こんにちは!情報セキュリティ部CSIRTグループプロダクトセキュリティチーム所属の北澤と廣川です。
普段は営業DXサービス「Sansan」やインボイス管理サービス「Bill One」をはじめとしたSansanが提供するプロダクト全般のセキュリティ向上を目的とした業務に取り組んでいます。
今回は2024年11月6日にマクニカ社主催のCrowdStrikeユーザーカンファレンスである、FalconTech 2024に情報セキュリティ部のメンバー4名で参加してきました。実践的な知見が得られる同イベントの魅力について、参加レポートをお届けします!
CrowdStrike Falconとは
CrowdStrike社が提供している、クラウドベースのエンドポイントセキュリティプラットフォームです。次世代型アンチウイルスや EDR、脅威ハンティング、デバイス制御、資産管理等の機能がシングルエージェントで提供される点が特徴です。
また、クラウド向けのセキュリティ機能としてCSPM(Cloud Security Posture Management)があり、AWSやAzure、Google Cloudの設定ミスの可視化を通じて、マルチクラウド環境でのコンプライアンス管理を強化します。
SansanのCSIRTでは、ビジネスの安心・安全を支えるツールとして「CrowdStrike Falcon」を2020年より導入し活用しています。
FalconTech 2024とは
CrowdStrikeを利用しているユーザー向けのカンファレンスイベントです。今回はFalcon CTFとFalcon座談会の二部構成となっています。
Falcon CTFは、現実にありそうなセキュリティインシデントをCrowdStrike Falconを用いてインシデントや設定不備に関して調査を行って回答を導き出していくCTF(Capture The Flag)イベントです。出題はJeopardy形式になっており、個人戦です。いわゆる一問一答のクイズ形式で、プールの中から自由に問題を解いていき、正答したら付与されるポイントについて最終的な合計を他参加者と競います。
イベントのテーマは「Connection」となっており、Falcon座談会では参加者同士のコミュニケーションの場が提供されました。Falcon CTFの感想、セキュリティ全般やCrowdStrike Falconの運用について悩むポイント等について語り合い、ユーザー同士でつながることができます。
https://www.macnica.co.jp/business/security/published/falcontech/
当日のスケジュール
当日のスケジュールは以下のようになっていました。
13:00〜13:30 オープニング(CTFの解説) 13:30〜15:20 Falcon CTF 15:20〜15:40 休憩 15:40〜16:10 Falcon CTF解説 16:10〜17:30 Falcon座談会
レポート
Falcon CTF
こんにちは!
Falcon CTFの部分は北澤が担当します!
実際に解く!
13:30に開始の合図がなり、問題を解き始めました。
CTFの問題はいくつかのセクションにまとめられており、以下の4セクションの問題が出ました。
- 導入と運用
- 新機能を用いるもの
- 実際に問題が起きたケースの対応(インシデントレスポンス)
- 追加モジュールに関するもの
基本的な流れとしては、
何か問題が起きる ⇒ 調査する ⇒ 原因を発見する
という、実際の体験とほぼ同じものでした。
結果
北澤は9位でした!
私は直近にCSIRTへ部署異動し、そのすぐ後の参加だったため、あまりCrowdStrike Falconに触れられていない状態での参加となりました。ですが、ほぼ知識ゼロの状態で1桁台に入れたのは、大分健闘したほうかなと思いました。
感想
問題はかなり優しく作られているように感じました。「易しい」というより、解くプロセスをある程度ガイドしつつ、機能について学べるような「優しさ」を感じる問題文でした。
例えば、
- 参考となるドキュメントへのリンクが記載されていた
- フラグを調査するために利用する機能名が文中に示されていた
- 「問題の原因A」を突き止めるために「Bという項目」を調べるという、問題対応への流れが示されていた
といった、ただ競うためではなく、解きながら学びを得られるようなガイドがされていました。
このような優しさのおかげもあり、私のような初学者でもある程度解くことができたのかなと思います。解くプロセスが分かりやすかったので、「ああ、こういう問題が社内で起きたら、まずはこの画面を確認すると良いんだな」といった実践的な知識を身に着けることができました。
CrowdStrike Falconは機能や利用方法について情報を得るのが難しい製品だと感じています。社内で運用していても、新しい学びを得られる事故が頻繁に起きることはありません(もちろん起きては困ります!!!)。そういった事情があるので、CTFはCrowdStrike Falconを実践形式で、ヒヤヒヤすることなく楽しく学べる、最高に良い学習の場だなと感じました。参加されていた方々も同じ意見の方が多く、「CTFめちゃくちゃありがたいなぁ」と皆さん話していました。
学ぶ場としてめちゃくちゃ良かったのでFalcon CTFは毎月開催してほしい!いや、常設してほしい!ぜひよろしくお願いします…!
Falcon座談会
Falcon座談会については廣川が担当します。
まず、参加者と運営を含めて約6名ずつの複数グループに分かれて、自己紹介とCTFの感想や学びについて共有をしました。その後、グループワークとしてシート上に以下トピックに関する自社の悩みをまとめ、グループ内・他グループとその内容について語らいました。
- 運用フェーズ
- 新機能
- インシデントレスポンス
- 追加モジュール
感想
インシデント対応を専門に行う担当者、顧客の導入支援担当者、そしてCrowdStrike Falconの管理をすべて一人で担っている方など、さまざまな属性の方と意見を交わしConnectしました。
Falcon CTFに関しては「教育コンテンツとして完成度が高く、CrowdStrike Falconの設定やインシデント調査への理解が深まった」とのコメントが多く、私もその点で強く共感をしました。特に問題ごとに解く人に学んでもらいたい設定/機能と、答えを見つけるまでの筋書きが明確に定まった良問・良CTFだと感じました。
グループワークでは、他社のインシデントレスポンスや運用について具体的な取り組みを聞くことができ、運用上のヒントを得られました。特にコンソール上で特定の情報を見る際に、より効率のよい確認方法(実はこの画面のリンク先から確認することができるなど)の情報は有益でした。
今後もマクニカ社のFalconユーザーのコミュニティ(Falconコミュニティ)などで、ユーザー同士でつながり情報交換することでより強固なセキュリティ体制の構築を目指していきたいと思います。
まとめ
インシデント対応においては、やはり体験型の学習が一番だなと感じました。起きた時の対応の備えとしては日頃からあらゆる機能についての知見を得ておくことが大切ですが、日常の業務ではどうしても同じようなケース、同じようなアラートの対応になりがちで、いざというときに必要な知識にタッチするのは難しいです。社内で運用しているだけでは知ることが出来なかった機能や、使い方の工夫などを実際に触りながら学べるCTFは、ベストな学習方法だと感じました。これからも定期的に開催していただけると嬉しいと思いました。
座談会で積極的に話せる場を設けていただいたことで、いざというときに相談できるコミュニティを得られました。また、普段は聞けない他社の内部運用などもお聞きすることができ、社内のCrowdStrike Falconの運用を改めて考える良いきっかけにもなりました。
次の開催時にもぜひまた参加したいと思います!