米CrowdStrikeの日本法人であるクラウドストライクは6月19日、米国で5月に開催された「RSA Conference 2024」において発表した次世代SIEM(Security Information and Event Management)をはじめ、サイバーセキュリティに対応する新たな製品群についてメディア向けに紹介した。
CrowdStrike Falcon for Insurability
CrowdStrike Falcon for Insurabilityは、サイバー保険会社との連携により、優遇価格で同社の保護機能を提供できるようになるプログラム。
同プログラムは、保険に加入したい企業がFalconプラットフォームによるサイバー保護機能を備えていることを認識した場合に、Ascot Group、AXA XL、Beazley、Berkley Cyber Risk Solutionsはじめとする保険会社の保険引受リスクを軽減できる仕組みだ。保険加入企業のサイバーリスクと保険会社の引受リスクがどちらも軽減されるため、より多くの企業がセキュリティを高めながら保険に加入できるようになるという。
Falcon Adversary OverWatch
Falcon Adversary OverWatchは、AIネイティブのCrowdStrike Falconプラットフォームの可視性を活用して、エンドポイントやアイデンティティ、さらにはクラウド環境全体で脅威を24時間365日体制でハンティングする。サイバー脅威による侵害があった場合には、攻撃を阻止し組織を保護できる。
CrowdStrikeのField CTO, Internationalであるファビオ・フラトゥチェロ(Fabio Fratucello)氏は「Falcon Adversary OverWatchを活用することで、サイロ化されたデータの煩雑さを軽減してより早いレスポンスを可能にする」と紹介していた。
次世代SIEM
サイバー攻撃が高度化する中で、攻撃者の初期アクセスから水平移動を開始するまでの時間(ブレイクアウトタイム)は、平均で62分間だという。2022年には84分だったため、驚くべき速さで短縮されている。
脅威を封じ込めて被害を最小化するには、このブレイクアウトタイム以内に対処する必要がある。しかし、攻撃者は水平移動時に正規アカウントや社内ツールを悪用するため、異常な振る舞いや侵害の可能性を短時間で検知するのは難しい。
これまでに観測された最短のブレイクアウトタイムは2分7秒とのことだ。わずか2分以内にセキュリティチームが異常を検知して対処するのは困難だろう。
クラウドストライクが発表した次世代SIEMは、AIを活用してSOC(Security Operation Center)を支援することを目的としたソリューション。従来型のSIEMではデータ量が多く対応できなかった処理を、AIによって自動化する。同社によると、従来型SIEMおよびそれらと同程度の機能を持つソリューションと比べて、最大で150倍の検索性能とTCO(Total Cost of Ownership総所有コスト)の80%削減を実現しているという。
本稿執筆時点では英語のみの対応となるが、次世代SIEMでは生成AIセキュリティ分析機能「Charlotte AI」が利用可能だ。Falconプラットフォーム内のFalconデータに加えて、製品ドキュメントやナレッジベースに関する疑問に対し、自然言語で回答を得られる。なお、この機能は日本語対応に向けて開発が進められているそうだ。
また、プロンプトブックを標準搭載し、検知、調査、ハンティング、対応といったアナリストの一般的なワークフローに含まれる業務を支援する。個別にカスタムプロンプトを作成して対応ワークフローを標準化すれば、インシデント発生から対応までの業務を効率的に進められるとのことだ。
CrowdStrike Falcon for Defender
CrowdStrike Falcon for Defenderは、Microsoft Defenderの導入時のセキュリティを強化するソリューション。Crowdstrike Falcon XDRプラットフォームに組み込まれ、Microsoft Defenderと同時に使用することで、Microsoft Defender動作中のエンドポイントに対するセキュリティ対策を強化できる。