CrowdStrike Falcon
セキュリティ製品
クラウド型 EDR/EPP のリーダー
どんな製品か
CrowdStrike Falcon は、米 CrowdStrike が提供するクラウド型のエンドポイントセキュリティ基盤です。PC やサーバといった端末にエージェントを導入し、マルウェアの防御(EPP)から、侵入後の不審な挙動の検知・調査・対応(EDR)までを担います。検知や分析の処理をクラウド側に集約しているのが基本思想で、EDR/EPP 市場をリードする製品の一つとして広く知られています。
主な特徴
- 単一の軽量エージェントで動作し、端末側の負荷を抑えながら EPP と EDR をまかなう設計。
- 端末上の活動をクラウドへ送り、脅威インテリジェンスや分析と突き合わせて検知する。
- マルウェアだけでなく、正規ツールの悪用やファイルを使わない攻撃(ファイルレス)の挙動も対象にする。
- 攻撃された端末の隔離など、遠隔からの対応操作をコンソールから行える。
- 機能はモジュール化され、脆弱性管理や脅威ハンティングなどを必要に応じて追加できる。
位置づけ / 他との違い
オンプレミスの管理サーバを前提とした従来型の対策に対し、Falcon は「クラウドで集約・分析する」アプローチを早くから打ち出した製品です。端末に重い検知エンジンを抱えさせず、収集したデータをクラウド側で相関分析する点が特色とされます。EDR は導入だけで完結せず、上がったアラートを人が読み解く運用が前提になるため、自社での対応が難しい場合は MDR(運用代行)と組み合わせる構成も選ばれます。
クラウド前提という性質
検知・分析をクラウドに依存するため、端末からクラウドへの通信経路の確保が運用の前提になります。閉域・オフライン環境での利用可否は要件に応じて確認するとよいでしょう。
Security Vendor
CrowdStrike Falconを実務で読む
TL;DRは入口です。実際に選ぶ・使う段階では、何を解決するか、何と比較するか、導入後にどこで詰まるかまで見る必要があります。
解決すること
全社 PC のマルウェア対策
比較で見る軸
対応カテゴリ: 2領域 / 主な領域: エンドポイント保護 / エンドポイント検知・対応
導入後に効く点
侵入後の検知・対応
先に潰すリスク
ベンダー名だけで選ばず、守る対象、運用体制、既存環境との連携、検知後の対応手順まで確認する。
数字・仕様の読み方
- 対応カテゴリ
- 2領域
- 主な領域
- エンドポイント保護 / エンドポイント検知・対応
判断チェックリスト
- 自社の用途が「全社 PC のマルウェア対策 / サーバの保護」に近いか確認する。
- 強みである「端末をマルウェアから保護」が本当に評価軸になるか確認する。
- 注意点の「ベンダー名だけで選ばず、守る対象、運用体制、既存環境との連携、検知後の対応手順まで確認する。」を運用で吸収できるか確認する。
- 公開値や仕様値は、対象プラン・対象機種・対象リージョンまで確認する。
- 既存システム、ID、ネットワーク、監視、バックアップとの接続方法を先に洗い出す。
- 小さく試してから、本番移行、権限設計、障害時手順、コスト監視を決める。
次に確認する観点
全社 PC のマルウェア対策サーバの保護ランサム・ゼロデイ対策の基礎標的型・ランサム対策インシデント調査・対応エンドポイント保護(EPP)EDR / XDR