CrowdStrike Falcon Preventよくある質問

はい。こちらから、Falcon Preventの無料トライアルにお申し込みください。

Falcon Prevent無料トライアルの詳細は、このFAQページをご覧ください。

その名が示すとおり、Falcon Prevent™はFalconエンドポイント保護プラットフォームの予防モジュールです。Falcon Preventは、エンドポイントがオンラインでもオフラインでもマルウェア攻撃やマルウェアフリー攻撃に対して包括的で実績のある予防を提供します。拡張性のある次世代アンチウイルス（NGAV）機能には、既知のマルウェアの特定機能、未知のマルウェア対策のための機械学習、エクスプロイトの遮断、専用の攻撃の痕跡（IOA）振舞い技法が含まれます。悪意ある実行の予防に加え、オンデマンドスキャン機能が必要な場合には、Falcon Preventのオンデマンドスキャンで休眠中のマルウェアの断片を探し出すためにスキャン機能を使用することができます。Falcon Preventは、組織が既存のレガシーアンチウイルスソリューションを、リアルタイムの可視性を含む包括的なソリューションに自信を持って置き換えられる、すべての脅威アクティビティにコンテキストを提供します。

IOCは、何かが起きた後に残された証拠またはアーティファクトです。IOAは、攻撃者が目的達成のためにとる一連の行動または振舞いです。エンドポイント検知では従来IOCに注目していましたが、現代の攻撃者はIOCの探索を簡単にすり抜けるように適応してきました。フォレンジック調査では、IOCはネットワークセキュリティが侵害されたことを示す証拠です。残念ながらIOCが見つかった時点では、ネットワークはおそらく侵害されてしまっているのです。反対に、IOAは、攻撃者が侵入に成功するために行わなければならない一連の行動を反映します。これは、コード実行、持続、コマンド&コントロール（C&C）、ラテラルムーブメントといった攻撃者の一般的振舞いを行うために、どんなツールまたは技術であろうと必要な一連の行動です。効果的なIOAアプローチでは、企業のシステムまたはネットワークで何が起きているか厳密に収集して分析するだけでなく、それをリアルタイムで行い、悪意あるアクティビティの成功を防ぎます。

はい。各エンドポイント上で稼働する軽量のFalconエージェントに、エンドポイントを保護するために必要なすべての防御テクノロジーが搭載されており、これはオンラインかオフラインかを問いません。これらのテクノロジーは、既知およびゼロデイマルウェアを防御する機械学習や、エクスプロイトブロック、ハッシュブロック、および攻撃の痕跡（IOA）として知られるCrowdStrikeの振舞いに対する人工知能ヒューリスティックアルゴリズムなどです。

もちろんです。お客様はお使いのAVをFalcon Preventに置き換えることができますし、すでに置き換えが進んでいます。CrowdStrike Falconは2017年GartnerのMagic Quadrant for Endpoint Protection Platforms（エンドポイント保護プラットフォームのマジック・クワドラント）で「visionary（概念先行型）」に選出され、また、2016年Forrester Waveレポートのエンドポイントセキュリティ部門で「ストロングパフォーマー」であると評価されました。さらに、FalconプラットフォームはPCI DSS要件5（「Protect all systems against malware and regularly update antivirus software or programs（マルウェアに対してすべてのシステムを保護し、ウイルス対策ソフトウェアまたはプログラムを定期的に更新する）」）の基準に準拠しています。AV Comparativesにも、マルウェアブロック率92%、エクスプロイト検知率100%、誤検出ゼロで認証されいます。

Falcon Preventは、レガシーのアンチマルウェア製品より3つの点で優れています。まず、マルウェアに対してだけではなく、あらゆる脅威の手段に対しての保護が強化されており、これはエンドポイントがインターネットに接続されていなくても同じです。2番目に、Falcon Preventは数秒のうちに稼働でき、シグネチャや微調整の必要がなく、インフラストラクチャのコストもかかりません。Falcon Preventは導入の効果を即座に実現して、最初から比類ない防御が可能です。最後に、Falcon Preventはエンドポイントに実質的に何の影響も与えず、これは最初のインストール時から日々の運用でも同じであるため、パフォーマンスが改善します。

シグネチャ不要のマルウェア防御：Falcon Preventはシグネチャに依存しません。そのためセキュリティチームは、ウイルス定義更新ファイルを毎日のようにすべてのエンドポイントにデプロイする必要がなくなります。
機械学習：Falcon Preventでは機械学習を利用してマルウェアを識別し、ブロックします。機械学習は、新しい、多様な形式であったり難読化されたマルウェアの阻止に特に効果的です。これらは、従来のAVソリューションでは多くの場合見過ごされてしまいます。
攻撃の痕跡（IOA）：Falcon Preventは、IOAを用いて振舞いベースで脅威を識別します。悪意ある振舞いのシーケンスを理解しているため、マルウェアを超える攻撃を阻止できます。たとえば、ラテラルムーブメントやウェブシェル攻撃、ファイルレスのランサムウェア変異なども防御します。
エクスプロイト保護：Falcon Preventにはエクスプロイトへの保護が含まれ、脆弱なアプリケーション（Adobe Flash、Java、Microsoft Silverlightなど）をエクスプロイトしようとする試みに対しシステムを強化します。
脅威インテリジェンスの統合：脅威インテリジェンスの統合によってイベントを全体像の中に位置付けることができ、原因となる攻撃者や、攻撃について知られているその他のあらゆる情報の詳細を提供します。

マルウェアフリー攻撃は、ディスクへのバイナリー保存を避ける、または大幅に制限することで検知をすり抜ける攻撃です。以前は、マルウェア攻撃は一般的に、実行されることで害を及ぼす悪意あるプログラムファイルを使用しました。そのためセキュリティプログラムは、ファイルをスキャンしてそれがマルウェアかそうではないかを検知するように構築されていたのです。けれどもそのようなスキャンを避けるため、攻撃者はディスク上のファイルを使用しない攻撃技術を生み出しました。たとえば、まったく悪意のないプログラムを乗っ取ってそこからシステムのメモリーに悪意あるコマンドを直接送信させます。この技術は、マルウェアの検知のみに集中した従来のあらゆるセキュリティソリューションやセキュリティ製品をくぐり抜けます。

Falcon Preventは機械学習を利用して、既知および未知のマルウェアを即座にブロックします。さらにFalcon Preventは、攻撃の痕跡（IOA）やその他の技術を利用して、マルウェアフリー攻撃などの他の脅威や、攻撃ルートのずっと先の方で開始される悪意あるアクティビティを阻止することができます。たとえば、正規のアプリケーションを利用して悪意ある行動を起こす攻撃者を、見付けて阻止できます。そのような攻撃技術は広く拡がっています。そのようなケースでは、攻撃が開始される前に実行される、停止すべきファイルはありません。マルウェアに注目したソリューションでは、これを見過ごしてしまいます。ですから攻撃者はこの技術を使用するのです。重要なのは、データの盗難またはドライブの暗号化といった目的を達成する前に、攻撃者を止めることです。Falconは攻撃が開始される前に、その場でリアルタイムに動作します。

はい。Falcon Preventは一連の補足的防御および検知方法を使用して、ランサムウェアから保護します。以下のようなものが含まれます。

既知のランサムウェアのブロック
エクスプロイトブロックにより、パッチされていない脆弱性をついたランサムウェアの実行や拡散を阻止
機械学習による、以前は未知だったゼロデイランサムウェアの検知
攻撃の痕跡（IOA）による、新たな未知のランサムウェア、およびファイルを使用せずに狙ったデータを暗号化するランサムウェアの新たな分野の、識別とブロック

Falcon Preventには、そのようなユースケースでも優れた柔軟性があります。Falconはお客様の既存のAVと一緒に実行できます。ただし、ファイルアクセスで競合しないように、マルウェアブロックの処理には1つだけ選択しなければなりません。Falcon Preventでは、お客様はCrowdStrikeのアンチマルウェアテクノロジーである機械学習を検知モードのみに構成できるため、これが容易になります。このケースで有用なFalconの機能の1つは、それでも検知したマルウェアが表示され、他のソリューションがそれを見逃したかどうか確認できることです。他のソリューションに検知のみモードがある場合、それを検知モードにすれば、Falconで検知および防御ができます。

Falcon Preventのためにデプロイする必要のあるインフラストラクチャはありません。Falcon PreventはFalconプラットフォームを使用し、これは100%クラウドアーキテクチャです。このためお客様はより早く保護されるようになり、オンプレミスのハードウェア取得やデプロイ、メンテナンスが不要なため総所有コスト（TCO）を削減できます。クラウドベースのセキュリティでは、攻撃者がCrowdStrikeテクノロジーを改ざんしたり回避しようとする中でそれを習得することも不可能になります。攻撃者がFalconエンドポイントを破ろうとしても、その試みはCrowdStrikeに見つかります。これによりCrowdStrikeが見られるのは脅威の状況全体だけではありません。より幅広い可視化により、Falconはより多くのデータを分析し、それによってCrowdStrikeの全体的保護機能が強化されます。

Falconは、エンドポイントごとのサブスクリプションベースでライセンスされます。詳細は当社にお問い合わせいただくか、見積もりをご依頼ください。

CrowdStrike Falcon Prevent FAQ