自己紹介
こんにちは、エーピーコミュニケーションズiTOC事業部 BzD部 0-WANの田中と申します。
弊社でEDR製品を導入いただいたお客様のインシデント調査を主に担当しております。
その傍らプログラマーとしての経験と知識を生かしてセキュリティに関するウェブアプリケーションを設計構築するなどSOCチームのメンバーとして日々サイバーセキュリティと共に在るエンジニアです。
2025年は12回に渡ってCrowdStrikeの利用者視点で役に立つ情報をお伝えします。 今回は「CrowdStrike Falcon Foundry」についてご紹介いたします。 www.crowdstrike.com
過去のCrowdStrikeに関する記事は以下の通りです。
- 2024/12 CrowdStrikeに関する基本情報についてお伝えします。 - APC 技術ブログ
- 2025/01 FalconConsoleのダッシュボードとアラート画面についてご紹介します。 - APC 技術ブログ
- 2025/02 FalconConsoleのホスト管理と検索機能についてご紹介します。 - APC 技術ブログ
- 2025/03 FalconConsoleのレポート機能についてご紹介します。 - APC 技術ブログ
- 2025/04 Falconの「イベント検索」についてご紹介します。 - APC 技術ブログ
- 2025/05 Falconの「高度なイベント検索」についてご紹介します。 - APC 技術ブログ
- 2025/06 「公式ドキュメントとCool Query Fridayからピックアップした検索クエリで脅威ハンティングやインシデント調査を行う方法」をご紹介します。 - APC 技術ブログ
- 2025/07 CrowdStrike API、SDK、Swagger UIについて概要を解説します。 - APC 技術ブログ
- 2025/08 「CrowdStrike Falcon」の強力な機能の一つであるFalconの「API」をPowerShellで利用する方法をご紹介いたします。 - APC 技術ブログ
- 2025/09 「CrowdStrike Falcon」の強力な機能の一つであるFalconの「API」をPythonで利用する方法とAIエージェントとCrowdStrike Falconプラットフォームを接続するFalcon MCPについてご紹介いたします。 - APC 技術ブログ
Falcon Foundryとは
Falcon Foundryとは、セキュリティチーム独自のニーズに応じたカスタムアプリケーションを構築するための、非常に強力な「ローコード・アプリ開発プラットフォーム」です。
Falcon Foundryを導入すると、私たちセキュリティ運用者は以下のメリットを得られます。
- Falconで集めたデータをフル活用できる
Falcon Foundryは、日々Falconプラットフォームに集めているデータ(EDR、Identityなど)を、分析や自動化のために最大限に活用する手段を提供してくれます。 - インフラ管理不要。ローコードで素早いアプリ開発を実現
Falcon Foundryは、CrowdStrike自身が製品で利用しているのと同じ強力なデータ基盤やインフラを提供してくれます。私たちは、面倒なインフラ管理を気にすることなく、自社に必要な機能(アプリ)をローコード(または最小限のコード)で迅速に構築することに集中できます。 - セキュリティ担当者が「欲しかった機能」を自ら実現しやすくする
使いやすい開発ツールが提供されているため、高度なプログラミング専門家でなくても、セキュリティ担当者自身が「こういう分析がしたい」「こんな自動化が欲しい」といった現場のアイデアを、カスタムアプリとして形にしやすくなります。 - 自社特有の「手の届かなかった課題」を解決する
「Investigate機能だけでは難しい、複雑な横断分析がしたい」「このアラートは、独自のロジックで自動処理したい」といった、既存のツールでは対応しきれなかった自社特有の課題(ユースケース)を解決するための仕組みを自ら構築し、セキュリティ体制のギャップを埋めることができます。
Falcon Foundryを利用するための前提条件
Falcon Foundryの利用には、原則として「Falcon Foundry」サブスクリプションが必要です。
「Falcon Insight XDR」または「Falcon Prevent」のサブスクリプションを既にお持ちの場合、CID(顧客ID)ごとに1つ目のFoundryアプリまでは、追加コストなしでインストールできます。
2つ目以降の追加アプリをインストールする場合は、「Falcon Foundry」または「Falcon Next-Gen SIEM」のサブスクリプションが必要になります。詳細については、CrowdStrikeの営業担当者にお問い合わせください。
画面の説明
Falcon Foundryは、Falconコンソールの左側にあるメインナビゲーションメニューからアクセスします。
- Falconコンソールにログインします。
- 左側のメインメニューをスクロールし[Foundry] をクリックします。
Foundryの画面には以下の機能があります。
- ホーム画面:Foundryホーム画面は、カスタムアプリ、アクション、UI拡張の作成、アプリインポート、データコネクター設定、サンプル利用など、アプリ開発の全機能を呼び出せる起点画面です。
- アプリ管理:組織内で開発されたアプリや個別の機能を管理します。これには、事前に構築されたカスタマイズ可能なアプリテンプレートと、アプリに機能を追加するためのアプリビルダーツールが含まれています。
- アプリのカタログ:組織内でリリースされたアプリや機能は、インストール、アンインストール、および新しいバージョンの更新を実行することで管理できます。
- テンプレート:Foundryには、開発をすぐに開始するために使用できる組み込みのアプリテンプレートが含まれています。ご自分のCIDにテンプレートまたはサンプルアプリをデプロイして、その機能をカスタマイズします。
- リソース:Foundryアプリ開発の概要や、Falconコンソールで利用可能なデベロッパーツールなど、Foundryの基本について説明します
Falcon Fusion SOARワークフローとの違い
FalconにはもともとFalcon Fusion SOARワークフローという自動化機能が存在します。
Falcon Fusion SOARは、検知イベントをトリガーにして条件分岐やアクションを実行するワークフローエンジンです。 ユーザーは、ワークフローを作成して、インシデント、検知、ポリシー、クラウドセキュリティに関する知見などを受けてFalconに実行させるアクションを定義することができます。
FoundryはFalcon Fusion SOARワークフローを含む Falcon全体を拡張し、「ワークフローを自動化する」だけでなくUIを設計し、データを組み合わせ、アプリとして実装することができます。
まとめ
今回は、Falcon Foundryについてご紹介しました。
Falcon Foundryは、Falconユーザー自身が運用を拡張・最適化できる開発基盤です。
APIやスクリプトを使わずに、事前に構築されたカスタマイズ可能なアプリテンプレートを利用して、検知・分析・可視化・自動化を設計できるようになります。
次回は、実際にFalcon Foundryを使ってアプリを作る手順を解説します。
今後の連載の予定をご参考に興味があるトピックだけでもご覧いただければ幸いです。
少しでもサイバーセキュリティに興味を持っていただけるように楽しくお伝えしますのでお楽しみに。
最後まで読んでいただきありがとうございました。
0-WANについて
私たち0-WANは、ゼロトラスト製品を中心とした、マルチベンダーでのご提案で、お客様の経営課題解決を支援しております。 ゼロトラストってどうやるの?製品を導入したけれど使いこなせていない気がする等々、どんな内容でも支援いたします。 お気軽にご相談ください。
問い合わせ先、0-WANについてはこちら。 www.ap-com.co.jp
一緒に働いて頂ける仲間も募集しています
今までの経験を活かして、私たちと一緒にゼロトラスト分野で活躍しませんか? www.ap-com.co.jp
