私たちが最初に「クラウドはエージェントを殺すのか?」と問いかけたとき、セキュリティ業界はエージェントレス・ソリューションの話題で沸いていました。3年後の今も、エージェントレス対エージェントベースのセキュリティをめぐる議論は健在です。
Sysdigでは、両方のアプローチが必要だという考えを引き続き持っています。AIの台頭と、実害のあるクラウド攻撃のスピードが増す中で、クラウドセキュリティエージェントは代替不可能であることを改めて強調します。
エージェントレススキャンは、クラウドの規模と速度を背景に人気が爆発しましたが、クラウドがエージェントを殺したわけではありません。クラウドネイティブセキュリティは、エージェントをさらに不可欠な存在にしました。
エージェントレスは迅速なオンボーディングに最適で、特にクラウドワークロード保護やクラウドセキュリティポスチャ管理(CSPM)のスキャン(資産の発見、既知の脆弱性の特定、リソース構成をコンプライアンスポリシーと照合するチェックなど)に効果的です。しかし、クラウドセキュリティの状況の進化は、さらなるものを求めています。本フォローアップでは、新たな視点でこの議論を見直します。
なぜエージェントは今も重要なのか
クラウドはあらゆるものを加速させました。多くの組織が迅速な事業運営とイノベーションのためにクラウド環境に依存しているのはそのためです。エージェントはこのスピードのために作られており、syscallレベルのリアルタイムかつ継続的な可視性、プロセス監視、ファイルシステム追跡、コンテナドリフト検知を提供します。
2018年以降、私たちはコンテナの短命性について報告してきました。Sysdigの2025年クラウドセキュリティ&利用状況レポートでは、コンテナの60%が1分以内に寿命を迎えると報告しました。クラウド攻撃者は、実行中のコンテナが停止される前に永続化を得るため、環境内を素早く移動しなければなりません。定期的なエージェントレススキャンではその動きを捉えられません。多くの場合、30分〜24時間の周期で実行されるためです。
Sysdigは数年にわたりランタイムセキュリティの重要性を訴えてきましたが、他のセキュリティベンダーが追随し始めたのはごく最近です。クラウドセキュリティの未来はエージェントレススキャンだという考えにいまだ縛られているところもありますが、 ランタイムセキュリティには、エージェントだけが提供できるリアルタイムで深いコンテキストが求められます。
エージェントレス・ソリューションは地図を与えてくれますが、クラウドセキュリティに必要なのはライブフィードです。エージェントレススキャンは短命な攻撃に弱いだけでなく、カーネルエクスプロイト、プロセスインジェクション、ファイルレスマルウェアといった、ますます一般的になっている攻撃者の戦術・技術・手順(TTP)も見落とします。さらに、コンテナ構成のドリフトのような稼働中の変化も取り逃がします。稼働中のコンテナが元のイメージと異なる振る舞いをし始めたとき、その挙動を特定できるのはエージェントだけです。攻撃者は静的イメージに一切触れずに稼働中のコンテナを侵害することが多く、エージェントベースのセキュリティは不可欠です。
エージェントがAI革命を加速させる
AI駆動の攻撃が脅威の状況を変え、脅威検知と対応の高度化を必要としてきたのと同様に、Sysdig Sage™のようなAIツールもクラウドセキュリティを変革しています。残念ながら、エージェントレスのテレメトリは、GenAIを活用した効果的なセキュリティには遅すぎ、浅すぎます。
AI駆動の攻撃への対応と、GenAIによるクラウドセキュリティ強化には、リアルタイムでリッチなランタイムデータが必要です。エージェントは、プロセス活動、ファイル変更、ネットワーク挙動、コンテナドリフトに関する粒度の高いデータを提供し、必要なコンテキストをリアルタイムで継続的にGenAIセキュリティツールへ供給することで、より迅速で正確な意思決定を可能にします。
Sysdig Sageはランタイムデータを用いてマルチステップ推論と文脈認識を実現し、脅威対応を加速するとともに、複雑なクラウド環境におけるプロアクティブなセキュリティプロセスを簡素化します。エージェントが取得したデータを統合することで、Sysdig Sageは人間よりもはるかに速く、コンテキストを踏まえた推奨とともにリアルタイムの調査と対応手順を支援します。
併用が最適:エージェントとエージェントレス
どちらか一方ではなく、「できるところはエージェントレス、できないところはエージェント」です。賢いクラウドセキュリティは、ポスチャのためのエージェントレススキャンと、エージェントによるランタイム検知・対応を組み合わせます。まずはエージェントレスのオンボーディングで、資産インベントリ、設定ミスと脆弱性の特定、IAM分析のようなコンプライアンスチェックを含むポスチャ管理で素早く成果を得ます。その後、ランタイム検知、インシデント対応、脅威ハンティング、GenAI強化のセキュリティプロセスに必要なデータを得るためにエージェントを重ねます。両アプローチを組み合わせることで、クラウドセキュリティのニーズの広さと深さの両方に対応する包括的なカバレッジを確保できます。
Sysdigの実戦で鍛えられたアプローチ
Sysdigは10年以上にわたり継続的な進化とイノベーションを重ね、Kubernetes、サーバーレス関数、マルチクラウド環境の人気が指数関数的に高まるのに合わせて適応してきました。これらは深い可視性が重要となる領域です。Sysdigエージェントは、こうした現実のために構築されました。
当社のエージェントは、Fortune 500の60%以上を含む数百万の組織に信頼される、コンテナランタイムセキュリティのオープンソース標準であるFalcoを基盤としています。軽量かつ効率的で、CPUとメモリ使用量のコストを最小化しながら、Kubernetes、ECS、EKS、GKEなどのプラットフォーム全体にスケールします。
Sysdigエージェントは信頼性の高さで知られています。本番環境を遅くしたりコストを増やしたりすることなく「ただ動く」うえ、高密度環境でも自動的にスケールします。その能力は数千の顧客環境で検証され、数百万のノードとワークロードを保護してきました。
クラウドでは、静的スナップショットで本物のセキュリティを装うことはできません。エージェント、エージェントレス、AIが実際のクラウド防御でどのように連携するのか気になりますか? Sysdigがどのように違いを生み出しているかをご覧ください。
翻訳元: https://www.sysdig.com/blog/cloud-hasnt-killed-the-agent-a-realtime-reality-check
