで勤務していました。彼の働くビルに出入りすることは何度もありましたが、残念ながら、彼と顔を合わせたことはありません(笑)。

──ありがとうございました。

クラウドストライク株式会社 アジア環太平洋地域 脅威インテリジェンス ディレクター Scott Jarkoff 氏
クラウドストライク株式会社
アジア環太平洋地域 脅威インテリジェンス ディレクター
Scott Jarkoff 氏
《阿部 欽一》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×