EDR（エンドポイントにおける検出・対応）のトップベンダーとしての地位を盤石にしつつあるクラウドストライク。コモディティー化したようにも見えたエンドポイントセキュリティ製品市場において、なぜ際立つ存在になれたのか。日本市場での成長をけん引してきた河合哲也ジャパン・カントリー・マネージャーに聞く。

サイバー空間における「監視カメラ」を提供

――米国本社は今年で創業10年を迎えるということですが、日本市場でクラウドストライクというブランドをよく耳にするようになったのは、まだここ数年のように感じます。なぜ急成長を実現できたとお考えですか。

　確かに、ここ数年で非常に大きい成長を遂げることができました。2017年ごろ、EDRというキーワードがセキュリティ業界で盛り上がり、お客様がEDRに関して調査・検討を始めたことで、EDRベンダーとしてクラウドストライクの認知が広がりました。日本のサイバーセキュリティは欧米に比べ遅れを取っていると感じる場面は多いのですが、ことEDRに関しては、欧米と同じかそれよりも早いスピードで浸透していると思います。

――エンドポイントセキュリティの市場には長い歴史があり、ほとんどのユーザー企業が既に何らかの製品を導入していますが、なぜクラウドストライクのような後発企業に注目が集まっているのでしょうか。

　従来型のセキュリティソフトは、ディスクをスキャンして悪いファイルを見つけ出すという手法を用いていましたが、今は「マルウェアフリー」と呼ばれるような、ディスクに書き込みをせずにメモリ上で活動し、そのまま消えてしまうタイプの攻撃が半数を超えています。つまりディスクをいくらスキャンしても見つからない。古いテクノロジーで守れる攻撃は半分以下ということになります。

　また、マルウェアだけでなく、アプリケーションの脆弱性を突いた攻撃もあり、これはゼロにはなりません。攻撃を受けて侵入されるという前提で、いかに被害を出さないか。一刻も早く検知して対処する体制を作るための、まったく新しいテクノロジーを提供しているのが我々だと考えています。

――あらためて、さまざまなセキュリティ製品がある中でEDRの役割を教えてください。

　サイバー空間における「監視カメラ」と考えていただくと分かりやすいと思います。監視カメラの映像は警備員が見ていて、怪しい人物がいると確認するために飛んでいくわけですが、EDRも、エンドポイントで発生したあらゆる出来事のログをまるでビデオのように記録しています。そして怪しい動きがあるとアラートが上がり、システム管理者や、当社のエキスパートに通知が行くので、対処のための行動をいち早く取れる。このような仕組みのセキュリティ製品です。

――その上で、クラウドストライクならではの特徴はどこになるのでしょうか。

　クラウドネイティブに作っているという部分です。これは、ログを貯めるサーバーをただクラウドに置いているということではなく、クラウド上の一つの場所に全世界のデータを集め、専用に設計されたデータベースを構築し、機械学習・AIでリアルタイムに分析を行っていくということを意味しています。

　加えて、クラウドにデータを送り込むためのセンサーのできのよし悪しが非常に重要です。サイズが大きく動作が重たいものではPCのパフォーマンスに影響を与えてしまいますが、当社の場合は軽量なエージェントで実現しています。クラウド上でデータを処理することで、いろいろなソフトウェアを入れる必要はなく、お客様のPCには一つの小さなエージェントを入れるだけで済む、非常にシンプルなアーキテクチャーになっているのが特徴です。

――ほとんどのセキュリティソフトがクラウド側でのデータ分析を取り入れていますが、最初からクラウド型のアーキテクチャーを選択したことが差別化要素になっているということですね。

　お客様ごとにサーバーを立てていく従来のアーキテクチャーとはまったく違うと考えています。当社の場合は、全てのお客様のデータを一つの大きなバケツの中に入れて、全体を分析し、その結果を全てのお客様が共有するというモデルになっています。クラウドストライクという社名の「クラウド」が、Cloud（雲）ではなくCrowd（大勢）、みんなで何かを成し遂げよう、という意味の表記になっているのはそのためです。

　ただ、アーキテクチャーが優れていることによって検知能力が高いのはその通りなのですが、私たちは決してEDR専業ベンダーではなく、EDRはセキュリティを構成する要素の一つという位置づけです。クラウドストライク＝EDRというイメージを、むしろ変えていきたいと考えています。テクノロジーだけでなくサービスも組み合わせていかないとセキュリティは守れません。

EDRが完全なものとは考えていない

――製品に加えて提供しているサービスとしてはどのようなものがありますか。

　国家が雇っているようなプロ中のプロの攻撃者を、機械だけで自動的に止められるかというと、やはり限界があります。そこで当社では、「Falcon OverWatch」という脅威ハンティングサービスを、EDRとセットで提供しています。例えば、権限を奪われてPowerShell等のツールを使って何かされているというとき、これを機械で見つけ出すのは難しいのですが、我々のセキュリティエキスパートの目で見れば、これはまずいことが起きていると分かるので、お客様にいち早く通知が可能です。

　現在は基本的にEDRを導入された全てのお客様に利用いただいています。というのは、我々もEDRが完全なものとは考えていないからです。セキュリティベンダーとして完全なソリューションを提供するには、このようなサービスの組み合わせが必須になると考えています。

――EDRというと、セキュリティの知識を持つ管理者の業務を支援する専門的なツールというイメージがあるのですが、ユーザー層はどのように広がっているのでしょうか。

　EDRの認知の高まりによって、お客様の層はかなり広がっていると感じており、実際に企業規模に関わらず引き合いをいただいています。中堅・中小企業のお客様の場合、直接クラウドストライクを導入するよりも、マネージドセキュリティサービス事業者（MSSP）のサービスとして当社のテクノロジーを利用されている形態が多いです。大企業でも、ITから遠い業種のお客様の場合はMSSP経由のケースは少なくありません。

――今後注力されていく戦略についても教えてください。

　境界内に閉鎖されたこれまでの環境から、オープンなゼロトラストの環境にどう移行していくかという中で、セキュリティの考え方がまったく新しいものになろうとしています。昨年プリエンプト・セキュリティを買収し、IDをキーとしたアクセス管理機能の強化に動いています。また、パブリッククラウドに置いたデータが、設定の不備のため第三者に見られてしまうといった事故が多発していますが、そのような設定を可視化するCSPM（クラウドセキュリティポスチャー管理）機能を発表しています。

　ただ、我々だけではゼロトラストは実現できません。いろいろなテクノロジーパートナーと連携してお客様を守っていく必要があります。例えば、我々はエンドポイントを見ていますので、各端末にどれくらいのリスクがあるかをスコア化できます。そのスコアを外部のアクセス管理製品に渡すことで、端末ごとにクラウドへのアクセス権を制御するといったことが可能になります。連携によって、ゼロトラストに必要なより広範囲なソリューションを構築していく、これが今後の大きなテーマになると考えています。

――一時期はコモディティー化が指摘されたエンドポイントセキュリティ製品の市場が、再び活況を呈してきているように感じます。

　かつては、アンチウイルスソフトを入れて、定期的にアップデートをかけることが最低限必要と言われていましたが、今はそれでは最低限のセキュリティにも届きません。古いテクノロジーでは攻撃が止められず、実際に国内でも多くの被害が出ているのがその証左です。

　我々は「1-10-60ルール」と呼んでいますが、1分で攻撃を検知し、10分でそれが何であるかを調査し、60分で対処ができれば、攻撃があってもほとんどの被害を防ぐことができると考えています。その体制をお客様と作っていくためのテクノロジーとサービスを我々は提供しています。
 

Favorite Goods

　グローバル企業の日本法人を渡り歩いてきた分、日本という市場への意識は人一倍強い。クラウドファンディングで立ち上がったメイド・イン・ジャパンのウォッチブランド「knot」の腕時計を愛用。日本企業に強くなってほしいとの思いが込められている。
   

眼光紙背 ～取材を終えて～