クラウドストライクは2011年設立の米・カリフォルニア州に拠点をおくエンドポイントセキュリティ、脅威インテリジェンスなどを手がける企業です。センチネルワンは2013年に設立されたのでほぼ同時期の企業となり、EDRをめぐりライバル関係にあると言えるかもしれません。クラウドストライクとセンチネルワンのセキュリティを比較してみましょう。
軽量のソフトウェアをエンドポイントに設置
クラウドストライクのエンドポイントセキュリティ製品であるFalcon Endpoint Protectionについて同社は「次世代アンチウィルス(NGAV)とエンドポイントでの検知と対応(EDR)、デバイス制御、脆弱性評価、IT衛生管理を一体化し、クラウドで提供されるソリューションです」と説明しています。
クラウドストライクとセンチネルワンは、ともにエンドポイントに軽量のソフトウェアであるエージェントを設置してエンドポイントを監視・保護するという点では似ていますが、クラウドストライクの場合はエージェントのセンサーがクラウドと通信をするクラウドベースのセキュリティです。専用に設計されたクラウドネイティブのアーキテクチャ―により、176カ国に配備された数百万のセンサーから1週間あたり1兆以上のエンドポイントイベントを収集し分析、マルウェアを検知してセキュリティ侵害を未然に防ぐということです。
一方、センチネルワンの場合は、エージェントが自ら静的なAIエンジンを備えて実行し分析、さらに動的なAIエンジンによってエクスプロイトやマクロウィルス、ファイルレス攻撃を検出して防御をするということで、エージェントが自律的な機能を備えている点で大きく違います。センチネルワンのセキュリティは、さらにエンドポイント上のすべての振る舞いをマッピング、監視、リンクしてストーリーラインと呼ばれるストーリーを作成し、これを行動AIモデルにより継続的に評価し、行動が脅威と判断されると自律的に攻撃を阻止するということです。
センチネルワンのエージェントは自律的に機能しているためオフラインでも動作するということです。一方、クラウドストライクのエージェントでは、オフライン時には侵害防止技術が機能するということです。この侵害防止技術には人工知能が使われており、既知およびゼロデイのマルウェアに対する防御、エクスプロイトのブロック、ハッシュのブロックなどの機能を有しているということです。
WindowsOS以外の端末への導入に差も
クラウドストライクは、WindowsOSの端末にデフォルト設定で導入する場合は、容易に導入することが可能なようですが、Windows以外のLinuxやMacなどのOSを使っている場合は導入に専門知識が必要となり、また、クラウドストライクを最大限活用し、高度な攻撃から防御をするためには相応の設定が必要になるようです。また、大量のアラートを迅速に処理するために高度な専門知識が必要になるという指摘もあります。クラウドストライクのセキュリティを高度に使いこなすためにはそれなりのサポートが必要だと言えるのかもしれません。
センチネルワンの場合は、Windows、macOS、Linuxに対応しており、いずれも同等の機能が提供されるということです。完全に自動化された検知、対応、システムリカバリーを実現しており、1台の端末からでも導入が可能ということですから導入の敷居は低そうです。センチネルワンのブラットフォームは自動的に攻撃のストーリーラインが生成され、ワンクリックで修復、ロールバックが可能で、オプションですがセンチネル製品が顧客に確実に導入され、適切に脅威検知とインシデント対応が実行されるように支援をするサポートもあるのでサイバーセキュリティの専門性が高くない企業にとっても比較的安心して導入することができるセキュリティだと言えそうです。
一方、クラウドベースのクラウドストライクは、クラウドデータに加えて、脅威インテリジェンスからの情報により攻撃の全容とコンテキスト情報を提供し、セキュリティに対するプロアクティブなアプローチの実現をサポートしています。また、脅威ハンティングのためのマネージドハンティングサービスがあり、顧客のセキュリティチームにマルウェアを先見的にハンティングして通知をするサービスも提供しているということです。
■出典
https://www.crowdstrike.jp/endpoint-security-products/crowdstrike-falcon-faq/
https://jp.sentinelone.com/vs-page/crowdstrike/
https://jp.sentinelone.com/faq/
SentinelOneとCrowdStrikeの比較
| SentinelOne | CrowdStrike | |
| 柔軟なアーキテクチャ | 単一の管理コンソールによる構成 | CrowdStrikeネイティブとSplunkの2つの技術で構成されているが、やり取りにはナビゲーションが必要 |
| SaaS、ハイブリッド、オンプレミスに対応 | クラウドのみ | |
| 自動化&リカバリ | 悪意の有無に関わらずテレメトリを自動的に相関分析してMITREにマッピング、調査とインシデント対応を迅速にしている | 継続的かつ包括的なデータ記録が可能な反面、優先順位付け、テレメトリのRAWデータ接続、リブートが困難な場合がある |
| アナリスト向けに焦点を絞りコンテキストかされたアラートで平均修復時間を高速化 | 攻撃経路の再構成に手作業が必要 | |
| 自動的にトリガーまたはワンクリックでの修復とロールバック(特許取得済)が可能 | 修復にはスクリプトによるマニュアル作業が必要、自動ロールバックなし | |
| クラウドワークロード保護 | 10種類のLinuxディストリビューションとコンテナに対応 | 7種類のLinuxディストリビューションとコンテナに対応 |
| DevOps/パフォーマンスに影響を与えずに、スケジューリングとメンテンナンスウインドウのサポートが利用可能 | OSカーネルモジュールの依存関係により強制的な更新となり、メンテナンス時間帯の制御なし | |
| データ保持とストリーミング | 最長365日間 | 最長180日間 |
| EDRデータでSUNBURSTのような攻撃に対応、デフォルト14日、最長365日間までアップグレード可能 | デフォルト7日間、最長90日間のアップグレードが可能、ただしSUNBURSTのような攻撃は検知不可能 | |
| データのミラーリングが数分で可能 | データのミラーリングに数日必要 | |
| 付加価値のあるサービス | Vigilanceで、WatchTowerサービスを標準提供 | Falcon Overwatchで相関分析サービスが可能だが追加費用が必要 |
| Vigilance RespondとRespond Proにより、お客様のニーズに応じてインシデント手動のトリアージ、デジタルフォレンジック、インシデント対応、脅威の解決を提供 | overWatch EliteまたはFalcon Complete(最高ランクのサービスメニュー)が必要 | |
| 自律型プラットフォームを活用したSOC | Falcon Completeでもアナリストが対応できる速度でしかインシデント対応できない | |
| 攻撃対象領域の制御 | ライセンス追加で全機能を利用可能 | 初歩的な機能にも複数のモジュールが必要 |
| ファイアウォール制御、USBおよびBluetoothのデバイス制御に対応したサポート | デバイスとファイアウォールが制御可能だがリブートが必要、Bluetoothは制御不可 |