【CrowdStrike】AWS ECRイメージ評価と脆弱性確認とExPRT.AI（Cloud Security）

はじめに

こんにちは、 ネクストモード株式会社 の sobar です。

今回は AWS ECRに対して、 CrowdStrike Cloud Security を利用したイメージ評価と脆弱性確認、加えてCrowdStrike独自の生成AIモデル ExPRT.AI についてご紹介いたします。

CrowdStrike Cloud Security について

CrowdStrike Cloud Security はクラウド上での設定ミスの自動検知やワークロードのリアルタイム保護、アイデンティティ（権限）、脆弱性の管理を一元化することができます。マルチリージョン・マルチクラウド対応可能なサービスです。以下のブログも必要に応じてご確認ください。

• 【CrowdStrike】CNAPPとCrowdStrike Cloud SecurityとAWS
• 【CrowdStrike】センサーのインストールについて_Linux編
• 【CrowdStrike】Falcon Container センサーのインストールについて

その他のCloud Securityの特徴やライセンスの詳細につきましては弊社までお問い合わせください。

ECRイメージ評価で確認可能なこと

イメージスキャンを実施により利用レジストリー内のイメージ解析を実施し、脆弱性やマルウェアの状況や利用中のイメージの評価状況などが確認できます。イメージ解析ポリシーを活用することで、指定条件に基づくアラート通知や、デプロイの未然防止（ブロック）が可能です。

前提としてCloud Security で対象AWSと連携、その後AWS ECRのイメージスキャン設定行う必要があります。連携・設定についてはそれぞれ以下のブログをご参照ください。

• 【CrowdStrike】Cloud SecurityでAWSとの連携設定方法について
• 【CrowdStrike】AWS ECRのイメージスキャン設定について（Cloud Security）

それでは以下よりイメージ評価と脆弱性確認を行っていきます。

ECRイメージ評価と脆弱性確認

クラウドセキュリティ > イメージ評価 をまずは確認します。こちらのダッシュボードで脆弱性の合計、その中で重大な脆弱性の数、ExPRT評価が重大の脆弱性の数、マルウェア検知有無等、統計にて状況を把握することができます。

ExPRT.AI（Exploit Prediction Rating Technology <読み：エキスパート エーアイ>）はCrowdStrike独自のAIモデルで、世界中の脅威インテリジェンスと脆弱性データをリアルタイムで分析し、その脆弱性が実際に悪用される確率（危険度）をAIで予測したスコアとなります。その脆弱性が「今後攻撃に使われる可能性がどれくらいあるか」を評価しています。

一般的に脆弱性評価に使われる「CVSSスコア」は、脆弱性の「深刻度（被害の大きさ）」を示すものですが、CVSSスコアが高くても実際に攻撃コード（Exploit）が存在しなかったり、攻撃者がその脆弱性に関心を持っていなかったりするケースが多々あります。結果として重要（Critical）な脆弱性が大量に検知され、現場は対応しきれないアラート疲れの問題が起きます。

ExPRTは「悪用される可能性」にフォーカスします。「現在、攻撃コードが出回っているか」「実際に攻撃キャンペーンで使われているか」などのリアルタイムな脅威情報を加味してスコアリングします。これにより優先順位付けが再構成され、今すぐ直すべき脆弱性だけを確認することができます。

AWS ECRをスキャンした結果、単なる脆弱性スキャン（CVSSベース）では『重大』なものが80件も見つかりました。運用時など少ないリソースで稼働を気にする状況においては他の業務と並行しての対応は、途方に暮れてしまうほどの負荷になります。 しかし、CrowdStrikeのExPRT評価（AIによる悪用予測）を通すことで、本当に対処すべき『生きた脅威』は22件に絞り込まれました。これにより、限られたリソースで効率的にセキュリティ対策を行うことができます。これはとても素晴らしいと感じます。

ExPRT評価が重大の脆弱性を確認

ExPRT評価が重大（Critical）のものが22件表示されてきました。右端のメニューより詳細を表示をクリックし詳細内容が確認できます。

右側に脆弱性の詳細が表示され、対象パッケージや対応（修復）方法、脆弱性の内容に加え、悪用がみつかっていることや悪用されたステータス = 積極的に活用されている（Actively used） が確認できる。

（※CVE-2023-4863：WebP画像の処理に関するlibwebpの脆弱性）

影響を受けたイメージの値（ここでは4）をクリックすることで対象リポジトリの情報が確認できます。

参考

• Changing the Game with ExPRT AI: Exploit Prediction AI and Rating for Falcon Spotlight
• ML and Rating infographic v2

さいごに

今回はCrowdStrike Cloud Security を利用したイメージ評価と脆弱性確認、加えてCrowdStrike独自の生成AIモデル ExPRT.AI についてご紹介いたしました。脆弱性管理にCrowdStrike のExPRT.AI が使われることでEDR、脆弱性管理、脅威インテリジェンス情報を含む膨大なCrowdStrikeのデータが活用され、対応が必要なもののみにトリアージされるため、限られたリソースでも優先順位に基づいた効率的な脆弱性対応が可能になります。改めてCrowdStrikeの情報量とその活用方法に驚かされました。

この記事が、皆様のセキュリティ対策や、CrowdStrike Cloud Securityの運用の一助となれば幸いです。

CrowdStrike についてのお問い合わせ

ネクストモードでは、CrowdStrikeをはじめ、OktaやNetskopeを活用したSaaS・生成AIの包括的なセキュリティ対策をご支援しています。ご興味のある方は、ぜひお気軽にご相談ください！