CrowdStrike Falcon くらうどすとらいく ふぁるこん
簡単に言うとこんな感じ!
パソコンやサーバーに常駐して「怪しい動き」をリアルタイムで監視・記録し、AIでサイバー攻撃を検知・遮断するセキュリティサービスだよ。世界中の攻撃情報を学習したクラウドの「頭脳」に繋がってるのが最大の特徴なんだ!
CrowdStrike Falconとは
CrowdStrike Falcon(クラウドストライク ファルコン)は、米国のサイバーセキュリティ企業CrowdStrike社が提供するクラウドネイティブ型のエンドポイントセキュリティプラットフォームです。エンドポイント(PC・サーバー・モバイル端末など、ネットワークの末端にある機器)に軽量な「センサー(エージェント)」をインストールするだけで、高度なセキュリティ機能をクラウド経由で提供します。
従来のウイルス対策ソフトが「既知のウイルスのパターン(シグネチャ)」と照合して検知するのに対し、FalconはAIと機械学習を活用して「正常とは異なる振る舞い」を検知します。これにより、過去に発見されたことのない新種のマルウェアや、マルウェアを使わない「ファイルレス攻撃」にも対応できます。2024年のIT障害で世界的に注目されましたが、グローバルで20,000社以上の企業・政府機関が採用する業界トップクラスの製品です。
CrowdStrike Falconの主要機能と構成
Falconはモジュール型のプラットフォームで、必要な機能を組み合わせて使います。中核となる機能群は以下の通りです。
| モジュール名 | 機能区分 | 概要 |
|---|---|---|
| Falcon Prevent | NGAV(次世代AV) | AIによるマルウェア検知・ブロック。シグネチャ不要 |
| Falcon Insight | EDR | エンドポイントの全操作を記録・分析。攻撃の経路を追跡 |
| Falcon Intelligence | 脅威インテリジェンス | 世界中の攻撃情報をリアルタイムで共有・活用 |
| Falcon Discover | IT衛生管理 | ネットワーク上の未管理デバイスや脆弱な設定を検出 |
| Falcon Spotlight | 脆弱性管理 | OSやアプリの脆弱性をリアルタイムで把握 |
| Falcon Overwatch | MDR | CrowdStrike専門家チームによる24時間監視サービス |
| Falcon Identity | ID保護 | Active Directory等のID不正利用を検知 |
「センサー + クラウド」の仕組み
[エンドポイント(PC/サーバー)] [CrowdStrike クラウド]
┌─────────────────────┐ ┌──────────────────────┐
│ Falcon センサー │ ─── 通信 ──▶ │ Threat Graph │
│ ・全操作ログ収集 │ │ (AIエンジン) │
│ ・ローカル判定 │ ◀── 指示 ─── │ ・機械学習モデル │
│ ・遮断・隔離 │ │ ・全世界の脅威DB │
└─────────────────────┘ └──────────────────────┘センサーは端末のCPU・メモリ負荷を最小限に抑えながら、プロセス(プログラムの動作)・ネットワーク通信・ファイル操作などを記録し続けます。判定が難しい複雑な分析はクラウド側のThreat Graph(脅威グラフ)が担い、世界中の顧客から集まった数兆件の「正常・異常」データを学習したAIが瞬時に判断します。
EDRとNGAVの違い
| 比較項目 | 従来型AV | NGAV(Falcon Prevent) | EDR(Falcon Insight) |
|---|---|---|---|
| 検知の仕組み | シグネチャ照合 | AIによる振る舞い検知 | 全操作記録+異常検知 |
| 未知の脅威対応 | ✕ 苦手 | ◯ 対応可 | ◯ 対応可 |
| 攻撃経路の追跡 | ✕ 不可 | △ 限定的 | ◯ 詳細に追跡可 |
| インシデント調査 | ✕ 不可 | △ 限定的 | ◯ 可能 |
歴史と背景
- 2011年 — George Kurtz(元McAfee CTO)らがCrowdStrikeを設立。「クラウドで世界の脅威情報を共有する」という新発想でセキュリティ業界に参入
- 2013年 — Falcon プラットフォームをリリース。シグネチャ不要のAI検知を業界に先駆けて実用化
- 2014年 — 米国家安全保障局(NSA)元職員によるロシア政府系ハッカーグループ「Fancy Bear」の攻撃を分析・公開し、脅威インテリジェンス企業として世界的名声を確立
- 2016年 — 米民主党全国委員会(DNC)へのサイバー攻撃調査を担当。政府・企業から高い信頼を獲得
- 2019年 — NASDAQ上場。上場初日から株価が急騰し、セキュリティ業界の注目企業として確立
- 2021〜2023年 — Gartner Magic QuadrantのEDR部門で「リーダー」に継続ランクイン。市場シェアトップを維持
- 2024年7月 — Falconセンサーのアップデートファイルの不具合により、世界中のWindows端末約850万台がブルースクリーン(BSOD)を起こす大規模障害を発生させ、航空・金融・医療などに甚大な影響を与えた
競合製品との比較とアーキテクチャの特徴
同カテゴリの主要製品と比較すると、Falconの強みと弱みがわかります。
| 製品名 | 提供会社 | アーキテクチャ | 強み | 弱み |
|---|---|---|---|---|
| CrowdStrike Falcon | CrowdStrike | クラウドネイティブ | 脅威インテリジェンスの豊富さ・AI精度 | 価格が高め・クラウド依存 |
| Microsoft Defender for Endpoint | Microsoft | クラウド+オンプレ | Microsoft 365との統合・コスパ | 脅威インテリジェンスの深さ |
| SentinelOne | SentinelOne | クラウドネイティブ | 完全自律型・クラウド不要モード有 | 規模の小ささ |
| Symantec Endpoint Security | Broadcom | ハイブリッド | 歴史と実績・オンプレ対応 | UIの複雑さ・モダン化の遅れ |
| Carbon Black | VMware/Broadcom | クラウド+オンプレ | 柔軟な展開オプション | 統合の複雑さ |
Falconのアーキテクチャ概念図
2024年7月の世界的IT障害について
2024年7月19日、Falconセンサーのコンテンツ設定ファイル(チャンネルファイル)のアップデートに含まれた不具合が原因で、Windowsカーネル(OSの核心部分)がクラッシュする障害が発生しました。これはソフトウェアの欠陥(バグ)であり、サイバー攻撃ではありませんが、世界中の業務システムに重大な影響を与えました。この障害は、エンドポイントセキュリティ製品がOSの深い部分で動作することの「諸刃の剣」的なリスクを浮き彫りにしました。
関連する規格・RFC
| 規格番号 | 内容 |
|---|---|
| NIST SP 800-61 | コンピュータセキュリティインシデント対応ガイドライン(EDRが前提とする対応フロー) |
| NIST SP 800-137 | 連邦情報システムの継続的監視(Falconが実現する継続的監視の標準) |
| MITRE ATT&CK | 攻撃者の戦術・技術体系。FalconはATT&CKフレームワークに沿った検知・分類を提供 |
関連用語
- EDR — エンドポイントの全操作を記録・分析し、攻撃の痕跡を追跡・調査するセキュリティ技術
- NGAV — シグネチャ不要のAI・機械学習を使った次世代型アンチウイルス
- SIEM — ネットワーク全体のログを集約・相関分析するセキュリティ情報管理システム
- ゼロトラスト — 「社内だから安全」を疑い、すべてのアクセスを検証するセキュリティモデル
- MDR — セキュリティ専門家チームが24時間監視・対応を代行するマネージドサービス
- ファイルレス攻撃 — マルウェアファイルを使わずメモリ上で動作する、従来のAVが検知しにくい攻撃手法
- 脅威インテリジェンス — 世界中の攻撃情報を収集・分析し、防御に活用するための情報基盤
- インシデントレスポンス — セキュリティ事故が発生した際の検知・封じ込め・復旧・再発防止の一連のプロセス