本文の内容は、2025年4月2日に Loris Degioanni が投稿したブログ(https://sysdig.com/blog/the-state-of-falco/)を元に日本語に翻訳・再構成した内容となっております。
オープンソースの Falco が KubeCon EU 2024 でCloud Native Computing Foundation® (CNCF) をグラデュエートしてからちょうど 1 年が経ちましたが、勢いは衰えていません。リアルタイムの脅威対応の進歩やクラウドネイティブ環境全体にわたる監査イベント収集の拡張から、ダウンロード数が 1 億 5,000 万回に到達し、さらにはStratosharkなどの新しいオープンソース テクノロジーが Falco のライブラリ上に構築されるなど、プロジェクトは急速に進化し続けています。
CNCF グラデュエート以来の Falco の主要な開発のいくつかを検討し、今後の展望を見てみましょう。まず、いくつかのハイライトを簡単に見てみましょう。
- Falco Talonの作成とfalcosecurity Github への寄贈
- Falco for Windows ? すばらしい!
- Falco プラグインの分野全体で広範な進歩と 40% の成長
- Falco フィード…そしてそれがあなたにとって何を意味するのか
- Stratosharkの導入による Wireshark と Falco の遺産の進化!

Falco から Sysdig へ: Syfe がコンプライアンスと脅威検知を簡素化する方法(事例:英語)
Sysdig を使用することで、金融会社は継続的なメンテナンスなしでクラス最高のクラウド脅威検知を実現しました。
Falco Talon
Falco のメンテナーである Thomas Labarussiasによって開発されたFalco Talon は、Falco イベント専用に設計された専用レスポンス エンジンです。2024 年 9 月 6 日に、この新しく開発されたエンジンを公式の falcosecurity GitHub リポジトリに寄付するためのプル リクエストが送信されました。
Talon は、Falco ルールに似たユーザーフレンドリーなエクスペリエンスを提供するコード不要のソリューションで、追加および上書きメカニズムを備えた使い慣れた .yaml ファイルを使用します。これにより、セキュリティチームは、関連付けられた Trace ID を持つ構造化されたログ出力を受け取りながら、連続的な対応アクションを定義できます。
Falco Talon のインストールは、Kubernetes デプロイメント用の公式 falcosecurity Helm チャートを通じてシームレスに行われます。対応アクションは、ルール名、優先度、タグ、または特定の出力フィールドに基づいて、Falco 検知ルールにマッピングできます。これにより、リアルタイムのインライン対応アクションが遂行され、検知と対応のワークフローが大幅に強化されるとともに、DevOps チームはイベントのマッチングを微調整し、必要に応じてデフォルトのルールを上書きする柔軟性が得られます。
Windows 用 Falco
Sysdig チームは、オープンソースの Falco コミュニティで愛用されている同じ YAML ベースの検知ルール ロジックを基にして、Windows カーネルから直接リアルタイムの脅威を検知する Sysdig プラットフォームの不可欠なコンポーネントである Falco for Windows を開発しました。Linux での Falco の動作 (カーネル モジュールまたは eBPF プローブ経由のシステム コール コレクションを使用する) と同様に、この Windows 実装はマクロやリストなどの使い慣れた抽象化を維持し、シームレスなユーザー エクスペリエンスを実現します。
主な違いは、イベント収集へのアプローチにあります。Windows エージェントは、カーネル プローブの代わりに、Event Tracing for Windows (ETW) ドライバーを活用し、Kubernetes 内の Windows ワークロード アクティビティを監視するための効率的で信頼性の高い方法を提供します。
以下は、Falco for Windows エージェントを使用した Sysdig プラットフォームの検知ルールの例です。
- rule: Suspicious Binary added via WinLogon Helper
description: >
Winlogon is a Windows component which handles various activities such as the
Logon, Logoff, or loading user profile during authentication. This behavior is
managed by the registry, and an adversary may be able to execute an arbitrary
payload for persistence.
condition: >
registry_set_create and
(fd.name icontains "CurrentVersion\\Winlogon" and
(fd.name endswith Shell or fd.name endswith Userinit or fd.name endswith Notify) and
evt.arg[value] endswith ".dll")
output: >
New DLL added to WinLogon registry key (evt.type=%evt.type evt.args=%evt.args
proc.name=%proc.name proc.pname=%proc.pname gparent=%proc.aname[2]
ggparent=%proc.aname[3] ggparent=%proc.aname[4] container.name=%container.name
image=%container.image.repository proc.cmdline=%proc.cmdline proc.cwd=%proc.cwd
proc.pcmdline=%proc.pcmdline user.name=%user.name user.loginuid=%user.loginuid
user.uid=%user.uid user.loginname=%user.loginname)
source: windows
Falcoプラグイン
Falco プラグインは、長い間、Falco と Sysdig をサードパーティのイベントソースと統合するために不可欠なものでした。クラウド ネイティブ開発者のアクティブでクリエイティブなコミュニティのおかげで、プラグイン エコシステムは Falco の CNCF グラデュエート以来 40% 成長し、すべての人にとってのクラウド セキュリティの向上につながっています。登録済みプラグインの完全なリストは、GitHub で確認できます。
Falco プラグインの拡張リストは、Microsoft Entra ID (旧 Microsoft Azure Active Directory) などの追加サービスを監視するための拡張可視性などの追加機能を提供します。クラウド環境が拡大し、より多くの SaaS サービスがクラウドネイティブ システムに統合されるにつれて、これらのプラグインの影響はますます大きくなります。
以下は、Sysdig プラットフォームの Azure Entra プラグインに基づく Falco 検知ルールの例です。
- rule: Entra Remove App Role Assignment from User
description: Detects the removal of an app role assignment from a user in Microsoft Entra ID.
condition: >
entra.operation="Remove app role assignment from user" and
entra.result="success"
output: >
An app %json.value[/properties/targetResources/0/displayName] has been unassigned
from a user %json.value[/properties/targetResources/0/userPrincipalName] by user
%entra.user / app %entra.app in Microsoft Entra ID
(user=%entra.user, app=%entra.app, IpAddress=%entra.srcip, tenantId=%entra.tenantId,
operation=%entra.operation, category=%entra.eventCategory, resourceId=%entra.resourceId,
target app=%json.value[/properties/targetResources/0/displayName])
source: azure_entra
このクラウドベースのアイデンティティおよびアクセス管理 (IAM) サービスは、Microsoft 365、MS Azure、マネージド Kubernetes サービス (AKS) などの Microsoft サービスの認証と承認を可能にします。組織によっては、Falco の広範なプラグイン エコシステムの価値をすぐには認識しないかもしれません。しかし、 2023 年後半の MGM と Caesars に対するOkta クロステナント偽装攻撃のようなインシデントは、その重要性を浮き彫りにしています。Falco チームはすでに、 Okta Identity Services内でこの動作を監視するプラグインを開発しており、そのエコシステムのプロアクティブなセキュリティの利点を実証しています。

Falcoプラグインを使用すると、ほぼすべてのサードパーティのリアルタイムイベントソースからイベントをストリーミングできます。
Falco Feeds
Falco のプラグインアーキテクチャーと検知ルールは高いカスタマイズ性を備えており、強力な柔軟性を提供します。しかし、Kubernetes と同様にシステムがスケールするにつれて、この柔軟性が複雑さを招く可能性もあります。Falco は有用なルール成熟度マトリクスを提供していますが、標準で提供されるルールであっても、Kubernetes クラスターの固有の制約の中でセキュリティ脅威を正確に検知するためには、調整と検証が必要です。
多くのマネージド検知・対応ソリューションは、利便性と引き換えに柔軟性を犠牲にしており、Falco のようなオープンソースプロジェクトに期待されるコントロール性を制限しています。Sysdig はこれとは異なるアプローチを取り、Sysdig Threat Research Team(TRT)によって企業向けに専門的に作成された Falco ルールを、falcoctl CLI ツールを通じて配信する「Falco Feeds」というソリューションを提供しています。これにより、継続的な保守作業や本番環境のダウンタイムを伴うことなく、新しいルールをシームレスに導入できます。
Falco Feeds を利用することで、falcosidekick や Falco Talon といったオープンソースツールの力と、マネージドルールによる検知の容易さの両方を享受でき、既存のインフラを大幅に変更することなく導入が可能です。
Falco ライブラリ
sysdig CLIと Falcoの詳細なシステムイントロスペクションと Wireshark の直感的なユーザーエクスペリエンスを組み合わせたものを想像してみてください。それがまさにStratosharkが提供するものです。
Wireshark の公式ドキュメントによると、falcodump を使用すると、ユーザーは任意の Falco ソース プラグインを使用してログデータをキャプチャできます。Stratoshark は、Falco を動かす同じコア ライブラリであるlibsinsp (システム検査ライブラリ) とlibscap (システム キャプチャ ライブラリ) を活用してこれを構築します。

これらのライブラリにより、Falco やその他のツールはシステム コール イベントを抽出、拡充、分析できるようになります。Stratoshark はこれらのライブラリを利用して、Wireshark ユーザーがパケット キャプチャ (PCAP) ファイルとやり取りするのと同じように、ユーザーが Syscall Capture (SCAP) ファイルを読み取れるようにしています。2025 年 1 月にリリースされた Stratoshark は、使い慣れた Wireshark スタイルのワークフローに強力なシステム コール分析をもたらします。[詳細はこちら]
Falcoの次は何だろうか?
Falco の歩みはまだ終わりではありません。クラウドネイティブなセキュリティ脅威がますます複雑化する中で、Falco はそれに真正面から立ち向かうべく進化を続けています。今後一年の焦点は明確です──Kubernetes との統合の深化、より高度なプラグインシステム、そしてランタイムセキュリティにおける自動化への移行です。中でも最も注目すべき進展は、Falco と Stratoshark のシナジーが高まりつつある点でしょう。両者は連携することで、検知・調査・対応がシームレスに統合された新たなセキュリティパラダイムの基盤を築いています。
ランタイムセキュリティの本質はこれまでも可視性にありましたが、Kubernetes 環境がスケールする中で、可視性だけでは不十分となっています。Falco はその課題に対処するためにスタックの近代化を進めており、セキュリティの自動化と導入の容易さを両立させようとしています。今後、Falco はフリート全体への展開をよりシンプルにし、プラグインシステムの拡張によってサードパーティ製セキュリティツールとの統合をさらに深めていきます。データキャプチャと分析の強化により、セキュリティチームはより実用的なインサイトを得られ、アラート疲れの軽減や対応時間の大幅な短縮が可能になります。
Falco は長年にわたりランタイム検知の定番ツールとして利用されてきましたが、今後は検知・調査・対応のギャップを埋めることが求められています。そこで登場するのが Stratoshark です。Falco と Stratoshark は、Kubernetes Detection and Response(KDR)という新しいアプローチを切り拓いていきます。両ツール間の統合強化、自動化されたフォレンジックワークフロー、そして Falco コミュニティと Wireshark コミュニティの連携により、オープンソースのランタイムセキュリティの在り方が再定義されるでしょう。
今後を見据えると、Kubernetes 環境におけるセキュリティは、個別の検知ツールから、完全に統合されたセキュリティライフサイクルへと移行していきます。今後数年で、KDR はスタンダードとなるでしょう。Falco と Stratoshark の協業により、脅威の緩和をシンプルにするオープンソースのセキュリティフレームワークが構築されます。近い将来、セキュリティチームは、リアルタイムで脅威を検知・分析・対応できる完全自動化されたシステムに依存するようになり、現在の断片的かつ手動中心のアプローチは過去のものとなるでしょう。
まとめ
Falco の旅は始まったばかりです。クラウドネイティブのセキュリティ脅威が高度化する中、Falco は進化を続け、常に時代の先を進んでいます。今後を見据えると、プラグインを通じて Falco のエコシステムが今後 1 年間で少なくとも 50% 拡大し、サードパーティのサービスとのより深い統合が確保され、ユーザーにさらなる拡張性がもたらされると期待しています。
また、Wireshark と Falco のコミュニティの相互接続がさらに進むと予測しています。Stratoshark は、システム イントロスペクションにまったく新しい次元をもたらし、使い慣れた Wireshark のようなエクスペリエンスで、システム コール キャプチャデータをこれまで以上に簡単に分析できるようにします。オープン ソースが先導することが多いため、Stratoshark、Wireshark、Falco を通じて、コミュニティは、脅威検知機能と高度なイントロスペクション機能を深く統合することによるセキュリティ上の利点を認識するでしょう。よくあることですが、ベンダーも同じ機能を追加するようになります。
オープンソースのセキュリティツールに依存する企業が急速に成長し、クラウドへの攻撃が進化し続ける中で、今後さらに多くのチームが追加の支援を求めるようになると私は予測しています。こうした支援は、Sysdig Secure のようなエンタープライズ向けソリューションや、Falco Feeds のようなハイブリッドアプローチという形で提供されます。
例えば Syfe の事例を見てみましょう。Syfe は 2 年以上前にカスタマイズ性と可視性を重視して Falco を導入しましたが、クラウドセキュリティのニーズが進化するにつれ、Falco を中核に据えたエンタープライズ管理型ソリューションである Sysdig Secure の方が自社のビジネスニーズに適していると判断しました。他の組織は、Sysdig による Falco Feeds を通じて Falco 環境をスケーリングするハイブリッドアプローチを選択するでしょう。
Falco Feeds を導入することで、セキュリティチームは Sysdig 脅威リサーチチームによって厳選された、完全に管理された高度な検知ルールセットを利用できます。このルールセットは、複雑な規制要件への対応、コンプライアンス監査の効率化、MITRE ATT&CK、NIST、NIS2、DORA、SOC2、HIPAA、FedRAMP などの特定フレームワークに基づく効果的な分類・タグ付けによる強固なセキュリティ体制の維持にも役立ちます。
活発なコミュニティ、エンタープライズ対応の新機能、オープンソースイノベーションへの継続的な投資を背景に、Falco は今後もクラウドネイティブな脅威検知および対応(TDR)の最前線で活躍し続けるでしょう。オープンソース版の Falco を活用するにせよ、Sysdig のエンタープライズ製品を採用するにせよ、一つだけはっきりしているのは──Falco の勢いは今後も衰えることがないということです。

Falco から Sysdig へ: Syfe がコンプライアンスと脅威検知を簡素化する方法(事例:英語)
Sysdig を使用することで、金融会社は継続的なメンテナンスなしでクラス最高のクラウド脅威検知を実現しました。