はじめに
こんにちは、 ネクストモード株式会社 の sobar です。
昨今ランサムウェアが猛威を振るうなか、安全に業務を継続・遂行し、機密情報の漏洩を防ぎ業務を停止しないため、社内で利用しているEDR製品は問題が無いかをあらためて見直し、セキュリティ対策の再検討を実施する企業は増えています。
今回はランサムウェアへの対策としても検討の第一候補に挙げられるCrowdStrikeの基本機能であるNGAV(Prevent)ついてご紹介します。
CrowdStrike NGAV(次世代アンチウイルス Prevent)の定義と仕組みとは?
CrowdStrike NGAV(次世代アンチウイルス Prevent)は悪性実行ファイルのブロック/隔離のみならず、豊富な検知ロジックによる振る舞いベースでの防御機能が提供されるエンドポイントセキュリティ製品です。NGAV(Prevent)を利用することで、既知/未知およびマルウェアの有無に関わらず、悪意のある攻撃を防ぐことが可能となります。
豊富な検知ロジックを有しているため、本機能をご利用いただくだけでも、端末上にて多層的な防御を行うことが可能であり、最新の攻撃に対しても素早い検知・ブロックを行うことができます。
侵入経路やコマンドライン詳細などの情報を保持しているため、インシデント後の迅速な調査が可能です。
NGAV(Prevent)は何がすごいのか?
昨今の攻撃の7割以上(※2026年2月時点。すぐに8割となりそう..)がファイルを⽤いないファイルレス攻撃(マルウェアフリー攻撃)と言われています。従来型AV(Legacy)はシグネチャ(且つ既知のもの)ベースで攻撃をブロックするため、こういったファイルレス攻撃には対応できません。
(クラウドストライク2025年版グローバル脅威レポートエグゼクティブサマリーより)
NGAV(Prevent)は、従来のシグネチャベースでは検知できない、実行ファイルを持たないファイルレス攻撃に対しても、IOA(攻撃の痕跡)を用いることで実行前にブロックできるのが最大の強みです。それぞれIOCとIOAとしてそれぞれ、侵害、攻撃の痕跡を元に対応機能があり、それぞれ実行前にブロックが行われます。
IOC(INDICATOR OF COMPROMISE: 侵害の痕跡)
IOC(侵害の痕跡)は機械学習を利用してファイルベース(シグネチャベース)のマルウェアを検知します。数兆個のデータから学習したモデルで未知のマルウェアも実行前にブロックすること可能です。
IOA(INDICATOR OF ATTACK: 攻撃の痕跡)
IOA(攻撃の痕跡)を利用して不審な振る舞い(ファイルレス攻撃)を検知してブロックします。ここは CrowdStrike NGAV(Prevent)の最大の強みとなります。正常なツール(PowerShellやWMIやrundll32.exe等)が悪用される「振る舞い」をリアルタイムで監視、MITRE ATT&CKに基づいて不審なプロセス実行は実行前にブロックされます。
なぜIOC・IOA検知が優れているか? ⇒ CrowdStrikeのエンドポイント検知にはThreat Graphと呼ばれる膨大な攻撃データ分析基盤が利用されているため
CrowdStrikeはThreat Graph という膨大な攻撃データを分析する基盤を保持しています。1週間で7兆イベントと言われる膨大なデータが全世界から収集されています。ユーザー端末にインストールされたセンサーでは、収集された最新の脅威情報が学習されたモデルがリアルタイムに利用されています。
Threat Graph の脅威情報モデルはエンドポイント検知の内容が悪性の検知か、そうでないかの判定・分析に活用されます。例えば、ある環境で検知された未知の攻撃手法が、Threat Graphを通じて即座に世界中の全ユーザーの防御モデルへと反映されます悪性の攻撃として検知・ブロックを行う対象となります。Threat Graph のアーキテクチャは特許技術となります。
端末にインストールしたセンサーは、「ファイルが作成された」「rundll32が実行された」「外部通信が発生した」といったイベント(挙動)をリアルタイムでキャプチャし、クラウドへ送ります。Threat Graph は送られてきた断片的なイベントをクラウド上で繋ぎ合わせ、「これは攻撃のストーリー(IOA)だ」と判断します。Falconセンサーはパターンファイルの更新不要となります。こういった点も端末の負荷を無くし運用時における作業工数の軽減につながります。
※Threat Graph については以下のブログも必要に応じてご参照ください。
優れた機能が軽量なセンサーを1つインストールするだけで利用可能
上記のような優れた機能を利用するために必要なことはFalconセンサーを1つエンドポイント端末にインストールすることのみとなります。加えて、Falconセンサーが動作する端末の負荷は極めて軽量であるといったこともとても優れている点として挙げられます。
また、Falconセンサーはスキャンの定期実行の概念がなく(※オンデマンドスキャンは実行可能)、FalconセンサーとCrowdStrikeクラウド間の通信も日に数十MB程度と端末負荷は極めて軽量である点も優れています。
オフライン時の防御
オフライン時でもFalconセンサー内には軽量な学習済みAIモデルが内蔵されていて、ネット接続がない状態でもファイルの不審な特徴を検知してブロックする能力を持っています。オンラインかオフラインかを問わずあらゆる条件下でエンドポイントを保護します。
比較
| 特徴 | CrowdStrike Prevent | 従来型AV (Legacy) |
一般的な次世代AV
|
| 主な検知手法 | IOC(ML使用) + IOA (振る舞い) | シグネチャ (既知) |
機械学習 (静的解析)
|
| ファイルレス攻撃 | 得意 (IOAで阻止) | 防げない | 苦手 |
| 端末負荷 | 極めて軽量 | スキャン時に高負荷 | 比較的重い |
| オフライン防御 | 端末上の機械学習モデルにより対応 | 限定的 | 製品による |
さいごに
今回はCrowdStrikeの基本機能であるNGAV(Prevent)の優位点についてご紹介しました。CrowdStrikeをご利用になられていない方は、ランサムウェアへの対策としても一度ご導入をご検討いただくのもよろしいかと思います。
この記事によってなにか新たな気づきがあり、皆さまの CrowdStrike運用の一助となれば幸いです。
CrowdStrike についてのお問い合わせ
ランサムウェアへの対策・検討として、一度フリートライアルにて動作を確認してみませんか?フリートライアルやPOV(POC)、その他CrowdStrikeにご興味のある方はお気軽に弊社までお問い合わせください。
ネクストモードでは、CrowdStrikeをはじめ、OktaやNetskopeを活用したSaaS・生成AIの包括的なセキュリティ対策をご支援しています。ぜひお気軽にご相談ください!
