はじめに こんにちは、 ネクストモード株式会社 の sobar です。
はじめに
こんにちは、 ネクストモード株式会社 の sobar です。
企業が生成AIを安全に活用するためのセキュリティ対策を解説するシリーズです。生成AIの利用を推進する上で、安全な利用の実現と、その安全性が可視化されている状況は、昨今たいへん重要となっています。
業務用PCで利用されている生成AIアプリの可視化の必要性について
生成AIアプリケーション(ChatGPT、GitHub Copilot、Claudeなど)は、業務効率を劇的に向上させる強力なツールですが、従業員の業務用PCでの利用は、データ漏洩、シャドーAI、コンプライアンス違反といった新たなセキュリティリスクとコンプライアンス課題を企業にもたらします。これらのリスクを適切に管理するため、利用状況の可視化が不可欠です。
PC内のデスクトップアプリ利用を可視化するためには、CrowdStrike Falcon Discoverのライセンスが必要です。※ライセンスの詳細につきましては弊社までお問い合わせください。
CrowdStrikeによってカテゴリが「GenAI」のアプリケーションが検出されたときにSlackに通知する
今回は、CrowdStrikeのFalcon Discoverでカテゴリが「GenAI」のアプリケーションが検出された際、Slackに通知する仕組みを構築します。Charlotte AIを使用してFusion SOARのワークフローの雛形を作成し、設定を進めます。
※事前に、CrowdStrike (Falcon Discover) からのアプリ追加通知を投稿するためのSlackチャネルと、そのIncoming webhook URLをご用意ください。
Charlotte AI とは?
CrowdStrikeの Charlotte AI(シャーロットAI)は、Falconのテナントで利用可能な 生成AI を活用した サイバーセキュリティアシスタント です。日常言語(自然言語)での質問や指示を通じて、セキュリティ業務の効率化と迅速な対応を支援します。
Charlotte AI の利用は追加ライセンスが必要となります。※ライセンスの詳細につきましては弊社までお問い合わせください。
Charlotte AI で無邪気に聞いてみる
それではCharlotte AI を利用してみます。Charlotte AI > 対話を選択
以下のように無邪気に聞いてみます。
※入力プロンプト例:Can you please provide some sample Soar code that will notify Slack when Falkorn Discover detects new app usage in categories starting with "GenAI"?(「GenAI」から始まるカテゴリの新しいアプリの利用がfalcon discoverによって検出されたときにSlackに通知するサンプルSOARコードを教えてください。)
Fusion SOARのワークフロー(雛形)が生成されました!(おぉ..!)
作成されたワークフロー概要
- Asset management > Application usage で新しいアプリケーションの使用を検出したときにトリガーされる
- 「GenAI」で始まるカテゴリの新しいアプリケーションが検出されると、指定されたSlack チャネルに通知する。
- ユーザーは通知用のSlackチャンネル(config_id)を指定する必要がある
- メッセージには、関連するアプリケーション使用状況の詳細が含まれる。すべての必須フィールドに値が入力され、指定されていない場合はSlackチャンネルのプレースホルダーが表示されます。
『Fusionで編集』をクリックするとワークフローにインポートされました!(なんとっ!)
次項で設定を確認&編集していきたいと思います。
インポートされたFusionワークフローを見てみる&設定する
まずはトリガーを見てみます。
以下のように『Asset management > Application usage』、その概要としてアプリケーションの使用状況を通知するイベントであることが確認できます。こちらでいけそうです。画面はキャンセルで閉じます。
カーソルを近づけると以下のような条件式となっていることを確認しました。
条件アイコンをクリックすると設定が修正できそうです。今回は特に何も設定変更は行わず画面を閉じます。
最後にTRUE判定のときに実施されるSlack通知のところですが、アクションをクリックします。
アクションでSlackにメッセージを送信するためには、CrowdStrike ストア経由でプラグインを追加する必要がありそうです。「ストアに移動」をクリックします。
設定ボタンをクリック。
内容を確認のうえ『設定の追加』をクリック
設定の名前(Name)と、SlackのIncoming webhook URLを入力し、「設定を保存」をクリックします。
作成したConfigurations がOKとして追加されていることを確認し、「閉じる」ボタンをクリックします。
もう一度アクション画面を開きなおすと、Channel より設定したConfig が選択可能となるため、選択し次をクリックします。
エラーが無くなったため『公開ボタン』を押し公開します。
ステータスをオンにし、『ワークフローの公開』を実施します。
Fusion > SOAR メニューにCharlotte AI により追加後、設定を行ったステータスオンのワークフローが追加されました!(簡単!)※前の手順で「公開」を実行するまではこちらにドラフトとして設定が追加されるようです。
動作確認
Perplexity を端末にインストールし使用してみます。
すると該当Slack チャネルに以下のような通知を確認しました!
CrowdStrikeテナントで業務用PCでPerplexity AI Desktop アプリの利用を確認する(Falcon Discover)
エクスポージャー管理 > アプリケーション > アプリケーション を選択します。
一覧より、1件のアセット(1台のPC)、ユーザーで利用されていることが確認できました。
※一覧表示はアプリケーショングループを作成し、フィルタして表示していますが、「アプリケーショングループの作成」につきましては必要に応じて以下のブログもご参照kださい。
また、Fusion SOAR > ワークフロー より 実行ログ より実行ログ、実行の詳細が確認できます。
その他
- Application のカテゴリに関して、一部のアプリ(Claude、Cursor等)はカテゴリ表示がブランクとなるものもございますので、「定期的にアプリケーションの一覧の確認」や「トリガーをすべてのアプリ検知とするか?」といったことも必要に応じてご検討いただくのが良いかもしれません。
- 上記ワークフローは生成AIカテゴリのデスクトップアプリが利用(今回はPerplexity で確認)され通信が行われるたびに通知が発生し、通知量が増えてしまうため、必要に応じてワークフローに条件をつけることもご検討いただくのがよろしいかもしれません。
さいごに
Charlotte AIを活用することで、Falcon DiscoverとFusion SOARを連携させたワークフローを簡単に作成でき、業務用端末でのデスクトップ型生成AIアプリの利用検知とSlack通知を実現できました。
業務用PC内で利用されるデスクトップアプリの検知は、Webアクセスを対象とするSSE/CASB製品(Netskopeなど)では難しい領域です。用途に応じてCrowdStrikeとSSE/CASB製品を使い分ける(または連携させる)ことが、包括的なセキュリティ対策において重要となります。
この記事が、皆様の生成AIセキュリティ対策や、CrowdStrike Falcon Discoverの運用の一助となれば幸いです。
CrowdStrike についてのお問い合わせ
ネクストモードでは、Netskopeをはじめ、OktaやNetskopeを活用したSaaS・生成AIの包括的なセキュリティ対策をご支援しています 。ご興味のある方は、ぜひお気軽にご相談ください!
