動いている標的を、防御するために静止画だけを研究しているところを想像してみてください。今日の多くのクラウドセキュリティ戦略は、まさにそれと同じです。設定ミスをスキャンしたり、ポリシー整合性を確認したりするツールは役に立ちますが、リアルタイムで進行していることは見えていません。そしてクラウドでは、リアルタイムこそがすべてです。
セキュリティチームは、後ろ向きのツールを使って前向きの防御を構築するよう求められることが少なくありません。今こそ発想を転換するときです。ランタイムセキュリティから始めましょう。
ランタイムセキュリティが、レジリエントなクラウド防御戦略の基盤である理由を包括的に理解するには、ホワイトペーパー全文をダウンロードしてください。
クラウドは変わった。セキュリティスタックも変えるべきだ
クラウドネイティブアプリケーションは、インフラのルールを書き換えました。コンテナは数秒で起動し、Kubernetesは1日に何百万もの変更をオーケストレーションし、サーバーレスのコンピュートリソースはミリ秒後に消えることさえあります。その俊敏性はイノベーションを加速させますが、同時に死角も生み出します。
従来のエンドポイント検知・対応(EDR)ツールは物理マシン向けに作られました。クラウドセキュリティポスチャ管理(CSPM)ツールは基本的なクラウド可視化のために作られました。どちらも、動的で短命な環境をリアルタイムに監視するために作られたものではありません。
変わった点は次のとおりです。
- 短命なワークロード: コンテナやサーバーレス関数は、スキャンされるのを待ってはくれません。
- 自動化された攻撃: 脅威アクターはAIと自動化を使って、これまで以上に高速に動くようになっています。
- 拡大する攻撃対象領域: API、マイクロサービス、マルチクラウド環境が複雑性—そしてリスク—を増大させます。
脅威アクターが偵察を自動化し、10分未満で脆弱性を悪用する時代において、セキュリティ戦略は静的スキャンよりも速く動く必要があります。
静的なポスチャが不十分な理由
多くの組織は、CSPMと「シフトレフト」施策からクラウドセキュリティの取り組みを始めます。基本的な設定ミスをスキャンし、コンプライアンスを強制するためです。これらは不可欠な実践ですが、焦点は「何が起こり得るか」であり、「何が起きているか」ではありません。
ポスチャ主導の戦略が実際の脅威を止めにくい理由を分解してみましょう。
- CSPMはリアルタイムの挙動を見られない: リスクのある設定は捉えられますが、進行中の悪用やラテラルムーブメントは捉えられません。
- EDRはクラウドに適合しない: 従来型EDRは短命なコンテナや分散サービスへの可視性が不足しています。
- シフトレフトは早すぎる段階に偏る: サービスが稼働すると新たなリスクが生まれます—その多くは元のコードとは無関係です。
ランタイムセキュリティ:欠けていたピース
ランタイムセキュリティの本質は、「今」起きていることへの可視性です。ライブ攻撃を検知し、異常な振る舞いにフラグを立て、迅速な対応をトリガーできる唯一の方法です。
クラウドネイティブの文脈で、ランタイムとは実際に何を意味するのでしょうか?
- 継続的な監視: すべてのワークロード、すべてのユーザー操作、すべてのシステム変更などを、すべてリアルタイムで把握します。
- 脅威の相関分析: アイデンティティ、ワークロード、ネットワークのシグナルを組み合わせ、疑わしいパターンを見つけ出します。
- 自動対応: 事後ではなく、進行中の悪意ある挙動をその場でブロックします。
潜在的なミスをスキャンするのではなく、ランタイムセキュリティは攻撃者が実際に何をしているのかを示します—それがコンテナ内での権限昇格であれ、クラウドアカウント間のラテラルムーブメントであれ。
進行中の攻撃を止める
たとえば攻撃者がゼロデイ脆弱性を悪用し、KubernetesのPodにアクセスしたとします。従来のツールでは、その侵害は数時間検知されないか、そもそも気づかれない可能性もあります。
ランタイムセキュリティが導入されていれば、代わりに次のようになります。
- 初期検知: 攻撃者の異常なコマンドが即座に検知されます。
- 文脈に基づく調査: セキュリティ担当者は、ユーザーのアイデンティティ、影響を受けたリソース、攻撃経路を把握できます。
- 自動対応: 侵害されたコンテナを隔離し、認証情報をローテーションします。
これは仮の話ではありません。最新のクラウドネイティブアプリケーション保護プラットフォーム(CNAPP)が、リアルタイムで攻撃を止め、平均検知時間(MTTD)と平均対応時間(MTTR)を数時間・数日から数分へ短縮する仕組みです。
ランタイムのROI
機能するセキュリティは、投資対効果のあるセキュリティです。ランタイムセキュリティを起点にすると、ビジネス上のメリットは明確です。
- 検知の高速化: 脅威は週次スキャンではなく、発生と同時に特定されます。
- コスト削減: 数分で解決できるインシデントは、高額なダウンタイムや侵害復旧コストを回避します。
- リソース配分の最適化: ノイズではなく実際の脅威を優先でき、チームは重要なことに集中できます。
実際、ランタイム主導のCNAPPを利用する企業は、検知時間を秒単位まで短縮し、侵害関連コストを数十万ドル規模で削減しています。
後ろを向くのはやめよう—「今」起きていることを守る
はっきりさせておきましょう。ポスチャ管理と予防はなくなりません—そして、なくなるべきでもありません。しかし、もはや強固なセキュリティプログラムの中心ではありません。あくまで支える役割です。
クラウドを本当に防御するには、戦略がクラウドの動き方を反映している必要があります。つまり、高速で、動的で、常に進化しているということです。
ランタイムから始める。そしてポスチャを重ねる。
このランタイム優先のレイヤードアプローチは、攻撃を止めるだけではありません。クラウドの歩みに合わせてスケールする、レジリエントで前向きなセキュリティプログラムを作り上げます。
クラウドでは、秒が重要です。静的スキャンと事後対応のセキュリティでは、待ってくれない脅威に対して組織が脆弱になります。ランタイムセキュリティは、リアルタイムの可視性と制御を提供することで状況を一変させ、被害が出る前に検知・対応できるようにします。
ランタイム優先戦略の実装方法をさらに深掘りしたいですか?
Kubernetes&コンテナセキュリティ
翻訳元: https://www.sysdig.com/blog/runtime-is-the-real-defense-not-just-posture
