株式会社ネットワールドのエンジニアがお届けする技術情報ブログです。
各製品のエキスパートたちが旬なトピックをご紹介します。

トップ > CrowdStrike > Falcon Shield触ってみた:簡単設定でSaaSを可視化!

Falcon Shield触ってみた:簡単設定でSaaSを可視化!

CrowdStrike Security

Falcon Shieldとは?

Falcon Shield は、CrowdStrike製品と外部クラウドサービスを連携させることで、ユーザーやデバイス、リスクの高い資産情報などを可視化するソリューションです。2024年の秋に開発元であるAdaptive Shieldの買収が発表され、2025年の春にFalcon Shieldとして新たにリリースされました。

連携可能な製品

主要なSaaS製品を広くカバーしています。本日(2025年5月30日)時点では176の項目が用意されており、現在も対応製品の拡大中です(検証中にも増えました!)。

すべてのリストアップは難しいので、気になる方が多いと思われる一部をピックアップします。

  • Microsoft 365
  • Google Workspace
  • Salesforce
  • Okta
  • Zscaler

利用手順

製品ごとに設定項目が異なりますが、画面の指示に従って連携先のクレデンシャルを入力したり、Falcon Shieldからのアクセスを許可したりするのが基本手順です。

今回はMicrosoft 365を連携してみます。

  1. Falcon Shieldコンソールを開く
    Falconコンソールのメニューから、SaaSセキュリティ > Falcon Shield をクリックします。

    コンソールの完全統合はこれから。新しいタブで開きます


  2. 新しい連携を追加する
    Integrationページに移動し、右上の「+Add new integration」をクリックします。

    UIは現状英語のみ。今後日本語化予定です


  3. 該当するサービスを選択する
    一覧の中から目的のサービスを見つけてクリックします。
    今回はM365を選びます。

    かなり数が多いですが、カテゴリ表示や検索で絞り込むこともできます


  4. 必要なクレデンシャルを入力する
    画面の指示に従い、エイリアス名、ドメイン名、APIキーなどを設定します。
    エイリアス名はFalcon Shield上での表示をわかりやすくするためのものなので、おそらくすべてのサービスで入力が求められます。M365の場合は他に以下の設定がありました。
    - ドメイン名入力
    - API設定(OAuth認可の設定)
    - Remediation API設定 ※オプション

    ページ右側にサービスごとに説明があるので見ながら進められます。
    ドキュメントもサービスごとにあります
  5. 連携完了まで待つ
    設定を完了すると連携が始まります。所要時間はサービスや設定、使用状況によると思われます。今回のM365の場合、Remediation APIを設定していないときは数分程度、Remediation APIを設定したときは1時間近くかかりました。ステータスがSuccessになれば完了です!

    ステータスは他に「Partial Success」「Failed」がある…とマニュアルに書かれていますが、別の連携で失敗したときは「Authentication Failure」と表示されていました。バリエーションがあるのかもしれません…

SaaS情報の表示

連携が完了するとダッシュボードやインベントリなど各メニューに情報が表示されるようになります。定期的に自動更新されるため、設定完了後は特に操作の必要なく常に最新情報を確認できます。

すっきりしつつグラフィカルでいい感じ!

インベントリでは詳細情報も確認できます(画像はユーザーインベントリ)

主に以下の情報が確認できるようになります。

  • セキュリティチェックの結果一覧表示と順位付け
  • 業界フレームワークへの準拠状況(コンプライアンス)
  • ユーザーやデバイスなどの一覧

ちなみにこのあと、同じM365環境の情報を使ってSharePoint+OneDriveという連携も追加してみました。
二重に登録すると面倒くさいのでは?と思った方もいるかもしれませんが、その点は問題ありません。むしろ可視化される情報が異なる(M365としてはEntraIDやExchange Onlineなどの情報をサポート、個別の情報はSharePoint+OneDriveなど専用の統合でサポート)ので、一つの環境に対して連携方法を増やすこと自体は推奨構成です。

サービスごとに表示ができるので、連携先を増やしてもごちゃごちゃしません

複数のサービスから重複して情報取得されている場合もUI上で判別できます

所感

連携の設定はガイドがわかりやすく、簡単にできました。
カスタマイズできる要素もありますが、とりあえず指示に従って連携するだけでもSaaSのセキュリティ状況の可視化としては十分役割を果たせていると思います。
連携先を増やしても、統合的な表示・リソースごとの表示などいろいろ選べて、見やすいまま使えそうなのも好印象です。
残念なのは、コンソールがまだ完全にFalconコンソールと統合されていないこと、表示が英語のみであること、タイムゾーンの設定がUTCのみであること。このあたりは今後のアップデートに期待します!

おわりに

Falcon Shieldはまだリリースから日が浅く、特にUI面などは今後の改善に期待する部分も多いです。ただ元々はAdaptive Shieldとして高評価だった製品であり、機能面は十分に充実していることがわかりました。SaaSの利用もそれを狙った攻撃もどんどん増えていく中、このブログを読んで情報の可視化を進めていくことに興味を持っていただければ幸いです。