本文の内容は、2025年4月9日に Manuel Boira が投稿したブログ(https://sysdig.com/blog/sysdig-and-google-secops-unifying-cloud-security-for-soc-teams/)を元に日本語に翻訳・再構成した内容となっております。
最初のブログ投稿「Sysdig Secure-Google Chronicleインテグレーション – なぜ、何を、どのように?」では、両プラットフォームを接続するというアイデアを紹介し、それぞれの強みを補完し、概要を説明しました。今回は、理論にとどまらず、より実践的で現実的なアプリケーションに焦点を当て、さらに一歩進めていきます。この記事では、SOCチームがクラウドで直面する具体的なセキュリティ課題を掘り下げ、SysdigとGoogle SecOpsがどのように連携してそれらの課題に取り組んでいるかを、具体的なユースケースと実用的なインサイトを用いて解説します。
SOCチームとクラウドは必ずしもうまく連携するわけではない
クラウドネイティブの世界におけるサイバーセキュリティのパイオニアとして10年以上にわたり活躍してきた私たちは、常に重大なギャップに気づいていました。SREチームとDevOpsチームが運用する本番環境レベルのクラウドインフラには、セキュリティオペレーションセンター(SOC)やサイバーセキュリティ専門家による必要なサポートが不足しているケースが少なくありません。このギャップは、盲点を生み出し、インシデント対応の遅延を引き起こし、急速に変化するクラウド環境において重要なワークロードを無防備な状態に陥らせる可能性があります。
いくつか例を挙げてみましょう。
- 「SOCはクラウド環境の可視性が限られていることが多く、脅威の検知と対応が困難になっています。既存のセキュリティツールセットはクラウドを考慮して選択されていない可能性があり、可視性にギャップが生じています。」
SOCの未来(デロイト 2024年) - 「パブリッククラウドの利用は、多くの企業が長年かけて構築してきた従来のサイバーセキュリティモデルを破壊します。オンプレミスITシステムのサイバーセキュリティ技術は、パブリッククラウド向けに再構成しない限り、意図したとおりに機能しない可能性があります。」
パブリッククラウドへの安全な移行(マッキンゼー 2018)
セキュリティチームは、現代のクラウド環境の複雑さへの対応に苦慮することがよくあります。SOCツールは依然として従来のエンタープライズITに根ざしており、従業員のデバイスやオフィスネットワークを監視するために構築されており、「すべての企業がソフトウェア企業である」(Microsoftのサティア・ナデラ氏)という今日の現実とはかけ離れています。また、クラウドサービスは変化が速く、一時的なものであるため、可視性と制御を維持することが困難で、真の攻撃対象領域を見失ってしまうという問題もあります。
ここで Sysdig とGoogle SecOpsが介入し、セキュリティ チームが自信を持って制御を取り戻せるようにします。
クラウドにおける脅威の状況の変化
DevOpsムーブメントの創始者たちによって広まった「混乱の壁」という概念は、サイバーセキュリティにおいても同様に当てはまります。クラウドチームは俊敏性を優先し、セキュリティチームは保護を重視します。これらの目標は一見対立しているように見えますが、実際には整合させることができ、そして整合させなければなりません。
両チームが理解する必要がある重要な質問がいくつかあります。
1.実際のクラウド インベントリはどのようになっているでしょうか?
クラウド インフラストラクチャー全体で実行されている資産、サービス、依存関係を正確に把握します。
2.最大のリスクは何ですか? また、その解決の責任者は誰ですか?
クラウド内のコンテキスト(資産が公開されているかどうか、脆弱性がメモリにロードされているかどうか)を考慮して、重大な脆弱性と誤った構成を特定し、適切なチームが確実に対処できるようにします。
3.私の環境では何が起こっているのでしょうか、またその理由は何でしょうか?
クラウド アクティビティを詳細に可視化し、状況に応じて疑わしい動作を検知、調査、理解します。
4.クラウドの脅威にはどのように対応しますか?
クラウドネイティブ ワークロードの速度、規模、複雑さに合わせて調整された対応戦略を構築します。
Sysdigがクラウドセキュリティを簡素化:複雑なものを分かりやすく
Sysdigプラットフォームは、リアルタイムの可視性、リスク、コンプライアンスを単一の直感的なインターフェースに統合することで、膨大な情報を実用的なものへと変換します。クラウドネイティブのエキスパートであるSysdigは、従来のEDRツールでは理解できない情報を解釈します。
最新のクラウド要件に沿って、統合されたクラウドネイティブ アプリケーション保護プラットフォーム ( CNAPP ) は、クラウド アプリケーション ライフサイクルに沿ったいくつかの重要なポイントをカバーする必要があります。
- ソース (Git リポジトリ) からInfrastructure as Code (IaC)を追跡します。
- 「シフトレフト」を実現するには、ビルド時、保存時、そして—Sysdigの大きな強みである—実行時における継続的なコンテナイメージスキャンが必要です。
- ポスチャーのリスクを特定して報告し、コンプライアンスを強化し、実用的な推奨事項(ID 分析と攻撃パスを含む)を提供します。
- クラウドサービス、クラウドネイティブワークロード、そして大規模なサーバーレス環境を「正しく保護」します。検知結果を相関分析・統合することで、アラート疲れを防止します。
- クラウドのスピードで移動し、ランタイムの洞察を使用して周囲のイベントのコンテキストに合わせてリスクを表面化し、重要な事項をリアルタイムで優先順位付けします。
Google SecOps が SIEM と SOAR をどのように再定義するか
従来のSIEM(セキュリティ情報イベント管理)およびSOAR(セキュリティオーケストレーション、オートメーション、レスポンス)ソリューションが、特にパブリッククラウドの「拡張の時代」において対応しきれなかったことはよく知られています。Google SecOpsは、Google Chronicle(次世代SIEM)とSiemplify(業界をリードするSOARツール)の力を融合させ、脅威の検知、調査、対応方法を再定義する画期的なプラットフォームです。
統一されたアプローチ
- 比類のない拡張性: Google のグローバル インフラストラクチャーを基盤とする Google SecOps SIEM は、ペタバイト規模のデータをリアルタイムで取り込み、分析します。しかも、手間はかかりません。超高速の検索機能により、セキュリティ チームは数年分のデータに対して数秒でクエリを実行できるため、かつてボトルネックとなっていたものが強みへと変わります。
- AI を活用した脅威検知: Google の機械学習の専門知識を活用し、高精度の脅威を表面化させることでノイズを削減し、チームが真に重要な業務に集中できるよう支援します。脅威をより迅速に検知するだけでなく、適切な脅威を検知することが重要です。
- SOARによるシームレスな自動化:セキュリティチームは、反復的なタスクを自動化し、複雑なワークフローをオーケストレーションし、マシンスピードでインシデントに対応できます。Google SecOps SIEMと直接統合することで、検知と対応の間のギャップを解消します。
より良い組み合わせ:SOC対応クラウド環境
クラウドのセキュリティ確保は、もはやより多くのデータを収集することではなく、適切なデータをより有効に活用することです。Sysdig SecureとGoogle SecOpsを統合することで、SOCはマルチクラウド環境全体にわたって確実に検知、調査、対応するために必要なコンテキストとカバレッジを確保できます。
これらを組み合わせると、次のように効果的です:
- クラウドの可視性の拡大
Sysdigは、Kubernetes、コンテナ、クラウドサービスからの深い実行時インサイトを提供します。このコンテキストをGoogle SecOpsに取り込むことで、無制限の相関分析が可能となり、クラウドネイティブなイベントとより広範なセキュリティシグナルを即座に結び付けることができます。
- コンテキストを失うことなくコストを削減
ノイズの多い生のテレメトリの送信はもうやめましょう。Sysdigは、Google SecOpsに転送するデータを最適化し、高精度な検知結果のみを維持します。転送中のデータ量が減れば、カバレッジを犠牲にすることなくコストを削減できます。
- YARA-Lによる高度な脅威検出
SecOps YARA-L ルール制御と Sysdig の高解像度および深度を組み合わせることで、複雑で回避的な脅威をリアルタイムで検知します。
- クラウドエンティティの浮上
Sysdig の調査結果とセキュリティ侵害の兆候は Google SecOps にフィードされ、アナリストは 1 か所で全体像を把握できるようになります。
- 保持と脅威のコンテキストの拡張
Google SecOps は、SIEM とデータレイクの長所を組み合わせて、Sysdig のデフォルトの保持期間を超えてすべての重要な情報を最大限に活用します。
- 対応活動の最適化
信頼性の高い結果を Google SecOps SOAR にエスカレーションし、一元的なトリアージと対応を実現します。
Sysdig + Google SecOps の統合により、明確で実用的な分析情報が得られ、複雑なクラウド イベントをチームが簡単に理解して対応できるようになります。
現実の課題を解決する
SecOps SIEMにおけるSysdigの洞察
前回の投稿で簡単に触れた最も基本的なユースケースは、Sysdigの検知結果をGoogle SecOpsに送信することです。これにより、セキュリティイベントが転送され、統合データモデル(UDM)に正規化され、分析(即時アラートとIoC経由)され、長期ストレージに保持されます。
統合を最初から設定するには、このリンクにある公式ドキュメントを参照することをお勧めします。
長期保存とUDMクエリ
Sysdigの検知結果が現在UDM(Unified Data Model)で正規化され、SecOpsのデータレイクに保存されていることにより、セキュリティチームはランタイムのリアルタイム脅威と、WAF(Webアプリケーションファイアウォール)やCASB(クラウドアクセスセキュリティブローカー)といった他のITリソースを、数ヶ月から数年分に及ぶセキュリティテレメトリを用いて相関させることが可能になります。これにより、脅威ハンティングの事前実施、ゼロデイ脆弱性の事後分析、そして一時的なクラウドワークロードを超えた高度な調査が可能になります。
たとえば、クラウド上でのランタイムで検出された異常イベントは、当初は孤立した事象に見えるかもしれません。しかし、SecOpsに保存された過去のIAMアクティビティやネットワークフローと相関させることで、SOCチームにとってはより広範な攻撃のストーリーを浮き彫りにすることができるのです。
以下は、Sysdig データを分析するための便利な SecOps クエリの例です。
重大度の高いイベントのリストを取得します (すべて)。
metadata.vendor_name = "SYSDIG" and security_result.severity = "HIGH"
指定された Kubernetes ポッド名から生成されたイベントを検査します。
metadata.vendor_name = "SYSDIG" AND metadata.event_type = "GENERIC_EVENT" AND additional.fields["pod_name"] != "shop-frontend"
同じユーザー IP からトリガーされた GCP 監査ログのリストを取得します。
metadata.vendor_name = "SYSDIG" AND metadata.event_type = "GENERIC_EVENT" AND security_result.description = "gcp_auditlogs" AND extracted.fields["labels.source.ip"] = "257.11.22.33"
MITRE ATT&CK テクニックに関連するすべての調査結果を収集します。
metadata.vendor_name = "SYSDIG" AND metadata.event_type = "GENERIC_EVENT" AND ANY extracted.fields["content.ruleTags"] = "MITRE_T1082_system_information_discovery"
または、前のクエリを少し変更したバージョンを使用して、Azure などの他のソースを破棄しながら、AWS と GCP を含むマルチクラウドの検知結果を厳選します。
metadata.vendor_name = "SYSDIG" AND metadata.event_type = "GENERIC_EVENT" AND (security_result.description = "awscloudtrail" OR security_result.description = "gcp_auditlog") AND ANY extracted.fields["content.ruleTags"] = "MITRE_T1580_cloud_infrastructure_discovery"
Sysdig プラットフォーム監査ログのリストを取得します。
metadata.vendor_name = "SYSDIG" and metadata.product_event_type != "audittrail"
クラウドダッシュボードを簡単に
以下のダッシュボードは、いくつかのシンプルなクエリを組み合わせ、可視化オプションを調整することで作成されました(意図的にノイズの多いテスト環境に接続していることにご注意ください)。SysdigがクラウドをSOCにとって理解しやすいものにする方法を示す素晴らしい例です。
このダッシュボードでは、次の情報を表示できます。
- 過去数日間の出来事と脅威の数
- システムコール関連の監査イベント(傾向)
- クラスター別の検知数
- クラウドベンダー(またはデータセンター)別の検知数
- 統合された調査結果と最新の調査結果
高度な脅威検知
クラウドアラートの運用化に関しては、カスタム検出のための YARA-L の SecOps 実装が非常に強力です。
一例として、クラウド内で複数のイベントがラテラルムーブメントを示唆するシナリオをシミュレートする基本ルールを作成しました。SecOpsは、定義された時間枠内に特定のイベントの組み合わせが発生するとアラートをトリガーし、SOCチームが潜在的な脅威をより効果的に検知・対応できるようにします。
以下のYARA-Lルールは、今回の実験のために作成された単純な例に過ぎないことにご注意ください。真の価値は、お客様が独自の検出シナリオを構築できることにあります。
rule sysdig_privilege_escalation_syscall{
meta:
author = "[email protected]"
description = "Sysdig Agent Policy Threat Detection related to Privilege Escalation"
rule_name = "Sysdig Policy Syscall Privilege Escalation"
mitre_attack_tactic = "Privilege Escalation"
mitre_attack_technique = "Exploitation for Privilege Escalation (T1068), Hijack Execution Flow (T1574), Boot on Logon Autostart Execution (T1547)"
mitre_attack_url = "https://attack.mitre.org/tactics/TA0004/"
mitre_attack_version = "v13.1"
type = "Alert"
data_source = "Sysdig"
platform = "Sysdig"
severity = "Medium"
priority = "Medium"
events:
$sysdig.metadata.vendor_name = "SYSDIG"
$sysdig.metadata.product_name = "SYSDIG"
$sysdig.metadata.product_event_type = "policy"
$sysdig.security_result.rule_name = /Detect malicious cmdlines|Unexpected Connection from|Possible Backdoor using BPF|Suspicious network tool downloaded and launched in container|Packet socket created in container|Read sensitive file untrusted|Shared Libraries Reconnaissance Activity/
$sysdig.principal.hostname = $hostname
match:
$hostname over 3m
outcome:
$mitre_attack_tactic = "Privilege Escalation"
$risk_score = max(65)
$event_count = count_distinct($sysdig.metadata.id)
$principal_ip = array_distinct($sysdig.principal.ip)
$principal_user_display_name = array_distinct($sysdig.principal.user.user_display_name)
$security_result_summary = array_distinct($sysdig.security_result.summary)
$security_result_description = array_distinct($sysdig.security_result.description)
$security_result_severity = array_distinct($sysdig.security_result.severity)
$security_result_severity_details = array_distinct($sysdig.security_result.severity_details)
$metadata_product_event_type = array_distinct($sysdig.metadata.product_event_type)
$kubernetes_cluster_name = array_distinct($sysdig.additional.fields["kubernetes_cluster_name"])
$kubernetes_workload_name = array_distinct($sysdig.additional.fields["kubernetes_workload_name"])
$kubernetes_namespace_name = array_distinct($sysdig.metadata.base_labels.namespaces)
condition:
$sysdig and $event_count >= 1 and $event_count <= 50
自動対応のためのSecOps SOARプレイブック
Sysdig イベントが SecOps SIEM でアラートを生成し始めると、それらを SecOps SOAR プラットフォーム内でシームレスに活用できるようになります。
この統合の実際の動作を示すサンプルプレイブックを作成しました。ワークフローの概要は次のとおりです。
- 前の例で作成したカスタム YARA-L ルールに合わせて、「Sysdig privilege escalation」として分類された検知結果をキャプチャします。
- イベント ソースを特定します。
• システム コール、Windows、またはクラウド監査ログに関連していますか?
• クラスター内から発生しましたか? - チーム X と Y に警告するための外部 Jira チケットを作成します (この手順では統合機能について重点的に説明します)。
- 脅威と影響を受けるリソースに関するコンテキスト情報(場所、セキュリティ体制、主なリスクなど)を追加してケースを充実させます。
- インシデント対応者に次の対応オプションを提供します。
• 即時の軽減のためにノード プールをゼロにスケーリングします。
• 必要に応じてノード プールを復元します。
このプレイブックでは、Sysdig と SecOps が連携してクラウド セキュリティ運用を効率化し、実用的なインテリジェンスと自動応答機能を提供する方法を紹介します。
まとめ: SOCとクラウドセキュリティのギャップを埋める
SysdigとGoogle SecOpsを統合することで、SOCチームはクラウドネイティブ環境を効果的に保護するために必要なコンテキストと自動化機能を手に入れることができます。ランタイムにおける深い可視性と、スケーラブルなSIEMおよびSOAR機能の組み合わせにより、チームはノイズを排除し、真の脅威を検知し、自信を持って対応できるようになります。この統合によって、クラウドセキュリティは実行可能で効率的、そして現代のクラウド攻撃のスピードと複雑さに対応したものとなります。