トピックス 2021.03.26 マルウェアの侵入を100%防ぐことが不可能な時代に、クラウドストライクが出した答え

組織や個人のデータ流出がニュースなどで大きく取り上げられ、厳しく責任を問われるのは、それだけデータの重要性が増していることを端的に表しています。

データの管理や保護の重要性が飛躍的に高まっている昨今、サイバー攻撃の技術も高まっており、それに伴い新しいサイバーセキュリティの形が求められるようになってきています。

そんな中、注目されているのが米カリフォルニア州に本社を構えるクラウドストライク（Crowd Strike）です。

データベースによる「集団防衛体制」を敷くクラウドストライクは、既存のセキュリティソフトが抱えていた弱点を克服し、クラウド時代に最適化されたセキュリティ体制を実現したことで大きな注目を浴びています。

今回はそんなクラウドストライクの解説と、セキュリティ業界でクラウドストライクが注目されている背景について解説していきます。

クラウドストライクは、アンチウイルスソフトを作っているMcAfeeの元CTO、ジョージ・カーツ氏らが創業したサイバーセキュリティ企業です。

McAfee時代に従来のセキュリティ手法では限界があることに気づいたジョージ・カーツ氏がクラウド時代に合った仕組みをゼロから構築しようと創業したのがクラウドストライクでした。

クラウドストライクの特徴はアップデートからセキュリティ担保まですべてをクラウド上で行うという点。

従来のアンチウイルスソフトは、デバイス上でソフトを更新することでセキュリティのアップデートを行っていましたが、クラウドストライクの場合、セキュリティのアップデートはクラウド上で行われ、デバイスがクラウドに接続されている間は常にクラウド側でデバイスのチェックを行うクラウド型セキュリティを提供しています。

そんなクラウドストライクの強みは、データベースによる「集団防衛体制」です。

クラウドストライク（Crowd Strike）の社名の由来は、「多くの人々（Crowd）から集めた情報を活用することで、攻撃者に一撃（Strike）を与える」というもの。

クラウドストライクのクライアント企業で発生したハッキング事例をデータベースに蓄積・分析し、クラウドを通じて他のクライアントにも通知することで、同じような手口のハッキングに対する防衛対策を促します。

また、これまでにクラウドストライクのクライアント企業が受けたハッキング対策を新規のクライアントも受けることができるのです。

これまでセキュリティ業界では、VPNやアンチウイルスソフトといったファイヤーウォールで安全性を担保するのが常識でしたが、近年サイバーセキュリティのトレンドが変わってきました。

従来のセキュリティ手法では進化し続けるサイバー攻撃に対応できない状況になってきているのです。

例えば、これまでサイバーセキュリティの主流であったアンチウイルスソフトは、ウイルスと判断されているファイルをブラックリストに登録し、該当するファイルがPCに侵入しようとした際にアラートが発信されるというもの。

ただ、次々と姿形を変え攻撃してきるウイルスの中には改変されたものも少なくなく、ブラックリストに登録されていない新種のウイルスはアンチウイルスソフトを素通りしてしまうという問題があります。

それに加えて私たちがデバイスを利用する環境の変化もサイバーセキュリティのトレンドに影響を与えています。

私たちが普段使用しているPCやスマートフォンは常にクラウドに接続されていますが、そもそも既存のアンチウイルスソフトは、現在のように常にクラウドに接続されていることを前提に開発されているツールではありません。

前提が変われば、セキュリティのあり方も変わらざるを得ない。そうした中、クラウド上でセキュリティの担保を行うクラウドストライクに大きな注目が集まったのです。

クラウドストライクが既存のアンチウイルスソフトと一線を隠す要素として挙げられるのが、同社が提供している最新のセキュリティ「EDR（Endpoint Detection and Response）」です。

EDRはデバイス内部の情報を収集し可視化することで、デバイス内での異常な振る舞いを見つけ出し、マルウェアの悪事を封じ込めて調査する機能のことを指します。

具体的には、アプリケーションや起動中のプロセス、ネットワーク、レジストリ操作、イベントログなど様々な情報を記録し、クラウドや監視センターと連携しながら、以下のようなプロセスを行います。

①異常な振る舞いを「検知」
②通信遮断やプロセス停止による「封じ込め」
③侵入経路や外部通信の痕跡を調べる「調査」

こうした手法は「シグネチャレス」と呼ばれ、クラウドストライクを説明する上で最も重要な要素の一つです。

従来のアンチウイルスソフトでは、新種のウイルスなどが発見された際にウイルスのバイトコードを元にハードディスクをスキャンしてマルウェアを検索するという手法が一般的でした。

こうした手法を「シグネチャ方式」と呼び、簡単に説明すると、ブラックリストのようなものを作成しブラックリストに含まれているウイルスの侵入を防ぐというものです。

一方、クラウドストライクが採用する「シグネチャレス方式」というのは、ブラックリストを作成するのではなく、顧客から集めてきた膨大なデータを元に機械学習によるパターン分析を行い、通常のパターンから外れる異常な行動を検知するという仕組み。

クラウドストライクは1分で検知して、10分で分析し、60分で復旧するという「1-10-60ルール」と呼ばれる体制を確立しています。

世界170カ国以上のクライアントから1週間あたり1兆個もの膨大なデータを収集し、世界中で発生しているセキュリティ侵害行為（1日あたり約780億件）を分析することでこうした取り組みを可能にしています。

クラウドストライクのシグネチャレス方式が示すように、これからのセキュリティの肝となるのは、「いかに侵入させないか」ではなく、「侵入後いかに迅速に検知と対処を行うか」であることが分かります。

新しいマルウェアが次々と登場し、攻撃手法も複雑化するなど、サイバー攻撃が高度化している現代において、マルウェアの侵入を100%防ぐことは事実上不可能になりました。

そんな時代だからこそ、マルウェアに侵入されることを前提とし、その上で被害を最小限に抑えるというアプローチがこれからより一層重要な時代になっていくのでしょう。

【関連リンク】

・クラウドストライク：エンドポイントセキュリティ（クラウドストライク）
https://www.crowdstrike.jp/

・アジア太平洋地域における急成長に伴い日本での事業を拡大（クラウドストライク）
https://www.crowdstrike.com/sites/jp/news/pr-jan-jp/

・日本本格参入のクラウドストライク、EDRだけではないその実力（TECH.ASCII.jp）
https://ascii.jp/elem/000/001/653/1653571/

・アンチウイルスソフトでは防げても6割　残りの4割を防御するには（DELL Technologies）
https://www.delltechnologies.com/ja-jp/microsites/article/news16.htm

TEXT：セキュリティ通信 編集部
PHOTO：iStock