たまに学ぶ

CrowdStrikeの「1-10-60ルール」?

2025年3月2日 投稿者: tamani-manabu オフ

CrowdStrikeの「1-10-60ルール」?

CMも素敵ですね。

CrowdStrikeの「1-10-60ルール」とは、サイバー攻撃が発生した際の対応時間目標を示す指標です。

このルールは、攻撃による被害を最小限に抑えるために、以下の時間内での対応を推奨しています。

  • 1分以内での検知:
    • 攻撃を迅速に検出し、早期対応を可能にするための目標です。
  • 10分以内での調査:
    • 検出された攻撃の詳細を調査し、攻撃の範囲や影響を把握するための目標です。
  • 60分以内での修復:
    • 攻撃による被害を修復し、システムの正常な状態を回復するための目標です。

このルールは、攻撃者が組織内に侵入してから、重要な情報を搾取したり、システムを破壊したりするまでの時間が短縮化している現状に対応するために提唱されました。近年、攻撃者は侵入後、数時間以内に組織内を横方向に移動し、目的を達成するケースが増えています。そのため、迅速な対応が不可欠となります。

「1-10-60ルール」を達成するためには、以下の要素が重要となります。

  • 高度な検知能力:
    • リアルタイムで脅威を検知できるセキュリティシステムの導入。
  • 迅速な調査能力:
    • 攻撃の兆候を迅速に特定し、詳細な情報を収集できる体制の構築。
  • 効率的な修復能力:
    • 迅速にシステムの復旧や隔離などの対応を実行できる体制の整備。
  • 人材の育成:
    • セキュリティに関する高度な知識、経験を持った人材の確保と育成

CrowdStrikeは、Falconプラットフォームを通じて、この「1-10-60ルール」の達成を支援するソリューションを提供しています。

クラウドストライク(CrowdStrike)が選ばれる理由は、主に以下の点が挙げられます。

1. 次世代エンドポイントセキュリティのリーダーであること:

  • クラウドネイティブなプラットフォーム: CrowdStrike Falconプラットフォームは、クラウド上で構築・運用されており、迅速な導入、容易な拡張性、常に最新の状態を維持できるというメリットがあります。
  • 単一のエージェントアーキテクチャ: 軽量な単一エージェントで、エンドポイントへの負荷を最小限に抑えつつ、複数のセキュリティ機能(NGAV、EDR、脅威インテリジェンスなど)を提供します。
  • 機械学習とAIによる高度な脅威検知: 既知のマルウェアだけでなく、未知の脅威や高度な攻撃も、機械学習とAIを活用してリアルタイムに検知・ブロックします。
  • 脅威インテリジェンスの活用: CrowdStrikeの脅威インテリジェンスチーム「OverWatch」が収集・分析した最新の脅威情報を活用し、プロアクティブなセキュリティ対策を支援します。

2. EDR(Endpoint Detection and Response)機能の強み:

  • リアルタイムな可視性: エンドポイントの活動をリアルタイムに監視し、不審な挙動や攻撃の兆候を即座に把握できます。
  • 迅速なインシデント対応: 脅威を検知した場合、自動的に隔離や修復などの対応を行い、被害の拡大を防ぎます。
  • 詳細な調査と分析: インシデントの原因や影響範囲を詳細に調査・分析し、再発防止策を講じることができます。

3. マネージドセキュリティサービスの提供:

  • CrowdStrike Falcon Complete: 24時間365日体制で、CrowdStrikeの専門家チームがセキュリティ運用を代行するサービスです。高度なセキュリティ人材が不足している企業でも、最高レベルのセキュリティ対策を実現できます。

4. 幅広いセキュリティニーズに対応:

  • エンドポイントセキュリティ以外にも、クラウドワークロード保護、脆弱性管理、ID保護など、さまざまなセキュリティソリューションを提供しています。 企業のセキュリティニーズに合わせて、必要な機能を柔軟に選択できます。
  • 様々なOSやデバイスに対応: Windows、macOS、Linux、モバイルデバイス(iOS、Android)など、幅広いプラットフォームに対応しています。

5. 実績と信頼性:

  • 多くの企業や政府機関で導入されており、その実績と信頼性は高く評価されています。 GartnerやForresterなどの主要な調査会社からも、リーダーとして認められています。

これらの理由から、クラウドストライクは、高度なセキュリティ対策を必要とする企業や組織にとって、非常に有力な選択肢となっています。特に、以下の様な企業におすすめです。

  • 高度なサイバー攻撃の標的になりやすい企業(金融機関、政府機関、重要インフラなど)
  • セキュリティ人材が不足している企業
  • クラウド環境への移行を進めている企業
  • テレワークを推進している企業

ただし、導入コストや運用負荷については、他のセキュリティソリューションと比較検討する必要があります。自社の環境やニーズに合わせて、最適なソリューションを選択することが重要です。

カテゴリーIT セキュリティ