クラウドネイティブな世界におけるランタイムセキュリティ：Risky Business PodcastでのSysdig

短命な環境におけるリアルタイム検知のために設計

従来のセキュリティツールは、予防的・検知的なコントロールに焦点を当てがちですが、動的で短命なクラウド環境では、最も重要なのはリアルタイム検知です。「物事は数秒で現れては消えます。だからこそ、リアルタイムで監視し、保護する必要があるのです」とAlexは言います。 

SysdigはKubernetes、コンテナ、そしてクラウドネイティブスタックのためにゼロから設計されました。従来のネットワーク計測（クラウドでは存在しない）に頼るのではなく、SysdigはLinuxの相互作用における最も基礎的な層であるシステムコールを監視し、可視性とセキュリティを提供します。

なぜシステムコールが「新しいパケット」なのか

クラウド以前の時代、可視化とはパケットをキャプチャすることを意味しました。WiresharkやSnortのようなツールがゴールドスタンダードでした。しかしクラウドネイティブ環境では、そのレイヤーが消えてしまいました。

「クラウドでは、システムコールが新しいパケットです。最も信頼できる真実の情報源です。」

Alex Lawrence

SysdigはeBPFを使い、これらのシステムコールを現代的で高性能な方法で取得します。シェルの起動、不審なファイルアクセス、あるいは不正なプロセスの検知など、Sysdigは堅牢なランタイムセキュリティに必要な低レベルの可視性を提供します。

エージェントベースの検知が深い可視性を実現

Sysdigはエージェントとして導入され、一般的にはKubernetesのDaemonSet経由でデプロイされ、既存のDevOpsパイプラインに統合されます。導入後は幅広いテレメトリを収集し、コンテナエスケープから権限昇格の試行まで、あらゆる事象をセキュリティチームが可視化できるようにします。

Linux向けEDR？ はい、それ以上です

SysdigはLinux向けEDRと比較されることが多く、それはもっともです。従来のセキュリティツールでは見落とされがちな領域に、エンドポイントレベルの洞察をもたらします。Alexは「Linuxはインターネットを動かしています。そして、そうです、多くのコインマイナーも動かしています。リアルタイム検知は不可欠です」と言います。

Sysdigは金融サービスをはじめ、重要なクラウドネイティブアプリケーションを運用する企業で広く利用されています。

SysdigによるAI駆動のインサイト

多くのセキュリティプラットフォームと同様に、Sysdigも膨大なテレメトリへの対処を支援するためにAIを取り入れています。しかし、単にLLMを後付けするのではなく、SysdigはSysdig Sage™を構築しました。これは自社のAPIとテレメトリ構造で学習したAIアシスタントです。「AIはデータレイクの問題を解決しています。私たちはそれを使って、最も重要なイベントを数秒で浮かび上がらせています」とAlexは言います。

Sysdig Sageを使えば、セキュリティチームは次のような自然言語の質問ができます：

• 「このホストで発生している上位のイベントは何？」
• 「このインシデントの根本原因は何？」
• 「関連するアラートで把握しておくべきものは？」

これにより、検知までの時間を短縮し、対応を加速することができます。特に、コンテナの寿命が60秒未満であることも多い環境では効果的です。

CNAPPの世界でSysdigが重要である理由

Sysdigの機能は、より広いクラウドネイティブ・アプリケーション保護プラットフォーム（CNAPP）の領域に適合します。リアルタイムのランタイム検知と、AI支援による分析を組み合わせることで、現代のインフラを保護するための強力なツールとなります。

Kubernetesを運用している場合でも、Linuxホスト上の不審な挙動を調査している場合でも、あるいはAIでSOCの能力を強化したい場合でも、Sysdigは真剣に検討する価値があります。

インタビュー全編を聴く

対談の全編を聴いてみたいですか？エピソードをチェックするか、ポッドキャストを入手できる場所で「Risky Business」を検索してください。