株式会社ネットワールドのエンジニアがお届けする技術情報ブログです。
各製品のエキスパートたちが旬なトピックをご紹介します。

トップ > CrowdStrike > 情シス担当者さん必見!CrowdStrike Falcon Completeで変わるセキュリティ対策

情シス担当者さん必見!CrowdStrike Falcon Completeで変わるセキュリティ対策

CrowdStrike Security Managed Detection and Response

企業の情シス担当者の皆様は、日々多くのセキュリティアラート対応や脅威対策に追われていることと思います。限られた人員とリソースで、複雑化・巧妙化するサイバー攻撃に対処するのは本当に大変ですよね。特に、セキュリティに精通した人材不足は多くの企業で深刻な課題となっています。

そこで今回ご紹介したいのが、「CrowdStrike Falcon Complete(クラウドストライク ファルコン コンプリート)」です。

Falcon Completeとは?

CrowdStrike Falcon Completeは、AIと専門家による監視・対応チームを組み合わせたマネージド検出・レスポンス(MDR)サービスです。これは、高度化するサイバー攻撃やセキュリティ運用の専門知識を持つ人材不足といった現代の課題に対応するために設計されています。CrowdStrike Falconプラットフォームを基盤としており、これに専任のセキュリティプロフェッショナルチームであるFalcon Completeチームが加わることで、包括的な脅威防御体制を実現しています。

提供するサービス内容

Falcon Completeチームは、お客様の環境を高度な脅威から保護するために、多岐にわたる専門的なサービスを提供します。これらのサービスはセキュリティ運用の多くの部分を代行してくれます。

    1. Falcon Platformの運用・管理
      Falcon Completeチームは、Falconエンドポイント保護プラットフォームの管理、監視、脅威への対応を、お客様のセキュリティ体制を担う専門組織として主体的に実施します。
      プラットフォームが常に最適な状態で運用されるよう構成管理を行い、脅威の兆候を見逃すことなく迅速に対応することで、お客様の環境全体を強固に保護します。
      Falcon Completeサービス費用に必要なライセンス費用も含まれます。
補足 セキュリティの専門家が自律的に対応をリードしつつ、必要な連携はお客様と適切に行います。代行ではなく、主体的な運用支援を提供します。
  1. 24時間365日の継続的な監視とアラート対応
    Falcon Completeチームは、Falconプラットフォームを昼夜を問わず24時間365日監視し、新たな脅威の兆候を探します。検出されたアラートは迅速に評価され、対応が必要なものを選び出して優先順位をつけたうえで対応します(これを「アラートのトリアージ」と呼びます)。
    なお、このトリアージの結果そのものは、通常お客様に個別にお伝えすることはありません。Falcon Completeチームが適切な判断に基づき、最も効果的な対応を実施します。
    これにより、お客様のセキュリティチームの負担を軽減します。

  2. 脅威の調査と分析
    検出されたアラートや不審な活動について、Falcon Completeの専門家チームが、アラートの発生理由、前後の関連テレメトリーデータ、エンドポイントに対するリモート調査、さらにはITハイジーン情報を活用して詳細な調査と分析を行い、脅威の種類や深刻度、影響範囲などを特定します。

  3. リモートでのインシデント対応と復旧
    脅威が確認され、対応が必要と判断された場合、Falcon Completeチームは影響を受けたシステムにリモートでアクセスし、脅威(マルウェアなど)の封じ込め、排除、およびシステムを侵害前の状態に戻す復旧作業を行います。多くの場合、システムの再イメージング(初期化)のような手間や中断を伴わずに復旧が可能です。対応プロセスは、事前に定義されたプレイブック(対応手順書)に従って実施されます。

  4. プロアクティブな脅威ハンティング (OverWatch)
    Falcon OverWatchのエリート専門家チームが、テレメトリーデータに対する24x365での脅威ハンティングを実施します。製品で検知が難しいゼロデイ攻撃、潜在的な脅威や新しい手法を用いた攻撃探し出し、大きな被害につながる前にFalcon Completeチームに連絡、連携し、必要な対応やお客様へのご連絡などを実施します。

  5. 報告と連携
    インシデント対応後には、実施されたアクションの詳細なレポートが提供されます。Falconコンソール内のメッセージセンターを通じて、Falcon Completeのアナリストと直接、安全かつ効率的にコミュニケーションを取ることができます。インシデントに関する質問や追加情報の提供などに利用されます。

  6. 導入とオンボーディングの支援
    Falcon Completeの導入プロセスでは、CrowdStrikeの専門家がお客様のセキュリティ要件を理解し、Falconプラットフォームの最適な構成を支援します。スムーズな導入と最適な構成を実現するために、オンボーディングコールなどを通じて協力します。

導入するメリット

提供されるサービスすべてがメリットととも言えますが、情シス担当者の皆様向けにまとめると以下のような具体的なメリットがあるかと思います。

  • アラート対応の負担が大幅に軽減

    • セキュリティアラートの分析や初期対応を専門チームが対応します。

  • 24時間365日の監視と即時対応

    • 深夜や休日も含め、リアルタイムでの監視と迅速な対応が可能です。 

  • プロアクティブな脅威探索(ハンティング)

    • 専門家チームが隠れた脅威も積極的に見つけ出し、攻撃被害を最小限に抑えます。

  • 迅速かつ的確なインシデント対応

    • 万が一侵害が発生した場合も、リモート対応で迅速に復旧できます。

  • 高いコスト効率

    • 自社でセキュリティ専門の監視センター(SOC)を持つよりも、低コストで高度なサービスを利用できます。

  • 運用効率の向上

    • 日々のセキュリティ運用を任せることで、情シス担当者はより重要な業務に集中できます。

これまでのエンドポイントセキュリティの運用で行っていたことの多くがFalcon CompleteとFalcon Platformの利用で解決されるかと思います。

実際にエンドポイントセキュリティの運用を行っていた身としては、深夜や休日のアラート対応をお任せできることは安心して夜眠れることができますし、平日日中帯においてもアラート対応をお任せできるだけでほかの業務を実施できるようになりますので情シスとしてやるべきことに注力ができるかと思います。

責任範囲

Falcon Completeは、お客様のセキュリティの運用を代行するのではなく、主体的に支える存在として、より高度なリソースと専門性で対応を実施します。

責任範囲については改めて別記事でご紹介しますが、今回はざっくりの概要をお伝えいたします。

Falcon Completeチームが担当する範囲

Falcon Completeチームは次のような業務をお客様に代わって行います。

  • プラットフォームの維持・管理
  • 24時間365日の継続的監視
  • アラートの分析と対応の優先順位付け
  • 詳細な脅威調査とインシデント対応(封じ込め、排除、復旧)
  • プロアクティブな脅威ハンティング
  • インシデント対応後の詳細な報告
  • 運用モデルの設計

お客様が行うべきこと

一方、お客様(情シス担当者)側にも以下のような役割があります。

  • Falconエージェントの導入と初期設定
  • 製品不具合等のセキュリティ運用に関わらない部分においてのチャネルパートナー運営サポートとのやり取り
  • ネットワーク機器(ファイアウォール等)の管理
  • 社内のセキュリティポリシーの作成と従業員への周知
  • 従業員へのセキュリティ教育
  • Falconチームとの連携・承認対応
  • Falcon管理コンソールのアクセス管理

これらの明確な役割分担により、CrowdStrikeとお客様の協力体制を構築し、セキュリティ運用を効率化できます。

まとめ

CrowdStrike Falcon Completeは、AI技術とセキュリティ専門家のノウハウを組み合わせた次世代型のセキュリティサービスです。アラート対応や日常運用の負担を軽減し、情シス担当者の皆様が本来集中すべき業務に専念できる環境を整えます。

もし現在、「セキュリティ対応が追いつかない」「人材が不足している」「未知の脅威が不安」という課題を抱えているのであれば、ぜひFalcon Completeの導入をご検討ください。

www.networld.co.jp