Google Cloud社と米CrowdStrike社は10日、これまでエンドポイントを中心とした提携を結んでいたのに対し、顧客のハイブリッドクラウド環境をカバーするよう提携を拡大したと発表した。両社によると、一連の製品統合によって顧客はGoogle Cloud社のセキュリティ製品とCrowdStrike社のFalconプラットフォーム間でテレメトリとデータを共有できるようになったという。これにより、顧客の環境全体に対し、より優れた可視性、ワークロード保護、徹底した防御を誇るセキュリティを提供できるとしている。

これはXDR（Extended Detection and Response）とよく似たものに聞こえる。しかし、Google Cloud社でクラウドセキュリティ担当VPを務めるSunil Potti氏によると、これはXDRを超えるものだという。

「XDRと方向性が一致しているかといえば、おそらくそうでしょう」とPotti氏は言う。「当てはまる市場があるとしたらおそらくXDR市場だと思います。しかしその裏側について言えば、この製品は他にもいろいろなことができるのです」

今回の提携では、Google Cloud社のセキュリティ分析エンジン「Chronicle」がCrowdStrike社のセキュリティプラットフォーム「Falcon」と統合される。Falconプラットフォームは1週間に5兆件を超えるエンドポイント関連のイベントを処理できるという。

両社によると、今回の統合によって顧客のセキュリティチームのエンドポイントやワークロードのテレメトリ分析を支援、より迅速な脅威の発見を可能にするとともに、Chronicleから得られる数ペタバイトのデータとFalconのデータセットを紐づけて長期的な攻撃に対する調査と新たな攻撃の阻止をより効果的に行えるようになるという。

また、Google Cloud社のクラウドソーシング手法によるマルウェア収集プラットフォーム「VirusTotal」もFalconと統合され、CrowdStrikeストアで利用できるようになる。これによって調査に関連するファイルやURLを検索・識別したり、これまで知られていなかった脅威を発見したり、敵対者を追跡したり、自社のハイブリッドインフラの盲点を解消する検知ルールを生成したりすることが可能となる。

「Google Cloud Security Command Center」ではCrowdStrike Falconプラットフォームからのアラートやイベントを集約し、顧客のクラウド環境全体のセキュリティとコンプライアンスの一元的な把握を可能にする。

また、Google Cloud社の「BeyondCorp Enterprise」と「Google Workspace」も「Falcon Zero Trust Assessment」と統合され、顧客はCrowdStrike製品のリスクシグナルを利用してアプリケーションへのきめ細かなアクセスポリシーを作成・適用できるようになる。さらにCrowdStrike社はGoogle Cloud社の「Security Agent Deployment」との統合を提供する。これはOS構成管理を利用して自動化されたスケーラブルなセンサー展開を実現するものだ。

ある鳥が鴨のように歩くならば……

XDRとは、SIEM（Security Information and Event Management：セキュリティ情報イベント管理）、SOAR（Security Orchestration, Automation, and Response：セキュリティオーケストレーション・自動化および応答）、EDR（Endpoint Detection and Response：エンドポイントでの検出・対応）、NTA（Network Traffic Analysis：ネットワークトラフィック分析）といった要素をSaaSプラットフォームに統合したものだ。これによりセキュリティデータ、脅威ハンティング、インシデント対応を一元化することができる。

Google Cloud製品とCrowdStrike製品の統合は、XDRの全ての要素を備えている。「しかし、他にも多くのことが可能になります」とPotti氏は言う。「例えば、CrowdStrikeの検知・レスポンスワークフローの中に（VirusTotalの）マルウェア部分を非常に緊密に結合させたことは、XDRであるためというよりも、私としては指先ひとつでできるデータ利用のためと言っています」

Potti氏はこのアプローチを次のように説明している。「セキュリティのためのGoogleアシスタントです。バックグラウンドではこうしたインテリジェンスのバックグラウンドレイヤーが情報を収集・合成し一貫性をもたらしていますが、フォアグラウンドではユーザーはプライマリアプリケーションを使用できます。プライマリアプリケーションを使っている時にもさまざまなコンテキスト情報が提供されているのです」。これがセキュリティチームの仕事を楽にするという。

「XDRである、とだけ言うことでこうしたビジョンから遠ざかりたくはありません」とPotti氏は言う。XDRはこうしたネットワークやエンドポイントのイベントをすべて収集・分析する。そうした機能を実現するために、今回CrowdStrike製品との統合において大きな役割を果たしているのがChronicleだ。そして、CrowdStrike製品のワークロード保護と脅威対応から「素晴らしい検知対応ワークフローを提供」できるという。

「しかし私たちの考えでは、セキュリティのためのGoogleアシスタントに相当するこの見えないアプリケーションを持つことの方に、より大きなチャンスがあるのです」「本質的には、こうしたサイロを横断してデータを追跡し、そこからインテリジェンスを引き出すことを意図した方法です。さらにそれを実行すべき業務のコンテキストに適切に組み込むことができるのです」

https://www.sdxcentral.com/articles/news/is-google-clouds-crowdstrike-security-deal-xdr/2021/05/