top of page
検索

「セキュリティ企業」ではなく「免疫OS」──CrowdStrikeの強さは、なぜ簡単には崩れないのか




シリーズ: 行雲流水


サイバー攻撃が高度化するなか、企業のセキュリティ対策はもはや「ウイルス対策ソフトを入れておけば安心」という時代ではなくなりました。その変化の最前線に立つのが、CrowdStrike(クラウドストライク)という企業です。


一見すると、彼らは「エンドポイントセキュリティ」、つまりPCやサーバを守る製品を売っている会社に見えます。しかし、その本質を掘り下げていくと、まったく違う姿が浮かび上がってきます。世界中の顧客から日々集まる攻撃データを蓄積・分析し続ける「クラウド基盤」をサブスクリプションで貸している―それがCrowdStrikeの実態です。


今回は、富良野とPhronaの二人が、この企業のビジネスモデルを解きほぐしていきます。なぜ競合他社が追いつけないのか。なぜMicrosoftでさえ完全には代替できないのか。そして、この強固に見える優位性が崩れるとしたら、いったい何が起きたときなのか。技術の話のようでいて、実は組織の意思決定や責任の所在、さらには業界の構造そのものに関わる議論が展開されます。




「セキュリティ製品」という見方を捨てる


富良野:CrowdStrikeって、普通に考えると「セキュリティソフトの会社」ですよね。でも、ビジネスモデルを丁寧に見ていくと、ちょっと違う景色が見えてくる。


Phrona:どう違うんですか?


富良野:彼らの中核製品はFalconというクラウド型のセキュリティ基盤なんですが、PC、サーバ、クラウド上のワークロード、それからID管理まで、ひとつのエージェントとクラウド基盤で横断的に見ている。で、重要なのは、各種機能が「別製品」じゃなくて「同一基盤上の追加モジュール」だということ。


Phrona:つまり、一度入れたら、あとはモジュールを足していくだけで機能が拡張される。


富良野:そう。だから「最初はEDRだけ」という小さな入口から入って、使っているうちに「ID管理も」「クラウドセキュリティも」と広がっていく。Land and Expandというやつで、顧客あたりの売上が自然に上がる構造になってる。


Phrona:でも、それだけなら他のSaaS企業でもやってますよね。


富良野:核心はそこじゃないんです。本当の強みは、世界中の顧客から日々集まってくる攻撃データにある。


Phrona:データネットワーク効果、ですか。


富良野:ええ。顧客が増えるほど攻撃パターンのデータが蓄積されて、機械学習モデルの精度が上がる。精度が上がると新しい顧客が来る。この循環が回り続けている。


Phrona:後発が追いつきにくい理由がそこにあるわけですね。単に「良い製品」を作っても、データの蓄積では勝てない。



AIはどう使われているのか


Phrona:ところで、FalconにはAIが使われているんですか?最近、なんでも「AI搭載」って言われますけど。


富良野:使われてます。ただ、世間で言う生成AIとはかなり性質が違う。


Phrona:というと?


富良野:中核は教師あり、あるいは半教師ありの機械学習モデルです。プロセスの挙動とか、APIコール、メモリ操作、権限昇格の流れを見て、「正常からの逸脱」を捉える。既知のマルウェアのパターンを照合するんじゃなくて、怪しい動きそのものを検知する。


Phrona:パターンマッチングではなく、行動分析。


富良野:そうです。しかも単発のイベントじゃなく、時系列の行動列を評価している。たとえばPowerShellが起動して、権限が変更されて、外部に通信して、横に広がっていく…という流れ全体を見て、「これ、過去の攻撃と似てるぞ」とスコアリングする。


Phrona:生成AIとの関係は?


富良野:最近、Charlotte AIという生成AIインターフェースが追加されてますが、これは分析結果の要約とか、自然言語での調査支援が主な用途。防御の中核ロジックには生成AIを使っていない。


Phrona:なぜですか?


富良野:セキュリティで重要なのは「速い」「再現できる」「説明できる」の三つ。生成AIは説明可能性が弱いし、誤検知リスクも高い。だから「考えるのは人間、止めるのはAI」という分業になってる。


Phrona:免疫反射、という比喩がしっくりきますね。反射的に止めるのはAI、でも何が起きているかを解釈して対策を考えるのは人間。



SentinelOneとの違い


Phrona:競合のSentinelOneとはどう違うんでしょう。


富良野:技術思想が違います。SentinelOneは端末側の自律性を重視していて、端末上でのAI判断の比重が高い。オフラインでも動くことが売りのひとつ。


Phrona:それはそれで強そうですけど。


富良野:「点」で見ればSentinelOneは強い。でもCrowdStrikeは「面」で勝負している。全顧客横断の相関分析、攻撃者の手口の再構成、そういうところはデータ規模がものを言う。


Phrona:点と面の違い、ですか。


富良野:単体端末の検知精度を極限まで高めるか、それとも世界中のデータを集めて文脈を読むか。アプローチが根本的に違う。


Phrona::「優れたエージェント」対「巨大な集合知基盤」。


富良野:そういうことです。で、重要なのは、点をいくら集めても自動的に面にはならないということ。顧客横断の文脈とか、攻撃者視点での再構成とか、経営や監査への説明力は、点の集合からは生まれない。



Microsoftが完全に代替できない理由


Phrona:でも、Microsoft Defenderもありますよね。価格競争力は強そう。


富良野:構造的な脅威ではあるんですが、完全代替には壁がある。


Phrona:どんな壁ですか。


富良野:まず中立性の問題。MicrosoftはWindows、Azure、Entra IDという自社スタック前提でしょう。異種OS、他社クラウドが混在する環境だと、「守る側がプラットフォームの当事者」になってしまう。大企業ほどここを嫌う。


Phrona:利益相反みたいな話ですね。


富良野:次に、データの質と文脈。Microsoftは自社エコシステム内のイベントには強いけど、CrowdStrikeは業界・国・クラウドを横断して攻撃の文脈データを蓄積している。量では拮抗しても、攻撃者視点でのラベル付けや解釈で差が出る。


Phrona:三つ目は?


富良野:組織心理と責任分離です。セキュリティ事故が起きたとき、「OSベンダーに全部任せていました」という説明は通りにくい。だから実務では、Microsoftは基盤、CrowdStrikeは第三者防御層、という二重化が選ばれやすい。


Phrona:「何かあったときに説明できるかどうか」が意思決定に影響している。


富良野:まさにそこ。技術の優劣だけじゃなく、調達・監査・説明責任の構造を理解した設計が勝因になってる。



顧客はロックインを嫌わないのか


Phrona:ちょっと気になったんですけど、顧客側からすると、自社のデータログを一社に握られるのは避けたいはずですよね。スイッチ可能な形で保持しておきたいというニーズがあるんじゃないですか。


富良野:その違和感は妥当で、実際に大企業や成熟したセキュリティ組織ほど同じ懸念を持っています。でも結論から言うと、顧客は二律背反を使い分けで処理している。


Phrona:どういうことですか。


富良野:顧客のニーズを整理すると三層に分かれるんです。ひとつは「ログの所有権・可搬性を手放したくない」。もうひとつは「リアルタイム防御ではベンダー最適化を使いたい」。三つ目は「いざというときの逃げ道は確保したい」。


Phrona:全部同時に満たすのは難しそう。


富良野:だからCrowdStrikeは、ログを二種類に分けている。ひとつはオペレーショナルログ、つまりEDRの挙動とか検知・遮断に直結するもの。ここはFalcon内に強く最適化されていて、顧客も「ここはブラックボックスでいい」と割り切る。


Phrona:もうひとつは?


富良野:フォレンジックとか分析用のログ。事後分析、監査、脅威ハンティング用ですね。ここは外に出したいニーズが強い。CrowdStrikeは「全部囲い込む」より「即応部分だけ囲い込む」設計を選んでる。


Phrona:なるほど。「逃げ道を形式的に用意しつつ、実運用では強く依存させる」という構造。


富良野:そう。実務上重要なのは、本当に乗り換えるかどうかじゃなくて、「乗り換え可能だと説明できるかどうか」なんです。生ログは自社のストレージに保存、Falconはリアルタイム防御専用、分析は別のSIEMにも流せる。この構成があるだけで、調達・監査・経営説明が通る。


Phrona:交渉力を維持するための形式。


富良野:多くの企業は「実際にスイッチする前提」じゃなく、「交渉力を維持する前提」で十分だと考えている。



CrowdStrikeが負けるとしたら


Phrona:ここまで聞いていると、CrowdStrikeはかなり強固に見えます。崩れる可能性はあるんでしょうか。


富良野:あり得ます。ただ、「より良いEDRが出てきた」では負けない。


Phrona:どういう条件なら?


富良野:点と面の関係が逆転したときだけ、構造的に負ける。具体的には「面を作れなくなる」か「面の価値が消える」か、このどちらか。


Phrona:「面を作れなくなる」というのは?


富良野:たとえば規制でログの集中が事実上禁止されるケース。国家安全保障を理由に、セキュリティログを国外に出すことを禁止、匿名化やメタデータ抽象化もNG、みたいな規制が金融や政府から始まると致命的。


Phrona:グローバル相関ができなくなる。


富良野:そう。あるいは業界別のクローズド防衛連合が成立して、「ログは会員間だけで共有、外部ベンダーはモデル配布のみ」という形になる。Federated Learningとか暗号化技術を使えば技術的には可能で、そうなるとCrowdStrikeはデータの一次所有者になれなくなる。


Phrona:「面の価値が消える」というのは?


富良野:こっちの方がもっと根本的な話で、攻撃が端末に到達しなくなるケースです。


Phrona:え、そんなことが?


富良野:仮想デスクトップ、ブラウザ完結の業務、SaaS中心でローカル実行が最小化された環境。こういう世界では、攻撃はID、API、権限設定、設定ミスから発生する。エンドポイントの挙動ログがそもそも意味を持たなくなる。


Phrona:面があっても、見るものがない。


富良野:もうひとつは、IDや権限やワークフローで事前に止まるようになるケース。Just-in-Time権限とか意図ベースの承認が徹底されると、攻撃が「不正な挙動」として観測される前に実行不能になる。免疫反射が不要になる。


Phrona:EDRというカテゴリ自体の終わり。


富良野:さらに言うと、「説明責任の中心」が別のレイヤーに移る可能性もある。今、事故時に問われるのは「なぜ検知できなかったか」でしょう。これが「なぜこの権限を与えたのか」「なぜこの業務設計を許したのか」に変わると、SOCから業務設計やID管理に主戦場が移動する。


Phrona:CrowdStrikeの面は重要だけど二次的になる。


富良野:そういうことです。だから、CrowdStrikeが負けるとしたら、競合に殴られるんじゃなくて、世界の設計思想が先に進んだとき。可能性は低いけど、起きたら一気。



PLTRとの比較で見えるもの


Phrona:最後にひとつ。Palantirと比較されることがあるようですけど、どう整理すればいいですか。


富良野:表層のビジネスは違うんですが、「OS的ポジション」という意味では近縁なんです。


Phrona:OS的ポジション?


富良野:どちらも顧客の中核業務データに常時接続していて、データが溜まるほど価値が増して、一度入ると外しにくい。この構造は共通している。


Phrona:違いは?


富良野:Palantirは業務データ全般を扱って、人間の判断支援が中心。高単価で導入が重く、SI的な色が強い。一方、CrowdStrikeはセキュリティイベントという単一ドメインに特化して、自動検知・自動防御が中心。SaaSで横展開しやすい。


Phrona:抽象度と横断性はPalantir、即時性と自動性はCrowdStrike。


富良野:そう整理できます。Palantirは「組織の思考OS」、CrowdStrikeは「組織の免疫OS」。どちらも一度入ると切り離しにくいという意味で、OS的な存在になっている。


Phrona:「免疫OS」という言い方、面白いですね。攻撃という異物に対する即応システム。


富良野:ただ、免疫だけでは生きていけない。免疫が過剰に働けば自己免疫疾患になるし、免疫が対応できない環境変化には弱い。そこがCrowdStrikeのリスクでもある。


Phrona:攻撃経路そのものが変われば、免疫の役割も変わる。


富良野:だから最終的には、CrowdStrikeは競争には強いけど、時代転換には弱い。これが僕の見立てです。


Phrona:構造で勝っている企業は、構造の変化でしか負けない。


富良野:その通り。だから見るべきは競合の動向じゃなくて、規制、アーキテクチャ思想、業務の非端末化。そこが動いたときに、風景が変わる。




ポイント整理


  • CrowdStrikeは単なるセキュリティ製品企業ではなく、攻撃データを蓄積・分析し続けるクラウド基盤をサブスクリプションで提供する企業である

  • 主力製品Falconは、PC・サーバ・クラウドワークロード・IDを単一エージェントとクラウド基盤で横断管理し、各機能は別製品ではなく同一基盤上の追加モジュールとして提供される

  • データネットワーク効果が競争優位の核心:顧客が増えるほど攻撃データが蓄積され、機械学習モデルの精度が向上し、さらに新規顧客を呼び込む循環が形成される

  • FalconのAIは生成AIではなく、行動分析に特化した機械学習モデル。「速い・再現できる・説明できる」を重視し、「止めるのはAI、考えるのは人間」という分業構造

  • SentinelOneとの違いは「点(端末単体の自律性)」対「面(全顧客横断の相関分析)」の思想の違い

  • Microsoft Defenderが完全代替できない理由は三つ:中立性の問題、データの質と文脈の差、組織心理と責任分離のニーズ

  • 顧客はロックインを避けたいニーズと即応性能を両立させるため、「即応部分は任せる、分析ログは手元に持つ」という使い分けで処理している

  • CrowdStrikeが負けるシナリオは競合との正面衝突ではなく、「面を作れなくなる」(規制による分断、業界別クローズド連合)か「面の価値が消える」(攻撃経路の非端末化、ID・権限ベースの事前抑止)のいずれか

  • Palantirが「組織の思考OS」なら、CrowdStrikeは「組織の免疫OS」。どちらも顧客データに常時接続し、一度入ると外しにくい構造を持つ

  • CrowdStrikeは競争には強いが時代転換には弱い。見るべきは競合動向ではなく、規制・アーキテクチャ思想・業務の非端末化の動向



キーワード解説


Falcon】

CrowdStrikeの主力製品。クラウドネイティブ型のエンドポイントセキュリティ基盤で、単一エージェントで多機能を提供


EDR(Endpoint Detection and Response)】

エンドポイントでの挙動を常時監視し、攻撃を検知・対応する仕組み


XDR(Extended Detection and Response)】

EDRを拡張し、エンドポイント以外(ネットワーク、クラウドなど)も含めた統合的な検知・対応


SIEM(Security Information and Event Management)】

セキュリティログを集約・分析し、脅威を検知するシステム


Land and Expand】

最小構成で導入し、その後モジュール追加で顧客あたり売上を拡大するSaaSの成長戦略


データネットワーク効果】

ユーザーが増えるほどデータが蓄積され、サービス価値が向上する効果


スイッチングコスト】

他製品への乗り換えに伴う金銭的・心理的・実務的なコスト


Just-in-Time権限】

必要なときだけ必要な権限を一時的に付与する方式


Federated Learning(連合学習)】

データを一箇所に集めず、分散したまま機械学習モデルを訓練する手法


TTP(Tactics, Techniques, and Procedures)】

攻撃者の戦術・技術・手順。攻撃手法を分類・分析する際の枠組み



本記事と同じ内容は、noteにも掲載しております。
ご関心を持っていただけましたら、note上でご感想などお聞かせいただけると幸いです。

bottom of page