マクニカネットワークスが忘れない CrowdStrike 三つのエピソード

　国内 EDR 市場で多くのシェアを占める CrowdStrike Japan株式会社。同社のサービスに早くから着目し、日本における総代理店として国内向けビジネスの立ち上げから関わるマクニカネットワークス株式会社だ。同社の技術統括部セキュリティサービス室室長代理の柳下元氏に、CrowdStrike のサービスの特徴やその独自の価値について聞いた。

インテリジェンスの翻訳やインシデント対応支援まで

　マクニカネットワークスは、セキュリティを中心に、クラウド・仮想化関連製品などを取り扱う技術商社として、独自のポジションを確立している。

　「私が所属するセキュリティサービス室では、侵害調査サービスやインシデントレスポンスサービスなどを提供しています。取扱商材とお客様の間に立って、お客様の“ニッチ”なニーズに答えていくのがミッションです（柳下氏）」

　たとえば、侵害調査では、セキュリティベンダーによる詳細なマルウェア解析レポートよりも迅速に、簡易的に判定を行い、マルウェアの目的や挙動を報告する。その分「価格を抑え、問い合わせ回数を数多くできるようサービスを設計している」のだという。

　そのほかにも、簡易的なペンテストの実施や、社内ハッキングコンテストを開いてほしいといった要望が寄せられることもある。

　「ハッキングコンテストについては、実務で使う検体解析やネットワーク解析のニーズに応える内容を心がけている」と柳下氏。たとえば、マルウェアの中には、暗号化されたマルウェアファイルをダウンロードして感染させる攻撃手口があるが、同社がコンテストで使うのは、実際のマルウェアと同じ暗号方法を用い、中身だけ差し替えた「実際に近い検体」だ。これにより「お客様自身が実務の中でマルウェア分析を行う力がついてきているかどうか確認できる効果が期待できる」と柳下氏は説明する。

　柳下氏は、プログラマーからキャリアをスタートし、現在は侵害調査からマルウェア解析、CrowdStrike の脅威インテリジェンスからリリースされる英語のレポートやニュースを日本語に翻訳し、顧客に提供するサービスを担当している。

　「CrowdStrikeには『OverWatch』（オーバーウォッチ）というプロアクティブな脅威ハンティングサービスがあります。エンドポイントのイベントを24時間、365日体制で監視し、深刻な脅威についてアラートを通知するサービスですが、アラートは英語ですので、お客様によっては説明が必要な場合があります。このような、製品の技術サポートを超えたインシデント対応支援を行うこともあります（柳下氏）」

　顧客企業に導入した EDR（Endpoint Detection and Response）のログを調査したり、場合によってイベントログやネットワークログまで調べることもある。そして、侵入原因や経路まで徹底的に突き詰める必要がある場合は、CrowdStrike などのインシデントレスポンスサービスにエスカレーションすることも。

　こうした活動を通じて柳下氏が得た脅威に関する知見は、ブログや外部のセミナー、カンファレンスなどに登壇し、共有する。マクニカネットワークス株式会社主催のプライベートセミナーや、台湾の名門セキュリティカンファレンス HITCON 登壇歴も持つ。

　また、柳下氏は、CrowdStrike の脅威インテリジェンスの特長として、「世界中の脅威動向について、攻撃の背景などについても詳しく解説されている点」を挙げる。これは、技術者と同数程度の IT 以外（国際政治や弁護士、言語スペシャリスト等）の専門家がレポート作成に携わっているからこそ可能なことだ。

　たとえば、ユニークな事例として、最近の中東情勢に絡んだサイバーリスクの解説がある。これによると、イタリアの石油会社がイランのサイバー攻撃グループから攻撃を受けているのだという。

　この背景にあるのが、米国のトランプ政権が 2018 年 5 月、イランの核開発に関する「共同包括行動計画（JCPOA）」から離脱し、イランに対する経済制裁の再開を指示したことが挙げられる。イタリアも米国の経済制裁再開に関してイランとの関係を見直そうとしている動きがあることから、イランのサイバー攻撃の標的になったのではないかとの考察だ。

　「日本企業も各国に拠点を展開し、ビジネスがグローバル化していく中で、地政学的リスクが自社のサイバーセキュリティにどのような影響を及ぼすか、日本のお客様に伝えていくことは重要だと考えている」と柳下氏は述べる。

CrowdStrike の本質を：3 つのエピソード

　柳下氏は、「CrowdStrike Falcon Insight」についてこう語っている。CrowdStrikeのEDR製品である。

　「初めてCrowdStrike Falcon Insightを知った時、エンドポイントに侵入した検体の振る舞いや通信などの挙動を見て、検知を行うというコンセプトに共感しました（柳下氏）」

　サイバーセキュリティは多層防御の考え方が提唱されていたものの、実際にすり抜けるマルウェアの検体があるのは、ある意味「当たり前」のことだ。

　しかし、柳下氏は、CrowdStrike のエンドポイント製品を最初に見たとき、その検知率の高さに驚いたという。「これは、製品をスクラッチから作っていることが要因として挙げられる」と柳下氏。そして、早くからクラウドコンピューティングを前提にプラットフォーム設計され、カーネルモードで動作するモジュールである事にも言及する。

　「カーネルモードで動作させると、Windows が止まったり、ブルースクリーンになったりする影響が考えられますが、私が使った限りでは、CrowdStrike を動作させてブルースクリーンになったことは 1 度もありません（柳下氏）」

　マクニカネットワークスが、CrowdStrike の日本における総代理店となったのが2013年。柳下氏はエンジニアとして、CrowdStrike ビジネスの立ち上げから関わり、当時、主力サービスの脅威インテリジェンスの重要性を日本に広めることに取り組んだ。

　その後は、まだ β 版だったEDR 製品をラボで検証。実証用のマルウェア検体を作成し、性能を検証する取り組みを行った。柳下氏は、日本での CrowdStrike のビジネスを振り返ったときに、印象的な 3 つのエピソードがあると語る。