組織を狙うサイバー攻撃の手口が高度化している昨今、その脅威に対抗するセキュリティ対策として注目されているのがEDR(Endpoint Detection and Response)だ。EDRの中でも、第三者評価で業界をリードする存在として認められているのが米国CrowdStrikeの「CrowdStrike Falcon」だ。その優位性や期待される導入効果などについて、日本市場における総代理店であるマクニカネットワークスの中島卓氏と井形文彦氏に聞いた。
エキスパートによる脅威ハンティングで未知の脅威を検知
ゲートウェイでのセキィリティ対策やエンドポイントのアンチウイルスなど既存のセキュリティ対策をすり抜けて侵入した攻撃者は、エンドポイントにおいて感染拡大や情報収集などの様々な不正活動を密かに行う。EDRを活用することで、こうした隠れた不正活動をあぶり出し、不正活動の詳細を見極め、適切に対処することで、被害の拡大を食い止めることができる。
EDRの選定においては、高度な分析機能を備えていることはもちろん、ベンダーが優れたインテリジェンスを備えているかどうかも重視すべきポイントだ。EDRがエンドポイントから得る情報は非常に膨大なもので、そのほとんどがエンドポイントの正常な処理の結果である。攻撃者は、この大量のログの中に自らの不正な活動を紛れさせようと、次々に新たな隠蔽の手口を編み出している。不正活動を検知し、正しい対処法を見極める上では、そういった最新の手口についての情報を持っているかどうかが鍵を握る。
マクニカネットワークス
第2営業統括部
第3営業部 第3課
中島卓氏
「EDRにおいては、攻撃者のアクティビティに詳しい、エキスパートの視点に立ったインテリジェンスが必要なのです。その点、CrowdStrike社は、優れた脅威インテリジェンスを有しています。同社の脅威インテリジェンス部隊が収集した最新のインテリジェンスは、EDR製品『CrowdStrike Falcon』にも一早く反映され、検知に生かされています。その結果、最新の手口を用いた高度な攻撃に対しても、素早く気付き調査できるようになっています」(中島氏)
CrowdStrike社が擁する多数のセキュリティエキスパート人材は、CrowdStrike Falconが提供しているマネージドハンティングサービス「Falcon OverWatch」(以下、OverWatch)にも投入されている。
中島氏は本サービスについて、「一般的なSOCサービスは、セキュリティ製品のアラートを受けて初動対応や解析などを行いますが、OverWatchはそうした受動的なサービスではありません。世界中のCrowdStrike Falconユーザー環境から集められた情報をセキュリティエキスパートたちがリアルタイムに監視し、能動的に脅威をハンティングしていくのです」と説明する。
続きはダウンロードしてご覧ください