クラウド環境を商用飛行機として想像してください。飛行前に、飛行機は安全規制への適合性を確保するため、厳格なメンテナンススケジュール、テスト、飛行前点検を受けます。これらの対策はあなたのポスチャーベースのセキュリティ対策に相当し、クラウド環境が適切に構成され、既知の脆弱性がなく、ベストプラクティスに準拠していることを保証します。
しかし、航空安全は滑走路で終わりません — パイロットが指を交差させて祈るだけではなく、天候、他の航空機の航行、飛行経路、機体性能を監視するシステムが飛行中も常に稼働しています。これがあなたのランタイム制御のようなもので、何か問題が起こる可能性がないか空から常に目を配っています。同様に、ランタイムセキュリティはクラウド環境の脆弱性を見つけ出し、対応チームがアクションを起こせるようにします。
従来のアプローチとしては、セキュリティ態勢管理などのクラウドセキュリティが長きにわたる基盤となり、強固なクラウドセキュリティ戦略構築の第一歩となるのが一般的です。しかし、常に急速にスケーリングし複雑性が増しているクラウド環境の動的な性質を考えると、予防のみのアプローチでは安全を保証できません。
チームは攻撃者が隙をついてくるときに、その攻撃を軽減する方法が必要です。
セキュリティ態勢管理の課題
セキュリティ態勢ツールは、環境内に存在する様々な誤設定と脆弱性についての貴重な可視性を提供します。
しかし、これだけでは全ての問題を解決することはできません。複数のチーム(DevOps、セキュリティ、プロダクト)にまたがる協調と、成熟したシフトレフトガードレールの確立が必要です。このようなガードレールは重要である一方で、かなりの複雑性を導入し、チームが適応する中で開発サイクルを遅くすることがあります。
こうしたガードレールの実装には、綿密な調整、共有責任についての明確な理解、そして最も重要なことは全体的な賛同が必要です。
成功するセキュリティプログラム構築の最も難しい側面の一つは、チームの統合と支援です。異なる優先事項を持つチームを一致させることは困難です。セキュリティは技術的な課題だけでなく、文化的な課題でもあります。強力なリーダーシップのサポート、トレーニングへの時間投資、そして開発者を圧倒しない形でセキュリティを既存プロセスに組み込む継続的な取り組みが必要です。
チームを説得して新しいセキュリティベストプラクティスを採用させるのは難しいバランス行為です。特に、それが仕事のやり方の変更や、コード展開前の追加ステップを意味する場合はそうです。
Sysdigのようなソリューションは、開発者にやさしく優先度付けされた修復ガイダンスを提供し、チームが既に使用しているツールやワークフローにシームレスに統合することで、この負担を軽減するのに役立ちます。このようなサポートは摩擦を減らすだけでなく、セキュリティがボトルネックではなく協力的な努力になることを助けます。
態勢管理のみに依存するリスク
どんなに強力であっても、態勢管理のみに依存することは、単一の誤設定または脆弱性のリスクにさらされます。不正に設定されたアクセス制御、不適切なスコープのAPIキー、または保護されていない共有認証情報が、そうでなければ堅牢なシステムの弱い環になることができます。攻撃者は多くの場合、一つの欠陥を見つけるだけで足がかりを得て、環境全体を横展開し、それ以外の強固な防御を回避できます。
セキュリティ態勢ツールが対応できないギャップ
ほぼ完全なセキュリティ態勢を実現した組織でさえ、このアプローチには限界があります。特定の種類の攻撃はこれらのプロアクティブな対策をバイパスできます。すべての誤設定と既知の脆弱性に対処していても、以下の脅威は従来のポスチャーベースのセキュリティチェックを回避し、環境に見えない隙を生み出す可能性があります:
- ゼロデイ脆弱性:ポスチャーベースのシステムが検出できない未知の欠陥を狙った悪用(Log4Shell、IngressNightmare、Leaky Vessels)。
- サプライチェーン攻撃:態勢管理が見落とす可能性がある、サードパーティコードまたは依存関係からのリスク。コードの大部分がオープンソースである中、サプライチェーン攻撃は重大なリスク(tj-actions/changed-files)をもたらします。
- パッチできない脆弱性:サードパーティまたはレガシーコードが原因でパッチできない欠陥。最近のVulncheckエクスプロイトレポートによれば、これらはすべての悪用された脆弱性の24%を占めています。
- 侵害された認証情報とインサイダー脅威:認証情報の盗難または悪意のあるインサイダーからのリスク。クラウドではアイデンティティが新しいセキュリティ境界になりつつあり、これらの脅威はクラウドベースの攻撃における初期アクセスベクトルのほぼ半分を占めています。
これらの脅威が悪用されると、その結果は深刻であり、ポスチャーベースのセキュリティはそれらを防ぐには十分でないことが多いです。Log4ShellやLeaky Vesselsのようなゼロデイ脆弱性は態勢チェックを完全にバイパスし、防御が対処方法を認識する前に、攻撃者がシステムに静かに侵入することを許可しました。
サプライチェーン攻撃は信頼されたコードを通じてパイプライン全体を危険にさらし、リスクを広げることができます。パッチできない脆弱性は従来の手段では対応できず、防御に永続的な隙間を残します。
一方、侵害された認証情報とインサイダー脅威は、正当な認証情報を悪用することでポスチャー制御を回避する可能性があります。これらすべてのケースにおいて、可視性だけでは不十分です。組織は、これらの進化する脅威から真に身を守るために、ランタイム保護とリアルタイム検出が必要です。
ランタイムセキュリティの利点
ランタイムセキュリティは、脅威が発生する際に検出して軽減する動的で、リアルタイムのアプローチであり、事前防止のみに依存しません。
このアプローチはシステムで実行されているアクション、つまり設定方法だけでなく、実際の動作についての詳細な可視性を提供します。ポスチャーベースのセキュリティが何かを見落とした場合、ランタイムセキュリティは最後の防衛線として機能し、アクティブな攻撃時にシステムを保護し、データ侵害と不正アクセスの懸念を軽減することができます。
クラウドセキュリティの成熟段階にある組織にとって、ランタイムセキュリティはしばしば環境を守るための最も効果的な最初のステップです。クラウドセキュリティプラットフォームの他の要素とは異なり、ランタイムセキュリティは追加の作業を生み出さない — むしろ環境を積極的に保護します。
セキュリティチームは即座に実装・管理でき、開発者またはエンジニアリングチームの修復作業に依存しないためです。これにより、シフトレフト実践の導入や脆弱性バックログの対応などの他のプロセスが発展途上の段階でも、ランタイムセキュリティが即座で包括的な保護を提供できます。ランタイムセキュリティは最初から強力なセキュリティの土台を確立します。
成熟した企業にとってのランタイムセキュリティの利点
より成熟したセキュリティ態勢を持つ組織も、ランタイムセキュリティの追加から大きなメリットを得られます。ゼロデイ脆弱性、侵害された認証情報、サプライチェーン攻撃など、ポスチャーベースのチェックを回避する可能性のある既存防御のギャップに対処しながら、新しい脆弱性と誤設定が修復される間、保護のベースラインを提供します。
ランタイムセキュリティは攻撃に対する完全な可視性を提供し、組織が攻撃の範囲を評価し、攻撃が継続中かどうかを判断し、将来のインシデントを防ぐために是正措置を取ることができるようにします。
セキュリティ態勢とランタイムセキュリティの統合
包括的なクラウドセキュリティ戦略は、多層防衛を構築するために、ポスチャーベースとランタイムセキュリティの両方を統合します。ポスチャーベースのセキュリティは適切な構成を確保し、既知の脆弱性を軽減し、ベストプラクティスを遵守することで強力な基盤を構築します。
ランタイムセキュリティはこれを補完し、隙をついて侵入する脅威を迅速に封じ込めることで、攻撃の潜在的影響を最小化します。この統合的なアプローチは即座で包括的な保護を提供するだけでなく、セキュリティプロセスが新しい脅威とともに進化し、クラウド環境が安全に保たれるようにします。
Sysdig:ランタイムセキュリティの最前線を行く
Sysdigは高度なCNAPPプラットフォームに支えられた、リアルタイムランタイムセキュリティを備えた包括的なランタイム保護で業界を主導しています。SysdigはFalcoのオープンソース基盤の上に構築されており、世界中のフォーチュン500社の60%以上がクラウド環境を保護するために利用しています。
Sysdigがクラウド環境のセキュリティをいかに強化できるかを発見してください — 今日パーソナライズされたデモをリクエストして、ソリューションがあなたの特定のニーズとどのように一致するかを確認してください。
翻訳元: https://webflow.sysdig.com/blog/closing-the-cloud-security-gap-with-runtime-security
